Wie oft habt ihr das schon gehört: „Meine Facebook Account wurde gehackt :(“ , „Meine Spotify Listen sind weg, ich wurde gehackt“, „Sorry, konnte nicht antworten, mein Account war gehackt“? Bestimmt unzählige Male, oder? Und wisst ihr was: Das stimmt alles nicht. Ohne Scherz: Es ist kein hacking, wenn man das Passwort von einem Account findet oder es durch Social Engineering herausfindet. Wie einfach das geht zeigt die Serie „Mr. Robot“ auf Amazon eigentlich ganz gut: Ein paar gezielte Fragen und ich kann jedes Sicherheitssystem so umgehen, dass ich ein neues Passwort setzen kann und alles mit dem Account anstellen kann. Nur was mache ich, wenn mir genau das passiert? Natürlich sagen alle: Passwörter ändern. Das lindert zwar meistens die Symptome und sorgt dafür, dass ihr wieder Zugriff auf euren Account habt, aber hilft das dauerhaft? Wie kann ich dauerhaft meine Accounts vor solchen Angriffen sichern? Das versuche hier mit diesem kleinen Blogbeitrag euch zu zeigen.

Ich garantiere für nichts (der Disclaimer)

Alles, was ich hier nun zusammenschreibe, schreibe ich nach besten Wissen und Gewissen zusammen. Nicht alle meine Vorschläge sind ideal oder gar 100% sicher, denn auch im Netz gilt: Nichts ist sicher. Daher versteht das ganze eher als eine Art Leitfaden und wie ihr eure Daten ein wenig sicherer macht. Dieser Artikel wird euch nicht unangreifbar machen und auch nicht vor allem schützen, allerdings einem möglichen Angreifer das Leben etwas schwerer machen.

Nach dem Disclaimer aber nun mal ans eingemachte:

Die besten Passwörter sind die, die man nicht kennt

Es klingt so einfach, aber ist eben so genial: Merkt euch keine Passwörter! Passwörter, die euch merken müsst, sind schlecht. Jedes Passwort, was durch Merksätze, Zahlen oder durch Biografische Daten (Geburtstag, Hochzeitstag etc.) generiert wurde ist schlecht. Denn diese Passwörter gehorchen einer gewissen Logik und wenn eines Computer, KIs und Generatoren können, dann ist es Logik. Daher vergesst solche Passwörter sofort. Auch Passwörter, die möglichst komplex sind, Zahlen, Buchstaben und Sonderzeichen enthalten sind für die meisten Systeme kein Problem mehr. Dazu hat xkcd ein passendes Comic gemacht:

Die Essenz des Comics ist, dass die komplizierten Passwörter easy zu erraten sind, vier zufällige Worte hingegen deutlich schwerer. Und so solltet ihr eure Passwört auch wählen. Aber wie ich bereits oben sagte: Die besten Passwört sind die, die ihr nicht kennt. Um das zu ermöglichen, benötigt ihr einen Passwortmanager. Ein kleines Programm, dass alle eure Passwörter enthält und idealerweise nicht in einer fremden Cloud liegt. Ich persönlich kann von Passwortmanagern wie LastPass, 1Password, FastLane etc. nur abraten. Eure persönlichen Passwörter landen irgendwo in einer ominösen Cloud, von der ihr nicht viel wisst, außer das es sie gibt. Und sollte es dort mal einen Angriff geben, kann es durchaus passieren, dass eure sorgfältig ausgesuchten Passwört alle offen liegen und somit wertlos sind. Daher rate ich dazu, einen lokalen Passwortmanager zu verwenden. Meine Favoriten sind da das gute alte KeyPass, Enpass und Bitwarden, wenn man die Installation selbst hostet. Für die meisten von euch wird Bitwarden sicherlich nicht in Frage kommen, da man es auf einem Server installieren muss. Dafür ist der Komfort dort aber auch am besten: Dank der eigenen Cloud auf dem eigenen Server verlassen eure Daten euren Wirkungskreis nicht. Durch Plugins und Apps lässt sich Bitwarden nicht nur in diversen Browsern nutzen, sondern auch unter Android und iOS.

Bei KeyPass ist das schon etwas schwieriger: Hier legt ihr eine Art „Container“ an, der dann zwischen euren Geräten synchronisiert werden muss. KeyPass besitzt von Haus aus keine direkte Übertragung zu einer Cloud oder zu einem Dateiserver und ihr müsst selbst dafür Sorge tragen, wie die Datei von eurem PC auf eure Smartphones kommt. Oder ihr habt halt nicht alle Passwörter parat. Enpass ist da deutlich angenehmer: Der angelegte Safe kann nun über diverse Cloud Dienste auf allen Geräten synchronisiert werden. Aber auch hier gilt: Traut nicht allen Anbietern. Am sichersten ist auch hier, die Datei manuell zu übertragen. Aber das muss jeder selbst wissen.

