Nachdem wir im Themenkreis “der Mensch und das Internet – nicht immer eine Liebesbeziehung” kürzlich das Thema “die Psychologie des Kettenmail-Weiterleitens” behandelt haben, kommen wir zu einer weiteren Glatteis-Strecke auf den grossen, weiten Datenstrassen dieser Welt.
Wenn ich Kunden bei Problemlösungen helfe, muss ich manchmal auch nach einem Passwort fragen. Was da so zum Vorschein kommt, ist schockierend – das Facebookpasswort eines Verwandten lautete beispielsweise bis vor kurzem 123456. Auch beliebt sind abc123, qwertz, Namen mit Jahrgang, Kosenamen oder normale Wörter in Kleinbuchstaben.
Wer solche Passwörter verwendet, schadet nicht nur sich selbst, sondern auch seinen Freundinnen und Freunden.
Weil nicht alle Internetprofis sein können, sei hier gesagt: Solche Dinge sind grobfahrlässig und vergleichbar mit “während der Ferien zur Strasse hin sichtbare Wohnungstüre weit offen lassen, wobei auch gleich die Hausschlüssel der Nachbarn sauber beschriftet zuvorderst hängen”.
Aber wieso? – Nach diesem Beitrag ist hoffentlich allen klar, dass ein gutes Passwort 6-?a4+Fy!8Hns&d oder ähnlich lauten sollte. Egal, ob fürs Mail, den Blog, den Rechner, das e-Banking.
_______________
Mir fiel im Internetjahr 2012 die vergleichsweise hohe Anzahl gehackter Twitter- und Mailaccounts auf. In meinem Bekanntenkreis erwischte es einige – die Folge waren Mails und Tweets mit Links zu präparierten Websites (wo man sich in der Regel einen Schädling einfängt, der wiederum Passwörter stiehlt):
Eine kleine Umfrage bei den Betroffenen ergab teils Überraschendes:
– Nur zwei Personen waren sich bewusst, dass eine schlechte Passwortwahl auch Freundinnen und Bekannte gefährdet.
– Die meisten Passwörter bestanden aus in Wörterbüchern abrufbaren Namen zusammen mit Zahlen. Das ist besser als nur Buchstaben, aber immer noch weit weg von einem sicheren Passwort.
– Die meisten gaben an, sich schon bewusst zu sein, dass das Passwort nicht ganz OK sei. Jemand schrieb explizit, was sich mutmasslich die meisten dachten: “Halbwegs sicher/unsicher zumindest. Und definitiv zu faul, es zu ändern.”
– Jemand gab zu: “Ich weiss, wie was Passwort gehackt wurde: Gedankenlos eine angebliche Twitter Direct Message eines guten Freundes geöffnet.”
– Auch ein gewisser Verdruss ist spürbar – viele gaben an, sich darüber zu ärgern, dass man sich aus Sicherheitsgründen schier unmerkbare Passwörter zulegen muss oder dass Systeme einen zwingen, immer neue Passwörter zu wählen.
– Immerhin jemand gab an, nach dem Account-Hack sensibilisierter auf das Thema zu sein und alle Passwörter abgesichert zu haben.
– Eine Person hatte extra ein supersicheres Passwort und wurde dennoch Opfer des Twitterwurms.
– Auffällig: Viele benützen Passwörter, die man erraten kann, wenn man die Person kennt (z.B. Jahrgang, Haustiername, Strassenname).
Und wie halten Sie es mit den Kennwörtern?
Testen Sie Ihr Passwort doch einmal auf howsecureismypassword.net – natürlich vorsichtshalber nicht Ihr richtiges, aber eines mit einem ähnlichen Muster. Wenn also Ihr Passwort barbara1978 lautet, geben Sie heinrich1972 ein. Sie werden als Antwort die Zeitdauer bekommen, in der ein heutiger Rechner Ihr Konto geknackt hätte. Merke: Alles, was unter einer Milliarde Jahre liegt, ist nicht akzeptabel, denn Cybermriminelle verwenden stets ganze Rechnerfarmen.
