26.09.2016 von Lucian Constantin und Simon Hülsbömer
Der große Datendiebstahl bei Yahoo zeigt einmal mehr, wie wichtig die folgenden grundlegenden Security-Hinweise sind.
Der 500-Millionen-Datensätze-Hack bei Yahoo schockiert zum einen ob seiner schieren Größe - es ist der größte Hack überhaupt - und zum anderen wegen seiner möglichen Folgen für die betroffenen Nutzer. Da Yahoo ein E-Mail-Provider ist, ist der Schaden hier besonders groß - nicht nur, weil die private Kommunikation von Millionen Nutzern kompromittiert wurde, sondern auch, weil in den E-Mails nicht selten jede Menge Login- und andere Vertragsdaten gespeichert sind.
Sollten auch Sie von dem Yahoo-Angriff betroffen sein, beherzigen Sie deshalb nun unsere Ratschläge:
Hashing oder nicht?
Yahoo teilte mit, dass "die überwiegende Mehrzahl" der gestohlenen Account-Passwörter mit bcrypt gehasht worden seien. Hashing ist eine kryptografische Operation, die einen Datensatz in eine zufällig aussehende Zeichenfolge umwandelt, die es genau einmal gibt - den Hash. Hashes sind in der Regel nicht in die Originalzeichenfolge zurückzuverwandeln - deshalb eignen sie sich gut, um Passwörter abzuspeichern. Ein Server nimmt eine Eingabe entgegen, wandelt diese über einen Hashing-Algorithmus um und vergleicht das Ergebnis mit dem bereits abgespeicherten Hash - sind beide identisch, ist das Passwort korrekt. So lassen sich Passwörter sofort auf ihre Richtigkeit prüfen, ohne sie im Klartext in der Datenbank abspeichern zu müssen. Leider bieten nicht alle Hashing-Algorithmen gleich guten Schutz gegen Passwort-Angriffe, in deren Rahmen versucht wird, herauszufinden, welches Passwort welchen Hashwert erzeugt. So ist beispielsweise der bekannte MD5-Algorithmus leicht zu knacken, wenn er ohne zusätzliche Schutzmaßnahmen implementiert wird.
Das von Yahoo verwendete bcrypt ist ein deutlich sicherer Algorithmus. In der Theorie bedeutet das zwar, dass "die überwiegende Mehrzahl" der Yahoo-Passwörter vermutlich nicht geknackt werden. Doch in der Praxis liegt das Problem: Yahoos Wortwahl in der Mitteilung suggeriert, dass zwar die meisten, aber eben nicht alle Passwörter mit bcrypt gehasht wurden. Wir wissen weder, wie viele nicht mit bcrypt gehasht wurden, noch, welcher andere Algorithmus zum Einsatz gekommen ist. Aufgrund der dürftigen Informationslage ist anzunehmen, dass es sich um einen unsicheren Algorithmus handelt und Yahoo diese Informationen nicht an die Angreifer weitergeben will.
Fazit: Niemand kann wissen, ob sein Yahoo-Passwort wirklich noch geschützt ist oder nicht - am sichersten ist es, davon auszugehen, dass es geknackt wurde - nun bleibt nur, soviel Schaden wir möglich abzuwenden.
Hackertypen: Wer den Privatanwender angreift
Der digitale Kleinkriminelle Geld verdienen mit illegalen Aktivitäten im Internet - Kleinkriminelle wollen mit ihren technischen Fertigkeiten den schnellen Euro machen. Da geht es um Spamming, Phishing, Drive-by-Downloads, Black-Hat-SEO und Ransomware. Um nicht zum Opfer zu werden, sollte man umsichtig surfen, regelmäßig Updates installieren und nicht alles herunterladen, was interessant klingt.
Der Spaß-Hacker Die Skript-Kiddies wollen sich selbst ihre IT-Kompetenz beweisen und brechen über vorgefertige Skripte in fremde Computer ein, um Malware auszusetzen. Neugier und sportlicher Ehrgeiz sind ihre Antriebsfedern, nicht die Finanzen. Wer sich vor den Spaß-Hackern schützen möchte, sollte keine veraltete Software benutzen, seinen Rechner samt aller Browser-Plugins aktuell halten und weder dubiose Websites noch E-Mails öffnen.
