1756118

Ändere-Dein-Passwort-Tag: So schützen Sie Ihre digitale Identität

01.02.2016 | 11:27 Uhr |

Wer sich unbekümmert im Internet bewegen will, muss Sicherheit verstehen und leben. Dabei sind die Schutzmechanismen, die Mac, iPhone, iPad & Co. von Haus aus bieten, nur ein Baustein. Sich effektiv zu schützen ist aber relativ einfach. Lesen Sie hier, warum es so wichtig ist, ab und an auch seine Passworte zu ändern.

Der 1. Februar ist der Ändere-Dein-Passwort-Tag. Das Datum hatten die Blogs Gizmodo und Lifehacker im Jahr 2012 relativ willkürlich auf festgelegt, die Aufmerksamkeit für sichere Passworte sollte aber nicht nur heute hoch sein. Übrigens: Sein Passwort von "geheim" in "streng geheim" oder von "12345" zu "54321" zu ändern, ist mit der Aktion nicht gemeint. Was ein sicheres Passwort ausmacht, wie Sie Ihre unterschiedlichen Passworte verwalten und sich ein hoch sicheres Masterpasswort merken können lesen Sie in diesem Ratgeber:

Der digitale Daten-GAU sieht in etwa so aus: Sie starten morgens Ihr iPad oder iPhone, um die Mails abzufragen. Das Mail-Programm meldet, dass Ihr Passwort falsch ist. Der Versuch, das Problem über das Portal des Mail-Providers zu lösen, schlägt ebenso fehl wie die Nutzung anderer Mail-Accounts oder das Einloggen bei Ebay, Paypal, Facebook und anderen Diensten. Während Sie weiter versuchen, das Problem zu lösen, wird das iPad oder iPhone wie von Geisterhand plötzlich gelöscht, alle Daten sind verloren. In den folgenden Tagen schlagen Rechnungen für den Kauf von Waren bei Ihnen auf, die Sie nie bestellt haben. Ihre Freunde bei Facebook wundern sich derweil ebenso über merkwürdige neue Statusmeldungen wie Ihre Follower bei Twitter über den Inhalt Ihrer Tweets.

Feindliche Übernahme

Ihre digitale Identität wurde übernommen, Sie haben ein echtes Problem. Wer als iPad-Benutzer keinen Rechner sein Eigen nennt, könnte in diesem Fall die Schuld bei Apple suchen, genauer beim mangelhaften Schutz der Daten auf dem Tablet-PC. Wir werden in diesem Artikel erklären, wie es zu einem solchen Szenario kommen kann und wo die Schuldigen zu suchen sind. Dabei erläutern wir, welche Maßnahmen zum Schutz Ihrer Daten und digitalen Identität zu ergreifen sind, damit Ihnen eine vergleichbare Katastrophe nicht droht. Darüber hinaus zeigen wir, dass die bereits von Haus aus in den Geräten integrierten Schutzmechanismen Ihre Daten sehr gut sichern – so Sie sie denn auch nutzen. Getreu dem Motto „Nur wer Datensicherheit versteht, kann sie auch leben und anwenden“ beschreiben wir Schritt für Schritt alle Maßnahmen, die einen Daten-GAU verhindern helfen. Zum besseren Verständnis stellen wir auch die Techniken vor, die Angreifer auf Ihre digitale Identität nutzen – und natürlich wirksame Gegenmittel.

Ursachenforschung: Datenklau-Szenario

Damit ein Angreifer Ihre komplette digitale Identität übernehmen kann, müssen mehrere Faktoren zusammenkommen. Natürlich ist bereits der Rechner eine potenzielle Gefahrenquelle, Stichwort Trojaner und Phishing. Auf dem Rechner sollte daher ein gutes Virenschutzpaket installiert sein. Viele iPad-Benutzer setzen außerdem gar keinen Rechner ein, sind aber dennoch gefährdet.

Jeder Besitzer eines Computers mit Internet-Verbindung, egal ob Smartphone, Tablet, Laptop oder Desktop, nutzt Online-Dienste, Foren, soziale Netzwerke, Blogs und mehr, um sich zu informieren oder zu kommunizieren. Bei fast allen Diensten müssen Sie sich mindestens mit Ihrer E-Mail-Adresse und einem Passwort anmelden, oft zudem Namen, Geburtsdatum und mehr angeben. Andernfalls können Sie weder in Foren posten, noch bei Ebay, Amazon oder anderen aktiv werden. Auch für den Kauf von Musik, Apps und so weiter ist eine Registrierung nötig – etwa über die Apple-ID. (Der Autor dieses Beitrags nutzt das Internet aktiv, mit über 100 Zugängen zu diversen registrierungspflichtigen Diensten.)

