Es kam ja dieser Tage zur Veröffentlichung von einem massiven Passwort-Klau. Es ist nicht der erste der Geschichte. Aber der Umfang ist ziemlich gigantisch. Die Auswirkungen wird man noch lange feststellen. Das Schlimme daran ist: Es soll gar nur die Spitze des Eisbergs sein. Sollen wir nun das Internet abstellen und wieder in den Wald ziehen? Nein, man muss sich aber mit dem Thema beschäftigen. Wie ich im Abwasch der Woche.
Ein Passwort-Klau geht alle an
Es ist schon vermessen zu behaupten, dass es zu einem massiven Passwort-Klau kam. Denn dem Verständnis nach ist ein Klau erstmal ein Diebstahl. Das gestohlene Gut ist also weg. Das ist ja bei Daten etwas anderes. Denn die Daten sind ja noch da. Oftmals bemerken wir die Tat gar nicht, bis wir von anderen darauf aufmerksam werden. Dabei geht es uns alle etwas an, wenn es zu so einem Passwort-Klau kam.
Wer nun behauptet, dass es bei ihm schon nichts zu holen gibt, wird irgendwann vielleicht mitbekommen, dass in seinem Namen Geschäfte gemacht, Drohungen ausgesprochen und Dienste missbraucht wurden. Selbst wer nur absolut minimal im Internet aktiv ist, muss sich informieren, ob seine Daten bei „Collecion #1“ dabei sind. Das geht hier und sollte von jedem gemacht werden.
Es ist ja schön, wenn am Ende „Good News…“ da steht. Dann kann man immernoch überlegen tätig zu werden. Wenn „Oh no…“ da steht, muss man handeln. Denn dann wurden die Daten missbraucht. Das wollen Sie bestimmt nicht. Tun Sie sich einen Gefallen und heften das nicht einfach mit einem Schulterzucken unter „Naja, dann ist das halt so“ ab.
Was kann man tun?
Ich hatte Ihnen dieser Tage (oben verlinkt) erzählt, dass ich ebenfalls zu den Betroffenen gehöre. Ich war einfach unachtsam. Es handelte sich nicht um neue Dinge. Und es handelte sich auch um eine Email-Adresse, die ich einfach nicht loswerde, so gern ich das auch täte. Jedenfalls hat mich das dazu gebracht, alle meine Logins zu überprüfen. Ich kann Ihnen sagen: Das macht Arbeit.
Wie Sie vielleicht noch wissen, habe ich als Passwort-Manager „LastPass“ im Einsatz. Wenn Sie dort auch einen Account haben, dann nutzen Sie vielleicht die Browser-Erweiterung, die Smartphone App und solche Dinge. Melden Sie sich dort mal mit Ihrem Master-Passwort an. Dann haben Sie auf der linken Seite im Menü den „Sicherheitstest“. Führen Sie den mal aus.
Der Sicherheitstest ist gerade nach so einem Passwort-Klau nicht ganz doof. Er zeigt Ihnen eine Sicherheitsbewertung an und zeigt, welche Verbesserungen Sie durchführen können. Sind Passwörter kompromittiert? Haben wir schwache Passwörter? Nutzen wir ein Passwort pro Email-Adresse mehrfach? Sind Passwörter veraltet?
Was mache ich, wenn ich betroffen bin?
Na klar, ich könnte nun sagen, dass es bei mir eh nichts zu holen gibt. Aber ich kann genauso gut die Passwörter erneuern. Also zuerst mal schaue ich, ob ich den Dienst überhaupt noch benötige. Ich melde mich also bei dem Dienst an, bei dem ich ein mangelhaftes Passwort habe. Und ggf. lösche ich dort meinen Account. Mit dem Rest kann ich ja so verfahren, dass ich ganz einfach die Passwort-vergessen-Funktion nutze.
LastPass bietet dann bei der Neuvergabe eines Passworts die Möglichkeit, ein sicheres Passwort zu generieren. Das besteht aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Und das kann dann gleich bei LastPass gespeichert werden. Bei anderen Passwort-Managern läuft das Alles ähnlich ab. Aber diese Arbeit muss ich mir einfach mal machen.
