Passwort-Hygiene Fehlanzeige – sind Sie das nächste Leak-Opfer? #passwortsicherheit #cybercrime #darknet

In unserem letzten Beitrag haben wir über ein Datenleck bei der Starwood-Hotelkette berichtet. Hier wurden Daten absichtlich entwendet, um daraus Profit zu schlagen. Mit Hilfe von Kreditkartendaten lässt sich so einiges anstellen. Die Betroffenen hatten hier kaum eine Möglichkeit, ihre persönlichen Daten zu schützen.

Dieses Mal möchten wir auf die Gefahr aufmerksam machen, welche von unsicheren Passwörtern ausgeht. Die aktuellen Datenleaks zeigen deutlich, dass viele Benutzer keinen Wert auf sicherere Passwörter legen. Hier eine kleine Rangfolge der am häufigsten verwendeten Passwörter aus der aktuellen Leak-Quelle:

Platz 1: „123456“

Platz 2: „12345“

Platz 3: „123456789“

Platz 4: „fic*en“

Dicht gefolgt von „hallo“ und „passwort“.

Dass die beliebtesten Anbieter im Freemailbereich solche Passwörter akzeptieren und diese dem Nutzer sogar als sicher suggerieren, macht es nicht besser.

Durch solche unsicheren Passwörter für E-Mail-Konten können Hacker weitere Zugänge zu anderen Plattformen erhalten. Das Vorgehen der Hacker ist denkbar einfach. Durch die E-Mail-Adressen in Leak-Collections (Veröffentlichung von E-Mail-Listen im DarkNet) wird das erste Angriffsziel ausgemacht. Anschließend werden die gängigsten Passwörter mithilfe entsprechender Tools durchprobiert. Dabei können je nach Rechenleistung mehrere zehntausend Passwörter oder mehr pro Sekunde mithilfe von dictionary attacks oder brut force attacks ausprobiert werden.

Um die Gefahr zu verdeutlichen, sind einige Rechenbeispiele beigefügt worden. Die Rechenleistung pro Sekunde ist ein fiktiver Wert (hier 2 Milliarden pro Sekunde). Dieser kann durch Cloudanbieter wie Amazon aber deutlich höher liegen.

Passwort
besteht aus
Mögliche Kombinationen
Benötigte Zeit
zum Entschlüsseln
5 Zeichen
(3 Kleinbuchstaben,
2 Zahlen)
365 = 60.466.176 60.466.176 /
2.000.000.000 =
0,03 Sekunden
7 Zeichen
(1 Großbuchstabe,
6 Kleinbuchstaben)
527 = 1.028.071.702.528 1.028.071.702.528 /
2.000.000.000 =
514 Sekunden =
ca. 9 Minuten
12 Zeichen
(3 Großbuchstaben,
4 Kleinbuchstaben,
3 Sonderzeichen,
2 Zahlen)
9412 = 475.920.314.814.253.376.475.136 475.920.314.814.253.376.475.136 /
2.000.000.000 =
237.960.157.407.127 Sekunden =
ca. 7,5 Millionen Jahre


Man kann sich also vorstellen, wie ein Hacker bei einfachen Passwörtern sehr schnell Zugriff auf einen Account erhalten kann. Anschließend wird durch Recherche (z. B. Social Media Accounts oder direkt im Mail-Postfach) herausgefunden, wo die nun zugänglichen E-Mail Adressen noch verwendet werden. Durch die Aktion „Passwortzurücksetzen“ der so herausgefundenen Dienste bekommt der Hacker Zugangsdaten für weitere Plattformen und Dienste.

Im Internet kursieren riesige Datenmengen mit E-Mail-Adressen und Passwörtern von ahnungslosen Nutzern. Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite „Have I Been Pwned (HIBP)“, hat eine umfangreiche Sammlung mit knapp 773 Millionen unterschiedlichen E-Mail-Adressen und 21 Millionen unterschiedlichen Passwörtern. Aus Datenschutzgründen bietet die Website nur die Möglichkeit zu prüfen, ob man betroffen ist. Es ist jedoch nicht möglich zu sagen, auf welchen konkreten Hack sich ein Treffer bezieht, nur dass es einen gibt.

Ob man selbst betroffen ist, lässt sich über den folgenden Link schnell herausfinden:

https://haveibeenpwned.com/

Um die eigene Sicherheit im Internet zu erhöhen, wird dringend empfohlen, sichere Passwörter zu verwenden und wann immer möglich die Zwei-Faktor-Authentifizierung zu nutzen. Natürlich sollten Anbieter von beliebten Diensten auch geeignete Sicherheitsmaßnahmen zur Verfügung stellen. Die Bemerkungen einiger Nutzer im Internet „Ein Dienst muss mein Passwort akzeptieren, egal wie schlecht es ist“ sollten aus Security-Sicht nicht gelten! Falls sich Anwender keine komplexen Passwörter merken wollen oder können, gibt es die Möglichkeit, einen Passwortmanager zu nutzen. Hier gibt es verschiedene Offline-Varianten. Wenn man diese dann zusätzlich auf einem separaten Gerät, z. B. einem USB-Stick, verwendet, ist man schon um einiges sicherer unterwegs.

Das Restrisiko lässt sich über entsprechende Cyber-Policen abdecken. Zukünftig wird das Angebot in diesem Bereich auch im privaten Sektor weiter wachsen, um den unterschiedlichen Bedrohungslagen gerecht werden zu können.

Viele Grüße!
Mario Lünser


Reaktionen:

0 Kommentare:

Kommentar veröffentlichen