Zur genannten Katastrophe kann es prinzipiell sehr einfach kommen: Fast täglich finden im Internet Angriffe auf Webserver statt, mit dem Ziel, Benutzerdaten zu stehlen. Die meisten Angriffe werden kaum bekannt, nur die auf die großen Portale. Gelingt es einem Angreifen etwa, die Site eines Portals für Kochfreunde zu hacken und der User-Liste habhaft zu werden, kann das Unheil seinen Lauf nehmen. Steht dem Angreifer Ihre Mail-Adresse nebst Passwort für das betreffende Portal zur Verfügung, kann er mit den Daten versuchen, auch bei Paypal, Ebay, Apple und in anderen Foren Erfolg zu haben. Voraussetzung wäre dann natürlich, dass Sie nur ein Passwort für mehrere Online-Zugänge nutzen – was grundsätzlich keine besonders gute Idee ist.

Ihre Daten in Online-Portalen

Nahezu alle Online-Dienste erfordern zur vollen Nutzung einen Benutzrenamen samt Passwort. Neben Plattformen wie Ebay, Amazon und anderen, bei denen Sie einkaufen können, gilt das auch für Foren, bei denen Sie Ihre Fragen loswerden oder Antworten für andere Benutzer geben. Der Online-Dienst speichert Benutzernamen, E-Mail und Passwort und oft weitere Angaben in einer Datenbank. Bei der Anmeldung ist nicht ersichtlich, ob die Datenbank sicher auf dem Server gelagert ist und ob Ihr Passwort verschlüsselt abgelegt ist – und wenn ja, mit welchem Algorithmus.

Ob bei Ebay, in Foren, Blogs, Facebook oder anderen Diensten — fast überall müssen Sie sich mit E-Mail-Adresse und Passwort anmelden. Die Daten werden auf dem Server in einer Tabelle gespeichert (untere Abbildung). Ihr gilt das Interesse der Hacker.
Vergrößern Ob bei Ebay, in Foren, Blogs, Facebook oder anderen Diensten — fast überall müssen Sie sich mit E-Mail-Adresse und Passwort anmelden. Die Daten werden auf dem Server in einer Tabelle gespeichert (untere Abbildung). Ihr gilt das Interesse der Hacker.

Sicherheit im Web

Wie aber kommen Angreifer an diese Tabellen mit den Daten? Ohne ins Detail zu gehen, werfen wir einen Blick auf die Funktionsweise und Technik bei Websites. Die meisten Onlineshops, Spieleplattformen, Foren und Blogs nutzen eine Scriptsprache (meist PHP ) und eine Datenbanksoftware (meist MySQL ), um die Seiten dynamisch anzuzeigen. Oft werden diese Systeme CMS genannt (Content Management System). Die Login-Daten der Benutzer landen in einer Datenbanktabelle. Dieser gilt der Hacker-Angriff.

Beliebt und immer mal wieder erfolgreich sind SQL-Injections und/oder Angriffe über die Scriptsprache. Wie bei Betriebssystemen gibt es deshalb ständig Sicherheits-Patches und Updates für PHP und MySQL, die das verhindern. Gerade kleinere Betreiber einer Seite ändern aber eine bestehende Installation eher selten, sind dann offen für Angriffe.

Um das Ausspähen der Passwörter zu verhindern, verschlüsseln Betreiber einer Website – beziehungsweise verschlüsselt das CMS – die Nutzer-Passwörter mithilfe eines kryptografischen Hash-Verfahrens (siehe Kasten). Weit verbreitet ist der „Message-Digest Algorithm 5“ (kurz MD5 ), der bereits 1991 entwickelt wurde. Dabei leitet ein Algorithmus aus dem vom Benutzer eingegebenen Passwort eine Zeichenkette (den Hash-Wert) ab, die keinen Rückschluss auf das Passwort zulässt, und speichert diese. Meldet sich der Benutzer das nächste Mal am Portal an, wird das eingegebene (Klartext-)Passwort wiederum verschlüsselt und der Hash-Wert mit dem hinterlegten verglichen.

