PRÜFEN SIE, OB IHRE DATEN GESTOHLEN WURDEN
Die Website „have i been pwned? “(https://haveibeenpwned.com) besitzt eine gewaltige Datenbank mit gestohlenen Log-in-daten. Dort können Sie Ihren Benutzernamen eingeben, was fast immer die Mailadresse ist, und prüfen lassen, ob dieser schon im Internet kursiert. Sie erfahren dann meist auch, aus welcher Quelle der gestohlene Datensatz stammt und ob neben Benutzername und Passwort weitere Infos gestohlen wurden.
Sollten Ihre Log-in-daten dort auftauchen, sollten Sie dringend das verwendete Passwort ändern, und zwar bei allen Ihren Log-ins, bei denen Sie dieses Passwort genutzt haben. Achtung: Viele dieser Login-datenbanken überprüfen auf Wunsch auch Ihr Passwort. Wir empfehlen aber, nur die Mailadresse und nicht das Passwort dort einzugeben. Zwar gehen einige Datenbanken verantwortungsvoll mit Ihrem Passwort bei der Abfrage um, aber garantieren kann Ihnen das niemand. Die Eingabe der Mailadresse ist dagegen unbedenklich.
Angreifer das Passwort eines Ziel-log-ins nicht, kann er die Anmeldung mit allen bekannten Passwörtern einer Sammlung der Reihe nach austesten. Voraussetzung für diese Attacke ist, dass der angegriffene Dienst beliebig viele Log-in-versuche zulässt. Gute Onlinedienste und Programme verweigern nach einer bestimmten Zahl von Anmeldeversuchen einen weiteren Log-in, zumindest für einige Zeit. Doch gibt es noch viele Konten und Tools, die für Wörterbuch-angriffe anfällig sind. Übrigens: In den Passwortsammlungen wie Rockyou 2021 finden sich die Passwörter oft nicht im Klartext, sondern „nur“als Hash (digitaler Fingerabdruck). Für einen gekonnten Wörterbuch-angriff spielt das aber keine Rolle. Denn statt dem Konto das Passwort im Klartext anzubieten, liefert der Dieb gleich den Hashwert. Das funktioniert zwar nur bei bestimmten Konten und setzt gute technische Kenntnisse voraus, ist aber beides gegeben, stehen die Chancen für den Angreifer gut.
Credential Stuffing: Wehe dem, der Passwörter mehrfach nutzt
Fürs Knacken von Accounts nutzen Kriminelle auch das sogenannte Credential Stuffing. Dabei testen sie die Zugangsdaten aus geleakten Datenbanken auf verschiedenen Plattformen. Mit Tools wie Sentry MBA (www.pcwelt.de/eafw3l) geht das sogar automatisch. Sie testen die Nutzernamenund Passwörterkombinationen auf vielen Webseiten gleichzeitig. In manchen Onlineshops stammt ein Großteil des Log-intraffics bereits von solchen Tools. Gefährdet sind Nutzer, die dasselbe Passwort für mehrere Konten nutzen. Wer für jeden Dienst ein individuelles Kennwort erstellt, hat dagegen nichts zu befürchten.
Laut einer Studie des britischen National Cyber Security Centre (https://www.ncsc. gov.uk) nutzen rund 75 Prozent der Unternehmen Passwörter, die in den Top 1000 der meistgenutzten Passwörter zu finden sind ... Untersuchung für Privatanwender fallen meistens noch schlechter aus.
Password Spraying: Ein geglückter Versuch kann genügen
Beim Password Spraying nutzen Cyberkriminellen die Tatsache, dass viele Nutzer sehr einfache Passwort verwenden. Beim Spraying testen die Angreifer auf gut Glück beliebte Passwörter wie 123456, passwort, hallo123. Es ist somit eine Art Mini-wörterbuch-attacke. Password Spraying ist simpel, geht schnell und ist leider für die Kriminellen oft erfolgreich.
Gezielte Angriffe auf mehrere Konten eines Nutzers
Gelangt ein Angreifer an das Passwort eines Mailpostfachs, ist das eigentlich ein Jackpot für ihn. Denn so kommt er über die Funktion „Passwort zurücksetzen“, die fast jeder Onlinedienst im Internet anbietet, auch an andere Konten seines Opfers. Das geht, da der Angreifer den Link fürs Zurücksetzen eines Passworts aus dem Postfach des Opfers abgreifen kann. Tatsächlich werden aber nur wenige Fälle bekannt, in de
nen Angreifer so vorgehen. Sie scheinen automatisierte Angriffstechniken zu bevorzugen. Dennoch sollten Sie Ihr Mailpostfach gut schützen, am besten mit einer Zwei-faktor-authentifizierung (www.pcwelt. de/1935646).
Identitätsdiebstahl: Auch ohne Passwort sehr gefährlich
Die großen Passwortsammlungen enthalten, wie erwähnt, oft zusätzliche Infos zu einzelnen Konten. Wenn zu einer Mailadresse viele Infos zusammenkommen, haben Angreifer genügend Material, um die Identität dieses Opfers zu übernehmen. Das kann richtig teuer oder zumindest sehr mühsam werden. Denn die Kriminellen nutzen Ihren Namen und schließen mit Ihren
Bankdaten Handy-verträge ab. Die neuen Handys sacken die Diebe ein, von Ihrem Bankkonto gehen aber die Abbuchungen weg. Bei dieser Masche benötigen die Angreifer nicht mal ein Passwort zu Ihrem Konto. Sie fälschen einfach eine Einzugsermächtigung für Ihr Konto.
So schützen Sie sich vor diesen Angriffen
Sie können die Gefahr, die von Passwortsammlungen im Internet ausgehen, stark reduzieren. Dafür benötigen Sie nur einen Passwortmanager, etwa Keepass (gratis, für Windows 8.1 und 10, auf HEFT-DVD und unter www.pcwelt.de/299369). Von diesem lassen Sie sich für jedes Konto ein eigenes, mindestens 16 Zeichen langes Passwort erstellen. So werden die Kennwörter in den Passwortsammlungen wie Rockyou 2021 für Angreifer wertlos. Denn jedes Ihrer Passwörter funktioniert nur bei genau einem Konto. Und in der Regel sperrt ein Dienst alle Passwörter, nachdem ihm seine Kundendatenbank gestohlen wurde. Es bleibt allerdings das Zeitfenster zwischen Diebstahl der Log-in-daten und dem Moment, in dem der betroffene Dienst das merkt und die Passwörter sperren kann. Notfallhilfe: Sollte es einem Angreifer trotz aller Maßnahmen gelungen sein, ein Konto von Ihnen zu übernehmen, sollten Sie Schritt für Schritt vorgehen, um wieder die Kontrolle zu erlangen.
Eine ausführliche Anleitung dafür finden Sie unter www.pcwelt.de/1986301.