Der Späher und Sammler Der Späher und Sammler nutzt jede Möglichkeit, ununterbrochen und bei jedem digitalen Kommunikationsvorgang an Daten – auch Verbindungsdaten – heranzukommen. Hier sind echte Profis am Werk. Dahinter stecken nicht nur staatliche Ermittler und Geheimdienste, sondern auch große Konzerne, die sich für die digitalen Gepflogenheiten ihrer Kunden interessieren. Zwar entsteht bei der Massendatensammlung kein direkter Schaden, doch können diese Aktivitäten eine erhebliche Verletzung der Privatsphäre darstellen und bedeuten unter Umständen einen massiven Eingriff in die Bürgergrundrechte. Den besten Schutz gegen dieses Begehren bietet ein bewusster Umgang mit den eigenen Daten.
Der Smartphone-Hacker Noch immer sind nur wenige Smartphone ähnlich gut gegen Angriffe und Malware geschützt wie Desktop-PCs und Server. Ein lukratives Geschäft für Kriminelle, um mit Viren, Trojanern und manipulierten Apps physikalischen Zugriff auf die Devices zu bekommen und deren Besitzer anschließend auzunehmen - häufig mittels Social Engineering. Schutz: Öffentliche WLANs meiden, nur geprüfte Apps installieren und ein starker Passwortschutz. Im Idealfall eine Vollverschlüsselung des Geräts.
Der Parasit Der Parasit ist ein E-Mail Hacker, der am liebsten unter geklauter Identität agiert. Rein aus finanziellen Motiven heraus, hat er sich auf das Abfangen und Lesen fremder E-Mails spezialisiert, um dann auf fremde Kosten Online-Shops und -Services zu nutzen oder Spam zu verschicken. Ändern Sie Ihre (starken!) E-Mail-Passwörter also regelmäßig, bringen Sie Anhängen und Links in E-Mails gegenüber ein gesundes Misstrauen mit.
So wenige Mails wie möglich behalten
Sobald Hacker in einen E-Mail-Account eingebrochen sind, können sie recht schnell herausfinden, welche weiteren Online-Konten mit derselben Mail-Adresse registriert wurden, indem sie das Postfach nach solchen Registrierungsmails suchen. Immer, wenn ein neues Kundenkonto angelegt wird, wird eine Bestätigung versendet - und die Erfahrung zeigt, dass diese Willkommens-Mails selten gelöscht werden. E-Mail-Anbieter bieten schließlich Speicherplatz satt.
Gefährlich sind diese Registrierungs-Mails auch deshalb, weil sie nicht nur verraten, wo sich der User registriert hat, sondern meist auch den gewählten Nutzernamen bestätigen, wenn es sich nicht sowieso um die E-Mail-Adresse handelt. Ein Angreifer benötigt damit nur noch ein Passwort, um ein weiteres Onlinekonto zu unterwandern. Und welches Passwort wird er hier wohl als erstes testen? Bleibt zu hoffen, dass Sie verschiedene Passwörter für verschiedene Dienste eingestellt haben...
Wenn Sie zu den Menschen gehören, die Registrierungs-Mails und andere automatische Benachrichtigungen wie Passwort-Zurücksetz-Mails nicht lösen, sollten Sie nun schleunigst damit anfangen. Sie möchte es Angreifern doch sicher nicht ganz so einfach machen, oder?
Yahoo-Kunden haben einiges zu tun, um sich ihre Sicherheit zurückzuholen. Foto: Lucian Milasan / Shutterstock.com
Vorsicht, wenn jemand nach persönlichen Daten fragt
Unter den gestohlenen Yahoo-Daten befanden sich Namen, Telefonnummern, Geburtsdaten und teilweise unverschlüsselte Sicherheitsfragen samt -antworten (für den Fall, dass Sie Ihr Passwort vergessen haben). Diese Informationen sind teilweise sehr persönlich und werden auch von Banken und Behörden zur Verifizierung eingesetzt. Es gibt kaum Fälle, in denen eine Website Ihr richtiges Geburtsdatum wissen muss, also geben Sie es lieber nicht heraus. Vermeiden Sie ebenfalls, Sicherheitsfragen mit den korreten Antworten zu beantworten. Denken Sie sich lieber eine falsche Antwort aus, die Sie behalten können. Yahoo empfiehlt übrigens wie viele andere Dienste auch, Sicherheitsfragen grundsätzlich nicht mehr zu verwenden - besser ist es also, sie gleich komplett aus dem Account zu nehmen.