Hashes, Salz und Pfeffer

Was auf den ersten Blick nach Kochzutaten aussieht, sind Methoden, um Benutzerdaten vor dem Entschlüsseln zu schützen. Der bereits seit 1991 verfügbare Hash-Algorithmus MD5 ist immer noch enorm verbreitet bei CMS-Systemen wie Blogs, Shops und so weiter. Seit 1991 ist die Rechenleistung eingesetzter PCs gewaltig gestiegen. Unser iMac i7 aus dem Jahr 2009 kann pro Sekunde gut 3 Millionen MD5-Hashes erzeugen und gegen Passwort-Hashes einer Liste testen. Um ein vielfaches schneller sind zusätzlich eingesetzte Grafikkarten. Sie sind extrem leistungsfähig, spezialisiert auf Zahlen. Eine Bruteforce-Attacke gegen ein Passwort mit acht willkürlich gewählten Zeichen ist an einem Tag erledigt.

Um die Crack-Programme auszubremsen, gibt es „bessere“ Algorithmen, vor allem „Salt“, zu Deutsch Salz. Bei der Verschlüsselung versteht man unter „salzen“ das Versehen des vom Benutzer eingegebenen Passworts mit einer zufälligen, zusätzlichen Zeichenkette. Die so entstandene neue Zeichenkette wird erneut durch einen Hash-Algorithmus geschickt. Damit das System später den Benutzer beim Einloggen erkennt, wird das „Salz“ dem Hash in der Datei im Klartext vorangestellt. Was auf den ersten Blick wie eine simple Idee wirkt, ist recht effektiv. Denn dadurch, dass das „Salz“ ein zufälliger Wert ist, wird ein Programm wie John the Ripper gezwungen, haufenweise zusätzliche Kombinationen eines Passworts auszuprobieren.

Das Vorgehen erschwert oder verhindert im besten Fall auch die Nutzung von Regenbogen-Tabellen (Rainbow Tables). Dabei handelt es sich um Milliarden vorberechneter Hash-Werte in einer Tabelle. Gegen kurze, einfache Passwörter erlauben Rainbow Tables das Ermitteln des Passworts aus dem Hash oft in Minutenschnelle. Ein Salt mit einer längeren Zeichenkette bläht die Regenbogen-Tabelle derart auf, dass sie „unwirtschaftlich“ beziehungsweise nicht mehr nutzbar wird.

Zwei weitere Techniken, „Pfeffer“ (Pepper) und das künstliche Verlängern des Schlüssels (Key Stretching), stellen weitere Optionen für Website-Betreiber dar, schwache Passwörter ihrer Benutzer vor der Entschlüsselung zu schützen.

Erlangt ein Angreifer die Benutzerdaten mit Hash-verschlüsselten Passwörtern, nutzt er Programme, die Klartextpasswörter mit hoher Geschwindigkeit in Hashes umwandeln und mit denen aus der Benutzerliste vergleichen – dazu später mehr.

Grobe Fahrlässigkeit oder Faulheit

Ob der Betreiber eines Webportals Ihre Benutzerdaten überhaupt verschlüsselt, wissen Sie nicht. Und falls ein Hash-Verfahren zum Einsatz kommt, wissen Sie meist nicht, welches, und es bleibt ebenso im Dunkeln, ob weitere Schutzmechanismen ergriffen werden.

Eine ungeheuerliche Kombination aus grober Fahrlässigkeit und Faulheit des Website-Betreibers führte 2009 zu einem gewaltigen Daten-GAU. Angreifern gelang es, das Portal von Rockyou , einem Entwickler für Social-Media-Games, zu hacken und die Daten von 32 Millionen Benutzern zu stehlen. Rockyou hatte die Passwörter nicht verschlüsselt abgelegt, sondern im Klartext gespeichert. Möglich wurde der Angriff durch ein Sicherheitsleck der SQL-Datenbank, das zum Zeitpunkt des Datenklaus bereits zehn Jahre bekannt war. Neben den Rockyou-Benutzerdaten gingen den Angreifern auch Facebook- und Myspace-Zugangsdaten ins Netz.

Im Sommer 2014 traf es Linkedin, das große Netzwerk für Geschäftskontakte. Ein russischer Hacker veröffentlichte nach dem Angriff auf den Server die Daten von 6,5 Millionen Nutzern, die allerdings verschlüsselt vorlagen. Durch die recht einfache Verschlüsselung und ausgefeilte Hack-Techniken wurden viele Passwörter geknackt.

0 Kommentare zu diesem Artikel
1756118