Immer wieder gibt es Meldungen über riesige Datenlecks im Netz. Erst Anfang des Jahres 2019 wurden im Netz Listen mit mehreren Millionen Account Daten gefunden. Ist das eigene Passwort öffentlich sollte man es selbstverständlich so schnell wie möglich ändern. Welche Sicherheitsvorkehrungen ihr dagegen treffen könnt, werde ich euch in dieser Artikelserie zeigen.

Prüfen ob eigene Daten kompromittiert und frei Netz verfügbar sind

Auf folgenden Seiten könnt ihr eure E-Mail Adresse und auch euer Passwort mit Listen bisheriger Hacker Angriffe und Datenlecks abgleichen. Aber Achtung! Sobald ihr euer Passwort auf der Seite zum Prüfen eingebt, solltet ihr es sofort ändern. Auch wenn die Seiten als vertrauenswürdig gelten und die Verbindung verschlüsselt ist, besteht ein Restrisiko, wenn man sein Passwort hier eingibt. Als Alternative kann man die Datenbank mit allen gehashten Passwörtern auch lokal herunterladen.

Have I Been Pwned?” ist ein Projekt von dem Sicherheitsexperten Troy Hunt. Ebenso bietet das Hasso-Plattner-Institut für Digital Engineering gGmbH (HPI, ein privat finanziertes IT-Institut) mit dem
Identity Leak Checker die Möglichkeit des Abgleiches seiner persönlichen Daten mit denen, welche im Internet bisher veröffentlicht wurden.

# https://haveibeenpwned.com
#https://sec.hpi.de/ilc/search?lang=de

Betroffen – was tun?

Sind eure Daten betroffen heißt es so schnell wie möglich eure Passwörter zu ändern. Besonders, wenn ihr das gleiche Passwort bzw. die gleiche E-Mail/Passwort Kombination auch bei anderern Anbietern nutzt solltet ihr das spätestens jetzt für die Zukunft vermeiden und für jeden Account ein eigenes Passwort vergeben. Außerdem solltet ihr bei den betroffenen E-Mail Adressen ab nun an noch vorsichtiger sein, was Spam und Phishing Mails angeht und keine Anhänge von unbekannten Absendern öffnen. Meistens werden gehackte Daten für den Versand von Phishing Mails und Schadsoftware genutzt. Wenn ihr also einen plötzlichen Anstieg solcher Mails in eurem Postfach beobachtet, prüft eure Mail Adresse mit den oben genannten Diensten sicherheitshalber durch.

Passwort Manager

Im Idealfall solltet ihr für jeden Account ein eigenes – zufälliges! – Passwort generieren mit mindestens 16 Zeichen, bestehenden aus Zahlen, Buchstaben und Sonderzeichen. Natürlich kann sich kein Mensch diese Passwörter merken, daher empfehle ich den Einsatz von Passwort Managern.

Da ihr Passwort Managern eure kompletten Daten anvertraut, solltet ihr bewährte Passwort Manager verwenden, die am besten auch OpenSource sind. Das heißt, dass der Quellcode öffentlich ist und jeder ihn überprüfen kann, sodass hier z.B. keine Schadsoftware enthalten ist, die eure eingegeben Passwörter direkt an den Betreiber übermittelt oder sonstige ungewollten Funktionen mit an Board sind. Leider tummeln sich viele schwarze Schafe unter den Passwortmanagern und gerade im Google Playstore findet man viele unseriöse Apps, die überraschenderweise immer schon mehrere 1000 Downloads haben.

Der Klassiker – KeePass

KeePass ist der Klassiker unter den Passwortmanagern und bietet alle nötigen Funktionen und hohe Sicherheit. Die Passwörter werden in einer lokalen Datenbank abgespeichert, die ihr über mehrere Faktoren absichern könnt wie ein “Masterpasswort”, eine Key-Datei oder andere 2-Faktor Absicherungen. Die Passwort Datenbank wird dann bestmöglich verschlüsselt, sodass bei einem starken Passwort und zweiten Faktor ein Aufbrechen nahezu unmöglich ist.

KeePass selbst wurde schon längere Zeit nicht mehr geupdatet, es gibt aber einige aktuelle Forks/Weiterentwicklungen. Ein Beispiel hierfür ist KeePass XC, welches modernes Design und aktuelle Sicherheitsupdates beinhaltet. Eine ansprechende Web-App für KeePass Datenbanken ist KeeWeb.

