** Passwortlisten im Internet – Was tun?

Alle Jahre wieder … der australische IT-Sicherheitsexperte Troy Hunt berichtete von einer im Internet aufgetauchten Liste mit über 700 Millionen Email-adressen und Kennworten.

„773 Millionen Accounts betroffen – Mega-Leak“ (???)

Zuerst einmal empfiehlt sich immer das Lesen der Originalquelle:
https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Ok, dieser Artikel ist englisch und teils technisch; holen wir daher etwas weiter aus.

Was ist enthalten/öffentlich?

Wenn Sie sich bei einer Internetseite, einem Internetshop, einem Online-Versand, einem Diskussionsforum, einem Online-Bezahldienst einen Zugang registrieren, dann geschieht das meist mit der eigenen eMail-Adresse als Benutzername und einem wählbaren Kennwort. Das Kennwort wird (meist) vom jeweiligen Anbieter als verschlüsselte Zeichenfolge abgespeichert. Manche (schlechte Onlineshops) speichern solche Kennworte leider immer noch im Klartext.
Wird dann z.B. ein Online-Shop oder ein Forum geknackt, liegen ggf. mit einem Schlag hunderte bis tausende Datenpaare bestehend aus email-Adressen und Passworten offen.

Das heißt NICHT automatisch, das Ihr eMail-Kennwort (also das Kennwort für den Zugriff auf Ihr eMail-Postfach) öffentlich bekannt geworden ist sondern ggf. nur ein kennwort, dass Sie irgendwann einmal (oder aktuell) für einen bestimmten Dienst verwendet haben oder verwenden.


Exkurs: Wie könnte ein geleakter Datensatz aussehen?

hans.mustermann@web.com | 439u898ZZDoooZZHGH3oredfsdfsr

Spalte 1 ist die eMailadresse im Klartext.

Spalte 2 ist das verschlüsselte Kennwort (ein sog. Passworthash). Es ist nicht das Klartext-Kennwort, welches Sie bei dem Onlineshop eingeben, sondern die Zeichenfolge, die sich ergibt, wenn der Onlineshop-Anbieter Ihr Kennwort mit einem bestimmten mathematisch/kyprtographischen Verfahren „verunstaltet“. Beim Anmelden an einem Onlineshop geben Sie ja jedes Mal Ihr Kennwort ein; es wird dann intern „verunstaltet“ und mit der beim Anbieter gespeicherten „Verunstaltung“ verglichen. Sind beide Varianten gleich, klappt die Anmeldung und Sie sind im Online-Shop erfolgreich unter ihrem Nutzerkonto angemeldet.

Kommen solche Datensätze abhanden, können Angreifer versuchen, die Passworte zu entschlüsseln. Ähnlich, wie Sie bei einem 4stelligen Fahrradschloss alle Zahlen von 0000 bis 9999 durchprobieren würden, werden mit Rechenleistung Iterationen verschiedener Berechnungsverfahren auf den Passworthash losgelassen, solange, bis sich ein sinnvoller Text ergibt. Sie können Sie das so vorstellen, wie wenn ein Archäologe neue Schriftzeichen entdeckt und so lange mit Bedeutungen herumprobiert, bis etwas sinnvolles herauskommt. Je mehr Schriftrollen er zur Verfügung hat, desto leichter fällt ihm durch Ausprobieren und Logik die Entschlüsselung.


Also, was ist denn jetzt enthalten?

Troy Hunt schreibt: „They’re also ones that were stored as cryptographic hashes in the source data breaches (at least the ones that I’ve personally seen and verified), but per the quoted sentence above, the data contains „dehashed“ passwords which have been cracked and converted back to plain text.“

Das heißt: in den aufgetauchten Datensätzen finden sich zum Großteil Passworthashes, aber leider auch dehashte Kennworte, also dechriffrierte Verschlüsselungen; sprich: betroffene Passworte im Klartext.


