Die Kompromittierung von Passwörtern: Warum sie passiert und wie Sie sie verhindern können
Jedes Jahr veröffentlicht NordVPN eine auf einer riesigen 3-TB-Datenbank aus 30 Ländern basierende Liste der 200 gängigsten Passwörter. Im Jahr 2022 belegte „Passwort“ den ersten Platz, was ein ernüchterndes Zeugnis für die Passworthygiene rund um den Globus ausstellt – insbesondere im Hinblick auf die Tatsache, dass es schätzungsweise 1 Sekunde oder weniger dauert, 169 der 200 aufgeführten Passwörter herauszufinden.
Was also bedeutet der Begriff „kompromittiertes Passwort“ und wie werden Passwörter kompromittiert? Wie können Sie überprüfen, ob ein Passwort kompromittiert wurde, und welche sofortigen Schritte können Sie in diesem Fall unternehmen, um den Schaden gering zu halten? Wir sind hier, um Ihnen die Antworten auf diese Fragen zu geben sowie Beispiele für schwer zu knackende Passwörter und bewährte Verfahren für das Erstellen, Speichern und Teilen sicherer Passwörter vorzustellen.
Was ist ein kompromittiertes Passwort – und wie häufig kommt dies vor?
Wir sehen ein Passwort als kompromittiert an, wenn es in einer dokumentierten Datenschutzverletzung auftauchte und als Ergebnis davon online veröffentlicht oder im Darknet verkauft wurde. Dies ist viel häufiger der Fall, als Sie vielleicht annehmen.
Laut einer Studie des Developers für Passwort-Manager-Plattformen Dashlane werden nahezu 20% von Passwörtern gehackt. Der durchschnittliche Wert für Passwortsicherheit weltweit fällt in die Kategorie „verbesserungswürdig“. Das bedeutet, dass Passwörter schwach sind oder kompromittiert oder wiederverwendet wurden.
Noch besorgniserregender ist jedoch die Tatsache, dass rund um den Globus mehr als die Hälfte aller Passwörter (51%) wiederverwendet werden – ein Ergebnis derselben Studie. Der durchschnittliche US-Bürger besitzt 70-80 Online-Konten, sodass bereits ein kompromittiertes Passwort Hackern Tür und Tor zu Dutzenden von Konten öffnen kann.
Wie werden Passwörter kompromittiert? Eine Erklärung der 5 gängigsten Methoden
1. Credential Stuffing
Im Zuge einer Credential-Stuffing-Attacke geben Hacker erbeutete Zugangsdaten in die Anmeldeseiten verschiedener Webseiten und Anwendungen ein, um so Zugriff auf Konten zu erhalten. Dies funktioniert häufig so gut aufgrund der – Sie haben es erraten – Frequenz der wiederverwendeten Passwörter. Tatsächlich spielten laut Verizons Data Breach Investigations Reportim Jahr 2021 bei 61% aller Datenschutzverletzungen Zugangsdaten eine Rolle. 95% der Unternehmen, die Opfer eines Credential-Stuffing-Angriffs wurden, sahen sich mit zwischen 637 und 3,3 Milliarden böswilligen Anmeldeversuchen konfrontiert.
2. Password-Spraying
Passwort-Spraying bezieht sich auf einen Typ von Brute-Force-Angriffen, bei dem böswillige Individuen ein einzelnes gängiges Passwort für mehrere Konten in derselben Anwendung testen und anschließend zur nächsten Anwendung wechseln. Diese Taktik ist ein weiterer Favorit von Hackern, da sie das Problem der Kontosperrung umgeht, die reguläre Brute-Force-Attacken aufgrund der wiederholten Eingabe verschiedener Passwörter für ein einzelnes Konto auslösen können. Selbstverständlich gilt auch hier, dass je voraussagbarer die von den Nutzern gewählten Passwörter sind, desto anfälliger sind sie für Passwort-Spraying-Kampagnen.
