Es ist wohl etwas, an das wir uns gewöhnen müssen – Findige Menschen mit genügend krimineller Energie durchsuchen das Internet nach Sicherheitslücken. Software wird von Menschen geschrieben und Menschen machen Fehler. Fast täglich kann man irgendwo lesen, dass wieder eine kritische Sicherheitslücke gefunden oder geschlossen wurde. Das betrifft Betriebssysteme genauso wie Programme, die auf den großen Servern laufen, damit wir Dienste wie eBay, amazon, flickr, facebook oder einfache Foren zum Gedankenaustausch nutzen können.
Kleines Beispiel gefällig?
Brandaktuell wurde eine sehr kritische Lücke in der OpenSSL Bibliothek gefunden. Für den Laien schwer verständlich. In einfachen Worten: Wenn Ihr Euch bei irgendeinem Internet-Dienst anmeldet (z.B. flickr.com), können Eure Anmeldedaten ausgespäht und zweckentfremdet werden. So kritisch das ist – und ich möchte das nicht herunter spielen – muss man dazu sagen, dass diese Lücke wohl seit 2011 besteht. Über massenhaften Missbrauch solcher Daten/Konten ist mir nichts bekannt, ich lese aber auch nicht alles – vielleicht ist Euch da mehr bekannt.
Identitäten gefunden
Aber zurück zum vorherigen extremen Fall. Das BSI hat erneut eine Meldung heraus gegeben: 18 Millionen Identitäten seien gefunden wurden. Mit Identität sei gemeint, soweit ich das herausfinden konnte, dass eine E-Mail-Adresse mit dazugehörigem Passwort gefunden wurden. 3 Millionen deutsche E-Mail-Konten sollen darunter sein.
Ob diese Daten im Zusammenhang mit der oben genannten OpenSSL-Lücke stehen? Ich weiß es nicht.
Das BSI hat die größeren E-Mail-Provider informiert so dass diese wiederum die betroffenen Kunden informieren können.
Einer dieser betroffenen Kunden ist mein Vater.
Unklar und Inkonsequent
Da mein Vater nun überhaupt keine Ahnung von solchen technischen Dingen hat, rief er mich an und fragte, was er denn nun tun solle. Naja, genau das, was in der E-Mail von Kabel-Deutschland steht, nämlich das Passwort ändern.
Aber Halt mal, einen Schritt zurück. Nochmal langsam zum mitdenken. Das BSI Informiert u.a. Kabel-Deutschland, dass eine Liste von E-Mail-Adressen mit dazugehörigen Passwörtern ausgespäht wurden.
Frage Nummer 1: E-Mail-Adresse + Passwort benutzt man an sehr vielen Stellen im Internet. Das BSI informiert nicht, wo es die Daten gefunden hat und auch nicht woher diese Daten stammen. Ist denn tatsächlich das eigentliche E-Mail-Konto beim Provider gemeint? Oder ist es das eBay-Konto? Oder das Konto von einem Online-Forum? Ich weiß es nicht.
Frage Nummer 2: Kabel-Deutschland geht nun offenbar davon aus, dass die Daten vom E-Mail-Konto gemeint sind denn genau dieses Passwort soll man jetzt ändern, schreiben sie. Sie schreiben aber im selben Text, dass die Server von Kabel-Deutschland nicht betroffen sind. Schön, die Daten wurden also nicht direkt von deren Servern entwendet. Sie gehen also davon aus, dass die Daten vom Rechner des Betroffenen ausgespäht wurden, z. B. mithilfe einer Schadsoftware. Nehmen wir also an, das würde stimmen: Warum werden die Betroffenen dann per E-Mail über eben dieses betroffene Konto informiert? Ist das nicht sehr unsicher? Wenn ein Angreifer meine Mail-Konto-Daten hat, so kann er das Passwort schon geändert haben oder solche Mails abfangen/löschen. Und wenn die betroffenen die Mail erhalten aber technisch nicht in der Lage sind die Schadsoftware zu entfernen oder überhaupt zu finden, dann wird ein neues Passwort, und sei es noch so lang, nicht helfen, da es wieder ausgespäht wird.
Im Fall meines Vaters handelt es sich um einen sehr alten Mac auf PowerPC-Basis – entwickelt dafür überhaupt jemand Schadsoftware? Mir ist bisher keine Bekannt. Das neuere Gerät ist ein MacBook und läuft, wenn ich mich recht erinnere, mit OS-X 10.8. Java ist meines Wissens nicht installiert, bei Flash bin ich gerade nicht sicher. Ich weiß es nicht aber ich halte es zumindest für unwahrscheinlich, dass die Daten direkt vom Rechner stammen.
