Die Gefährdungen von Passwörtern – und wie man sich besser schützen kann

Die Qualität von Passwörtern ist ein häufig diskutiertes Thema in der IT-Sicherheit, denn immer häufiger versuchen kriminelle Hacker die Zugangsdaten zu wichtigen Accounts abzufangen. Das Bewusstsein für das Risiko scheint bei vielen Internetnutzern jedoch noch nicht sehr ausgeprägt zu sein; viele verwenden leicht zu erratende Passwörter oder nutzen die gleichen Zugangsdaten auf mehreren Webseiten.

Das kann zu großen Problemen führen. Wenn Sie nämlich das gleiche Passwort auf unterschiedlichen Seiten nutzen, müssen Hacker Ihr Passwort nur einmal knacken und haben damit gleichzeitig auch die Zugangsdaten zu anderen Webseiten.

Zu hoffen ist, dass die Administratoren ihre Hausaufgaben gemacht und sichere Webseiten mit aktuellen Software Patches gebaut haben. Vielleicht haben sie auch sehr gute Sicherheitsfunktionen eingerichtet, sodass Hacker nicht ohne weiteres eindringen können. Dennoch bleibt ein Problem bestehen – der Computer des Nutzers.

Surveillance cameraWenn Ihr Computer durch Keylogging-Malware infiziert wurde, kann ein krimineller Hacker ganz leicht Ihr Passwort abfangen und es auf unterschiedlichen Webseiten ausprobieren. Viele Banking-Trojaner tun genau das – sie schauen Ihnen jedes Mal, wenn Sie Ihr Passwort in ein Online-Formular eingeben, gewissermaßen über die Schulter und greifen es ab.

Selbst wenn Sie so vorbildlich sind, ein gutes Antiviren-Programm zu nutzen und in Bezug auf die Sicherheit sowie beim Installieren von Programmen sorgsam sind und Ihre Software-Updates immer auf dem neuesten Stand halten – alle Gefahren können Sie damit nicht beseitigen.

Denn Phishing-Angriffe können Sie ganz unvorbereitet treffen. Nicht immer ist es leicht, falsche von echten E-Mails zu unterscheiden.

Wie schwierig dies zum Teil ist, haben uns die Mitarbeiter von Forbes, CNN, Washington Post und vielen anderen demonstriert. Sie alle sind auf die Syrian Electronic Army hereingefallen. Diese hat gefälschte E-Mails mit Links zu Phishing-Seiten versendet, mit denen Login-Informationen geklaut wurden. So konnten die Hacker dann Webseiten entstellen und pro-Assad-Nachrichten auf Twitter veröffentlichen.

CNN tweets apology

Aber auch, wenn Sie vorsichtiger sind als die betroffenen Mitarbeiter, stets Ausschau halten nach Phishing-E-Mails, unerwünschten E-Mails und Webseiten, die unerwartet die Eingabe Ihrer Login-Informationen verlangen, gegenüber misstrauisch sind, können andere Probleme auftauchen.

Selbst wenn Ihr Computer nicht durch Malware infiziert ist und Sie keiner Phishing-Seite zum Opfer gefallen sind, auch wenn Seiten sicher konzipiert wurden und Ihre Kommunikation durch SSL geschützt wird, gibt es eine Möglichkeit für Hacker, Informationen abzufangen – sie können Ihr Betriebssystem anzapfen.

MavericksGenau das ist gerade bei iPhones und iPads (bei denjenigen, die das iOS 7.0.6 Update noch nicht installiert haben) und Mac OS X Maverick (hier gibt es noch kein offizielles Patch von Apple) geschehen.

Eine kritische Sicherheitslücke bei iOS und Mac OS X ermöglicht es Hackern, die vermeintlich sichere Kommunikation zwischen Ihren Apple-Geräten und der Außenwelt abzuhören.

Solche schwerwiegenden Lücken im Betriebssystem machen es Online-Kriminellen sehr leicht als Man-in-the-middle private Informationen zu stehlen.

Bis Apple die Schwachstellen von OS X ausgebessert und ihre iPhones und iPads auf den neuesten Stand gebracht hat, sollten Sie als Nutzer verstärkt darauf achten, Ihre wichtigen Online-Accounts gut abzusichern.

Eine Lösung, die für alle Internetnutzer einen besseren Schutz gewährleistet, ist die Zwei-Faktor-Authentifizierung (2FA). Hierbei wird alle paar Sekunden ein Einmal-Passwort generiert und bei jedem Login-Vorgang abgefragt.

How authentication works

Selbst wenn Hacker also Ihr reguläres Passwort erraten, knacken oder stehlen, wird es ihnen nicht viel nutzen, weil sie das jeweilige Einmal-Passwort nicht kennen.

Wenn Sie eine App auf Ihrem Mobiltelefon nutzen um das Einmal-Passwort automatisch zu generieren, ist der Aufwand für Sie nicht groß, für einen Hacker, der es auf Ihre Zugangsdaten abgesehen hat, hingegen schon.

Wenn eine Webseite oder ein Dienst Ihnen die Option zur Zwei-Faktor-Authentifizierung anbietet, sollten Sie zumindest in Erwägung ziehen, von dieser Funktion Gebrauch zu machen.

Sollten Sie selbst einen Online-Service leiten oder Systeme nutzen, mit denen Ihre Mitarbeiter auch außerhalb des Unternehmens Zugang zu geschäftskritischen Informationen haben, lohnt es sich darüber nachzudenken, eine Zwei-Faktor-Authentifizierung einzusetzen um die Unternehmensdaten besser zu schützen.

Seiten wie  FacebookGoogleTwitter (in Deutschland kommend), Dropbox und andere bieten eine solche Zwei-Faktor-Authentifizierung an. Damit gehen sie als gutes Beispiel voran, dem leider noch viel zu wenige folgen.

Natürlich ist 2FA keine magische Lösung, die alle Versuche von Online-Kriminellen an Ihre Daten zu gelangen, im Keim erstickt, aber es macht ihnen das Vorhaben sehr viel schwerer.

Autor Graham Cluley, We Live Security