Die Nutzernamen der Hacker
Platz 1: administrator Der einfache "administrator" kommt in viele Systeme hinein ...
Platz 3: user1 Und sollte der Administrator nichts helfen, bleiben immer noch der einfache Nutzer...
Platz 4: admin ... und die Kurzform des Administrators.
Platz 5: alex Alexander der Große hätte vielleicht seine Freude gehabt - genau wie bei den Hacker-Passwörten ist "alex" auch bei den Nutzernamen vorne mit dabei.
Platz 6: pos Weil sich viele der Angriffe auf Point-of-Sale-Systeme (PoS) beziehen, kann man es ja mal versuchen ...
Platz 7: demo Vielleicht existiert ja so etwas wie ein Musterzugang zu Demonstrationszwecken ...
Platz 8: db2admin Der DB2 Administration Server der IBM lässt sich mit diesem Kommando verwalten. Kein Wunder also, dass dieser Nutzername in sämtlichen Hacker-Datenbanken auftaucht.
Platz 9: Admin Wie gehabt.
Platz 10: sql SQL ist eine Datenbanksprache unter anderem zum Bearbeiten von Datenbeständen. Viele Webserver arbeiten damit - also durchaus verständlich, warum dies auch ein beliebter Nutzername ist.
E-Mail-Weiterleitung regelmäßig prüfen
Eine automatische E-Mail-Weiterleitung ist ein praktisches Feature, das aber gerne vergessen wird. Einmal gesetzt, denkt kaum noch ein Nutzer daran, regelmäßig zu prüfen, ob es noch aktuell ist. Es ist meist tief in den E-Mail-Einstellungen versteckt und wenn aktiv, gibt es keinerlei Hinweis darauf, dass es aktiv ist. Hacker wissen dass: Sie müssen sich deshalb nur einmal in Ihren Account hacken, eine Weiterleitungs-Regel aktivieren und bekommen fortan eine Kopie alle Ihrer Mails. Diese Einstellung verhindert übrigens auch, dass Sie Hinweis-Mails über verdächtige Logins von bisher unbekannten Geräten und IP-Adressen erhalten.
Zwei-Faktor-Authentifizierung überall
Benutzen Sie grundsätzlich eine Zwei-Faktor-Authentifizierung (2FA) für alle Konten, die sie unterstützen. Wenn Sie einen Online-Service von einem neuen Gerät aus nutzen möchten, werden Sie zur Eingabe eines Einmal-Passworts aufgefordert, dass Sie per SMS oder Smartphone-App zugeschickt bekommen - zusätzlich zum regulären Passwort. Durch diesen Mechanismus können Sie Ihren Account schützen, selbst wenn Hacker Ihr Passwort gestohlen haben. Yahoo unterstützt die 2FA - also nutzen Sie sie!
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung in der Praxis Server-Manager: RDS Deployment nach Installation aller Rollen.
Multi-Faktor-Authentifizierung in der Praxis Server-Manager: Installation der Zertifikate.
Multi-Faktor-Authentifizierung in der Praxis Azure Portal: Erstellen eines Anbieters für Multi Factor Authentication.
Multi-Faktor-Authentifizierung in der Praxis Azure Portal: Startseite zur Konfiguration des MFA Service.
Multi-Faktor-Authentifizierung in der Praxis RD Gateway: Umstellung der Authentifizierung auf einen zentralen NPS.
Multi-Faktor-Authentifizierung in der Praxis RD Gateway: RADIUS Konfiguration in der Konsole des NPS.