Der Sündenfall: „Dasselbe Kennwort für mehrere Dienste“

Kehren wir zurück zum Beispiel mit dem 4stelligen Zahlenschloss am Fahrrad.
Stellen Sie sich vor, jemand beobachtet Sie („Hans Mustermann“), wie Sie das Zahlenschloss Ihres Fahrrads aufsperren. Der Angreifer sieht also zum Beispiel, wie Sie Ihr Fahrradschloss mit der Kombination „8754“ entriegeln.

Was wird der Angreifer tun, wenn er Ihre ec-Karte findet oder das Zahlencode-Feld an Ihrer Haus-Eingangstür sieht oder Ihr iphone klaut? Genau, er setzt darauf, dass der Mensch allgemeinhin faul und bequem ist. Der Angreifer wird Ihre ec-Karte in den Geldautomaten stecken und versuchen, ob „8754“ auch als ec-Karten-PIN verwendet wurde, ob sich damit ihr iphone entsperren lässt oder ob sich damit sogar ihre Haustüre öffnet.

Kurzum:

Kennt ein Cyberkrimineller z.B. ihren Zugang zu „www.lustigekatzenvideos.com“ bestehend aus „hans.mustermann@web.com“ und dem Kennwort „kitty535C@t“, dann wird er versuchen, ob er sich mittels dieser Mailadresse und diesem Kennwort bei lukrativen Internetseiten anmelden kann, z.b. amazon, ebay, paypal aber auch bei etlichen Onlineshops oder gar bei Bankenseiten. Da viele Menschen bequemerweise an vielen Stellen dasselbe Kennwort verwenden, oder die Kennworte zu banal – und ohne technischen Aufwand erratbar – sind, haben Cyberkriminelle leichtes Spiel für Identitätsmissbräuche oder für Internetbestellungen auf fremde Kosten.

Folgerung:

Verwenden Sie für jeden Onlinedienst jeweils ein anderes Kennwort. Wenn einem Onlinedienst ihr Kennwort „abhanden“ kommt, ist der mögliche Schaden minimiert.


Wie kann ich prüfen, ob ich betroffen bin?

Auf unserer Internet-Startseite (die mit den 4 Suchfeldern für die Internetsuche) finden unsere Kunden in den Webfavoriten die Rubrik „Internetsicherheit“. Dort sind zwei Seiten verlinkt:

Wurden Ihre Daten gestohlen? (HPI)
Wurden Ihre Daten gestohlen? (HIBP)

Die erste Seite führt zum HassoPlattner-Institut. Dort geben Sie Ihre eMail-Adresse (oder jeweils in jedem Schritt nacheinander) ihre eMail-Adressen ein. Sie erhalten dann an diese eMail-Adresse eine eMail, in der steht, ob zu irgendeinem Online-Benutzerkonto, bei dem Ihre eMail-Adresse im Spiel ist, das Passwort „geleakt“ ist.

Die zweite Seite (have I been p’wnd) ist ein Dienst von Troy Hunt. Dort erhalten sie direkt nach Eingabe einer Mailadresse die Auskunft, ob Ihre Mailadresse auf irgendeiner der gefundenen Liste mitsamt eines Passworts auftaucht (egal ob verschlüsselt oder im Klartext).

Ich stehe auf der Liste … was heißt das jetzt? (1)

Alles und nichts. Sie wissen jetzt nur, dass irgendeiner Ihrer Online-Accounts bei irgendeinem Dienst, Webshop, Diskussionsforum etc bestehend aus eMail-Adresse und Kennwort in einer der „bösen“ Listen steht. Sie erfahren nicht, welcher Account; erstens weil diese Info z.T. nicht in den Listen steht, zweitens, weil dieses Wissen für weitere Angreifer und Trittbrettfahrer genauso hilfreich wäre wie für Sie.

Puh, ich stehe nicht auf der Liste … was heißt das jetzt?

Alles und nichts. Sie wissen jetzt nur, dass keiner Ihrer Online-Accounts bei irgendeinem Dienst, Webshop, Diskussionsforum etc bestehend aus eMail-Adresse und Kennwort in einer der Listen steht. Sie wissen aber nicht, ob irgendwo da draußen nicht doch irgendeines Ihrer Kennworte bekannt ist.
Kurzum: Es könnte eine Liste geben, die noch nicht bekannt wurde.

