44 Millionen Windows-Konten unsicher
Schwache Passwörter aufgedeckt
A m 5. Dezember 2019 gab Microsoft bekannt, dass 44 Millionen Windows- und Azure-Active-Directory-Konten kompromittiert sein könnten. Dies war das Ergebnis eines zwischen Januar und März 2019 durchgeführten Abgleichs von mehr als drei Milliarden im Internet kursierenden, gestohlenen Zugangsdaten mit der hauseigenen Nutzerdatenbank. Und da bekannt ist, dass Anwender identische oder leicht modi zierte Passwörter aus Gründen der Bequemlichkeit gerne bei mehreren Diensten verwenden, ging Microsoft davon aus, dass auch zahlreiche Windows- und Azure-AD-Nutzer betroffen sein können. Die Folge: Die betreffenden Nutzer wurden aufgefordert, ihre Kennwörter zu ändern. Diese Episode zeigt, dass nichts so viel zur Sicherheit beiträgt und dennoch so strä ich vernachlässigt wird wie Passwörter. Der
Grund: Einerseits müssen Kennwörter ausreichend stark sein, um einfachen Wörterbuch- sowie ausgeklügelten Brute-Force-Attacken zu wiederstehen. Andererseits ist es in der Praxis extrem mühsam, sich knacksichere Kennwörter wie #Zi,pCv@|5Vd;7%9 zu merken und fehlerfrei einzutippen. Dementsprechend lax gehen manche Anwender mit ihren Passwörtern um. Dabei ist es in der Praxis gar nicht einmal so schwer, für mehr Sicherheit zu sorgen, wie wir in diesem Beitrag zeigen.
Unternehmen sind die Schwachstellen
Im Rahmen des World Password Days 2017 wurde eine Studie veröffentlicht, der zu entnehmen war, dass der durchschnittliche deutsche Internetnutzer 78 Online-Konten besitzt. Das sind 78 potenzielle Angriffsziele, auf die es Cyber-Kriminelle abgesehen haben. Phishing-Attacken außen vor gelassen, versuchen Hacker heutzutage eher selten, in den Computer eines Privatanwenders einzudringen, um per Keylogger an seine Zugangsdaten zu kommen. Wesentlich lukrativer ist es, gleich den Server einer Organisation zu hacken und die gesamte Datenbank zu entwenden.
Dem Sicherheitsunternehmen Risk Base Security ( http://bit.ly/3avUbE7) zufolge wurden allein zwischen Januar und September letzten Jahres 5.183 Vorfälle gemeldet, bei denen insgesamt 7,9 Milliarden Datensätze geleakt wurden. Betroffen waren unter anderem der Mobile-Games-Entwickler Zynga (218 Millionen Datensätze), Facebook (540 Millionen) und True Software Scandinavia, Hersteller der beliebten Smartphone-App Truecaller (299 Millionen).
Und obwohl Benutzernamen und Kennwörter niemals im Klartext, sondern in Form von Hashes gespeichert werden, ist die Gefahr groß, dass Hacker, die die komplette Datenbank besitzen, zumindest einen Teil der Passwörter entschlüsseln können. Diese Informationen stehen dann oftmals im Darkweb zum Verkauf.
Auf Have I Been Pwned ( haveibeenpwned.com) können Sie übrigens selbst heraus nden, ob eine Ihrer E-Mail-Adressen im Zusammenhang mit einem Datenleck auftaucht (siehe Kasten rechts oben). Weitere empfehlenswerte Anlaufstellen sind das HassoPlattner-Institut ( https://sec.hpi.de/ilc/search), BreachAlarm ( breachalarm.com) und Firefox Monitor ( monitor. refox.com).
Letzterer Service ist übrigens fest im Firefox-Browser verbaut, sodass Sie beim Besuch einer Webseite, die während der letzten zwölf Monate Opfer eines Datenlecks war, durch eine Einblendung auf die Gefahr aufmerksam gemacht werden. Und wenn Sie ein Firefox-Konto anlegen, können Sie sich sogar bei neuen Datenlecks warnen lassen.
Sicher, noch sicherer, 2FA
Traurig, aber wahr: Nach wie vor erfreuen sich kinderleicht zu erratende Passwörter wie 123456, passwort oder schatzi großer Beliebtheit. Sie glauben es nicht? Dann sollten Sie auf der Seite haveibeenpwned.com auf Passwords klicken, 123456 eingeben, und staunen, dass diese Zeichenfolge mehr als 23 Millionen Mal gefunden wird. Ähnlich gefährlich ist aber auch die Strategie, in einem Passwort einfach nur einen oder zwei Buchstaben zu verändern oder Buchstaben durch Zahlen zu ersetzen. Eine 2018 veröffentlichte – für Sicherheitsexperten ungemein aufschlussreiche – Studie der US-Universität Virginia Tech ( http:// bit.ly/38pae4t) zeigt, dass 52 Prozent aller Nutzer identische oder leicht modi zierte Passwörter bei mehreren Services verwenden. Die Folge: Immerhin 30 Prozent dieser Kennwörter lassen sich in weniger als zehn Versuchen erraten!