Vorteile:

  • OpenSource
  • hohe Sicherheit mit Masterpasswort, Keyfile, 2FA Support
  • Android App, Plugins wie Browser Addon verfügbar
  • Datenbank-Datei in eigenen Händen

Nachteile:

  • Einsatz auf mehreren Geräten nicht all zu komfortabel. Synchronisation der Datenbank mit einem Cloud-Server aber möglich.
  • AutoFill nur durch Plugins möglich, was bei mir nicht immer einwandfrei und schnell funktioniert hat
  • Design/Bedienung nicht jedermann Gefallen
BitWarden

Wer mehr Wert auf Komfort mit Autofill-Funktion und Synchronisation der Passwörter auf mehreren Geräten legt, der sollte sich BitWarden anschauen. Auch BitWarden ist OpenSource und kostenlos verfügbar. Die Premium Version ist preisgünstig für 10$ im Jahr zu erhalten und bietet Cloud-Synchronisation und weitere 2-Faktor Möglichkeiten.

Die Software ist modern und übersichtlich gestaltet und läuft performant auf all meinen Geräten.

Wer trotz Gerätesynchronisation die Kontrolle über seine Passwörter haben möchte und diese nicht auf fremden Cloud Servern ablegen möchte, der kann BitWarden auch problemlos selbst hosten – (Anleitung gibt es hier).

Leider schafft es auch die BitWarden Android App nicht komplett auf Tracker zu verzichten und hat 2 Tracker u.a. Google Firebase mit an Board, die Analysedaten sammeln (Quelle: Exodus Bericht). Ansonsten ist die App schlank und sauber aufgebaut.

LastPass – komfortabel aber einige Kritikpunkte

Da LastPass oft genannt wird und ich ihn selbst lange Zeit genutzt hatte, schreibe ich kurz auch noch ein paar Worte dazu. Von der Bedienung und der Oberfläche finde ich LastPass wirklich gut, besonders die Funktion sich über einen Fingerabdrucksensor am Laptop und Handy einzuloggen finde ich praktisch. Im Prinzip ist LastPass ein guter Passwort-Manager es gibt aber einige Kritikpunkte in Punkto Sicherheit und Datenschutz:

  • nicht OpenSource
  • Android App beinhaltet 11 Tracker!
  • Passwörter werden (wenn auch verschlüsselt) auf fremden Servern gespeichert
  • Ladezeiten beim Öffnen der App oder Autofill selbst auf schnellen Geräten etwas langsam und teilweise träge.
  • Support (zumindestens nach meinen Erfahrungen) verbesserungsdürftig
  • Premiumkonto relativ teuer

Doppelte Absicherung mit 2- Faktor Authentifzierung

Selbst das komplexeste Passwort kann mal durch Keylogger oder Man-in-the-middle Angriffe etc. in die falschen Hände geraten. Für diesen Fall ist es wichtig, dass der Angreifer trotzdem keinen Zugriff auf den Account erhält. Hier kommt die 2-Faktor Authentifizierung ins Spiel. Gerne bezeichnet als Kombination aus “Wissen” (=Passwort) und “Haben” (=Hardware) .

In der Praxis sieht das so aus, dass man beim einloggen nach der Eingabe des Passwortes noch ein zweites Einmalpasswort eingeben muss, welches einem entweder über SMS zugeschickt wird oder über eine Authenticator App oder einen Hardware Key wie den YubiKey generiert wird.

SMS ist als 2-Faktor Methode nicht zu empfehlen, da die Übertragung als nicht sicher gilt und unverschlüsselt erfolgt. Ein Beispiel wo Angreifern dies gelungen ist

Die sicherste Variante ist über einen Hardware Key. Am besten sollte man hiervon aber direkt 2 Keys besitzen. Falls man nämlich einen verliert oder dieser gestohlen wird hat man keinen Zugriff mehr auf seine Accounts. Da Hardware Keys aber meistens 30-60€ kosten und für die Allgemeinheit nicht in Frage kommen, machen auch Authenticator Apps einen guten Job.

Authenticator Apps:

Hardware Keys:

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.