Also wie jetzt? Es herrscht doch gerade aktuelle Panik?

Wir sehen also:

Wer für etliche Online-Dienste dasselbe Kennwort verwendet, hat eigentlich stets Grund zur Panik. Jeden Tag, jede Minute, jede Sekunde … und nicht nur jetzt, wenn es irgendeine besonders große Liste effektvoll in die Medien schafft.
Denn: Solche „Datenreichtümer“ – in kleinerem Umfang – gibt es wahrscheinlich jeden Tag.

Das Schulkind und der Generalschlüssel im Schulranzen

Könnten Sie ruhig schlafen, wenn Ihr Kind den Generalschlüssel jeden Tag mit in die Schule nimmt, der für Haustür, Tresor, Bankschließfach, Briefkasten und den Auto-Anlasser passt? Was ist, wenn Ihr Kind den Schlüssel verliert?

Wäre es nicht besser, Ihr Kind bekäme nur jenen Schlüssel mit in die Schule, der zur Haustür passt, sonst aber zu nichts anderem?

Ja aber es wäre doch am sichersten, das Kind nähme überhaupt keinen Schlüssel mit in die Schule? Sicher ja! Aber mit dieser Denkweise dürfte man auch keinen Online-Dienst nutzen oder nur solche, bei denen die Nutzung als Gast oder Nutzername und Kennwort möglich ist. Oder man müsste im örtlichen Einzelhandel kaufen anstatt alles – von Büchern, Pizza über Klopapier bis hin zu Fahrrädern, Waschmitteln, Autoreifen und Möbeln – im Internet zu bestellen. 🙂 🙂

Wer für Online-Dienste immer ein anderes (und möglichst komplexes) Kennwort verwendet, schläft ruhiger. Man kann dann zwar auch nie sicher sein, dass nicht dochmal ein Kennwort abhanden kommt; da es aber nur zu einem Dienst passt, ist der potentielle Schaden minimiert.


Ich stehe auf der Liste … was muss ich tun? (2)

Da die Liste NICHT aussagt welches Ihrer Benutzerkonten betroffen ist, haben Sie nur folgende Möglichkeiten

1) Sie unternehmen nichts und hoffen, das nichts passiert (keine gute Wahl)

2) Sie ändern bei allen Online-Diensten, bei denen Sie Ihre auf der Liste stehende eMail-Adresse als Benutzername verwendet haben, die Kennworte. (sehr aufwändig)

3) Zwischenweg: Sie ändern bei kritischen Online-Diensten, bei denen Sie Ihre auf der Liste stehende eMail-Adresse als Benutzername verwendet haben, die Kennworte. Das wären primär Zahlungsdienste oder Internet-Dienste, bei denen Sie Zahlungsinformationen hinterlegt haben (z.b. Online-Shops, wo Ihre IBAN oder Kreditkartennummer für den Bezahlvorgang) gespeichert ist.

4) Löschen Sie alle nicht mehr benötigten Zugänge beim jeweiligen Anbieter, beispielsweise bei Online-Shops, bei denen Sie nur einmal haben und seitdem nie wieder. Oder auf Diskussionsforen, die Sie nicht mehr besuchen. Was dort nicht mehr herumliegt, kann auch nicht abhanden kommen. Dummerweise kann man sein Konto meist nicht selbst stilllegen, sondern muss den jeweiligen Anbieter darum bitten. Ein Verweis auf die DSGVO (und das dortige Recht auf Löschung) bietet hier ggf. das nötige Druckmittel.


Muss ich mein Online-Banking sperren lassen?

Ich glaube eher nicht; denn mir ist kein Online-Banking bekannt, bei dem man sich mit seiner eMail-Adresse als Benutzername anmelden muss. Es kann aber nicht schaden, routinemässig 1-2 mal im Jahr das Kennwort für Online-Banking, Paypal, Amazon, ebay und Co selbst zu ändern.
Generell gilt (unabhängig vom aktuellen Vorfall): Halten Sie mindestens einmal pro Woche die Bewegungen auf allen ihren Konten, Depots etc im Auge.

