News aus der IT-Sicherheit zum „Change Your Password Day“

Am 1. Februar wird er zelebriert – der internationale „Ändere Dein Passwort Tag“! Diesen Anlass wollen auch wir nutzen, um auf die Wichtigkeit von sicheren Passwörtern hinzuweisen.

Warum sichere Passwörter wichtig sind

Was beim Einsatz von zu einfachen oder trivialen Passwörtern passieren kann, haben wir zuletzt Anfang des Jahres gesehen. Angreifer veröffentlichten persönliche Daten und Dokumente von Personen aus der Politik, von Journalistinnen und Journalisten und Prominenten im Internet.

Was passiert beim Passwortdiebstahl?

Ändere Dein Passwort Day

Ändere Dein Passwort Day

Stark vereinfacht lässt sich sagen, dass Nutzername und Passwort in der Regel nicht von jedem oder jeder Einzelnen direkt gestohlen werden, sondern über Webseiten und Foren, bei denen man registriert ist. Die Passwörter sind – bei einer guten Webseite – allerdings verschlüsselt. Durch spezielle Software wird versucht, die Passwörter zu knacken. Dies ist im Grunde Trial and Error – nur extrem schnell durch hohe Rechnerleistung. Sind Kennung und Passwort einmal bekannt, wird die Kombination auch bei anderen Webseiten ausprobiert.

Warum sollte jemand mein Passwort stehlen wollen?

Warum überhaupt jemand Passwörter stehlen will, kann mehrere Gründe haben. Zunächst gilt es als eine Art Reputation unter kriminellen Hackern, bestimmte Webseiten entsprechend erfolgreich angegriffen zu haben. Verifizierte E-Mail-Adressen werden für Spam-Mails genutzt. Große Mengen von Passwörtern werden dazu auf entsprechenden Plattformen verkauft. Mittlerweile kursieren im Internet Datensätze mit 2,2 Milliarden gestohlenen Zugangsdaten!

Persönliches Ausspähen und die Übernahme von Accounts ist im Grunde der letzte mögliche Schritt. Dies gelingt zum Beispiel dadurch, dass sowohl der Login bei einer Webseite als auch der des E-Mail-Accounts bekannt sind. Dadurch kann ein neues Passwort vergeben werden und die entsprechende Bestätigungs-E-Mail wird sofort abgefangen. So können Kriminelle zum Beispiel auch Social Media Accounts übernehmen. Hier liegt die besondere Gefahr Kennung und Passwort auf mehreren Seiten zu verwenden.

Bin ich betroffen?

Man fragt sich, ob man selbst bereits Opfer eines Datendiebstahls geworden ist. Inzwischen gibt es verschiedene Webseiten, um dies zu überprüfen. Zu empfehlen ist hierbei etwa der „Identity Leak Checker“ des Hasso-Plattner-Instituts (HPI) aus Potsdam. Über diesen Dienst lässt sich durch die Eingabe einer E-Mail-Adresse kostenlos herausfinden, ob persönliche Identitätsinformationen möglicherweise in falsche Hände geraten sind oder frei im Internet kursieren. Sollte sich diese Situation bestätigen, sollte man dringend das zur Zeit genutzte Passwort ändern – unabhängig davon ob gerade „Change Your Password Day“ ist oder nicht 🙂

Wer mehr über die Hintergründe des „Change Your Password Day“ erfahren möchte, dem sei der Beitrag des Bayerischen Rundfunks empfohlen.

Wie man sich schützen kann

Ändere Dein Passwort Day

Ändere Dein Passwort Day

Wer seine Passwörter sicherer gestalten möchte, ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) an der richtigen Adresse. Über das Portal „BSI für Bürger“ werden zahlreiche Informationen rund um das Thema IT-Sicherheit gegeben sowie auch Tipps für das Erstellen von Passwörtern und den Umgang mit diesen.

Natürlich gibt es auch bei diesen Hinweisen keinen 100%-Schutz, wer sich aber an die folgenden Punkte hält, liegt schon mal nicht verkehrt:

  • Passwörter sollten mindestens eine Länge von 8 Zeichen aufweisen.
  • Sie sollten aus einer Kombination aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern bestehen.
  • Passwörter sollten keine Merkmale des Benutzers, vollständige Wörter oder Begriffe aus dem Lexikon enthalten.

Im Umgang mit Passwörtern ist es zudem immens wichtig, das gleiche Passwort keinesfalls für den Zugang zu mehreren Accounts beziehungsweise Online-Diensten einzusetzen. Und nebenbei sollte man sich das gewählte Passwort nun auch noch gut merken können – ziemlich viele Anforderungen also, die ein sicheres Passwort erfüllen muss.

Hat man es schließlich gefunden, bewahrt man es am besten auch sicher auf. Das Mittel der Wahl ist ein sogenannter Passwort Manager. Das ist eine Software, in der man alle seine Passwörter verschlüsselt ablegen kann und sich daher nur eines merken muss, um auf alle zugreifen zu können. Mittlerweile existieren hierfür auch spezielle Online-Dienste, wir empfehlen an dieser Stelle aber lieber die Offline-Variante, z. B. den Open Source Passwort Manager „KeePass„.

Natürlich haben die wenigsten Hacker die Absicht, andere zu bestehlen oder zu schaden. Zum Beispiel treffen sich viele von ihnen zum Open Data Hackathon am 2. März, um aus offenen Daten Lösungen zu entwickeln, die der Allgemeinheit zu Gute kommen.

Ein Beitrag unter Mitwirkung des IT-Sicherheitsmanagements der Stadt München

Team E- und Open-Government der Landeshauptstadt München

Schreibe einen Kommentar