Hilfe ich wurde gehackt.

Immer wieder gibt es Meldungen, das im großen Stil Daten von Diensten im Internet geklaut wurden. Jeder wird sich dabei wohl denken, was soll es, ich werde schon nicht dabei sein. Bei rund 3 Milliarden Datensätzen, die zur Zeit im Netz verfügbar sind, dürfte die Wahrscheinlichkeit aber sehr groß sein, das auch Du gehackt wurdest. Schauen wir uns mal die Fakten an und überlegen uns, wie wir das Problem lösen können.

have-i-been-pwned-check-if-your-email-has-been-compromised-in-a-data-breach-mozilla-firefox_152
Screenshot Check your E-Mail

Die Schlagzeile in der Aktuellen c‘t spricht schon für sich: „Sie wurden gehackt! – Das müssen Sie jetzt tun.“ Okay nicht alle lesen die c‘t und die Bild wird uns auch nicht weiterhelfen. Bevor wir jetzt in Panik ausfallen, werden wir mal einen Blick auf die prominentesten Datendiebstähle (Quelle c‘t 23/2016):

  • 2008 MySpace 360 Millionen Datensätze
  • Mai 2011 Sony 102 Millionen Datensätze
  • Februar 2012 YouPorn 1,3 Millionen Datensätze
  • März 2012 Last.fm 43 Millionen Datensätze
  • 2012 Dropbox 69 Millionen Datensätzen
  • 2012 LinkedIn 177 Millionen Datensätzen
  • 2012 VK.com 171 Millionen Datensätze
  • März 2013 Evernote 50 Millionen Datensätzen
  • 2013 Tumblr 65 Millionen Datensätze
  • Oktober 2013 Adobe 152 Millionen Datensätze
  • 2014 Yahoo 500 Millionen Datensätze
  • Februar 2014 eBay 145 Millionen Datensätze
  • 2015 Anthem 80 Millionen Datensätze
  • Juli 2015 Ashley Madision 36 Millionen Datensätze

Bis auf Sony und Anthem wurden bei allen auch Email-Adressen und Passwörter, wenn auch als Hash-Werte, erbeutet. Nun MD5 gilt jetzt nicht unbedingt als das die sicherste Methode um Passwörter in einer Datenbank zu verschlüsseln. Und wenn der Dienst dann noch auf den Einsatz von Salt bei der Verschlüsselung mit MD5 verzichtet hat, ist das so als wenn ich meine Passwörter im Klartext hier im Blog veröffentliche.

Der Dummy im allgemeinen ist ein fauler Zeitgenosse. Er nutzt jegliche Dienste und macht sich beim Thema Sicherheit definitiv keine Gedanken. Also so Passwörter wie qwertz, abcd1234 oder start1234 sind keine Passwörter, sondern allenfalls eine Einladung den dahinter steckenden Account sofort zu übernehmen. Aber auch scheinbar sichere Passwörter können zur Falle werden, wenn die Angreifer diese im Klartext in die Finger bekommen. Die Frage lautet also, bin ich betroffen und wurde ich gehackt?

Wer das wissen will, kann dies auf zwei Internetseiten kostenlos tun:

https://www.leakedsource.com/

https://haveibeenpwned.com/

find-the-source-of-your-leaks-mozilla-firefox_151
find-the-source-of-your-leaks-mozilla-firefox_151

Hier gebe ich die E-Mail-Adressen ein, die ich verwende und überprüfe mal, ob eine dieser E-Mail-Adressen dort in den Datenbanken gespeichert ist. Wohlgemerkt, hier handelt es sich um die Datensätze, die von Kriminellen schon ausgenutzt worden sind. Ich wundere mich jetzt definitiv nicht mehr, wenn ich lese, dass Amazon-Konten gehackt werden – Lieber Dummy sie wurden nicht gehackt, sondern dein beschissenes Passwort ist in den Händen von Gaunern.

Bin ich dabei – und davon ist schlichtweg auzugehen! – sollte ich mir erstmal eine Liste machen, welche Dienste ich im Internet so alles nutze, welche Email-Adressen ich habe und wo ich mich sonst noch so mit Benutzernamen und Passwort anmelden muss. Das wird eine schöne Liste geben. Am besten man speichert sich diese Liste ohne die dazugehörigen Passwörter als Excel oder OpenOffice/LibreOffice Calc Datei ab. Eine Hilfe können hier die gespeicherten Zugangsdaten im Mozilla Firefox sein, die dann noch um die fehlen Konten ergänzt werden können.

Damit hätten wir schon mal einen Überblick, wo überall Schaden angerichtet werden kann. Damit wir uns in der Zukunft vor unnötigen Ärger schützen können brauchen wir jetzt noch eine Strategie, wie wir bestmöglich schützen können. Und wer jetzt sagt, ach nö das ist mir zu kompliziert, der muss sich nicht mehr über Accountklau oder Identitätsdiebstahl wundern – im übrigen erheitern mich solche Posts bei Facebook von wegen die Hacker gehen um. Das sind keine Hacker, die haben nur eure Passwörter für ein paar hundert Euro gekauft, weil Ihr zu doof seid!