Muss ich mein email-Konto sperren lassen oder dessen Kennwort ändern?

Wie bereits gesagt; wenn Ihre eMail-Adresse auf der Liste steht, heißt das nicht automatisch, dass das Kennwort für Ihren eMail-Zugang betroffen ist.

Muss ich mein DSL-Kennwort ändern? Mein WLAN-Kennwort? Mein Routerkennwort?

Wenn Sie für o.g. Dinge ein Kennwort nutzen, das sie auch anderweitig z.b. für Internetdienste, Onlineshops, Anmeldeseiten etc verwenden bzw. irgendwann mal verwendet haben, dann ja.

Kann ich herausfinden, ob ggf. eines meiner Kenworte im Klartext auf einer der Listen steht?

Ja, das geht. Troy Hunt hat hierzu ein Online-Formular erstellt. Dort geben Sie eines Ihrer Kennworte ein und erhalten die Info ….. äh … Moment mal, wir geben auf einer fremden Internetseite ein eigenes Kennwort ein, um zu prüfen, ob jemand anderes das Kennwort aus einer „öffentlichen“ Liste entnehmen kann? Entscheiden Sie selbst, ob Sie dies prüfen wollen.

Ich habe auf einem Diskussionsforum / einem Onlineshop „Passwort vergessen“ oder „Passwort ändern“ angeklickt und erhielt eine Bestätigungsmail, die das Passwort im Klartext auflistet.

Böses Foul, eventuell speichert dieser Internetdienst ihr persönliches Anmelde-Kennwort für Ihren dortigen Online-Account im Klartext. Dies ist ein NoGo. Nehmen Sie freundlich und höflich Kontakt mit den Betreibern der betreffenden Internetseite auf. Wenn Sie dort keine Auskunft erhalten, melden Sie dies ggf. bei einer Datenschutzbehörde.


Herr Weis, Sie haben gut reden … Sie sind ja sicher nicht betroffen!

Doch bin ich; jedoch nur mit einer alten Mailadresse, die über 20 Jahre alt ist und die ich nur für „banale“ Online-Dienste nutzte.

Auch ein uraltes Passwort, das ich seit 15-20 Jahren nicht mehr nutze, taucht auf der Kennwortliste auf. Dieses habe seinerzeit nur für Diskussionsforen verwendet; vermutlich wurde irgendwann mal ein Diskussionsforum geknackt, dass die Kennworte im Klartext speicherte. Dinge wie Internetforen und Blogs werden – auch heute noch – gerne mal per Mausklick installiert, mit Drittanbieter-Addons vollgepackt, in Betrieb geommen und danach technisch kaum weitergepflegt.

Da ich mir seit jeher notiere, auf welchen Onlinediensten ich mit welcher eMail-Adresse registriert bin, ist es wieder mal an der Zeit, diese Liste durchzugehen und alle nicht mehr benötigten Zugänge beim jeweiligen Anbieter zu löschen. Leider kann man das meist nicht selbst tun, sondern muss per email darum bitten.

Troy Hunt schreibt in seinem Artikel übrigens auch, dass er auch von sich Daten in den Listen fand.


773 Millionen Accounts betroffen – kein Aufschrei der Politik?

Wo bleibt eigentlich jetzt der Aufschrei derselben Politiker, die jüngst wegen ihrer (meist banalen) Daten (Adressen und Mobilfunknummer) letztens die große Empörungswelle zündeten? …. still und starr ruht der See …. naja,  warten wir mal ab, wenn in 2-10 Jahren Millionen digitale Krankenakten im Internet auftauchen. Da wird das Geschrei dann wieder groß sein; es konnte dann ja keiner ahnen, das a) sowas passiert und b) sich jemand für solche Daten interessiert. 🙂 🙁

 

 

Teilen ...
Dieser Beitrag wurde unter News veröffentlicht. Setze ein Lesezeichen auf den Permalink.