Suchen

Bei Kennwörtern auf Nummer sicher gehen Passwort-Missbrauch im Internet erschweren

Autor / Redakteur: Wolfgang Kandek, Qualys / Stephan Augsten

Mit der Passwort-Sicherheit nehmen es viele nicht so genau. So wird gerne ein und dasselbe Kennwort für diverse Web Services vergeben. Nach dem Stratfor-Hack erfuhr Qualys-CTO Wolfang Kandek, wie problematisch ein solches Anwender-Verhalten ist.

Wolfgang Kandek: „Passwörter mehrfach zu verwenden ist bequem, aber auch riskant.“
Wolfgang Kandek: „Passwörter mehrfach zu verwenden ist bequem, aber auch riskant.“

Kurz vor Neujahr haben Hacktivisten eine Liste mit Benutzernamen und Passwörtern von Personen veröffentlicht, die sich bei der Website Stratfor.com registriert hatten. Ich hatte dort vor eigenen Jahren auf Empfehlung von Anton Chuvakin die kostenlosen geopolitischen Reports abonniert, konnte mich aber beim besten Willen nicht mehr an das Passwort erinnern, das ich damals verwendet hatte.

Die Informationen, die durch den Hacker-Einbruch offengelegt worden waren, machten mir eigentlich weiter keine Sorgen. Allerdings war ich mir ziemlich sicher, dass ich das gleiche Passwort auch benutzt hatte, um mich bei anderen Diensten zu registrieren. Somit stand ich nun vor einem doppelten Problem:

  • 1. Herauszufinden, welches Passwort ich damals auf dieser Website verwendet hatte.
  • 2. Nachzuforschen, wo ich dieses Passwort sonst noch benutzt hatte, und es auch dort zu ändern.

Da mir das Passwort nicht mehr einfallen wollte, lud ich das Passwortarchiv von einer der Locations herunter, die auf Pastebin.com veröffentlicht worden waren (auf Cryptome.org gibt es dazu übrigens eine nette Chronik). Darin suchte meinen Benutzernamen, extrahierte den MD5-Hash-String für das Kennwort und ging dann mit einem kleinen PERL-Script alle meine „Passwort-Sharing-Kandidaten“ durch, um nach einer Übereinstimmung zu suchen.

Auf den Spuren des Sisyphos

Ich wurde einigermaßen schnell fündig und musste mich nun an die mühsame Aufgabe machen, auf sämtlichen Websites, auf denen ich jenes Passwort verwendet hatte, ein neues zu erstellen. Ich brauchte ungefähr zwei Stunden, um alle 17 identifizierten Websites zu besuchen und mein Kennwort zu ändern. Diesmal hielt ich allerdings die Best Practices ein und ließ meinen Passwort-Manager für jede Website ein Zufallspasswort generieren.

Keines der betroffenen Internet-Angebote war besonders wichtig. Aber immerhin war die Site darunter, über die ich die Rechnungen meines Energieversorgers bezahle (dort werden keine Kreditkartendaten gespeichert). Ferner handelte es sich bei den Websites um ein Forum für das Auto, das ich fahre, meine örtliche Bücherei und der Sandwichladen um die Ecke, bei dem man online bestellen kann.

(ID:31396090)