3. Phishing
Wie wir bereits in einer früheren detaillierten Erörterung von Phishing-Betrügereien erklärt haben, beginnen Phishing-Attacken gewöhnlich mit einer E-Mail, die vorgibt, eine 08/15 Massen-E-Mail eines legitimen Unternehmens zu sein, und Sie darum bittet, Ihre persönlichen Informationen über eine Antwort-E-Mail oder auf der Webseite des Unternehmens zu aktualisieren oder verifizieren. Auf den ersten Blick sehen viele dieser E-Mails täuschend echt aus, erklärt die Verbraucherzentrale. Die Internetadresse mag vertraut aussehen und die Nachricht überzeugend genug erscheinen, um Sie zum Handeln zu bewegen. Sobald Sie jedoch auf den bereitgestellten Link geklickt haben, werden Sie auf eine gefälschte Webseite weitergeleitet, deren einziger Zweck es ist, sensible Informationen – einschließlich Passwörter – zu stehlen.
4. Keylogging
Ein Keylogger, der auch Keystroke Logger oder Keyboard Capture genannt wird, ist eine Form von Überwachungstechnologie, die jeden Tastenanschlag auf einem Computer oder Smartphone protokolliert. Im Grunde genommen ist ein Keylogger das EDV-Äquivalent zu einem Abhörgerät, da es anstatt Gesprächen Tastatureingaben aufzeichnet – weshalb das Gabler Wirtschaftslexikon ihn auch als „Tasten-Rekorder“ bezeichnet. Sobald er über Schadsoftware – wie dies oft der Fall ist – auf einem Gerät installiert wurde, wird ein Software- Keylogger die protokollierten Tastaturaktivitäten an die Hacker senden, die sie dann nutzen können, um auszuknobeln, welche Tastaturanschläge Ihre Passwörter ergeben.
5. Shoulder surfing
Shoulder Surfing ist die technische einfachste aller Hackermethoden und bezieht sich darauf, dass jemand physisch anwesend ist und durch einen Blick auf den Bildschirm oder das Keypad Ihres Geräts persönliche Informationen wie eine PIN, eine Kreditkartennummer oder Anmeldedaten mitliest, um diese zu stehlen. Dies kann buchstäblich geschehen, indem der Hacker dem Opfer über die Schulter schaut, oder mithilfe von „Hardware“ wie Ferngläsern oder eine Mini-Videokamera. Im Zuge einer NYU-Studiegaben 73% der befragten Handynutzer an, dass sie die PIN einer anderen Person mitgelesen haben, selbst wenn dies nicht unbedingt mit bösen Absichten erfolgte.
Wurde mein Passwort kompromittiert? So finden Sie offengelegte Passwörter
Dies ist eine berechtigte Frage – besonders wenn man bedenkt, dass allein im Jahr 2021 mehr als 2 Milliarden Datensätze mit Benutzernamen und Passwörtern kompromittiert wurden, laut eines Berichts des Entwicklers für Identitätsmanagementlösungen ForgeRock. Hier finden Sie eine Liste von Tools, die Sie nutzen können, um zu prüfen, ob Ihr Passwort ebenfalls in einem Datenbankdump endete, der die Folge einer Sicherheitsverletzung war.
1. Have I Been Pwned
Have I Been Pwned (kurz HIBP) wurde 2013 vom australischen Sicherheitsexperten Troy Hunt entwickelt und ist eine verlässliche Quelle für Internetnutzer, die herausfinden möchten, ob ihre persönlichen Informationen offengelegt wurden. Geben Sie Ihre E-Mail-Adresse oder Handynummer ein, um zu sehen, ob diese in bekannten Sicherheitsvorfällen auftauchten und in welchem Ausmaß dies der Fall war. Darüber hinaus können Sie sich auch registrieren, um via E-Mail über das Erscheinen Ihrer persönlichen Informationen in zukünftigen Dumps benachrichtigt zu werden.
