Tipps & Tricks
31.05.2011, 07:00 Uhr
Schutz vor Passwortdiebstahl (1/2)
Wir zeigen, wie Sie das Risiko minimieren, Hackern und Passwort-Phishern auf den Leim zugehen.
Im Artikel gestern haben wir demonstriert, wie Sie sich gegen lokale Datendiebe schützen (Gefahr Nummer 1). Jetzt dreht sich alles vor allem um Passwort-Hacker und unseriöse Webseiten.
Auf der nächsten Seite: Ein Hinweis zum Surfen
Ein Hinweis zum Surfen
Sicherer Browsermodus
Surfen Sie auf einem fremden Computer oder in Internetcafés, ist bei der Eingabe von Passwörtern grosse Vorsicht geboten. Oft speichern die Webbrowser sogenannte Cookies, in denen zumindest der Benutzername enthalten ist. Neuere Browser haben aber glücklicherweise eine Funktion, die das Speichern solcher Surfspuren abschaltet. Im Internet Explorer aktivieren Sie dazu Extras/InPrivate-Browsen, Screen. In Firefox wählen Sie Extras/Privaten Modus starten, in Google Chrome Neues Inkognito-Fenster.
Ein kompletter Schutz ist damit allerdings nicht geboten. Deshalb empfehlen wir, in Internetcafés heikle Transaktionen wie Webeinkäufe oder E-Banking nicht durchzuführen.
Auf der nächsten Seite: Schutz vor Passwort-Hackern
Schutz vor Passwort-Hackern
Gefahr Nummer 2: Passwort-Hacker
Eine grosse Bedrohung für Passwörter stellen Hacker dar. Diese lesen entweder direkt beim Zugriff auf einen Webdienst Ihr Passwort aus oder probieren Zeichenkombinationen aus, um das Kennwort herauszufinden.
Gutes Passwort wählen
Der Schutz von Passwörtern mit Programmen wie LastPass oder KeePass nützt nichts, wenn sich ein Kennwort einfach erraten lässt. Meist probieren Gauner Listen mit Wörtern durch, um die Konten von Webdiensten wie Facebook, PayPal, Google Mail etc. zu knacken. Verzichten Sie deshalb auf Kennwörter, die aus Worten bestehen. Auch Geburtsdaten sind eine schlechte Wahl.
Aber selbst kurze Passwörter mit beliebigen Zeichen sind leicht zu knacken: Denn führen die Wortlisten nicht zum Ziel, wenden Hacker sogenannte Brute-Force-Attacken (rohe Gewalt) an. Dabei werden alle möglichen Buchstabenkombinationen durchprobiert. Dies dauert zwar etwas länger, eine Zeichenfolge wie ertk lässt sich aber dennoch in sehr kurzer Zeit erraten – vor allem, wenn moderne Computer dabei helfen, die in Sekunden Millionen von Zeichenfolgen durchprobieren. Lesen Sie dazu den noch foglgenden Abschnitt «So schnell knackt man ein Passwort».
KeePass erstellt per Klick sichere Passwörter
Damit Sie sich das Passwort dennoch merken können, erstellen Sie es am besten mittels Eselsbrücke. Dazu nehmen Sie aus einem beliebigen Satz alle Anfangsbuchstaben und Satzzeichen. Aus dem Satz Ich habe oft Mühe, mir Passwörter zu merken. wird IhoM,mPzm. Sie können auch kürzere Sätze benutzen und dort jeweils die ersten zwei Buchstaben der Wörter wählen.
Noch sicherer sind Passwortgeneratoren, die ein Zufallskennwort erstellen. Die Anwendung KeePass bietet unter Extras/Passwort generieren eine solche Funktion, Screen.
Auf der nächsten Seite: Verschlüsselte Webseite
Verschlüsselte Webseite
Verschlüsselte Webseite
Auch das beste Passwort ist wirkungslos, wenn es jemand sieht. Geben Sie zum Beispiel ein Kennwort in einem unverschlüsselten Onlineformular ein, ist es nicht nur für den Betreiber der Webseite sichtbar. Auch eine Drittperson könnte es abfangen und lesen. Achten Sie deshalb vor der Eingabe von sensiblen Daten unbedingt darauf, dass Sie eine verschlüsselte Browserverbindung nutzen – erkennbar am Kürzel https:// am Anfang der Adresszeile, Screen, Punkt A, sowie am Schlosssymbol. Punkt B. Beides garantiert, dass alle Daten in verschlüsselter Form zur Webseite übertragen werden und sich somit nicht mitlesen lassen.