Also solche Posts auf Facebook sind der absolute Schwachsinn, wie gegen die AGBs von Facebook in der Timeline zu wiedersprechen:

Keine Handynummern raus geben !!!!
LEUTE – BITTE AUFPASSEN!!!
Fast alle Facebook Konten wurden oder werden gehackt.
Das Profilbild und Euer Name wird dazu verwendet um ein neues FB-Konto zu eröffnen.
Dann versuchen sie Eure Freunde zu überreden,
Euch als Freund erneut zu adden……und voila,
sie versuchen Euer Leben zu ruinieren oder ggf.
anderen Blödsinn damit zu veranstalten.
Eure Freunde werden denken es ist Euer Konto und akzeptieren
die Freundschaftsanfrage.
Von diesem Moment an können diese Piraten in Eurem Namen schreiben was immer sie wollen!!!
Ich möchte Euch HIERMIT mitteilen, das ich KEINE Pläne habe ein neues Konto zu eröffnen, also akzeptiert bitte keine zweite Einladung von mir!!
Kopiert und postet diese Nachricht auf Eure Startseite
damit Eure Freunde gewarnt sind.
Nicht weiterleiten oder teilen – KOPIEREN!!!

Liste mit Zugangsdaten erstellt? Okay dann kann ich weitermachen. Wo war ich stehen geblieben? Ach ja die Strategie für unsere Passwörter. Was schreibt das Bundesamt für Sicherheit in der Informationstechnologie zum Thema sichere Passwörter? https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

Ein gutes Passwort:

  • Es sollte mindestens acht Zeichen lang sein.
    (Ausnahme: Bei Verschlüsselungsverfahren wie zum Beispiel WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren – das geht zum Beispiel beim Hacken von Online-Accounts nicht.)
  • Es sollte aus Groß– und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.
  • Wenn möglich sollte es nicht in Wörterbüchern vorkommen.
  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.
  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.

Was die Jungs und Mädels in der Bundesbehörde vergessen haben ist, das so ein Passwort immer nur für einen Dienst verwendet werden sollte und wenn möglich spätestens nach 90 Tagen gewechselt werden sollte.

Bo äh – das ist aber ganz schön kompliziert, wie soll ich mir die ganzen Passwörter nur merken können. Schon wieder so eine Beschäftigungstherapie.

Das ist keine Beschäftigungstherapie, sondern absolute notwendiges muss – auch für mich und ein Grund warum ich Windows in die ewigen Jagdgründe der elektronischen Datenverarbeitung geschickt habe. Damit ist unsere Passwortstrategie schon komplett umschrieben. Jetzt brauchen wir aber den Computer, der uns beim Verwalten der ganzen Passwörter aktiv unter die Arme greift.

Damit wir uns in unserem Wust an Email-Konten, Zugangsdaten für soziale Netzwerke, Online-Shops, Bezahlsysteme, Porno-Seiten nicht verlieren, gibt es die sogenannten Passwortmanager. Und damit meine ich NICHT die Möglichkeit diese im Browser zwischen zu speichern – damit das klar ist. Dafür habe ich hier mal drei Passwortmanager für den Alltag aufgelistet

1Passwort
https://1password.com/
Kostenpflichtiger Passwortmanager

KeePass
http://keepass.info/
Kostenloser Passwortmanger

LastPass
https://lastpass.com/de/
Auch als kostenlose Variante verfügbar

Für welchen Passwortmanager man sich entscheidet, ist mir unterm Strich absolute egal. Ich verwende für mich schon seit 12 Monaten KeePass und bin mit diesem Tool einigermaßen zufrieden. Nicht ganz das, was ich mir vielleicht wünsche, aber doch ganz brauchbar. Die anderen beiden habe ich ehrlich gesagt auch noch gar nicht in den Fingern gehabt. Es fehlt mir also an Vergleichswerten, um ein wirklich aussagekräftiges Statement hier abzugeben.

newdatabase-kdbx-keepass_154
Keypass Passwort Safe

In KeePass sehe ich, wie alt das Passwort ist und ich kann auch ein Ablaufdatum hinterlegen, was ich in der Zukunft auch machen werde – wie war das mit den 90 Tagen. In jedem Fall werde ich heute noch damit beginnen, bevor ich irgendetwas anderes anfasse, Ordnung in meine Zugangsdaten zu bringen, überall die Passwörter wechseln, diese in meinem Passwortmanager eintragen und mit einem Ablaufdatum von 90 Tagen versehen. Damit sollte ich dann erstmal auf der sicheren Seite sein.

Zum Schluss noch ein Punkt. Ich habe hier mit Absicht die Zwei-Faktor-Authentifizierung außen vor gelassen. Viele Dienste wie Facebook, Google und Twitter bieten diese Form der Authentifizierung an, sollten uns aber nicht davon abhalten vernünftige Passwörter zu verwenden. Wie Keepass in der Praxis zu verwenden ist, werde ich hier noch in einem How-To-Do beschreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.