Ihre OnlIne-KOnten In Gefahr!
Sichern Sie Ihre Zugänge jetzt doppelt ab – so geht’s
Wir kennen alle dieses Albtraumszenario: In den Nachrichten gibt wieder ein großer Cloud-Anbieter zu, Opfer eines Hacker-Angri s geworden zu sein. Millionen von Zugangsdaten wurden entwendet und sind nun nicht mehr sicher. Im schlimmsten Fall ist der Eingang zum eigenen Konto verschlossen, und man hat selbst keine Möglichkeit mehr, sich Zugang zu verscha en. Wenn Sie sich aber doppelt absichern, bleibt Ihnen ein solches Schicksal erspart. Wir zeigen Ihnen, wie Sie Ihre Konten so absichern, dass wirklich nur Sie herankommen. Die Notwendigkeit, Konten zusätzlich abzusichern, wird schnell klar, wenn man sich vor Augen hält, was Hacker mittlerweile mit modernster Technik bewältigen können. Brute-Force-Attacken, Wörterbuch-Attacken, Datenbank-Attacken oder eine Kombination aus allen dreien: Das sind die modernen Dietriche der Cyberkriminellen. Ein starkes Passwort ist essenziell und sollte darauf ausgerichtet sein, wie es geknackt werden kann. Brute Force, also das systematische Ausprobieren von Millionen von Zeichenkombinationen, hebeln Sie aus, indem Sie die Komplexität des Passworts erhöhen. Sobald Sie Zahlen, Sonderzeichen und/oder Satzzeichen einbeziehen, erhöht sich die Anzahl nötiger Knack-Versuche ins Exponentielle. Wörterbuchattacken lassen sich aushebeln, indem Sie keine ganzen Wörter verwenden. Cracker-Tools kombinieren Wörter nämlich genauso einfach, als wären sie einzelne Buchstaben. Dadurch sind selbst lange Passwörter mit mehreren aneinandergereihten Wörtern unbrauchbar.
Seltener im Einsatz, aber dafür umso gefährlicher, sind Crack-Ansätze mithilfe von Datenbanken. Diese smarten Hacker-Tools erkennen Wörter selbst dann, wenn deren Bestandteile durch Zahlen oder Sonderzeichen ersetzt wurden, wie z. B. P4$$w0r+. In den Datenbanken be nden sich gleichermaßen bereits gestohlene Passwörter und Passwortfragmente. In einem Feldversuch des IT-Blatts Ars Technica scha ten es drei Cracker, selbst schwierig anmutende Passwörter wie Apr!l221973, Sh1a-labe0uf oder Philippians4:6-7 innerhalb weniger Stunden zu knacken (Quelle: http://goo.gl/Q9MJmC).
Zugang trotz verlorenem Passwort
Und genau für einen solchen Fall sollten Sie sich rüsten. Nicht nur falls Sie Opfer eines Cyberangri s werden – oft genug nutzt man das Online-Konto einfach zu lange nicht und die Zugangsdaten geraten in Vergessenheit. Immer mehr Webseiten haben dies erkannt und die Zwei-Faktor-Authenti zierung (2FA) implementiert. Jemand, der sich von einem unbekannten Standort oder einem unbekannten Gerät einloggen möchte, muss sich also auf zwei Wegen ausweisen. Einerseits mit den korrekten Zugangsdaten und andererseits mit einer zweiten Methode, die mit dem Eigentum des Benutzers verknüpft ist. Typischerweise verbindet man dabei die eigene Handynummer mit dem Konto. Zur Authenti zierung wird dann ein temporärer Code an die Nummer geschickt, mit dem erst die Anmeldung möglich ist. Auf diesem Prinzip beruht auch die Authenti zierung per TAN-Verfahren beim Onlinebanking. 2FA nden Sie normalerweise relativ leicht in den Kontoeinstellungen jedes OnlineDienstes. In Google beispielsweise klicken Sie auf Ihr Pro lbild in der rechten oberen Ecke der Webseite, dann auf Mein Konto – Anmeldung und Sicherheit. In der links angeordneten Leiste navigieren Sie zu Anmeldung bei Google. Dort angekommen, klicken Sie auf Bestätigung in zwei Schritten und folgen den weiteren Anweisungen zur Einrichtigung Ihrer Handynummer. Auf ähnliche Art handhaben es die meisten Dienste. Leider ist der Begri Zwei-FaktorAuthenti zierung noch nicht geläu g genug, daher werden Sie diverse Umschreibungen dafür nden. In der Tabelle auf der folgenden Seite sehen Sie die wichtigsten Dienste, die bereits 2FA unterstützen, sowie eine Anleitung mit Bildern, wie dies beim Bezahldienst PayPal aussieht. Die größte Anfälligkeit von 2FA ist allerdings die Gefahr, Phishing-Webseiten auf den Leim zu gehen. Um selbst für diesen Fall geschützt zu sein, können Sie sich für Ihre wichtigsten Dienste einen USB-Dongle besorgen, der als lokale Hardware vor solchen Angri en sicher ist. Ein Anbieter dieses Verfahrens ist die FIDOAlliance (https:// doalliance.org), ein Zusammenschluss aus vielen Organisationen (Google, Microsoft, PayPal, Samsung, Mastercard, Visa u.v.m.), die sich auf einen Sicherheitsstandard geeinigt haben. Um diesen nutzen zu können, besorgen Sie sich einen USB-Dongle, der dies unterstützt; beispielsweise den Security Key von Plug-up International, der für 6 Euro bei Amazon erhältlich ist. Wenn Sie sich anmelden wollen, geben Sie zunächst Ihre Zugangsdaten ein, schieben den USB-Stick ein, drücken den Knopf auf dem Stick und schon sind Sie eingeloggt. Alternativ gibt es 2FA auch per sogenannter Authenticator-App. Das Prinzip von 2FA bleibt das gleiche, doch die Umsetzung per App sorgt dafür, dass Sie die Zugangscodes zur Anmeldung selbst durch die App erstellen können, statt diese auf der Website einzuholen (die sich als Phishing-Seite herausstellen könnte). Die wenigsten Dienste bieten diese Möglichkeit aber bisher an, z.B. Google Authenticator. Der Mehrwert an Sicherheit bei 2FA ergibt sich aus der Kombination mehrerer Verfahren. Zwei Faktoren zusammen sind sicherer
82% WIR HABEN DER PASSWÖRTER IN EINER STUNDE GEKNACKT. DAS HEISST, 13.000 MENSCHEN KONNTEN SICH KEIN GUTES PASSWORT ÜBERLEGEN.