Multi-Faktor-Authentifizierung in der Praxis MFA Server: Einrichtung des Synchronisierungsjobs.
Multi-Faktor-Authentifizierung in der Praxis Outlook: Willkomms-E-Mail mit Start PIN.
Multi-Faktor-Authentifizierung in der Praxis MFA User Portal: Startseite nach dem Login eines Benutzers.
Multi-Faktor-Authentifizierung in der Praxis RD Webaccess: Initiierung einer Remote Desktop Verbindung.
Multi-Faktor-Authentifizierung in der Praxis Smartphone: Mobile App zur Authentifizierung (Hinweis zur Authentifizierung kommt als Push Nachricht aufs Handy).
Multi-Faktor-Authentifizierung in der Praxis Smartphone: Eine weitere Möglichkeit der Authentifizierung ist ein Anruf durch den MFA Service.
Multi-Faktor-Authentifizierung in der Praxis Smartphone: Eine weitere Möglichkeit stellt die Authentifizierung über Kurznachrichten dar.
Multi-Faktor-Authentifizierung in der Praxis RD Webaccess: Nach der Bestätigung von 11, 12 oder 13 wird die Verbindung zum Remote Desktop Sitzungshost aufgebaut.
Nutzen Sie Passwörter nicht mehrfach
Es gibt genug sichere Passwort-Manager da draußen, die plattformübergreifend funktionieren. Es gibt also keine Ausrede, wenn Sie nicht für jeden einzelnen Account ein eigenes, komplexes Passwort verwenden. Wenn Sie für wenige wichtige Konten trotzdem lieber Passwörter haben wollen, die Sie sich merken können, verwenden Sie stattdessen Passphrasen - also Sätze, die aus Wörtern, Zahlen und Sonderzeichen bestehen.
Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline? Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Phishing FTW
Auf große Datendiebstähle folgen in der Regel Phishing-Versuche per Mail, weil Cyberkriminelle die herrschende öffentliche Aufmerksamkeit für den Vorfall auszunutzen versuchen. Diese Mails können als Security-Informationen getarnt sein und Anweisungen enthalten, vorgebliche Security-Tools herunterzuladen, die in Wirklichkeit aber Schadprogramme sind. Oder sie führen die Nutzer auf Websites, auf denen sie zusätzliche Daten eingeben sollen, um ihre Accounts "zu verifizieren" etc. Seien Sie auf der Hut vor solchen Mails! Passen Sie auf, dass Sicherheitshinweise in Folge eines Breaches nur vom betroffenen Anbieter selbst oder aus einer vertrauenswürdigen Quelle stammen.
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation PCWorld.
Die Passwörter der Hacker
Platz 1: x Ein einfaches x scheint vielerorts schon zu genügen, um hineinzukommen.
Platz 2: Zz Wer sich ein wenig mit der Unix-Shell auskennt, weiß, dass der Texteditor vi zum Speichern von Dateien die Eingabe zweier großer Z verlangt. Ob dieses beliebte Passwort etwa daher rührt, ist nicht bekannt - die Ähnlichkeit ist jedoch verblüffend.
Platz 3: Start123 Ein typischen Standard-Passwort von Geräteherstellern. Wer es nicht ändert, ist selbst schuld.
Platz 4: 1 Fast noch einfacher als das x, steht die 1 in der Liste nur auf 4.
Platz 5: P@ssw0rd Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen, ist auch keine wirkliche Innovation...
Platz 6: bl4ck4ndwhite "It don't matter if you're black or white" sang Michael Jackson einst - hier spielt es auch keine Rolle, die kombinierte Farbenlehre sorgt aber durchaus für Hacker-Stimmung.
Platz 7: admin Der Klassiker darf natürlich nicht fehlen.
Platz 8: alex Ob Tote-Hosen-Sänger Campino hier seine Hände mit im Spiel hat, ist äußerst unwahrscheinlich. Für viele Hacker-Routinen gilt trotzdem: Hier kommt Alex...
Platz 9: ....... Über sieben Punkte musst du gehen...
Platz 10: administrator ... und landest schließlich wieder beim IT-Experten schlechthin, dem Admin.