Der Grund für diese grobe Nachlässigkeit ist, dass sich solche Kennwörter wesentlich leichter merken lassen als beispielsweise MNEi3JäamNB.. Das stimmt aber nicht! Denn wenn Sie wissen, dass sich dieses Kennwort aus nichts weiter als den Anfangsbuchstaben eines Satzes zusammensetzt, sieht die Sache anders aus. Oder nden Sie, dass Meine Nichte Ella ist 3 Jahre älter als mein Neffe Benjamin. schwer zu merken ist? Zumal diese Information aus dem echten Leben stammt. Ein paar Beispiele: 1989wegJ,dmTAgw. ( 1989 war ein gutes Jahr,da meine Tochter Annika geboren wurde.), IlmMTiO1990k. ( Ich lernte meinen Mann Tim im Oktober 1990 kennen.) oder 1992bimFadFM. ( 1992 begann ich mein Fahrzeugtechnikstudium an der Fachhochschule München.).
Die Spanne der Möglichkeiten ist nahezu unbegrenzt, da sich jede Person maßgeschneiderte Kennwörter zusammenbauen kann, die auf ihren ganz persönlichen Informationen und Lebensumständen basieren. Außenstehende haben also nicht den
Hauch einer Chance, so ein Kennwort zu erraten. Und selbst Personen, die Sie kennen, dürften überfragt sein. Solche Kennwörter sind ideal zur Nutzung bei weniger sicherheitsrelevanten Services geeignet, etwa Net ix, Last.fm und Spotify.
Noch sicherer, aber auch wesentlich schwerer zu merken, sind zufällig generierte Kennwörter wie das eingangs erwähnte #Zi,pCv@|5Vd;7%9. Solche Passwörter können Sie mithilfe einer Software wie PWGen ( pwgen-win.sourceforge.net) oder online erzeugen. Gute Anlaufstellen sind passwort-generator.eu, 1password.com/de/password-generator und dashlane.com/de/features/password-genera tor. Kennwörter dieser Stärke sind gut geeignet, um wichtigere Anmeldungen abzusichern, zum Beispiel Benutzerkonten bei Online-Foren.
Die aktuell höchste Form der Passwortsicherheit führt über die Zwei-Faktor-Authenti zierung (2FA). Wie die Bezeichnung verrät, muss hierbei nach der Eingabe des Kennworts eine zusätzliche Bestätigung erfolgen. Im Normalfall handelt es sich dabei um einen Einmalcode, der von der GratisMobil-App Google Authenticator ausgegeben wird. Dieser Code kann aber auch per SMS, Telefonanruf oder E-Mail zugestellt werden. Sofern unterstützt, sollte diese Art der Authenti zierung bei allen extrem kritischen Anmeldungen bevorzugt werden. Dazu gehören etwa das Microsoft-Konto, Amazon, PayPal, NAS-Benutzerkonten und E-Mail-Accounts. Sehr gut: Immer mehr Online-Services unterstützen inzwischen 2FA. Ein relativ gute Übersicht nden Sie auf twofactorauth.org.
Es geht nicht ohne Passwortmanager
Ganz gleich, auf welche Art und Weise Sie knacksichere Kennwörter generieren: Ein Passwortmanager ist unerlässlich, um diese Informationen zu verwalten. Die Auswahl an guten Windows-Programmen ist groß (siehe Kasten links), einige interessante Produkte nden Sie auf der Heft-DVD. Unser absoluter Favorit ist die Open-Source KeePass Password Safe ( keepass.info).
Zu den herausragenden Merkmalen dieser optisch recht schlicht gehaltenen Lösung gehören die einfache Bedienung, die hohe Sicherheit und die exible Verwaltung. Ungemein hilfreich ist etwa die Möglichkeit, die eigene Kennwortdatenbank nach Dopplern zu durchsuchen. Dazu klicken Sie auf Suchen und wählen Doppelte Passwörter. KeePass präsentiert Ihnen daraufhin eine
Liste mit allen Dopplern. Aus Sicherheitsgründen sollten Sie alle Kennwörter, die zwei- oder gar mehrmals vorkommen, umgehend ändern. Ebenso wichtig ist aber auch die Funktion Passwort-Qualität, da Sie damit alle in KeePass hinterlegten Kennwörter einem Sicherheitscheck unterziehen können. Die KeePass-Datenbank wird übrigens in verschlüsselter Form (AES/ Rijndael mit 256-Bit-Schlüssel) lokal gespeichert, sodass Sie sich keine Sorgen über die Sicherheit machen müssen.
Darüber hinaus stehen viele sinnvolle Plugins und Erweiterungen zur Verfügung, etwa um Zugangsdaten im Browser automatisch einzugeben, sich per Gesichtserkennung oder Fingerabdruck einzuloggen und die KeePass-Datenbank automatisch zu sichern. Ein Passwortgenerator, der zufallsgesteuerte Kennwörter beliebiger Länge und Komplexität erzeugt, ist ebenfalls dabei. Zudem sind von Drittherstellern angebotene Apps für Android und iOS zu haben, sodass Ihre Passwörter auch unterwegs parat sind. Der Vollständigkeit halber wollen wir erwähnen, dass die KeePass-Datenbank hierbei über die Cloud synchronisiert wird, was wiederum ein kleines Sicherheitsrisiko darstellt, da der Betreiber des Cloud-Dienstes gehackt werden kann.