Es geht nicht nur darum, dass meine Daten ausspioniert und missbraucht werden können. Es können auch Angriffe durchgeführt werden und all das. Passwort-Sicherheit ist unerlässlich. Gerade nach so einem massiven Passwort-Klau sind vielleicht mehr Menschen für das Thema sensibilisiert. Zumindest darf man die Hoffnung nicht aufgeben.
Wie kann ich darüber hinaus die Sicherheit erhöhen?
Na klar, ich könnte mir ein 1000 Zeichen langes Passwort hernehmen, dass daraus besteht, dass man die Hände wahllos auf die Tastatur haut. Aber es besteht immernoch die Möglichkeit, dass das mitgelesen werden kann. Denn Passwort-Manager wie LastPass oder 1Password oder so können ja auch Probleme haben. Es gibt nun einmal keine absolute Sicherheit.
Man kann dem nur näher kommen, indem man, wo es möglich ist, zusätzlich zu einem sicheren Passwort noch die Zwei-Faktor-Authentifizierung einsetzt. Mir sind hier der Microsoft Authenticator, der Google Authenticator und auch der LastPass Authenticator bekannt. Zudem gibt es ja noch Token-Lösungen, SMS Codes, Email-Codes und dergleichen mehr.
Am Ende kann das nur zum Datenschutz beitragen. Wir unterhalten uns also am Ende darüber, dass es keinen absoluten Schutz gibt. Wir erreichen aber einen möglichst hohen Schutz, wenn wir uns halbwegs an so etwas halten wie:
- Datensparsamkeit: Wir nutzen nur Dienste, die wir brauchen. Von allen anderen melden wir uns ab.
- Passwort-Sicherheit: Wir nutzen sichere Passwörter und für jeden Dienst ein anderes. Sichere Passwörter sind mindestens 6 Zeichen lang und bestehen aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen.
- Zwei-Faktor-Authentifizierung: Ich muss meine Identität beweisen können.
Gerade letzteres machen wir ja alltäglich. Glauben Sie nicht? Wie ist es mit der Bankkarte und der PIN? Wie ist es mit dem Online-Banking und der TAN? Oder wie ist es mit dem Entsperren des Handys mithilfe des Fingerabdrucks? Machen wir die Welt ein bisschen sicherer, bevor noch mehr böse Überraschungen wie der letzte Passwort-Klau folgen.
Danke für diesen Beitrag.
Passwörter zu merken kann heut zu Tage ganz schön nervig sein, jeder normale Nutzer besucht regelmäßig 20-100 Seiten mit Passwortschutz, wer da den Überblick behalten will hat den Kopf voll. Viele nutzen ein Passwort für alles, das ist natürlich gefählich, denn ist das PW einmal geknackt, sind alle Portale betroffen. Meine Frau nimmt immer die Standard-Passwörter und lässt sich diese dann jedesmal neu zuschicken zum Login, das geht natürlich auch, solange man Mails empfangen kann. Ich halte Apps für die beste Lösung, ich verwende „Passwort Saver“ für Android, da kann man auch gleich Pins für diverse Karten hinterlegen.
Grüße
Andreas
Ich warte sehnsüchtig auf ein Programm, dass AUTOMATISCH meine Passwörter bei allen gespeicherten Seiten ändert, verschlüsselt und lokal speichert. So dass man bei allen Seiten z. B. jeden Monat auf Knopfdruck neue Passwörter hätte, die man sich nicht mal zu merken bräuchte, die verschlüsselt wären und an die ich nur mit einem hochsicheren Masterpasswort dran komme, um sie zu entschlüsseln…. keine Ahnung, warum sowas nicht angeboten wird :-( Wenn dann wieder mal ein Passwortklau gemeldet wird – kein Problem, ich machn Knopfdruck und alles ist überall geändert. Wie schön wär das :-)