Was tun?
Da man nichts genaues weiß, kann die Lösung eigentlich nur sein: Ändert alle Passwörter. Überall, wo Ihr Euch mit der betroffenen E-Mail-Adresse registriert habt, solltet Ihr die Passwörter ändern.
Bitte nehmt für jedes Konto ein anderes Passwort! Ansonsten hat ein Angreifer leichtes Spiel. Hat er mal ein Passwort, kann er einfach mal bei allen gängigen Anbietern ein Login versuchen. Macht es diesen Leuten nicht so leicht und verwendet individuelle Passwörter.
Übrigens: Ein einfaches aber langes Passwort ist besser als ein kurzes aber kryptisches. Beispiel: “z(%l0p” ist ein schlechteres Passwort als “Sommerspaziergang Weide gelber Pulli” – und das längere könnt Ihr Euch sogar besser merken. Längere Passwörter sind sicherer gegen Brute-Force und Wörterbuch-Angriffe, weil einfach viel mehr Kombinationen probiert werden müssen. Mehrere Wörter sind dabei wichtig, damit eben kein einzelnes Wort aus dem Wörterbuch sofort passt.
Individuelle E-Mail-Adressen
Das habe ich vor einiger Zeit mal angefangen und ich überlege ernsthaft, es für die alten Konten nachträglich zu ändern.
Ich bin aus verschiedenen Gründen nicht dafür, die Mail-Adressen der großen Anbieter wie T-online oder Kabel-Deutschland zu verwenden. Oft bekommt man dort nur eine oder eine Hand voll Adressen und nicht immer kann man sich Aliase/Weiterleitungen selber anlegen.
Viel schöner ist es, wenn man eine Mail-Adresse auf seinen Namen hat – Also nicht Max.Muster@t-online.de sondern z. B. privat@max.muster.de. Um das zu erreichen kann man sich bei diversen Anbietern eine eigene URL bestellen für ein paar Euro im Jahr und kann sich dann E-Mail-Konten und Weiterleitungen anlegen bis der Arzt kommt.
Interessant sind die Weiterleitungen! Damit kann ich mir sehr viele E-Mail-Adressen anlegen, die alle im selben E-Mail-Konto ankommen. Ich habe also keinen Mehraufwand beim prüfen und lesen meiner E-Mails.
Wenn man nun für jedes Online-Konto, also eBay, amazon, flickr, facebook, twitter, etc. pp. eine solche E-Mail-Adresse anlegt und jede Adresse für genau einen Anbieter verwendet, dann hat das gleich zwei schöne Nebeneffekte:
- Zum einen sehe ich, wenn ich unerwünschte Werbung erhalte, wer meine Mail-Adresse weitergegeben hat.
- Zum anderen würde ich in so einem aktuellen Fall von Identitätsdiebstahl genau wissen, welches Konto nun eigentlich betroffen ist!
Ich weiß, Nutzer wie mein Vater, die schon Schwierigkeiten haben sich den Unterschied zwischen “Jemand hat Zugang zu meinem Rechner” und “Ich habe ein E-Mail-Konto” vorzustellen, werden den Aufwand mit mehreren Mail-Adressen scheuen oder es gar nicht wirklich verstehen.
Ich empfehle es dennoch ab sofort jedem. Nutzt für jeden Dienst nicht nur ein individuelles Passwort sondern auch eine individuelle E-Mail-Adresse. Dann wisst Ihr im Falle eines Falles einfach ein bisschen mehr als die anderen.
Die Mähr, dass zusammengesetzte, lange Passwörter aus vielen Einzelworten sicherer sind als kryptische Passwörter, hält sich schon länger. Sie sind es seit einigen Jahre nicht mehr, respektive sie sind nur vergleichbar sicher:
Alle gängigen Wörterbuch-Attacken erlauben mittlerweile das Zusammensetzten von Worten, man muss nur angeben, wie viele Worte man kombinieren will. Bei einem Wörterbuch von 10.000 Worten und 4 Positionen ergeben sich somit 10.000.000.000.000.000 (10^16) zu testende Worte.
Bei einem kryptischen Passwort aus 8 Zeichen mit einer Auswahl von ca. 100 Zeichen (=auf der Tastatur direkt zugängliche Zeichen) sind es 10.000.000.000.000.000 (10^16) zu testende Varianten.
