Erinnern Sie sich noch an alle Kennwörter, die Sie 2012 vergeben haben?

Stefan Finkenzeller

Nein? Nicht nur als LinkedIn-Kunde sollten Sie sich spätestens jetzt Gedanken über die Sicherheit der Zugänge zu Ihren digitalen Identitäten machen. Dem größten Business-Netzwerk ist nämlich das passiert, was anderen Diensten wie Adobe, Tumblr und MySpace zuvor auch schon passiert ist: LinkedIn wurde 2012 gehackt und dabei wurden über 164 Millionen Kombinationen von E-Mail-Adressen und gehaschten Kennwörtern gestohlen. Auch wenn LinkedIn damals sofort reagierte und die eigene Sicherheitslücke schloss, bleibt ein fahler Nachgeschmack.

Der Vorfall wurde nur deshalb bekannt, da die gestohlenen Zugangsdaten im Mai 2016 auf dem Schwarzmarkt auftauchten. Das katastrophale daran ist, dass LinkedIn damals die Kennwörter offenbar mit einem sehr unsicheren Verfahren (einfacher SHA-1 Hash ohne Salt) gespeichert hatte, bei dem mit heutiger Hardware binnen kurzer Zeit das ursprüngliche Kennwort berechnet werden kann. Somit gelten diese Kennwörter im Internet als „verbrannt“, da sie bei neuen Hacks nun bevorzugt getestet werden [1].

Gewohnheitstier „Mensch“

Da der Mensch ein Gewohnheitstier ist, dürfte der eine oder andere noch Kennwörter von damals – auch bei anderen Diensten – nutzen. Na, zerbrechen Sie sich schon den Kopf, welches Kennwort Sie damals verwendet haben?

Bekanntestes Opfer ist wohl Facebook-Gründer Mark Zuckerberg, dessen alte Twitter- und Pinterest-Accounts mit den gestohlenen LinkedIn-Daten gehackt wurden [2].

Mich ärgert das verantwortungslose Verhalten von Firmen, die so sorglos mit den schützenswerten Daten ihrer Nutzer umgehen. Die Sicherheit des Internets hängt in erster Linie von der Sicherheit ihrer Dienste ab. Und dies wird wiederum maßgeblich davon beeinflusst, wie wichtig dies für die Firmen ist. Dabei ist das gar nicht so schwer. Die OWASP hat hier eine Fülle von Tipps [3], wie man Internet-Dienste sicher gestalten kann.

Tipps für mehr Sicherheit

Aber auch Sie selbst können mit einigen Maßnahmen Ihre Sicherheit im Internet erhöhen.

  1. Verwenden Sie möglichst unterschiedliche Kennwörter für jeden Dienst. Um sich die Vielzahl von Zugangsdaten zu merken, eignen sich Tools, wie z.B. der Kennwortsafe KeePass [4]  der Ihre Kennwörter sicher verwahrt. Zudem bietet dieses Tool auch die Möglichkeit sichere Kennwörter zu generieren.
  2. Nutzen Sie für besonders sensible Dienste eine 2-Faktor-Authentifizierung. Hierbei wird neben Benutzerkennung und Kennwort („Wissen“) noch ein 2. Faktor („Besitz“) abgefragt, der meistens an ein Gerät oder an eine Liste gebunden ist. Sie kennen dies sicher von der TAN-Liste bei Online-Banking. Gängige Verfahren sind hier SecurID von RSA oder der GoogleAuthenticator.
  3. Registrieren Sie Ihre E-Mail-Adresse bei Diensten, die Sie zeitnah darüber informieren, wenn Ihre E-Mail-Adresse / Benutzerkennungen in einschlägigen Hacker-Foren auftauchen (z.B. https://haveibeenpwned.com/)

LINKS

[1]   http://arstechnica.com/security/2016/06/how-linkedins-password-sloppiness-hurts-us-all/ [02.08.16]

[2]   http://heise.de/-3227274 [02.08.16]

[3]   https://www.owasp.org/index.php/Germany/Projekte/Top_10_fuer_Entwickler [02.08.16]

[4]   http://keepass.info/index.html [02.08.16]

Stefan Finkenzeller

Kommentar schreiben