JENS STEUBE, ENTWICKLER DER HASHCAT-PASSWORTRETTUNGSSOFTWARE
als nur einer für sich. Stiehlt also jemand Ihre Zugangsdaten, ist nicht sofort das gesamte Online-Konto verloren. Stattdessen haben Sie Zeit, das Passwort zu ersetzen und weitere Maßnahmen zu ergreifen. Versucht sich jemand mit gestohlenen Daten anzumelden, wird Ihnen dieser Anmeldeversuch natürlich auf dem Handy mitgeteilt. Somit wissen Sie frühzeitig, dass sich jemand an dem Konto zu scha en macht und können sogar den Standort des Übeltäters aus ndig machen. Dazu versichern Sie sich bei jedem Dienst, dass Login-Benachrichtigungen per E-Mail aktiviert sind.
Die kleinen Unannehmlichkeiten
Die wenigen Nachteile sind eher bequemlicher Natur: Um ständig Zugri auf Ihre Konten zu besitzen, müssen Sie auch immer das Handy gri bereit und aufgeladen haben. Noch lästiger wird es, wenn man jedes Mal den USB-Dongle oder die Authenticator-App zücken muss. Benutzen Sie einen neuen Computer oder haben einen neuen Browser aufgesetzt, kann es mitunter etwas dauern, bis der „neue Standort“registriert ist und Sie nicht mehr ständig zur Authorisierung aufgefordert werden. Noch lästiger wird es, wenn Sie sich ein neues Handy anscha en und die alte Nummer nicht behalten können. Es emp ehlt sich also, eine Liste mit allen Diensten zu führen, die mit 2FA gesichert sind und diese frühzeitig mit der neuen Handynummer zu aktualisieren. Diese Unannehmlichkeiten sollte Ihnen die enorm gesteigerte Sicherheit Ihrer Konten aber mehr als Wert sein.
Was tun, wenn das eigene Handy verloren geht?
Das wahrscheinlich am meisten verbreitete Bedenken zur 2FA ist die Frage nach Diebstahl oder Verlust des Handys bzw. des Authenti zierungsgeräts. Dieser Fall wird selten problematisch, da Sie sich normalerweise bereits auf mindestens einem vertrauten Browser mit einem festen Standort (bei Ihnen zu Hause) veri ziert haben. Von dort aus sollten Sie problemlos die verlorene Handynummer löschen und eine neue hinzufügen können. Ist dies aus irgendwelchen Gründen aber nicht möglich, haben Sie üblicherweise zwei Möglichkeiten: 1. Viele Dienste bieten einmalige BackupCodes an, die Sie anfordern und sicher aufbewahren, um sich im Notfall damit anmelden zu können. Diese Codes bleiben so lange aktiv, bis sie zum Einsatz kommen und sind unabhängig vom Handy verwendbar. Sie erhalten zudem eine Benachrichtigung, wenn einer dieser Codes verwendet werden sollte. Bei Google fordern Sie diese Codes beispielsweise an, indem Sie auf Mein Konto – Anmeldung bei Google – Bestätigung in zwei Schritten klicken. Von dort aus können Sie unter dem Abschnitt Ersatzcodes diese abrufen und in einer Textdatei speichern oder ausdrucken. Diese Funktionalität bietet noch nicht jeder Dienst, machen Sie sich also schlau, ob dies für Sie infrage kommt. Unter dem Stichwort Ersatzcodes oder Backup codes und Ihrem gewünschten Dienst sollten Sie in Suchmaschinen aber fündig werden. 2. Die zweite Möglichkeit, sich doppelt abzusichern, funktioniert in Form einer redundanten Handynummer. Haben Sie ein Zweithandy zur Verfügung, das SMS empfangen kann, können Sie dies als Backup zur Verwendung bei Verlust oder Diebstahl des Ersthandys eintragen.
In unserem Beispiel Google navigieren Sie wieder zu Bestätigung in zwei Schritten und klicken dort einfach im Bereich Ersatznummern auf Telefonnummer hinzufügen. Das zweite Handy bewahren Sie dann einfach zu Hause auf und verwenden es als e ektives Authenti zierungsgerät.
Virtuelle Handynummer
Doch nicht immer möchte man seine private Handynummer für solche Zwecke benutzen, besonders wenn man dem Anbieter nicht unbedingt traut. Ringring bietet stattdessen eine „virtuelle“Telefonnummer, mit der Sie Kurznachrichten kostenlos per Website empfangen können. Dazu registrieren Sie sich mit Ihrer E-MailAdresse auf www.ringring.net. Dort wird Ihnen eine neue, zufällige Telefonnummer mit der Vorwahl Berlin oder Wien zugeteilt. Diese können Sie dann zur Absicherung Ihrer Konten wie beschrieben verwenden. Stellen Sie aber sicher, dass Sie in den PrivatsphäreEinstellungen Ihr Pro l aus Suchergebnissen grundsätzlich ausschließen. mm