Zugangsdaten für 773 Millionen Online-Konten veröffentlicht

https://pixabay.com/photo-265130/

Ein Sicherheitsforscher hat in Online-Foren eine Datenbank mit dem Namen “Collection #1” gefunden, die 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter enthält. Diese Datenbank steht seit geraumer Zeit zum Verkauf und es muss damit gerechnet werden, dass die enthaltenen Zugangsdaten aktiv missbraucht werden.

Gegen Sicherheitslücken, die durch die Onlineplattformen selbst verursacht werden, kann der Nutzer zwar nichts unternehmen (außer zu Diensten zu wechseln denen Sicherheit wichtiger ist), aber er kann von sich aus Vorkehrungen treffen, dass Datenlecks nicht zu gravierende Auswirkungen haben. Im folgenden möchte ich deshalb einige Tipps für einfache Maßnahmen geben, mit denen ihr eure Online-Accounts schützen könnt.

E-Mail-Adressen und Passwörter testen

Der Sicherheitsforscher Troy Hunt betreibt die Website https://haveibeenpwned.com/. Dort kann man kostenlos überprüfen ob die eigene E-Mail-Adresse in einer bekannten Passwortdatenbank vorkommt. Ein negatives Ergebnis sagt natürlich nicht, dass man nicht betroffen ist. Ist das Ergebnis aber positiv, sollen sofort alle Passwörter, die mit dieser E-Mail-Adresse verbunden sind, geändert werden. Der zweite Test der angeboten wird ist ein Passworttest. Dort kann man seine Lieblingspasswörter eingeben und erfährt ob diese schon mal in der Datenbank aufgetaucht sind. Für diesen Test muss man der Website natürlich sehr viel Vertrauen entgegen bringen. Ob man dieses Vertrauen hat, muss jeder selbst entscheiden.

2-Faktor-Authentifizierung verwenden

Viele Dienste bieten mittlerweile 2-Faktor-Authentifizierung zum Schutz des Kontos an. Die Idee dahinter ist, dass beim Anmelden zusätzlich zum Passwort noch ein temporärer Zahlencode eingegeben werden muss, der über ein zweites Medium übermittelt bzw. erzeugt wurde. Die im Moment verbreiteste Variante ist die Zusendung dieses Codes per SMS. Dazu muss bei dem Dienst die eigene Handynummer hinterlegt werden, anschließend bekommt man bei jedem Login eine SMS mit einem Einmalpasswort, welches nur für eine bestimmte Zeit gültig ist. Bei diesem Verfahren muss man allerdings beachten, dass SMS prinzipiell abgefangen werden können, bzw. es auch schon gelungen ist Handynummern einer neues SIM-Karte zuordnen zulassen ohne das der Eigentümer dies autorisiert hätte.

Die zweite Möglichkeit Einmalpasswörter für die Anmeldung zu generieren ist OTP (one time password). Dazu installiert man sich auf seinem Smartphone eine App (z.B. FreeOTP), die dann diese Passwörter generiert. Dazu muss man einmalig einen QR-Code von der Website einscannen. Dieser enthält kryptographische Schlüssel, die für die Generierung benötigt werden. Mit einem Klick auf den entsprechenden Eintrag in der App kann nun ein Passwort zur Anmeldung erzeugt werden. Diese Variante ist sehr sicher, der Nachteil ist nur, dass bei einem Datenverlust auf dem Handy eventuell der Zugang zum Onlinekonto nicht mehr möglich ist. Ich empfehle deshalb die kryptographischen Schlüssel an einem sicheren Ort zu speichern. Einige Plattformen bieten außerdem Recoveryschlüssel an, mit denen man im Notfall Zugriff auf das Konto bekommen kann.

Sichere Passwörter verwenden

Der Tipp sichere Passwörter zu verwenden ist wahrscheinlich so alt wie das Internet selbst. Trotzdem finden sich in freier Wildbahn immer noch Passwörter wie “1234” oder “Passwort”. Schaut man sich den Log meines Servers an, werden genau diese Passwörter für Loginversuche verwendet. Ein sicheres Passwort hat mindestens 8 Zeichen und besteht aus Buchstaben, Zahlen und Sonderzeichen. Das Problem ist nur, dass man sich diese Passwörter meist nur schwer merken kann. Ein beliebter Trick ist, die Anfangsbuchstaben eines Satzes zu verwenden. Allerdings muss man sich bei entsprechend vielen Accounts natürlich auch entsprechend viele Sätze merken. Ich empfehle daher den Einsatz eines Passwortmanagers. Bei mir hat sich er Einsatz des Password Safe bewährt. Er ist für Windows verfügbar und läuft mittels Wine auch ohne Probleme unter Linux. Außerdem ist für iOS und Android eine entsprechende App verfügbar.

