Ist Ihr Passwort nicht schwach oder kompromittiert?
20.07.2021 | Petra Alm
Lassen Sie nicht zu, dass Ihr Leben ein missbrauchtes Passwort kompliziert. Widmen Sie sich dem Sicherheitsniveau Ihrer Passwörter und ändern Sie sie regelmäßig, spätestes im Fall ihrer Kompromittierung. Wir beraten Sie, wie Sie die Passwörter überprüfen können, wie Sie die bloßgedeckten rechtzeitig identifizieren und Problemen ausweichen können.
Wie kann ein Passwort erraten werden?
Ein verratenes Passwort ermöglicht unberechtigten Personen sich zu Ihren Accounts anzumelden. Der Kompromittierung des Passwortes beschuldigen Sie sich nicht – es wurde nämlich nicht direkt auf Ihrem Rechner missbraucht. Fast nie ist es so, dass ein Angreifer den Zugang zu Ihrem Rechner erworben und ihn aufgebrochen hat und ihn auch weiterhin verfolgt. Diese Gedanken sind relevant erst wenn Sie feststellen, dass in einem kurzen Zeitraum mehrere Passwörter geknackt wurden.
Die häufigste Ursache liegt in dem Diebstahl der persönlichen Angaben von Benutzern verschiedener Dienste. Stellen wir uns vor, dass es den Angreifern gelingt, eine Datenbank der Benutzer eines Dienstes zu hacken und zu erwerben (sog. Breach) und dass sie diese Datenbank veröffentlichen. Somit wird Ihr Passwort kompromittiert und die ganze Welt kann es lesen. Einfache Passwörter können darüber hinaus einfach erraten werden.
Überprüfung des Missbrauchs
Ihr Passwort können Sie einfach online überprüfen. Wir schauen uns die öffentlich zugänglichen Tools an, die es können. Die Mehrheit von ihnen funktioniert automatisch und kann ihnen nach der Eingabe Ihrer E-Mailadresse Benachrichtigungen über gefundene Vorfälle, die die gegebene E-Mailadresse oder Passwort enthalten, zusenden.
Das meist bekannte Tool ist have i been pwned. Wenn Sie Ihre E-Mailadresse eingeben, wird Ihnen angezeigt, welche Dienste oder Dienstleister gehackt und welche User-Accounts kompromittiert worden sind. Falls auch Ihr Account aufgelistet ist, halten Sie das Passwort für ein geknacktes und ändern Sie es. Sie kennen das Passwort und wissen, um welches es sich handelt, obwohl es nicht sichtbar ist. Ob Ihre E-Mailadresse in der Vergangenheit nicht geleakt ist, können Sie auch in dem deutschsprachigen Pendant von have i been pwened ermitteln.
In das Tool Pwned Passwords können Sie direkt das Passwort eingeben (Sie müssen nicht nach der E-Mailadresse suchen). Als Ergebnis wird Ihnen mitgeteilt, ob das Passwort ein Opfer des Datendiebstahls (Breach) war und wievielmal dies passierte. Die Datenbank enthält 613 Millionen kompromittierte Passwörter, die früher nachweisbar gestohlen worden sind.
Weitere Dienste für die Überprüfung der Passwort-Kompromittierung (klicken Sie den Link an):
Schwache und sich wiederholende Passwörter entdecken Sie im Manager oder Schlüsselbund
Jeder Passwort-Manager sollte die Kompromittierung des Passwortes überwachen oder vor seinem schwachen Niveau warnen können.
Der bekannte Passwort-Manager Lastpass ermöglicht zahlenden Benutzern nicht nur die Stärke des Passwortes zu beurteilen, sondern auch den eventuellen Diebstahl und Veröffentlichung des Passwortes (Breach) zu überprüfen. Es gibt jedoch auch viele kostenlose online Varianten.
In einigen Systemen werden die Schlüssel in Schlüsselbünden gespeichert und diese unterstützen die oben erwähnten Funktionen. Zum Beispiel der Schlüsselbund in iOS (iPhone) und macOS macht Sie darauf aufmerksam, dass das Passwort schwach ist oder dass es sich in mehreren Diensten wiederholt. Seit der Version iOS14 und macOS Big Sur kann der Schlüsselbund auch kompromittierte Passwörter entdecken (mehr in der Quelle). Wird bei dem gespeicherten Passwort ein Ausrufezeichen angezeigt? Dann ändern Sie es auf jeden Fall.
Es ist natürlich schneller und praktischer, die schwachen und kompromittierten Passwörter in der Liste zu überprüfen, als einzelne Passwörter auszuprobieren.
Nutzen Sie auch die Passwort-Manager oder Schlüsselbünde
Fast jeder nutzt Internet und somit auch so viele online Dienste und Anwendungen, dass es nicht möglich wäre, überall unikale Passwörter zu nutzen und sich zu merken. Falls Sie nicht auf Ihre Sicherheit verzichten und falls Sie nicht nur ein Passwort nutzen möchten, empfehlen wir Ihnen, einen Passwort-Manager zu nutzen und jeden Dienst mit einem separaten Passwort abzusichern. Die Passwort-Manager können Ihnen auch ein starkes Passwort vorschlagen. Diese Funktion ist auch in einigen Browsern integriert. Die künstliche Intelligenz weiß doch besser als der Benutzer, was ein geeignetes und starkes Passwort ist.
Die Cloud-basierten Passwort-Manager bieten selbstverständlich die Möglichkeit an, sich mit 2FA einzuloggen. Falls Sie den Passwort-Manager in Ihrem Handy nutzen werden, steht Ihnen die Biometrik zur Verfügung – ein Fingerabdruck oder Gesichtserkennung. Dies macht den Zugang zum Account um eine weitere Stufe sicherer.
Wirksamer Schutz gegen Knacken ist 2FA
Der Begriff der zweifachen Authentifizierung ist Ihnen bestimmt nicht fremd. Einfach gesagt schafft die 2FA eine zusätzliche Schutzebene – fürs Einloggen reicht das Passwort allein nicht. Es muss noch ein einmaliger Code (OTP) eingegeben werden, welcher unabhängig in dem Gerät generiert wird, welches nur Sie besitzen. Typischerweise handelt es sich um eine Anwendung im Smartphone oder IPhone, die zu jedem gepaarten Dienst ein OTP-Passwort anzeigt, welches für einen nur sehr kurzen Zeitraum gültig ist – es ändert sich automatisch.
Wir wünschen Ihnen viel Glück im Internet ohne Sicherheitsvorfälle.
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de