Hinzu kommt, dass es nach wie vor Systeme gibt, die nicht beliebig lange Passworte zulassen – häufig gibt es die Beschränkung auf 16 oder 32 Zeichen.
Mein Tipp ist daher:
– gibt es eine Beschränkung auf MP9f>250/^adA8bA63!
– gibt es keine Längenbeschränkung: 4 Worte + ein paar Sonderzeichen einstreuen. Und wenn es eine 3 für ein E ist oder einen –> Pfeil…
Die Klassiker (3 statt E, 1 statt i, etc.) helfen lt. meinen Informationen nicht mehr wirklich, da alle Wörterbuch-Attacken diese Ersetzungen bereits berücksichtigen.
Es ist am Ende wohl wirklich die Länge des Passwortes entscheidend, denn: Der Angreifer weiß ja nicht wie viele Wörter Du benutzt, mit welchem Trennzeichen sie getrennt sind, in welcher Reihenfolge sie stehen etc.
Komplett LANGER kryptischer Zeichensalat ist eben nur wieder sinnvoll in Verbindung mit einem Tool wie 1Password denn seien wir mal ehrlich: 20 Zeichen Kryptosalat kann sich niemand von uns merken und man möchte es nicht jedesmal von einem Zettel abschreiben müssen :)
Der VP hat aber recht. Das mit den 44 Bit ist eine Milchmädchenrechnung.
Substitution wie bei Leet ist auch Quatsch.
Ich benutze mittlerweile für jeden neuen Dienst eine eigene E-Mailadresse und die Dinger kriegen Schlüsselbund-generierte Passwörter.
Die Dienstnamen sind allerdings ratbar, da muss ich auch noch mal was machen.
“Um das zu erreichen kann man sich bei diversen Anbietern eine eigene URL bestellen für ein paar Euro im Jahr und kann sich dann E-Mail-Konten und Weiterleitungen anlegen bis der Arzt kommt.”
–> Gibt es dazu eine Anleitung für Halbwissende. Ich ixquicke und google mich gerade dusselig.
Danke
geht bei diversen Web-Space-Anbietern. Ich selbst kann http://all-inkl.com/ empfehlen.
Hi Boris… bin verwirrt. Mein kryptisches Passwort MP9f>250/^adA8bA63! hatte ich erklärt – dazu gibt es einen Merksatz:
Mein Porsche 928 fährt über 250 km/h Spite auf der A 8 bei Ausfahrt 63!
Anscheinend hab ich den Teil aus versehen gelöscht. Ich denke jedenfalls, schwachsinnige Merksätze helfen schon, sich kryptischen Kram zu merken.
LOL – Sehr gute Idee :)
Noch mal ein kleiner Nachtrag zu dem xkcd.
Also Grundlade mal in http://www.duden.de/sprachwissen/sprachratgeber/zum-umfang-des-deutschen-wortschatzes reinschauen, was da drinsteht, deckt sich mit anderen Quellen.
Wenn man wirklich random aus dem maximal angenommen aktiven Wortschatz schöpft, schöpft man dabei aus 2^55 Möglichkeiten, was natürlich gegenüber 2^28 eine erhebliche Verbesserung an.
Aber Menschen sind notorisch schlecht darin, sich etwas zufällig auszusuchen. Der tatsächliche Raum wird viel, viel geringer sein. Alltagswortschatz liegt bei 400 bis 800 Wörtern, das wären dann sogar nur 2^38. Schon wieder ein gutes Stück näher an den 2^28.
Und für jeden Dienst einen Satz zu merken ist auch nicht mehr so praktikabel.
Ne, bei längeren Nachdenken: Ich stelle jetzt in den nächsten Tagen alles auf Passwortmanager um und gut ist’s. Außer für Dienste, wo es völlig egal ist, wenn mir die jemand übernimmt. Alles, was keine E-Mail oder keine Zahldienste referenziert, ist letztlich unwichtig.
Passwort-Manager ist eigentlich schon ein Muss, wenn man bei mehr als 3 Diensten angemeldet ist und wirklich sichere Passwörter benutzen möchte. Es gibt natürlich immer Ausnahmen, also Menschen, die sich auch lange Sätze und kryptisches Zeug super merken können – siehe Jan’s Beispiel mit den Merksätzen… aber auch die Sätze muss man sich natürlich merken :)
Für Passwörter nach der Idee von xkcd gibt’s übrigens einen Generator von Bart Busschots: https://www.xkpasswd.net
Finde ich ganz praktisch.