Ein anderer Ansatz ist, die Accounts nach Wichtigkeit, bzw. nach Gefahr zu sortieren und je nach Kategorie andere Passwortstrategien zu fahren. Eine mögliche Aufteilung in zwei Klassen wäre:

  • Sicherheitskritische Accounts: In diese Kategorien fallen alle Accounts, bei denen Bankdaten oder andere sensible Informationen hinterlegt sind. Dazu zählt auf jeden Fall auch der E-Mail-Account. Für diese Accounts sollen möglichst sichere Passwörter zusammen mit 2-Faktor-Authentifizierung verwendet werden. mindestens einmal in Jahr sollten diese Passwörter auch geändert werden.
  • Weniger kritische Accounts: Dazu zählen alle Accounts, bei denen keine sensiblen Daten hinterlegt sind und durch die nur wenig Schaden verursacht werden kann. Für diese Accounts kann ein Basispasswort verwendet werden, welches seitenspezifisch ergänzt wird.

Nur die Passwörter der ersten Kategorie müssen auf Grund der Komplexität im Passwortmanager gespeichert werden. Prinzipiell hilft eine solche Strategie Aufwand, Nutzen (hier Sicherheit) und Risiko in ein vernünftiges Maß zu bringen.

Unnötige Accounts löschen

Alte Accounts können ein Einfallstor z.B. für Identitätsdiebstahl sein. Ausgehend von den dort erbeuteten Daten können sich Hacker weiterhangeln und weitere Accounts übernehmen. Oftmals ist einem gar nicht mehr bewusst, dass man bei einer Firma noch einen Account hat und denkt man ist von dem Datendiebstahl dort nicht betroffen. Deshalb ist es wichtig, sich eine Übersicht über die eigenen Accounts zu verschaffen und nicht mehr benötigt Accounts zu löschen.

Wegwerf-E-Mail-Adressen verwenden

Wer kennt das nicht, dass man für einen Download oder sonst eine Dienstleistung seine E-Mail-Adresse angeben oder sogar einen Account anlegen muss. Benötigt man den Account nicht weiter oder will nur eine einmalige Information, bietet sich die Verwendung von Wegwer-E-Mail-Adressen an. Ein Dienst, der solche Adressen anbietet, ist https://www.byom.de/. Die Verwendung ist denkbar einfach:

  • Als E-Mail-Adresse gebt ihr einfach [beliebiger String}@byom.de an, z.B. spam@byom.de
  • Anschließend geht ihr auf die Website https://www.byom.de/ und gebt dort den String im Suchfeld ein
  • Anschließend könnt ihr die E-Mails abrufen, die an diese Adresse eingegangen sind

Die einzige Einschränkung dabei ist, das die E-Mails nur 60 Minuten im Postfach verbleiben. Anschließend werden sie gelöscht. Diese Zeit kannst man ändern, indem man “+Xm” an die Adresse anhängt. Zum Beispiel werden E-Mails der Adresse spam+30m@byom.de 30 Minuten gespeichert. Als Zeitraum können alle Werte zwischen 10 und 360 Minuten verwendet werden.

Fazit

Die Veröffentlichung von 21 Millionen Passwörter hat wieder einmal den Fokus auf die Sicherheit der eigenen Onlinekonten gelenkt. Mit schon wenigen einfachen Schritten ist es möglich, die eigenen Konten zu schützen. 100%-ige Sicherheit ist zwar nicht möglich, mit den vorgestellten Schritten kann aber die Sicherheit deutlich erhöht werden.

Welche anderen Strategien verfolgt ihr noch, um eure Online-Accounts zu schützen? Hinterlasst doch einfach einen Kommentar mit euren Hinweisen.


Wie hat dir der Artikel gefallen? 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Bisher keine Bewertungen)

Loading...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.