Nach dem ihr nun einen Passwortmanager habt, geht es eigentlich schon los mit den Passwörtern: Für jeden Dienst, für jedes Konto, generiert ihr ein eigenes Passwort. Alle Passwortmanager bringen Generatoren für sichere Passwörter mit. Allerdings sind die auch nicht unbedingt sicher (siehe xkcd Comic). Daher schaut in eurem Passwort Manager, ob dieser auch „Passphrases“ generieren kann. Dieses Methode generiert durch zufällige Worte und einem Trennzeichen Passwörter. Und die sollten recht sicher sein. Wer aber auch diesem Generator nicht traut, der kann Passwört auch extern generieren: Diceware. Bei Diceware werden Passwörter durch echten Zufall gewürfelt. Ihr braucht dazu nur Würfel und eine passende Wörterliste. Diese Passwörter sind definitiv zufällig (man möge mich hier korrigieren, wenn ich falsch liege)

Nun generiert ihr für jeden Account ein Passwort, ändert das Passwort für diesen Account, speichert das Passwort und vergesst es wieder. Ihr könnt es ja jeder Zeit nachschlagen.

Ach bevor ich es vergesse: Die Passwortmanager brauchen alle ein Masterpasswort. Dieses könnt ihr auch, wie oben beschrieben, super sicher machen oder ihr wisst, wo eure Daten sind und könnt es hier etwas einfacher angehen lassen. Das bleibt euch selbst überlassen.

Sicherheitsfragen

Ich erwähnte ja bereits den Begriff „Social Engineering“ und wie man damit recht leicht an Accounts kommt. Diese Sicherheitsfragen, die viele Seiten anbieten, sind dabei das Problem. Diese stellen persönliche Fragen und wenn man diese ehrloch beantwortet, kann man als Angreifer diese Daten schnell herausfinden. Beispiel?

Facebook: Ihr postet dort ein Bild von eurem Hund „Fluffy“, beschreibt in einem Kommentar wie damals die Straße „Kaiserstraße“ aussah und wie oft ihr dort gespielt habt. Dann zeigt ihr vielleicht noch ein Bild eurer ersten Liebe, Postet den Namen der Mutter oder noch schlimmer: Ihr habt an diese tollen „Deine Straße wo du als Kind gewohnt hast + von + Kindernamen deiner Mutter = Dein Royals Titel“ „spielen“ mitgemacht: Mit diesen Daten hat ein Angreifer eigentlich viele Antworten auf die üblichen „Sicherheitsfragen“. Doch wie geht ihr denn nun eigentlich mit diesen Fragen um? Ganz einfach: Ihr denkt euch Blödsinn aus. Wobei ausdenken ist falsch, sondern ihr wählt was zufälliges aus. Notiert euch nur die Frage und die von euch ausgedachte Antwort in eurem Passwortmanager – und schon seid ihr vor diesem Typ von Angriff etwas geschützter. Denn wer kommt schon auf die Idee, das euer erstes Haustier „NT1-A“ hieß oder der Name eurer Mutter „Smartphonehülle“ war (nur Beispiele ;)). Und nach dem Prinzip aufschreiben und vergessen wisst ihr das eh nicht, falls man euch danach fragt.

Mehrfaktor Authentifizierung

Nervig und doch sehr nützlich: Der zweite Faktor. Fast jede größere Website bietet euch das an. Darum: Nutzt es, auch wenn es nervig ist. Für diesen Faktor gibt es viele Möglichkeiten: Eine E-Mail mit PIN, eine SMS mit PIN, ein sogenanntes „One Time Password“ oder, wie es der Google Authentificator macht, ein „time based onetime password“. Dazu gibt es diverse Apps und Möglichkeiten, die ich hier nicht alle erwähnen kann. Prüft einfach für jeden Dienst, ob es dort die Möglichkeit gibt, einen zweiten Faktor einzurichten. Denn selbst wenn es mal ein Passwort auf eine öffentlich einsehbare Liste schafft: Ihr seid mit dem zweiten Faktor erstmal sicher.

Eine recht übersichtliche Seite zu den Diensten, die das können findet ihr unter https://twofactorauth.org/

Abschluss

So. jetzt habe ich eine ganze Menge geschrieben und das sind aus meiner Sicht nur die Basics. Es geht immer mehr, immer sicherer, aber die erwähnten Maßnahmen sollten schon helfen, euer Online Leben sicherer zu machen. Und falls ihr wissen wollt, ob von euch mal Daten veröffentlich worden sind: https://haveibeenpwned.com/ hilft euch da weiter. Sollte es dort Treffer geben: Ändert umgehend das Passwort beim entsprechenden Dienst.