Waren diese sogenannten SSL-Verbindungen in der Vergangenheit vor allem Bezahldiensten und E-Banking-Seiten vorbehalten, finden sie sich nun auch auf verbreiteten Webdiensten wie Google Mail oder Facebook. Tippen Sie dazu anstelle von http:// einfach den Ausdruck https:// vor der eigentlichen Webadresse ein.
Auf der nächsten Seite: Vorsicht im Web
Vorsicht im Web
Gefahr Nummer 3: Unseriöse Webseiten
Registrieren Sie sich auf einer Webseite, kennt der Betreiber Ihren Benutzernamen und Ihr Passwort. Unseriöse Webseitenbetreiber könnten das missbrauchen und versuchen, sich mit Ihren Daten in anderen Webdiensten wie Facebook oder dem Bezahldienst PayPal einzuloggen.
Unterschiedliche Kennwörter
Wenn Sie sich bei jedem Webdienst mit demselben Benutzernamen und Passwort registrieren, gehen Sie ein grosses Risiko ein. Verwenden Sie deshalb unbedingt für jeden Webdienst ein anderes Kennwort. Das ist auf Webseiten mit Bezahlangeboten besonders wichtig.
Nutzen Sie viele Webdienste, ist es schwierig, sich all die unterschiedlichen Passwörter zu merken. Hilfe bieten Passwortverwalter wie die erwähnten Werkzeuge KeePass oder LastPass. Auch sehr praktisch ist die Software Password Hasher, die wir im nächsten Tipp vorstellen.
Auf der nächsten Seite: Ein Passwort für alle Fälle
Ein Passwort für alle Fälle
Ein Passwort für alle Fälle
Ein interessantes Konzept zur Verbesserung der Passwortsicherheit verfolgt Password Hasher. Es wurde in der Stanford Universität entwickelt. Der Clou: Der Nutzer tippt nur ein einziges, starkes Hauptpasswort ein, dennoch erhält jeder genutzte Webdienst ein eigenes, sicheres Passwort.
So funktioniert Password Hasher: Wenn Sie sich auf einer Webseite neu registrieren, geben Sie Ihr Hauptpasswort ein. Wählen Sie ein gutes, nicht knackbares Kennwort. Nun kommt Password Hasher ins Spiel. Das Tool kombiniert das Hauptpasswort mit der Webadresse der Seite. So entsteht ein individuelles Kennwort.
Dazu ein Beispiel: Aus dem Hauptpasswort iKsom;uV. und der Webseite pctipp entsteht das sichere Passwort ST8/kjPp. Dasselbe Hauptpasswort ergibt mit der Webseite facebook das Kennwort QIvT3%vn. Password Hasher verwendet zur Berechnung der Kennwörter ein bisher ungeknacktes Verschlüsselungsverfahren. Das garantiert, dass das Hauptpasswort nicht rekonstruiert werden kann. Zudem kennen die Betreiber von Password Hasher Ihr Hauptkennwort nicht.
Password Hasher ist als Erweiterung für den Firefox-Browser erhältlich. Installieren Sie diese über Extras/Addons. Nach einem Neustart des Browsers ist sie aktiv. Bei jedem Passwortfeld auf einer Webseite erscheint künftig ein #-Knopf, Screen, Punkt A. Klicken Sie darauf, öffnet sich Password Hasher. Die Seitenadresse, Punkt B wird automatisch erkannt, kann aber auf Wunsch angepasst werden. Geben Sie unter Punkt C das Hauptpasswort ein. Jetzt wird ein Kennwort generiert, Punkt D und nach einem Klick auf OK automatisch ins Eingabefeld übernommen. Wahlweise können Sie sich per «Klartext», Punkt E das Kennwort auch anzeigen lassen.
Für Google Chrome gibt es übrigens eine kompatible Erweiterung mit der gleichen Funktion; sie heisst Password Hasher Plus. Nutzen Sie einen anderen Webbrowser, können Sie das Hash-Wort über die Webseite http://wijjo.com/passhash/passhash.html online generieren.
Auf der nächsten Seite: So schnell knackt man ein Passwort
So schnell knackt man ein Passwort
Hintergrund: So schnell knackt man ein Passwort
Viele Anwender wählen ein Kennwort aus sechs Zeichen, das nur aus Kleinbuchstaben besteht. Dieses kann also 26 unterschiedliche Zeichen beinhalten, was bei einer Länge von sechs Zeichen insgesamt 308915776 (also fast 309 Millionen) mögliche Kombinationen ergibt.
Kommentare
Es sind keine Kommentare vorhanden.