22.09.2016 Yahoo veröffentlicht eine wichtge Mitteilung an seine User: “An Important Message to Yahoo Users on Security“. Daten zu mindestens 500 Millionnen Benutzer Accounts seien bereits 2014 von Hackern gestohlen worden. Darunter Benutzernamen, EMail Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Yahoo empfiehlt seinen Anwendern ihr Passwort zu ändern.
Laur Yahoo wurden die meisten Passwörter mit dem bcrypt Algorithmus verschlüsselt worden. Der bcrypt-Algorithmus wird derzeit als sicher genug für die meisten Webanwendungen eingestuft, in denen Anwender ihre Passwörter hinterlegen.
Unabhängig davon gibt es Berichte darüber, wie es Spezialisten gelingen konnte, Schwächen in einzelnen Implementierungen auszunutzen, um auch auf diese Weise gesicherte Passwörter zu hacken: “How we cracked millions of Ashley Madison bcrypt hashes efficiently“
Ein sicheres Passwort ist nicht genug
Alle paar Wochen oder Monate wird bekannt, dass wieder eine Webseite gehackt wurde. Darunter sind namhafte Firmen wie Dropbox (Hackers Stole Account Details for Over 60 Million Dropbox Users) oder LastPass (LastPass Security Notice zu einem Angriff in 2015).
Wir glauben gern daran, dass die Entwickler hinter bekannten Webseiten genügend Know-How hätten die besten Algorithmen für die Absicherung unserer Benutzerdaten zu verwenden. Vorfälle wie diese zeigen uns aber vor allem eines: Es gibt keine absolute Sicherheit für unsere Benutzerdaten.
Betrachten wir ein einzelnes Passwort, können wir recht gut die Voraussetzungen für ein sicheres Passwort beschreiben:
- Es muss lang genug sein: 10-14 Zeichen,
- Groß- Kleinschreibung, Zahlen und Sonderzeichen
- Keine Namen, Geburtsdaten oder andere persönliche Informationen
- Keine Wörter, die über ein Wörterbuch herausgefunden werden können sowie Ersetzungen von Buchstaben, die leicht nachvollzogen werden können (z.B. 1 für I).
Das Problem der meisten Menschen wie du und ich ist, dass wir uns nicht mehr als 20-30 solcher komplizierter Passwörter merken können ;-).
Einen Passwort-Manager zu verwenden ist nicht die schlechteste Option
Es gibt eine Reihe von guten Passwort-Managern. Eine Google Suche hilft hier schon sehr gut weiter. Was kannst du von deinem Passwort-Manager erwarten?
- Schlägt sichere Passwörter vor und speichert deine Zugangsdaten
- Verschlüsselt deine Zugangsdaten mit einem sicheren Algorithmus
- Füllt Login-Formulare automatisch aus
- Erkennt Passwort-Änderungen und bietet an, die geänderten Daten zu speichern
- Funktioniert mit allen deinen Geräten und Betriebssystemem
- Funktioniert sowohl im Browser als auch mit Anwendungen, z.B. auf deinem Smartphone
- Unterstützt Zwei-Faktor-Authentifizierung mit einem Stück Hardware als einem der Faktoren
Wie weiß ich welchem Passwort-Manager ich vertrauen kann? Nicht einfach zu beantworten. Berücksichtige dabei folgendes:
- Ein Passwort-Manager kennt alle deine Zugangsdaten. Du musst den Menschen vertrauen, die hinter dem Passwort-Manager stehen.
- Ein browser basierter Passwort-Manager ist von Hackern auf der ganzen Welt erreichbar..
- Verschlüsselungen sind nur eine brgrenzte Zeit sicher.
Trotz aller Zweifel: Es ist normalerweise besser einen Passwort-Manager zu verwenden als unsichere Passwörter oder gleiche Passwörter für veschiedene Webseiten.
Mach dich unabhängig mit einer Passwortkarte
- Mit einer Passwortkarte merkst du dir Passwörter ohne deinen Passwort-Manager parat zu haben. Hast du immer eine online-Verbindung mit deinem Gerät? Was passiert, wenn dein Gerät gestohlen wurde?
- Deine Passwortkarte kann nicht zum Ziel weltweit operierender Hacker werden, denn sie liegt nicht auf einem Webserver.
- Deine Freunde können deine Passwortkarte sehen und wissen trotzdem deine Passwörter nicht. Nur du kennst die Regel zum Bestimmen des Startpunktes auf der Passwortkarte und das Muster mit dem du das Passwort abliest.
Interessiert, wie eine Passwortkarte funktioniert?