Passwort Diebstahl – komplizierte Passwörter sind sinnlos

Hacker und BeamteRegelmäßig wird über den Diebstahl von digitalen Identitäten (Benutzername + Passwort) berichtet. Den Benutzern wird dann häufig empfohlen möglichst lange und komplizierte Passwörter zu verwenden und Sicherheitsprodukte wie Firewall- und Virenschutzprogramme zu kaufen. Komplizierte Passwörter helfen aber nur gegen Angriffe bei denen versucht wird, das Passwort zu erraten. Das funktioniert aber heute meist nicht mehr, da die meisten Webseiten das Konto sperren, sobald mehrere Fehlversuche festgestellt werden. Komplizierte Passwörter sind natürlich völlig sinnlos, wenn Benutzernamen und Passwörter bei den Serviceanbietern abgegriffen werden.  Leider geben die Anbieter von Email und anderen Diensten nicht an, wie sie die Login Daten und die anderen persönlichen Daten der Kunden schützen, sodass man eigentlich den Firmen nur blind vertrauen kann. Die meisten Firmen speichern die Passwörter der Kunden verschlüsselt ab. Die Systeme sind aber relativ leicht zu knacken und für Hacker sehr lohnend, da man dann Zugriff auf viele Benutzerkonten hat.

Viele Benutzer glauben auch noch, dass teure Firewall- und Virenschutzprogramme besonders guten Schutz bieten. Dies ist aber nur bedingt richtig. Bei Windows ist es für private Benutzer völlig ausreichend die eingebaute Firewall und den Microsoft Virenschutz Microsoft Security Essentials zu verwenden. Alle verfügbaren Virenschutzprogramme haben nämlich Stärken und Schwächen, wie sich bei Vergleichstests zeigt. Die neuesten Virenschutzprogramme der führenden Anbieter bieten zwar besseren Schutz. Da die privaten Benutzer aber häufig mit äteren Programmen arbeiten und nicht jedes Jahr ein neues Virenschutzprogramm kaufen, sind die Vergleiche nur bedingt brauchbar. Wichtig ist, dass auch Email und Anhänge geprüft werden. Verantwortungslos ist es , wenn kommerzielle Anbieter kostenfreie Angebote machen, bei denen dieser Schutz nicht enthalten ist.

Neue Viren, die auch die Tester nicht kennen, entdeckt praktisch kein Virenschutzproramm, weil die professionellen Hacker natürlich testen, ob ihr Virus von den gängigen Schutzprogrammen erkannt wird. Wichtig ist vor allem, dass das Virenschutzprogramm häufig und verlässlich mit Updates versorgt wird. Das funktioniert z.B. bei Microsoft Security Essentials für „Normalverbraucher“ sehr gut.

Ein großes Prolem sind natürlich die Vielzahl der Passwörter die man heute benötigt. Man sollte die Systeme deshalb in vier Klassen einteilen.

  1. Basis: Email Konto (Konten z.B. PC, Smartphone, Privat, Beruf)  und Online Banking
  2. Bezahl- und Bestellkonten: Paypal, Kreditkarten, Amazon
  3. Wichtige Konten:  mit eigenen und fremden persönlichen Daten z.B. Facebook, Schule, Verein, Freunde
  4. Info Konten: alle anderen

Die wichtigsten Konten sind die Email Konten. Hat man das Email Passowrt, kann man fast alle anderen Konten Passwörter zurücksetzen und ändern. Ich empfehle deshalb seperate Email Konten auf dem PC und dem Smartphone. Möchte man die Email vom PC auf dem Smartphone sehen, sollte man die Mail zum Smartphone Konto als Kopie weiterleiten. Die wichtigen Passwörter sollten nicht auf dem PC gespeichert werden – kein automatisches Ausfüllen des Passwort Feldes oder einfügen mit Copy/Paste. Jede Website kann den Copy/Paste Buffer auslesen! Genauso sorgfältig sollte das Passwort für Online Banking und Paypal  behandelt werden. Diese Passwörter sollte man sich auch merken und regelmäßig z.B. einmal im Monat überprüfen.  Genauso sorgfältig solte man mit den Online Banking Passwörtern umgehen. Die Passwörter sollte man nicht aufschreiben oder gar auf dem PC hinterlegen.

