Ein IT-Experte aus Australien hat sich die Mühe gemacht und die von Hackern bei großen Hack-Aktionen geklauten Passwörter gesammelt und in eine Datenbank gestellt. Hier kann man nachschauen, ob das eigene Passwort in diesen Listen bereits auftaucht – und wie oft. Ein Passwort, das schon mal gehackt wurde, ist ähnlich unsicher wie ein Begriff, der im Wörterbuch steht.
Kennt Ihr den Ändere-Dein-Passwort-Tag? Am 1. Februar ist es mal wieder so weit. Wir sollen darüber nachdenken, ob unser Passwort sorgsam genug ausgewählt wurde – und falls nicht, das Passwort mal wieder ändern.
Und wieder wurden im großen Stil Zugang-Daten zu einem großen, namhaften Online-Dienst entwendet. Diesmal betrifft es Twitter: Hacker haben die Login-Daten von nahezu 33 Millionen Twitter-Usern zum Kauf angeboten, also Benutzer-Name und Passwort.
Immer wieder sind Internetbenutzer gezwungen, einzelne Passwörter zu ändern – etwa nach Hackattacken oder Datendiebstahl. Manchmal sollten die Passwörter bei mehreren Onlinediensten gleichzeitig verändert werden. Dabei helfen jetzt Passwort-Manager wie Lastpass oder Dashlane. Sie erzeugen auf Knopfdruck neue Passwörter in über 70 populären Oninediensten und Onlineshops.
Die Macher von Spideroak, dem Cloud-Dienst, den sogar Edward Snowden vertraut, haben nun einen Passwort Manager entwickelt. Eine kostenloser Service, der auf demselben Prinzip basiert wie der Cloud-Dienst Spideroak: Zero Knowledge. Der Betreiber kennt keine Daten, keine Datenstruktur, keine Schlüssel. Die Verschlüsselung erfolgt vollständig im Gerät des jeweiligen Benutzers, basierend auf dem Crypton Framework.
Das bedeutet ein Maximum an Sicherheit und Diskretion. Da die Software OpenSource ist und jeder sich den Code anschauen kann, dürfte es schwer möglich sein, eine versteckte Zugangsfunktion zu integrieren. Nach aktuellem Kenntnisstand dürfte diese Methode denkbar sicher sein. Für einen Password Manager keine unwichtige Sache, schließlich vertraut man seinem Passwort Manager eine Menge sensibler Daten an, etwa Passwörter oder PIN-Codes.
Die Daten werden zwar in der Cloud gespeichert (wie bei den meisten anderen Password Managern auch), aber eben komplett sicher verschlüsselt – und das sogar kostenlos. Es könnte sich lohnen, Encryptr mal eine Chance zu geben, denn die Software gibt es für Windows, Linux, Mac OS und Android, bisang aber nicht für iOS.
Die aktuelle Diskussion um den Staatstrojaner macht deutlich, wie angreifbar unsere Computer sind. Schnell hat sich ein Trojaner eingenistet, der sensible Daten ausspioniert. Viele wollen deshalb wissen, ob sie bereits Opfer einer Schnüffelattacke geworden sind und wie ein sicheres Passwort aussieht.
Es gibt eine Webseite, auf der jeder nachschauen kann, ob Hacker schon mal erfolgreich das eigene Konto geknackt haben. Da die meisten Onlinedienste dazu die E-Mail-Adresse in Kombination mit einem Passwort abfragen, kann man unter www.shouldichangemypassword.com die eigene E-Mail-Adresse eintragen. Die Webseite verrät danach, ob dieses Konto in Hackerkreisen schon mal Thema war.
Die Betreiber der Seite verfügen über brisantes Datenmaterial, etwa Listen mit E-Mail-Adressen und Passwörtern, die schon mal geknackt wurden. Kann shouldichangemypassword.com in diesen Listen, ist das alarmierend: In diesem Fall sollte man dringend alle Passwörter ändern, denn dann ist man mindestens einmal geknackt worden, ohne es zu merken. Das muss nicht zwingend Folgen gehabt haben – doch es könnte noch passieren.
