ICH bin doch nicht schuld, wenn MEIN PASSWORT gehackt wird!

ICH bin doch nicht schuld, wenn MEIN PASSWORT gehackt wird!





JETZT REICHTS! Der größte Hack der Geschichte veröffentlicht
gerade, in diversen Tranchen, Millionen (oder sind es schon
Milliarden?) von email-Adressen, Passwörtern, Nutzernamen.
Klar, ich habe Euch in meinem letzten BlogPost die heutzutage
minimale Anforderung an sichere Passwörter und erschwerende
Login-Bedingungen nahe gelegt - aber: das MILLIONEN
ZUGANGSDATEN FREI IM NETZ LIEGEN, IST NICHT MEINE/UNSERE
SCHULD!!!!!!!!!! WIRKLICH NICHT!!!!!!!!!!!!!einself!!!!!


Collection #1 hätte uns aufschrecken sollen. In den letzten
Wochen wurden dreistellige Millionen von email-Adressen und
damit verbundene Passwörter offen zum Download im Internet
angeboten. Mittlerweile ist mit Collection #5 (oder war es
schon #7) und immer noch kein Ende in Sicht.


Klar, ein paar der Zugangsdaten sind hoffentlich veraltet, da
sie aus früheren Hacks stammen und nur zusammengefasst wurden.
Das absolute Risiko der aktuellen Bereitstellung ist
allerdings, dass die Kombinationen so zusammengestellt worden
sind, dass man sie vollautomatisiert mit einem Script abrufen
und auf der jeweiligen Webseite weiter geben kann - somit
lassen sich in Sekunden hunderte von Zugangsdaten auf Echtheit
bzw. Funktionalität testen.


Ich hatte in meinem letzten BlogPost zur Nutzung eines
Passwort-Managers und der Zwei-Wege-Authentifizierung
aufgerufen. Viele machen das bereits, auch schon seit Jahren -
aber eben immer noch nicht JEDER!


Aber das ist nur die halbe Miete - und die andere Hälfte
prangere ich heute offen und ganz deutlich an: Anbieter, die
sich einen DRECK um Datensicherheit kümmern!


 


Ja, es ist an sich undenkbar, aber es passiert täglich:
Man logt sich bei seinem email-Anbieter ein: und sieht
plötzlich Mails, die jemand anderem gehören.
Beim Verwalten seines gemieteten Servers kommt man plötzlich in
das root-Verzeichnis und findet im Klartext gespeicherte
Login-Passwort-Kombinationen des aktuellen Kundenstamms.
Oder man fordert seine Alexa-Sprachprotokolle ab und erhält
neben den eigenen auch fremde Auswertungen - die noch dazu so
offen und detailliert vorliegen, dass man auf die andere Person
mit Leichtigkeit schließen kann.


Und die Liste der Beispiele könnte noch beliebig weit weiter
gehen! Wir erfahren ja immer nur die Sicherheits"brüche", die
entweder bei den großen, bekannten und weltumspannenden
namhaften Unternehmen passieren oder wenn wieder ganze Listen
und Sets von Login-Kombinationen auftreten - oder wenn jemand
einen Weg findet, mit Facetime sein Gegenüber zu belauschen,
obwohl der noch gar nicht abgehoben hat.


 


Aber eins ist dem allen immer gemein: ALLE VERSUCHEN IMMER NOCH
DIE SICHERHEITSBRÜCHE IM ERSTEN ANLAUF ZU VERTUSCHEN, KLEIN ZU
REDEN ODER SCHLICHTWEG ZU VERHEIMLICHEN!


Damit muss endlich Schluss sein! Schlimm genug, dass wir
namhaften Anbieter unsere wichtigsten Daten anvertrauen MÜSSEN,
um den "kompletten" Service convenient benutzten ZU KÖNNEN!


Um es ganz offen zu sagen: Ich nichts dafür, nein, es IST
SCHLICHTWEG NICHT MEIN PROBLEM, wenn mein Anbieter, egal wie er
heißt, gehackt wird. Wer meine Kreditkarte dauerhaft speichern
will, da ich sonst den Service nicht nutzen kann, hat
gefälligst zu HAFTEN, wenn meine Nummer plötzlich im Web steht,
der Account gehackt wurde oder sonst irgendwie meine Daten
verschwunden sind.


Von uns werden sichere Passwörter verlangt - zu Recht! Und
damit loggen wir uns bei immer noch nur "http"-Verbindungen
ein? Oder https mit angelaufenen Zertifikaten? Gehts
noch?!?
Oder es werden keine Passwörter mit Sonderzeichen akzeptiert?
Darf das 2019 überhaupt noch wahr sein, dass man in der Länge
oder den Zeichen restriktiert wird? WIRKLICH?