Natürlich sind heute viele Server gut abgesichert gegen so genannte Brute Force Attacks (“so lange versuchen, bis man’s hat”). Aber darauf wollen wir uns nicht verlassen.
Schützen Sie sich und andere und wechseln Sie jetzt gleich Ihr Passwort.
Aber nicht nur das!
Als kleines Weihnachtsgeschenk sei allen in Erinnerung gerufen:
– Eine schlechte Passwortwahl gefährdet nicht nur Sie selbst, sondern auch Ihren Bekanntenkreis. Wenn einmal ein Hackerteam oder schlicht ein automatisiertes Programm Zugriff auf Ihr Mailkonto hat, werden sofort Links zu verseuchten Seiten an alle in Ihrem Adressbuch versendet, oftmals sogar an sämtliche Adressen, die auf dem Rechner auffindbar sind. Mailserver-Filter und Antivirenprogramme erkennen solche Schädlinge am Anfang oft nicht. In diesem NZZ-Artikel ist wunderbar beschrieben, was Ihnen mit einem gekaperten Mailkonto passieren kann.
– Wenn auch nur eine Person in Ihrem Adressbuch (die Klicks müssen nicht mal absichtlich sein – jeder hat sich schon mal verklickt) den Link anwählt, passiert nochmals das gleiche. So verbreitet sich ein Virus exponentiell.
– Viele Hacker versuchen zuerst mal vorgefertigte Listen einfacher Passwörter durch. Da das Muster “Vorname und Zahl” oft verwendet wird, ist ein so schlecht abgesichertes Konto rasch geknackt.
– Keine Lust auf eine komplette Passwortänderung? Sichern Sie Ihr Passwort am besten jetzt gleich ab. Keine Sorge: Meist genügt es schon, den ersten Buchstaben gross zu schreiben, vor einer Zahl ein Sonderzeichen (z.B. ein Komma) einzufügen und zuhinterst zwei, drei Sonderzeichen (z.B. $!=) anzufügen. Aus heinrich1972 (37 Jahre gemäss howsecureismypassword.net) wird also Heinrich:1972!(% (412 Trillionen Jahre).
– Sie wollen Passwörter ohne Zahlen, Grossbuchstaben und Sonderzeichen? Vergessen Sie es – das war in den 1990ern! Wenn Sie das wirklich wollen, halten Sie sich ab sofort vom Internet fern.
– “Gute Passwörter kann ich mir nicht merken!” ist eine weit verbreitete Ausrede. Machen Sie sich einfach einen Merksatz wie “Mein Göttimeitschi wurde am 25.6. geboren, und zwar im Jahre 1999!” – daraus wird das sichere Kennwort MGwa256g,uziJ1999! Es dauert laut howsecureismypassword.net 3 Quintillionen Jahre, es zu knacken.
– Wenn Sie einmal gehackt wurden, ändern Sie radikal ALL Ihre Kennwörter. Ich wiederhole: ALLE.
– Verwenden Sie verschiedene Passwörter für verschiedene Dienste. Natürlich schreiben Sie Ihr Passwort nirgends auf, schon gar nicht in eine “versteckte” Datei auf Ihrem Rechner. Als Minimalschutz ist empfohlen, die ersten Buchstaben des Dienstes an Ihr Grundpasswort zu hängen. Ins Mail kommen Sie also mit Heinrich:1972!(%MAIL, ins Googlekonto mit Heinrich:1972!(%GOO undsoweiter. Sicherheitsspezialisten mögen mich verdammen für diesen Tipp, aber es ist besser als gar nichts.
– Das beste Passwort bringt nichts, wenn Sie keinen mehrmals täglich aktualisierten Virenschutz besitzen. Leider reicht das aber nicht. Sie brauchen zudem eine Firewall, die auch ausgehende Verbindungen blockt. Wenn Sie einen Trojaner eingefangen haben, den das Virenprogramm noch nicht kennt, der “nach Hause telefonieren” will (und vermutlich vertrauliche Daten ausliefern), unterbindet dieses Tool womöglich die Übermittlung. Wissen Sie nicht, wie das geht? Lassen Sie sich spätestens bis Mitte Januar von einem Profi beraten. (Viele bekannte Sicherheitssuiten bieten solche Funktionen standardmässig an.)
