Eine Horror-Meldung jagt in der IT-Welt im Moment die nächste: Waren es in der vergangenen Woche “nur” ein paar Millionen E-Mail-Konten, die Cyberkriminelle gehackt haben, klaffte nun in einer wirklich weit verbreiteten Sicherheitssoftware ein riesiges Loch.
Die Rede ist von OpenSSL. Mit dem Tool sichern zum Beispiel Facebook und Google den Zugang zu ihren Diensten. Lange galt das Verfahren als sicher. Doch nun hat sich herausgestellt, dass einem deutschen Programmierer bei der Weiterentwicklung von OpenSSL ein Fehler mit weitreichenden Folgen unterlaufen ist: Unbemerkt konnten Benutzernamen und Kennwörter ausgelesen werden.
Die gute Nachricht: Nachdem das Problem erkannt worden ist, haben Dienste wie Google, Facebook und Co. reagiert und die betroffenen Sicherheitszertifikate ausgetauscht. Die schlechte: Da das Problem nach übereinstimmenden Medienberichten offenbar schon vor zwei Jahren entstanden ist, weiß derzeit wohl niemand so genau, welche Passwörter und Zugangsdaten geklaut worden sind. Um auf Nummer sicher zu gehen, sollten Sie Ihre Passwörter bei betroffenen Diensten also dringend erneuern.
Der meist sehr gut informierte Technik-Blog Mashabel hat inzwischen damit begonnen, aufzulisten, wo Nutzer ihr Kennwort am besten sofort ändern sollten.
Eine klare Empfehlung für neue Passwörter gibt es dort zum Beispiel für:
- YouTube
- Dropbox
- Web.de
- Tumblr
- Yahoo
- SoundCloud
Unklar ist aktuell noch, wie die Situation bei Twitter ist. Die Dienste von Microsoft, Apple und Amazon gelten laut Mashabel.com als sicher.
Was ein gutes Kennwort ausmacht, und wie Profis Kennworte entwickeln, lesen Sie auf der zweiten Seite.
Nein! Passwort ist kein gutes Passwort
Glaubt man den Sicherheitsexperten der großen Anti-Virenhersteller, sind vor allem die Deutschen echte Schafe, wenn es um die Sicherheit am Rechner geht.
Das beliebteste Kennwort der Computernutzer zwischen Flensburg und Oberammergau ist “Kennwort” oder “Passwort”. Danach kommen die Namen der Partnerin/des Partners oder die Namen der Kinder. Gern benutzt werden auch besonders eingängige Zahlenkombinationen wie zum Beispiel “00000” oder “123456789”. Dass das alles keine starken Passwörter sind, liegt - mit etwas Abstand betrachtet - auf der Hand. Doch die Bequemlichkeit ist wohl offenbar stärker ausgeprägt als die Angst vor Cyberkriminellen - oder den eigenen Bekannten.
Kennen Sie den Werbespot, bei dem ein Vater die Freundesliste im Smartphone seines Sohnes “optimiert”? Am Ende hat der arme Bengel keine Freundin mehr, sondern ist mit seiner “Lieblings-Lehrerin” verbandelt. Eigentlich macht der Spot ja nur Werbung dafür, im Radio zu werben. Gleichzeitig führt er aber auch unterschwellig vor Augen, wie riskant es ist, wenn man a.) sein Smartphone nicht wenigstens mit einer Code-Abfrage sichert und b.) zu simple Kennwörter verwendet. Denn wäre im besagten Fall beides stark genug gewesen, wäre der junge Mann wohl auch noch am Ende der Reklame glücklich liiert.
Und wie generieren Sie nun ein starkes Passwort (das Sie sich auch noch merken können?).
Ein starkes Passwort setzt sich im Idealfall aus groß- und kleingeschriebenen Buchstaben und Zahlen zusammen. Optimal sind Passworte, die ohne Reihungen von Zahlen oder Buchstabenfolgen aus dem ABC auskommen. Doch damit werden Passwörter schnell kryptisch und damit unglaublich schwer zu merken.
Leichter wird das, wenn Sie sich folgende Eselsbrücke bauen. Sie haben jeden Mittwoch um 17 Uhr einen Termin beim Sport? Super! Damit haben Sie auch gleich ein perfektes Passwort. Es ist enthalten im Satz: “Ich habe an jedem Mittwoch der Woche um 17 Uhr Sport.”
Schreiben Sie sich diesen Satz auf und unterstreichen jeweils einen Buchstaben pro Wort. Der Einfachheit halber nehme ich jetzt zur Veranschaulichung jeweils den ersten.
“Ich habe an jedem Mittwoch der Woche um 17 Uhr Sport.”
Um es potenziellen Passwortknackern noch schwerer zu machen, sollten Sie noch die Ziffer mit in das Passwort aufnehmen. Das würde in diesem Beispiel dann “IhajMdWu17US" heißen . Ob das wohl jemand herausfinden wird? Dürfte schwierig werden.
Gleichzeitig ist es aber für Sie relativ einfach, sich das Kennwort zu merken. Denn Sie kennen ja den Satz, der die kryptische Buchstabenfolge entschlüsselt.
Was Sie in Sachen Sicherheit sonst noch weiterbringt? Lesen Sie auch die letzte Seite.
Kein Passwort für alle Fälle!
Noch ein Tipp zum Abschluss: Ja es ist aufwendig und dauert wohl jedes Mal so seine fünf Minuten, bis Sie einen solchen Satz formuliert und daraus ein Passwort abgeleitet haben. Aber machen Sie sich die Mühe und generieren Sie für jedes Portal, Forum, Online-Banking, Verkaufsplattform und was Sie auch sonst immer im Netz nutzen, was eine Passwort-Authentifizierung benötigt, ein eigenes Schlüsselwort.
Denn auch das sagen fast alle IT-Sicherheitsexperten übereinstimmend: Die Mehrheit der Deutschen hat nicht nur viel zu leicht zu entschlüsselnde Kennwörter. Sie nutzen sie meist gleich noch für alle Plattformen. Und damit haben finstere Typen, die an Ihre Geschäftsdaten wollen oder Sie auch nur bei Facebook in Misskredit bringen wollen, leichtes Spiel.
Übrigens: Mashabel.com aktualisiert die Liste immer weiter. Im Netz finden Sie sie hier.
(ha)
Weitere Themen, die Sie interessieren könnten:
IT-Sicherheit 2014: Was Sie sonst noch im Netz bedroht
Frühjahrsputz 2.0: So bekommen Sie Ihren Rechner wieder flott
Endlich Ordnung auf dem Schreibtisch: Wie? Das zeigen unsere Videos