Bei Kennwörtern auf Nummer sicher gehen Passwort-Missbrauch im Internet erschweren

Autor / Redakteur: Wolfgang Kandek, Qualys / Stephan Augsten

Mit der Passwort-Sicherheit nehmen es viele nicht so genau. So wird gerne ein und dasselbe Kennwort für diverse Web Services vergeben. Nach dem Stratfor-Hack erfuhr Qualys-CTO Wolfang Kandek, wie problematisch ein solches Anwender-Verhalten ist.

Firma zum Thema

Wolfgang Kandek: „Passwörter mehrfach zu verwenden ist bequem, aber auch riskant.“
Wolfgang Kandek: „Passwörter mehrfach zu verwenden ist bequem, aber auch riskant.“

Kurz vor Neujahr haben Hacktivisten eine Liste mit Benutzernamen und Passwörtern von Personen veröffentlicht, die sich bei der Website Stratfor.com registriert hatten. Ich hatte dort vor eigenen Jahren auf Empfehlung von Anton Chuvakin die kostenlosen geopolitischen Reports abonniert, konnte mich aber beim besten Willen nicht mehr an das Passwort erinnern, das ich damals verwendet hatte.

Die Informationen, die durch den Hacker-Einbruch offengelegt worden waren, machten mir eigentlich weiter keine Sorgen. Allerdings war ich mir ziemlich sicher, dass ich das gleiche Passwort auch benutzt hatte, um mich bei anderen Diensten zu registrieren. Somit stand ich nun vor einem doppelten Problem:

  • 1. Herauszufinden, welches Passwort ich damals auf dieser Website verwendet hatte.
  • 2. Nachzuforschen, wo ich dieses Passwort sonst noch benutzt hatte, und es auch dort zu ändern.

Da mir das Passwort nicht mehr einfallen wollte, lud ich das Passwortarchiv von einer der Locations herunter, die auf Pastebin.com veröffentlicht worden waren (auf Cryptome.org gibt es dazu übrigens eine nette Chronik). Darin suchte meinen Benutzernamen, extrahierte den MD5-Hash-String für das Kennwort und ging dann mit einem kleinen PERL-Script alle meine „Passwort-Sharing-Kandidaten“ durch, um nach einer Übereinstimmung zu suchen.

Auf den Spuren des Sisyphos

Ich wurde einigermaßen schnell fündig und musste mich nun an die mühsame Aufgabe machen, auf sämtlichen Websites, auf denen ich jenes Passwort verwendet hatte, ein neues zu erstellen. Ich brauchte ungefähr zwei Stunden, um alle 17 identifizierten Websites zu besuchen und mein Kennwort zu ändern. Diesmal hielt ich allerdings die Best Practices ein und ließ meinen Passwort-Manager für jede Website ein Zufallspasswort generieren.

Keines der betroffenen Internet-Angebote war besonders wichtig. Aber immerhin war die Site darunter, über die ich die Rechnungen meines Energieversorgers bezahle (dort werden keine Kreditkartendaten gespeichert). Ferner handelte es sich bei den Websites um ein Forum für das Auto, das ich fahre, meine örtliche Bücherei und der Sandwichladen um die Ecke, bei dem man online bestellen kann.

Die Odyssee geht weiter

Am Montagmorgen bekam ich dann eine E-Mail von dem Online-Versandunternehmen Zappos. Man informierte mich darüber, dass Zappos ebenfalls Opfer eines Hackereinbruchs geworden war und ich mein Passwort für die Website ändern müsse.

Bei dieser Geschichte bin ich nun in einer teils schlechteren und teils besseren Lage: Einerseits hat Zappos meine Kreditkartendaten; andererseits habe ich dasselbe Passwort wie bei Zappos nur bei dessen Schwester-Site Amazon verwendet, sodass die Passwortänderung diesmal schnell und einfach über die Bühne ging.

Die Lektion, die ich aus all dem gelernt habe, ist eine simple: Passwörter mehrfach zu verwenden ist bequem, aber eben auch riskant. Erstellen Sie jedesmal ein eigenes Passwort, wenn Sie auf einer Website einen Account eröffnen.

Externen Passwort-Manager verwenden

Ich kann mir die Zugangsdaten für die Hunderte von Websites, bei denen ich registriert bin, nicht merken, weshalb ich zu diesem Zweck einen Passwortmanager einsetze. Mein Rat hier: Installieren Sie statt des browsereigenen Passwortmanagers ein Third-Party-Produkt. Solche Produkte sind schwerer angreifbar und die Gefahr ist geringer, dass Ihre Passwörter durch einen Browser-Exploit aufgedeckt werden.

Ich persönlich verwende den Passwortmanager LastPass, der mir sowohl auf meinen Linux- als auch Mac-Rechnern und sogar auf meinem Chromebook gute Dienste leistet. Außerdem weiß ich es zu schätzen, dass LastPass Zwei-Faktor-Authentifizierung mit einem Yubikey oder Google Authenticator ermöglicht.

Zwei-Faktor-Authentifizierung ist eine ausgezeichnete Sicherheitsoption, wenn der betreffende Service oder die Website sie unterstützt. Der Benutzer muss dabei einen zusätzlichen Identitätsnachweis erbringen – zumeist, indem die Eingabe eines Zahlencodes verlangt wird, den der Benutzer auf einem Token oder seinem Handy angezeigt bekommt.

Ich entscheide mich für Zwei-Faktor-Authentifizierung, wann immer dies möglich ist. Beispielsweise habe ich sie bei meinem Bankkonto aktiviert, bei Paypal und eBay, beim DNS-Management für meine Domains und bei meinem Gmail-Konto. Selbst mein Sohn verwendet für seinen World-of-Warcraft-Account die Zwei-Faktor-Authentifizierung.

Der Login-Prozess wird dadurch zwar um einen Schritt verlängert, aber dafür genießt man auch mehr Sicherheit. Dass diese zusätzliche Maßnahme wirklich der Mühe wert ist, wurde meinem Sohn klar, nachdem er mit einem WoW-Account, bei dem die Zwei-Faktor-Authentifizierung nicht aktiviert war, seine gesamte Ausrüstung verloren hatte.

(ID:31396090)