Passwörter zum Aktionspreis von und für jedermann

Die Passwort-Leaks überschwemmen das Internet. Twitter, Linked, TeamViewer immer mehr Seiten werden bezichtigt einem Hack zum Opfer gefallen zu sein. Bei manchen sind die Passwort-Listen Jahre alt, dennoch nicht weniger gefährlich. Andere Seiten gehen mit ganz aktuellen Listen ins Rennen und diese Listen sind mehr oder weniger gesalzen 😉 Wieder andere werden angehalten Information zu einem Passwort-Leak offen zu legen obwohl die Accounts über das wiederverwenden von Passwörtern für “jedermann” zugänglich wurden. Preislich bewegt man sich hier bei weniger als einem Cent pro Passwort.

Alle Leaks sind ernst zu nehmen, der persönlich erschreckendste Leak war MySpace. Wer kennt die Seite nicht, das Facebook meiner Jugend 😉 Damals habe ich mir noch keine Gedanken über Sicherheit, Passwort-Policies oder das Sperren von nicht genutzten Accounts gemacht. Damit wird auch mein Passwort in der Liste der MySpace Passwörter zu finden sein. Was jetzt jedoch interessant ist, auf wie vielen Seiten wird dieses Passwort noch immer genutzt?

Continue reading “Passwörter zum Aktionspreis von und für jedermann”

Acht Zeichen sind nicht genug

Am 5ten Mai war World Password Day und an diesem Tag hat jeder der etwas auf Sicherheit hält, seine Tipps zum Thema sichere Passwörter zum Guten gegeben.

Auch wenn nicht mehr der 5te Mai ist, sollte man sich über seine Passwörter Gedanken machen. Einerseits über die Art des Passworts und seine Länge.
Wo früher noch 6 Zeichen ausreichten, raten Experten mindestens 12 (Sonder)Zeichen Passwörter einzusetzen. Wenn das nicht der Fall ist, dann sollte eine 3 Wöchige bis 3 Monatig Passwort-Änderung erfolgen.

Auch waren vor wenigen Jahren noch 3 Sicherheitsstufen der Passwörter ausreichend, ein einfaches für unwichtige Seiten, ein etwas komplexeres für wichtiger und ein hoch-komplexes für wahrlich Wichtiges.

  • Das alles hat seine Vor- und Nachteile, sind Passwörter zu kurz dann werden sie schnell per Brute-Force oder anderen Attacken geknackt.
  • Ist das Passwort zu komplex, weil zuviel Sonderzeichen und/oder muss zu oft geändert werden – landet es auf einem Zettel. Damit ist die Sicherheit auch zu nichte gemacht.
  • Verwendet man nur 3 verschieden Passwörter, reicht eine gehackte Website um Zugriff auf viele andere Konten zu bekommen.

Also was tun? So genau weiß es anscheinend niemand, da auch keiner wirklich vorhersagen kann wie schnell es möglich ist noch längere Passwörter in noch kürzere Zeit zu knacken . Wie oft ändert man schon seine Passwörter für die Online Konten? Es wird gerätselt ob Fingerabdruck oder Iris Scans besser sind, aber was ist wenn diese in andere Hände geraten, das ändern könnte schwer werden. Bilder, Pattern, Puls usw sind Möglichkeiten, aber bis jetzt hat sich keine wirklich durchgesetzt.

Darum einige Tipps die sich immer wieder finden lassen

  • Verwendet für sichere Seiten mit vertraulichen Informationen keine Passwörter. Verwendet ganze Sätze mit mehr als 15 Zeichen.
    Sätze die ihr euch leicht merkt, gerne auch mit Leerzeichen oder Groß- und Kleinschreibung. Vielleicht der Refrain des Lieblingsliedes oder ein Zitat?
    “We can’t blame the technology when we make mistakes.”
  • Verwendet Two-Factor-Authentication wo es nur möglich ist.
  • Nutzt einen Passwort-Manager wie KeePass oder LastPass. Diese erlauben euch für jede Webseite ein eigenes Passwort zu verwenden, schließlich müsst ihr es euch nicht merken, und ein Hack einer Seite würde niemals eine andere Seite kompromittieren.

Das alles bedeutet etwas mehr Aufwand, jedoch könnte dieses bisschen Mehraufwand eure persönlichsten Daten vor anderen Schützen und das sollte es Wert sein.

Spotify Accounts leaked

spotify logoIch glaube viele haben schon davon gehört, Spotify Family und Premium Account-Daten wurden auf Pastebin geleaked. Einer der ersten Artikel darüber fand man auf TechCrunch, jedoch niemand verlinkt auf die Liste. Spotify selbst ist der Meinung das kein Einbruch in ihre System bekannt oder ersichtlich ist, also woher kamen die Nutzerdaten? Vorerst eigentlich egal, wichtig ist das man raus findet ob man unter den Nutzern ist, deren Daten öffentlich sind.

Dafür gibt es einige Möglichkeiten, die wohl einfachst ist per PasteBin Suche. Wer einen Password Manager (zum Beispiel LastPass) nutzt, hat oft die Möglichkeit darüber zu überprüfen ob eigene Daten geleaked wurden.

Eine andere Möglichkeit ist Webseiten zu nutzen welche diese Leak Information sammeln und durchsuchbar machen, wie zum Beispiel have i been pwned