Ich übernehme maximal die Verantwortung, dass EIN Account von
mir gehackt wurde! Schließlich halte ich mich an die Schritte,
die ich in meinem letzten BlogPost veröffentlicht habe! Wenn
also ganze Listen an email-Passwort-Kreditkarten-Information im
Netz auftauchen, sollte der Betreiber eine ordentliche hinter
die Ohren bekommen! Schadenersatz, Aufwandsentschädigung der
User für die ganzen Passwort-Änderungen und
Kreditkarten-Neubestellungen. Und auch eine generelle Strafe in
einer Höhe, die wirklich richtig weh tut und anteilig erlassen
wird, wenn die interne Sicherheit umgehend aufgestockt und
durch einen kompetenten neu einzustellenden Mitarbeiter ab
sofort zusätzlich sicher gestellt wird. Oder, oder, oder...


 


Ergänzend zu den Schritten für Eure eigene Passwort-Sicherheit
gilt es also noch zu ergänzen:


Schritt 8:
Verabschiede Dich von Anbietern, die kein "https" oder ein
damit verbundenes gültiges Zertifikat besitzen. Nimm diese
Warnungen Deines Browsers ernst, Google's Chrome ist hier
eiskalt und setzt den Maßstab hierfür!
Wenn Du noch bei einem Anbieter bist, dem absolut
offensichtlich die Sicherheit Deiner Daten schlichtweg
SCHEIßEGAL sind - Account löschen und nicht mehr wieder
kommen!

Schritt 9:
Einschlägige Tech-Blogs oder Zeitschriften berichten immer
sehr zeitnah über Sicherheitsbrüche. Das ist dann Eure
Startzeichen! Bin ich dabei? Egal, sofort das Passwort
ändern:  bei email-Account und dem Online-Dienstleister!
Kreditkarte und Konto prüfen! Ein bisschen Schizophrenie tut
hier Not, um auf der sicheren Seite zu sein!

Schritt 10:
Verlass Dich nicht auf Versprechungen! 100%-ige Sicherheit
gibt es heutzutage nicht mehr, das sind lediglich
Momentaufnahmen! Auch das Zwei-Wege-Verfahren wird mit
Sicherheit irgendwann geknackt und dann von sechs- auf
achtstellig erhöht werden und einen neuen Unterbau bekommen.
Erste SMS-Versand-Dienste als Login-Codes sind bereits
gehackt worden und gelten nicht mehr als sicher - obwohl man
früher immer gesagt hat, dass es keinen sicheren Weg gibt!



 


Damit ist mein Mehrteiler zum Thema Passwort-Sicherheit (erst)
einmal vorbei! Sicherheit klappt nur, wenn beide Seiten, Du und
Dein Anbieter, das Thema mit dem notwendigen Ernst anpassen:
aktuelle Software nutzen, sei es Browser oder die
Apache-Installation. Zwei-Wege-Logins bieten und
unterschiedliche Passwörter nutzen. Stand der Dinge sichere
Passwörter vergeben, 15+ Zeichen mit allem, was die Tastatur
her gibt und keine Kombinationen oder Abkürzungen - und das auf
der anderen Seite auch zulassen!


Und dann noch der gesunde Menschenverstand!
Eine .de-Seite MUSS nicht von Deinem Nachbar betrieben werden!
Die kann irgendwo auf der Welt liegen, selber gehackt worden
sein oder schlicht bewusst als Betrug aufgebaut worden sein!
Daher: Produkte gibt es immer irgendwo anders günstiger - aber
ein Schnäppchen, das auf einer ominösen und unbekannten
Webseite hunderte(!) von Euros günstiger sind, das KANN NUR ein
Fake sein! Wer es genau wissen will: Google hilft, was es über
den Anbieter zu sagen gibt! Und ja, NUR fünf-Sterne-Bewertungen
sind auch nicht mehr real, heutzutage.


 


Auf dass ihr mit den Tipps erfolgreich und sicher durch das
heutige WWW kommen möget - und Euch der Rhythmus der
Passwort-Wechsel in Fleisch und Blut übergehen möge... und
natürlich unsere Anbieter auf der anderen Seite nicht an den
falschen Stellen sparen!


 


Ach ja, PS: Auf die deutsche Regierung, wie diverse Hacks und
EDV-Pannen der letzten Zeit beweisen, zu verlassen und auf mehr
Sicherheit oder Kompetenz von den diversen zuständigen Stellen
zu erwarten, IST EIN FEHLER!!! Egal, wie man es dreht und
wendet: Für Deine Online-Sicherheit bist nur Du alleine
verantwortlich! Hier kann Dir sonst keiner helfen, nicht wahr,
Herr "Internet seit 1812" Seehofer?!


 


 


 
Meinen PodCast abonnieren: | direkt | iTunes | Spotify |

 

Folge direkt herunterladen