– Schalten Sie beim Mailen und Surfen den Kopf noch mehr ein als sonst und klicken Sie nicht gedankenlos drauflos, z.B. auf die oben abgebildeten Twitter-Links. Reagieren Sie nie auf Phishingversuche (niemand wird Sie je auffordern, irgendwo ihr Passwort einzugeben, um irgend was zu prüfen). Kein Scherz – kürzlich leitete mir eine befreundete, erfolgreiche, intelligente Geschäftsfrau ein klassisches Phishing-Mail weiter und fragte ernsthaft, ob sie da wirklich ihr eBanking-Passwort eingeben müsse. Im Jahre 2012! Echt, kein Witz! Seufz und Augenbrauenhochzieh.
Ich wünsche mir zu Weihnachten, dass der schon vor fünf Jahren herbeigesehnte Netzführerschein endlich kommt. Oder einen Effort der Netzgemeinde: Unsichere Passwörter sollen schlicht nicht mehr gewählt werden können, und alle müssen es mindestens halbjährlich ändern. (Man könnte Passwörter wie markus1973 auch schlicht unter Strafe stellen von mir aus.)
Sie sind immer noch nicht überzeugt?
Zwei unschöne Weihnachtsgeschichten, die sich kürzlich zugetragen haben:
1) Die Website eines Tanzstudios mit dem System “Wordpress” (mit dem auch JacoBlök und viele andere Seiten laufen) war veraltet und wurde darum wie fast jedes ungepflegte WordPress gehackt. Alle, die die Seite besucht hatten, fingen sich einen Trojaner ein, der Passwörter an einen mutmasslich ukrainischen Hacker weiterleitete und damit viele böse Dinge anstellte. Die meisten Mitglieder des Studios mussten ihre Rechner in stundenlanger Arbeit vom Wurm befreien und waren teils Tage mit der Beseitigung von Folgeschäden beschäftigt. Dass sich das Tanzstudio nicht auch noch mit Klagen herumschlagen musste, ist ein Wunder – ich wäre gespannt, ob ein versierter Richter entscheiden würde, dass ein nicht aktualisiertes, offen abrufbares WordPress grobfahrlässiges Verhalten sei.
2) Die Website eines kleinen Unternehmens wurde (offenbar von einem netten Konkurrenten) ein wenig umgestaltet: Da das Unternehmen ein schlechtes und lange nicht geändertes Passwort hatte, konnte ein bislang Unbekannter in die Hosting- und Websiteverwaltung eindringen, sämtliche Mails auf sich umleiten und als Autoreply aller Mailkonti “Leck mich am Arsch” setzen. Er löschte die gesamte Website und publizierte stattdessen ausgewählte Mails des Kunden.
Noch ein paar Tipps abseits von Passwörtern
Auch wenn das nicht direkt mit der Thematik zu tun hat, sei auch dies nochmals erwähnt, da kürzlich einer Kollegin das Notebook vom Pult weg geklaut wurde: Versehen Sie Ihren Computer mit einem BIOS-Passwort. Ja, natürlich kann man das knacken, aber wenigstens vergrämen Sie damit die dümmsten Diebe schon mal und gewinnen Zeit, Ihre Passwörter anzupassen. Ziehen Sie zudem jede Woche (!) ein Komplettbackup, wenn Sie keine Sicherungen auf einem NAS haben oder andere Backupformen gebrauchen. Verschlüsseln Sie sensible Daten z.B. mit TrueCrypt.
Sicherheit im Netz sollte alltäglich werden
Sie fahren Ski mit Helm und Rückenpanzer? Sie tragen einen Velohelm? Sie lassen regelmässig die Bremsen ihres Autos prüfen? Sie halten das Tempolimit ein, um keine Kinder oder Katzen zu überfahren? Sie bringen ihren Kindern bei, was gefährlich ist im Alltag? Gut! – Nur… wieso wehren Sie sich denn mutmasslich gegen gute Passwörter?
