Immer wieder gibt es Nachrichten, dass Millionen von Passwörtern gehackt worden sind. Nachdem diese Neuigkeiten kurzzeitig die volle öffentliche Aufmerksamkeit erhalten, gerät die Angelegenheit aber schnell wieder in Vergessenheit. Fast so, als sei das ein einmaliger Vorfall, der sonst nicht mehr passiert. Im Grunde ist das ja normal. Und wenn uns Medien und Unternehmen andauernd weismachen, dass unsere Daten sicher sind (Verschlüsselung, Fingerabdrücke, etc.), fühlen wir uns sicher. Wir denken dann nicht mehr daran, dass ständig neue "gute" Technologien von "schlechten" Menschen gehackt und missbraucht werden können.
Wurden auch Sie gehackt? Es gibt einige Toolanbieter am Markt, welche Datenbanken mit geklauten Identitätsdaten durchsuchen. Wir haben mehrere davon getestet: Der HPI Identity Leak Checker auf Deutsch und Englisch und haveibeenpwned in Englisch.
HPI Identity Leak Checker
Der HPI Identity Leak Checker fragt Ihre E-Mail-Adresse ab und schickt Ihnen kurz darauf eine E-Mail an genau diese Adresse. Bei einer "sauberen" E-Mail-Adresse erhalten Sie diese E-Mail:
Sofern Ihre E-Mail-Adresse in der Datenbank der geklauten Identitätsdaten gefunden wurde, erhalten Sie eine E-Mail, die so aussieht:
Sie sehen, dass mehrere Konten betroffen sind. Im obigen Fall sind aber nur Passwörter gehackt worden und nicht etwa empfindliche Bankkontodaten.
haveibeenpwned
Das englische Tool haveibeenpwned arbeitet ähnlich, zeigt aber die Ergebnisse nach einiger Zeit direkt auf der Seite. Sie müssen auch hier lediglich Ihre E-Mail-Adresse eingeben:
Nach der Analyse sehen Sie z. B. so ein Bild:
Sie sehen, dass dieselben Online-Dienste angezeigt werden. Dazu kommt aber noch das Bitcoin Security Forum. Sehr schön ist die Lösung, dass man sich E-Mails schicken lassen kann, sollte die eigene E-Mail-Adresse später in der Datenbank auftauchen. Auch interessant sind die Informationen zu den einzelnen Diensten.
Hier sollten Sie auf die Webseiten der einzelnen Anbieter gehen und umgehend Ihr Passwort ändern. Kleiner Tipp: Falls Sie das ein oder andere Online-Konto nicht mehr benötigen, wäre jetzt auch ein guter Zeitpunkt, es zu löschen.
Sichere Passwörter
Fakt ist: Unsere Daten sind nicht zu 100% sicher. Zu keinem Zeitpunkt, bei keinem Anbieter. Aber wir können etwas tun, um sie sicherer zu machen und das ist ziemlich simpel: Regelmäßige Passwortänderungen. Doch wie soll man sich denn ein 10 Zeichen langes Passwort merken, das Zahlen, Großbuchstaben und Sonderzeichen enthalten soll? Die Anforderungen an ein Passwort sind heute sehr streng. Beispielsweise:
- Groß- und Kleinschreibung mischen
- Zahlen verwenden
- Sonderzeichen verwenden
- Das Passwort nicht noch woanders verwenden
- Keine Namen oder Geburtsdaten von wichtigen Personen, Haustieren oder Prominenten verwenden
- uvm.
Das klingt nach viel Arbeit! Aber wir zeigen Ihnen einen Weg, wie Sie ganz einfach verschiedene, einzigartige und sichere Passwörter erstellen, die Sie sich sogar merken können. Das Stichwort lautet "Algorithmus". Ein Algorithmus ist in diesem Fall ein Schema, nach dem Ihre Passwörter erstellt werden.
Das Schema könnte so lauten: _J4_90xXrtZ_81?f, wobei die Unterstriche jeweils Platzhalter für andere Buchstaben oder Zahlen darstellen. Beispielsweise könnten diese Buchstaben aus den Namen der Anbieter stammen. Nehmen wir an, Sie haben ein Google-Konto, sind bei iTunes und amazon und außerdem noch ebay Kunde. Sie benötigen also 4 Passwörter, die sicher sind und den oben genannten Anforderungen entsprechen. Mit dem beispielhaften Algorithmus und den Buchstaben des Namens des Anbieters ergeben sich dann diese einzigartigen Passwörter:
| gJ4o90xXrtZe81?f | |
| iTunes | iJ4t90xXrtZs81?f |
| amazon | aJ4m90xXrtZn81?f |
| ebay | eJ4b90xXrtZy81?f |
Die Platzhalter wurden so ausgefüllt: Erster Buchstabe, zweiter Buchstabe, letzter Buchstabe des Namens des Anbieters.
Der Algorithmus kann für jedes Online-Konto verwendet werden, sodass Sie sich nur ein Passwort und Ihr Platzhalterschema merken müssen.
Selbstverständlich kann Ihr Algorithmus noch viel komplexer werden. Sie können z. B. Zahlen in Buchstaben umformen, je nachdem, welchen Platz der Buchstabe im Alphabet hat (g wäre 7).
Wichtig ist, dass Sie Ihren Algorithmus kennen. Und auch wenn diese Passwörter jetzt sicher sind, sollten Sie Ihren Algorithmus regelmäßig ändern und neue Passwörter vergeben.
Weitere Sicherheits-Informationen speziell für Drupal Entwickler finden Sie in unserem aktuellen Blogpost Top 10 Security Tipps & Tricks für Entwickler (Drupal 8)