Alle Konten bei denen Geld bewegt werden, kann sollte man wöchentlich  kontrollieren. Das ist wesentlich wirksamer als die häufige Änderung der Passwörter.

Mit allen anderen Passwörtern kann man relativ locker umgehen. Häufiges Ändern führt hier nur zur Konfusion. Unwichtige Passwörter kann man ruhig auf dem PC speichern und beim Login automatisch eingeben lassen. Man kann sie auch auf einen Zettel schreiben und in einem Schreibtischfach zu Hause aufbewahren, sofern man seiner Familie traut. Passwörter, die man unterwegs braucht, sollte man in einem Datenschließfach (Vault App) ablegen.

Der gute Rat, komplexe Passwörter zu verwenden und die regelmäßig zu ändern, führt bei den meisten Benutzern nur zur Konfusion und sichert das größte Risiko, den Diebstahl der Passwörter vom Systembetreiber, nicht ab. Die Systembetreiber machen aber damit ihren Kunden permanent ein schlechtes Gewissen und lenken so von den systemischen Sicherheitsproblemen ab.

Private Benutzer sollten zumindest mit den wichtigsten Methoden von Phishing vertraut sein. Auch das komplexeste Passwort hilft nicht, wenn man es nach Aufforderung freiwillig an die Hacker weitergibt.

3 Antworten zu “Passwort Diebstahl – komplizierte Passwörter sind sinnlos

  1. Hallo. Sie schreiben hier, wichtige Passwörter solle mal 1mal pro Woche kontrollieren. Was meinen Sie mit“Kontrollieren“? Wie mache ich das? Wenn sie zum Login noch funktionieren, das ist ja wohl keine Kontrolle.

    • Wenn das Login zu Ihren wichtigen Konten noch funktioniert ist das schon einmal ein positives Zeichen. Es gibt leider Liederliche die Konten verbrennen, indem sie mehrmals ein falsches Passwort eingeben. Manche Konten (z.B. bei Banken) werden dann gesperrt. Wichtiger ist es aber alle Konten zu kontrollieren mit denen Geld bewegt wird. Bei Online Banking, Kreditkarten, Paypal usw. Typisch haften Benutzer für Missbrauch bis zur Meldung z.B. bei meiner Bank mit 50 €/Tag bei Kreditkarten.Es lohnt sich da einmal bei den Geschäftsbedingungen (T&C) nachzusehen. Ganz wichtig ist die Überprüfung Ihres Email Kontos, da darüber Ihre Internetzugänge indirekt kontrolliert werden. Anforderungen an Passwort Änderungen werden meist an diese Adresse geschickt. Man sollte überprüfen ob verdächtige Email abgesendet wurde oder angekommen ist. Verwaltet man zusätzlich eine Domain wie z.B. eine Website, oder ein Privat Portal dann sollte man die Zahl der Zugriffe und unberechtigte Zugriffsversuche kontrollieren. Mit den vorgeschlagenen Massnahmen können sie Missbrauch von Profis nicht verhindern. Sie können aber im Streitfall nachweisen, dass Sie Ihre Konten regelmäßig kontrolliert haben und Sie ihrer Sorgfaltpflicht nachgekommen sind. Das ist besonders wichtig wenn Sie die Systeme auch gechäftlich nutzen. Der Aufwand für diese Kontrollen sollte 5 Minuten nicht überschreiten und kann im Rahmen der Web-Kehrwoche mit erledigt werden. Zu diesem Thema gibt es im Blog demnächst einen Beitrag zum Thema Identity-Check im Web.

  2. Pingback: Passwort Diebstahl – komplizierte Passwörter sind sinnlos - SharePoint Blogs in German - Bamboo Nation

Kommentare wieder erlaubt

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s