2. Googles Tool zur Passwortprüfung
Chrome-Nutzer können schnell und einfach herausfinden, ob die von ihnen in ihrem Google-Konto gespeicherten Passwörter offengelegt wurden, schwach sind oder für mehrere Konten verwendet werden, indem Sie eine Passwortprüfung ausführen. Googles Passwortprüfung, die auch in Android-Handys mit Android 9 oder höher integriert ist, vergleicht die gespeicherten Zugangsdaten mit einer Online-Datenbank bekannter Datenschutzverletzungen und testet neue Einträge auf Übereinstimmungen.
3. Apples Sicherheitsempfehlungen
Dieses iOS-Feature wird Sie darauf aufmerksam machen, wenn eines Ihrer Passwörter kompromittiert wurde, gestärkt werden sollte oder in eine Datenschutzverletzung verwickelt war. Um die Sicherheitsempfehlungen zu aktivieren, öffnen Sie die „Einstellungen“ auf Ihrem iPhone oder iPad, tippen Sie auf „Passwörter“, entsperren Sie Ihr Gerät, tippen Sie anschließend auf „Sicherheitsempfehlungen“ und aktivieren Sie dann die Option „Kompromittierte Passwörter erkennen.
Sobald Sie damit fertig sind, werden Sie eine Liste von dringenden und weiteren Empfehlungen sehen. Erstere beinhaltet Passwörter, die im Zuge einer Datenschutzverletzung offengelegt wurden und bietet Ihnen die Möglichkeit, diese auf der Webseite des jeweiligen Anbieters zu ändern oder von Ihrem Gerät zu löschen. Letztere führt Passwörter auf, die geändert werden sollten, weil sie wiederverwendet wurden oder einfach zu erraten sind.
Was ist ein sicheres Passwort? Eine Definition und wie Sie Passwörter sichern
Laut dem Bundesamt für Sicherheit in der Informationstechnik sollte Ihr Passwort bestimmte Qualitätsanforderungen erfüllen und immer nur für einen Zugang genutzt werden, damit es für Hacker schwer zu erraten oder zu knacken ist. Hacker testen mithilfe von Tools verschiedene Zeichenkombinationen und gängige Aneinanderreihungen von Wörtern und Ziffern, um das korrekte Passwort herauszufinden. Kurze und einfache Passwörter, die nur aus Buchstaben und Zahlen bestehen, werden einem Hackerangriff nur für wenige Sekunden standhalten.
Wie erstellt man ein sicheres Passwort? 5 wichtige Eigenschaften
Um ein sicheres Passwort zu generieren, sollten Sie Folgendes sicherstellen:
- Es sollte mindestens 12 Zeichen lang sein – je länger, desto besser.
- Es sollte Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten.
- Es sollte keine persönlichen Informationen wie einen Namen beinhalten.
- Es sollte nicht zur Anmeldung für eines Ihrer anderen Konten verwendet werden.
- Es sollte keine sich leicht zu merkenden Tastaturpfade wie „QWERTZ“ beinhalten.
Beispiele für sichere Passwörter: Passwortideen und Beispiele für starke Passwörter
1. T3jMX-VLNho^!=cS
Warum funktioniert es? Es enthält mehr als 12 Zeichen, einschließlich Groß- und Kleinschreibung, Zahlen und Sonderzeichen, ohne irgendein logisches oder wiedererkennbares Muster.2. c|o|\|+5pen|>+oOmUcH
Warum funktioniert es? Es ist eine Passphrase („nicht zu viel ausgeben“), die auf die Webseite, für die sie verwendet wird, abgestimmt ist (z. B. eBay oder Amazon) und aus einer Mischung von Groß- und Kleinschreibung, Sonderzeichen und Zahlen besteht.