Es geht in genau ums Gleiche: Schutz von sich selbst und anderen vor viel Ärger.
Epilog
Nachdenklich stimmen mich Reaktionen meiner eigenen Kundinnen und Kunden, die zwar selten vorkommen, aber doch zeigen, wie naiv sich einige Leute im Netz bewegen: Personen, die sich bevormundet fühlen und ärgern, wenn man ihnen standardmässig sichere Passwörter aufzwingt. Leute, die sich über eine Rechnungsbeilage mit guten Tipps rund um Sicherheit im Netz nerven können. Menschen, die denken, ihr CMS brauche sicher keine regelmässigen Updates, weil irgend ein Amateur-Entwickler das behauptet habe.
Leider sind das meistens die ersten, die klönen, weil ihr CMS oder Mailkonto gehackt wurde.
Paart sich Unwissenheit mit Beratungsresistenz, wird’s meistens hoffnungslos – ich werde dazu übergehen, solchen Kunden schlicht zu künden. Sollen sie doch anderen Providern auf den Keks gehen.
Huch, da werde ich mal über die Bücher bzw. Passwörter gehen müssen und deren Halbwertszeit verlängern.
Danke für die Tipps! Obschon “man” es ja eigentlich wüsste….
Schöni Wiehnacht
Bea
Würde mich noch wunder nehmen, was deine Meinung zu Keepass ist.
Meine Passwörter sind auch so lang und kompliziert, dass ich sie mir nicht merken kann, aber keepass kann das ohne Probleme.
@Raphael: Kann man machen. Ich habe das aber nicht empfohlen, da ich das Problem hier sehe: “One master password decrypts the complete database.” Auf diese Weise kann sehr viel schaden auf einmal angerichtet werden, wenn ein Hacker Zugriff auf den Rechner hat, auf dem so eine Software läuft.
Ich halte alles, was irgendwo elektronisch notiert ist, für potentiell gefährlich. Da ist mir sogar der Zettel neben dem Rechner noch lieber, solange nur die ersten zwei Buchstaben des Passwortes neben dem betreffenden Dienst stehen. Damit kann in der Regel kein Hacker oder Einbrecher was anfangen, solange er den User nicht mit einer Waffe bedroht und die vollständigen Kennwörter will.
Zudem überfordert jegliche Zusatzsoftware die Anwender erfahrungsgemäss oft.
Darum: Nein, lieber nicht! Der einzig Vernünftige Ort für Passwörter ist das Gedächtnis des Users.
Wer aber ein extrem schlechtes Gedächtnis hat, kann sich von mir aus gern solche Programme zulegen, solange er sicher ist, dass sein Rechner sauber ist.
es gibt wirklich viel Halbwissen bezüglich Passwörtern…
http://xkcd.com/936/
Um eine höhere Sicherheit zu erreichen, wird in der IT-Technik heute zu einem Passwort ein kryptologischer Hash gebildet, und nur dieser wird auf der prüfenden Seite gespeichert. Das Klartextpasswort ist idealerweise allein im Kopf einer einzigen Person gespeichert. Wird nun das Passwort verwendet, um einen Einlass in das System zu bekommen, wird zu dem eingegebenen Passwort wieder der Hash berechnet. Der Zugriff kann gewährt werden, wenn dieser Hash mit dem abgespeicherten Hash übereinstimmt. Der kryptologische Hash wird nach einem definierten Verfahren so gebildet, dass aus der Kenntnis des Hashes das Passwort nicht zurückberechnet werden kann. Trotzdem bieten sich hier Möglichkeiten eines Angriffes. Wurde der Hash z.B. durch einen Hackerangriff erbeutet, so lässt sich durch systematisches Probieren (die sogenannte Brute-Force-Methode ) eventuell das richtige Passwort finden.