Should I change my Password?
Die Betreiber von shouldichangemypassword.com haben Zugriff auf in Hackerkreisen kursierende Logins, auf Datenbanken mit Zugangsdaten, die in Hackerkreisen gehandelt werden. Es gibt schließlich immer wieder Hacker, die Logins verkaufen oder damit angeben, wie viele Logins sie geknackt haben. Natürlich bekommen die Betreiber von shouldichangemypassword nicht alles mit, aber sie haben durchaus Zugriff auf eine nennenswerte Zahl von Datenbanken. So gesehen ist die Webseite eine Art Google auf Hacker-Daten, etwas zugespitzt formuliert.
Wenn shouldichangemypassword.com nichts in den Datenbanken findet, bedeutet das allerdings nicht, dass man vollkommen sicher ist und dass noch kein Hacker ein Konto geentert hat.
Shouldichangemypassword bezieht sich allerdings ausschließlich auf Mail-Logins. Wer andere Zugangsdaten benutzt, etwa in der Firma oder bei einem Onlinedienst, der kommt mit diesem Angebot nicht weiter. Aber: Es ist ganz nützlich, es mal auszuprobieren – und, sich Gedanken um ein möglichst sicheres Passwort zu machen.
Sicheres Passwort wählen
Eins muss klar sein: Je einfacher das Passwort, desto höher die Wahrscheinlichkeit, dass es geknackt wird. Hacker nutzen heute Hochleistungscomputer, um Passwörter zu knacken. Ein handelsüblicher PC kann heute rund 25 Millionen Passwörter in der Sekunde ausprobieren. Ein simples Passwort ist da innerhalb kürzester Zeit geknackt. Der einzige Schutz, kein Opfer zu werden, ist ein gut gewähltes Passwort.
Ganz wichtig: Keine Eigennamen verwenden wie Paul, Anna, Jörg oder Fritz. Keine simplen Floskeln wie „i love you“. Die Hacker sind nicht dumm: Die kennen die beliebtesten Passwörter und probieren diese als erstes aus, sowieso nicht mit der Hand, sondern es gibt elektronische Wörterbücher, in denen die populärsten Passwörter drin stehen, und die werden als erstes ausprobiert.
Darum muss man ein Passwort benutzen, das möglichst einzigartig ist und nicht in Wörterbücher stehen kann. Ein gutes Passwort ist lang, mindestens 10 Zeichen, je mehr, desto besser. Es enthält Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Eine Kombination aus allem. Wenn man schon Wörter benutzt, die im Wörterbuch stehen, dann mit gemischter Schreibweise, also groß und klein. Gerne auch mit Gimmicks, etwa indem man eine „3“ schreibt, wo ein „e“ vorkommt, eine drei sieht aus wie ein umgekehrtes „e“, kann man sich also gut merken, oder mit einem Ausrufezeichen für das „i“, oder was auch immer, das kann sich jeder selbst ausdenken.
Auf diese Weise entsteht ein einmaliges, nahezu unknackbares Passwort, weil kein Knack-Algorithmus darauf so leicht kommen kann. Gut ist auch, sich einen Satz einzuprägen und immer nur die ersten Buchstaben im Passwort zu benutzen, auch wieder mit Groß- und Kleinschreibung, etwa: „Funkhaus Europa ist ein klasse Sender, den ich jeden Tag höre.“ Also: „FEiekSdijTh“. Unknackbar, erst recht, wenn ich jetzt noch Sonderzeichen benutze und Ziffern.
Es gibt Onlinedienste, auf denen man überprüfen kann, wie gut oder schlecht ein Passwort ist. Microsoft hat so einen Dienst im Angebot, aber auch der Datenschutzbeauftragte vom Kanton Zürich, hier wird einem sogar gesagt, warum ein Passwort möglicherweise schwach ist, sehr aufschlussreich.
Wichtig – wenn auch in der Praxis schwer umzusetzen: Für jeden Onlinedienst ein eigenes Passwort verwenden. Denn sonst gilt: Hat ein Hacker einen Zugang geknackt, kann er überall rein.