3. IHAv3@FeElinGvveR3n()T!nKAn$A5AnYm()re
Warum funktioniert es? Es vermischt ein sich einfach einzuprägendes Filmzitat („Ich habe das Gefühl, wir befinden uns nicht mehr in Kansas“) mit Zahlen, Sonderzeichen und Zeichensetzung.
Sicheres Passwortmanagement: So teilen und speichern Sie ein Passwort auf sichere Weise
Das Teilen von Passwörtern mag sich nach einer Schnapsidee anhören, die zweifelsohne zu einer Cybersicherheitskatastrophe führen wird. Das muss jedoch nicht immer der Fall sein. Tatsächlich kommt es sehr häufig vor, z. B., wenn Mitglieder des gleichen Social-Media-Teams eines Unternehmens sich beim Anmelden in verschiedenen Firmenkonten abwechseln, um dort etwas zu posten.
Wie also können Sie Passwörter sicher teilen? Nutzen Sie einen sicheren Passwort-Manager oder einen Clouddienst, der Ende-zu-Ende-Verschlüsselung bietet.
Passwort-Manager sind Softwareanwendungen, die Sie auf Ihren Geräten und als Browsererweiterung installieren können, um all Ihre Online-Anmeldedaten sicher an einem Ort zu speichern und zu verwalten. Sie sind mit einem Generator für starke Passwörter ausgerüstet und gestatten es Nutzern, die Kombination eines Benutzernamens und Passworts mit Kollegen oder ganzen Teams zu teilen. Darüber hinaus bieten sie Admins Einblicke darin, wer auf welche Passwörter in dem sicheren Passwort-Tresor zugegriffen hat und wie stark die gespeicherten Passwörter sind.
Ende-zu-Ende-Verschlüsselung wird oft als der Goldstandard für die Kommunikationssicherung gepriesen. Sie bietet die höchste Datenschutzebene, da sie gewährleistet, dass Informationen noch vorm Versenden verschlüsselt werden und so lange verschlüsselt bleiben, bis sie auf dem Gerät des vorgesehenen Empfängers angekommen sind. Somit bleibt kein Raum für unbefugte Zugriffe. Cloudlösungen, die Verschlüsselung mit Zero-Knowledge-Prinzip bieten, machen es selbst dem Serviceanbieter unmöglich, Kenntnisse über Ihren Verschlüsselungscode oder die von Ihnen geteilten Daten zu haben.
3 Schritte, die Sie unternehmen sollten, wenn Ihr Passwort kompromittiert wurde
Es ist unerlässlich, dass Sie sofortige Maßnahmen ergreifen, um Ihre kompromittierten Passwörter zu sichern. Hier sind drei Dinge, die Sie tun sollten, wenn Ihr Passwort in einer Datenschutzverletzung aufgetaucht ist.
1. Ändern Sie das kompromittierte Passwort so schnell wie möglich
Stellen Sie sicher, dass das neue Passwort sowohl stark als auch einzig und allein für das Konto, für das Sie es erstellen, genutzt wird. Wenn Sie eine Variation des gestohlenen Passworts für andere Webseiten verwenden, sollten Sie diese ebenfalls ersetzen.
2. Halten Sie Ausschau nach verdächtigen Aktivitäten
Behalten Sie das Konto, das der Datenschutzverletzung zum Opfer gefallen ist, im Blick – aber machen Sie hier nicht halt. Prüfen Sie regelmäßig Ihre Bank- und Kreditkartenauszüge und halten Sie Ausschau nach Ihnen unbekannten Belastungen. Kontaktieren Sie Ihre Bank, wenn Sie etwas Verdächtiges feststellen.
3. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)
MFA-fähige Online-Dienste verlangen eine Kombination aus zwei oder mehr Authenticators, um die Identität eines Nutzers zu verifizieren. Dies reduziert das Risiko von kompromittierten Passwörtern, Datendiebstahl und Kontoübernahmen maßgeblich.