Adobe passt auf Passwörter nicht auf – Lehren für persönliche Passwort Verwaltung

Cloud_GaunerBei Adobe wurden Kundendaten von 38 Millionen Kunden  kopiert. Das sind ja nur 9 Gigabyte, die locker auf einen Memory Stick passen. Wie üblich versicherten die Adobe Sicherheitsexperten, dass der Datenklau nicht weiter schlimm sei, da alle Daten ja verschlüsselt seien. Sicherheitshalber sollten aber alle Adobe Kunden ihre Passwörter wechseln. Dazu wird noch empfohlen die Passwörter auch überall dort zu ändern, wo das gleiche Passwort wie bei Adobe verwendet wird.

Der Adobe Datenklau ist aber atypisch. Die Hacker wollten gar kein Geld von Adobe sondern wollten auf die mangelnde Sorgfalt im Umgang mit persönlichen Daten hinweisen. So langsam wird man auch in USA etwas sensibler.

Beim Adobe Hack wurden die Daten ins Internet gestellt und nun kann nicht nur die NSA die Daten der Kunden einsehen und analysieren. In einem Artikel in der NY Times beschreibt Ammon Bertram wie einfach es ist, die Daten zu analysieren (und eine 10 $ Wette gegen einen Freund zu gewinnen).

Zunächst wurden nur bei Adobe nur die Passwörter mit einem einfachen HASH Verfahren „verschlüsselt“. Bei einem HASH werden die Originaldaten nur ein bischen durcheinander gewirbelt. Selbst Laien kennen die uralte Hash Methode „Um eins nach links“ mit der bei Stanley Kubrick aus IBM der HAL Computer wurde. Das von Adobe benutzte Verfahren ist zwar etwas komplizierter man kann es aber relativ leicht knacken wenn man viele Beispiele hat. 38 Millionen Datensätze sind da mehr als ausreichend. Stand der Technik ist, dass man die Passwörter und Kundendaten mit einem Schlüssel und einem Kryptografischen Verfahren, verschlüsselt.

Alle anderen Kundendaten wie Email Adressen und Anschriften aber auch die üblichen Fragen bei Passwortverlust „Wie hieß ihr erster Hund?“ wurden bei Adobe überhaupt nicht verschlüsselt. Viele Kunden speicherten auch Kommentare über ihre Passwörter ab. Besonders intelligent z.B. gleiches PW wie bei Bank, oder wie bei Facebook. Freundlicher kann man Hacker kaum einladen.

Wer nun erwartet, dass sich der IT Chef von Adobe mit diesem leichtfertigen Umgang mit Benutzerdaten strafbar gemacht hat oder Schadenersatz leisten muss, irrt sich natürlich in USA aber auch in Deutschland. Es wird zwar viel über Datenschutz gesprochen, verantwortlich für gravierende Nachlässigkeit ist speziell bei Behörden aber niemand. Man muss deshalb damit rechnen, dass bei vielen Firmen und Behörden ähnlich nachlässig mit persönlichen Daten unmgegangen wird und sollte selbst zumindest für Schadenbegrenzung sorgen und bei der Verwaltung von Passwörtern planmäßig vorgehen.

Empfehlungen: Teilen Sie Systeme in drei Sicherheitsklassen 1 (hoch) 2 (mittel) und C(niedrig) .

  1. In der Klasse A sind die Passworte für Email, Hardwarepasswort für PC und Smartphone, Passwort (e) für Bankkonten sowie das Passwort für Zugriffe auf das System des Arbeitgebers. Diese Passwörter sollten alle verschieden, nicht trivial sein und die muss man im Kopf haben. Diese Passwörter sollten immen von Hand eingegeben werden – MERKEN nicht verwenden! Besonders wichtig ist das Email Passwort, da man damit fast alle anderen Passwörter verwalten kann. Deshalb braucht man auch einen seriösen Email Service.
  2. In der Klasse B sind alle Passwörter für Systeme, mit denen man direkt oder indirekt Geld ausgeben kann wie z.B. eBay, Paypal usw. Hierzu gehören auch Passwörter für Systeme, die einem persönlich wichtig sind (mein Privat Portal gehört bei mir dazu Facebook  z.B. aber nicht). Diese Passwörter kann man durchaus auf ein Papier schreiben und im Schreibtisch sicher verwahren. Praktischer ist es, diese Daten in einem verschlüsselten Datencontainer (z.B. mit TrueCrypt )   auf der Festplatte oder einem sicheren Server im Web abzulegen. Inzwischen gibt es auch gesicherte USB Memory Sticks (Achtung: die verliert man leicht). Passwörter, die man auf dem Smartphone braucht, kann man in einem verschlüsselten Daten Container ablegen (z.B. The Vault bei iPhone, Password Safe bei Android). Man sollte aber bedenken, dass man Smartphones auch verlieren kann und man für BackUp sorgen muss. Mit MERKEN kann man diese Passwörter auch gesichert im Betriebssystem speichern.
  3. In der Klasse C sind alle Passwörter für Anwendungen, die man eben braucht, weil der Anbieter dies fordert, die einem persönlich aber nicht so wichtig sind. Hier kann man durchaus mit einigen Standard Passwörtern arbeiten, die man mit dem Namen des Systems kombiniert z.B.  grzlybrfaz (FAZ) oder grzlybrspi (Spiegel). Diese Passwörter kann man mit MERKEN auch im Betriebssystem speichern.

Auf dem Markt werden auch Systeme angeboten, die Passwort Tresore über mehrere Geräte synchronisieren. Das ist für mich wenig sinnvoll, da ich nur sehr wenige Systeme (Twitter, Facebook, WordPress, Privat Portal) sowohl auf PC als auch Smartphone nutze.  Die Verwaltung der Passwörter erfolgt bei mir immer auf dem PC.

Man sollte sich aber immer bewußt sein, dass professionelle Hacker in jedes System Code einschleusen können und z.B. Passwörter bei der Eingabe über Keyboard Logger abfangen können. Die meisten Benutzer sind aber für Hacker uninteressant – selbst bei Angela Merkel waren die Telefongespräche interessanter als ihre Emails. Es ist wesentlich interessanter z.B. große Datenbanken, Email Systeme, IT Router usw zu knacken. Bei den meisten Benutzern lohnt sich das Hacken persönlicher Geräte nicht. Hier gilt: „Kein Schwein ruft mich an – keine Sau interessiert sich für mich!“ Nur die Werbung kommt täglich. Da hilft aber nur ein offizielles Webschild „Keine Werbung“ für den Email Briefkasten und den Browser.  Das wird aber wohl Google nie zulassen.

 

2 Antworten zu “Adobe passt auf Passwörter nicht auf – Lehren für persönliche Passwort Verwaltung

  1. Pingback: BSI Email Check – besser mal bei ADOBE Leak Checker nachschauen | PrivatesPortal

  2. Pingback: Adobe passt auf Passwörter nicht auf – Lehren für persönliche Passwort Verwaltung - SharePoint Blogs in German - Bamboo Nation

Kommentare wieder erlaubt

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s