Passwort-Sicherheit in 6 Schritten

6. August 2014

Bild: hauhu – Shutterstock

Laut dem Sicherheitsunternehmen Hold Security hat eine russische Hackergruppe den bisher größten Datencoup der Internetgeschichte gelandet. Von über 420.000 Internetseiten wurden 1,2 Milliarden Login-Daten sowie über 500 Millionen E-Mail-Adressen gestohlen.

Der Datenklau erfolgte via SQL-Injection – eine weithin bekannte Sicherheitslücke, die zum Standard der Absicherung gehört. Mittels Botnetzen (Netzwerke von infizierten Rechner) überprüften die Hacker die von Nutzern aufgerufenen Seiten nach der Sicherheitslücke und extrahierten die jeweiligen Datenbanken mit User-Logins. Auf einem Großteil der betroffenen Internetseiten ist die Sicherheitslücke bis heute weiterhin offen. Bislang hat Hold Security noch nicht bekannt gemacht, um welche Seiten es sich handelt. Betroffen sollen jedoch auch die Websites großer Unternehmen sein. Anscheinend wurden die Login-Daten bislang noch nicht für Identitätsdiebstahl, sondern nur für Spam missbraucht.

Sind meine Userdaten betroffen und wie erstelle ich sichere Passwörter, die ich mir merken kann?

Hold Security arbeitet derzeit an einem Tool, mit dem User überprüfen können, ob die eigenen Daten betroffen sind. Momentan ist jedoch noch nicht abzusehen, wann dieses Tool verfügbar sein wird. Sicherheitshalber sollten die eigenen Passwörter daher geändert werden, da vor dem Hintergrund des Ausmaßes fast jeder User betroffen sein könnte.

Im Zuge des Heartbleed-Bugs im April diesen Jahres hatten wir bereits Empfehlungen zur Erstellung sicherer Passwörter zusammengestellt. Sie können Passwort-Manager wie Password Safe des Sicherheitsexperten Bruce Schneier nutzen oder mit folgenden Tipps selbst starke Passwörter erstellen:

1. Keine bekannten, in Wörterbüchern auftauchenden Wörter verwenden, auch wenn sie mittels Zahlen oder Sonderzeichen verfremdet werden. Stattdessen kann man mit Hilfe von Eselsbrücken Passwörter konstruieren, die kaum zu ermitteln sind. Hierfür empfiehlt sich beispielsweise aus den Anfangsbuchstaben eines Satzes ein Passwort zu erstellen und dieses zusätzlich mit Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen zu verstärken. Wir nehmen etwa den Satz „Heute ist das Wetter schön, doch es regnet morgen bestimmt wieder!“ und ergänzen die Zeitangaben „heute“ und morgen“ mit einem Datum, beispielsweise Weihnachten. Die erste Zahl (heute) könnte den Monat Dezember bedeuten, die zweite Stelle (morgen) den Tag nach Heiligabend. Das so erstellte Passwort könnte demnach so aussehen: H12idWs!derM25bw!
2. Vermeiden Sie die Verwendung gleicher Passwörter auf unterschiedlichen Seiten. Überprüfen Sie ihre sämtlichen Passwörter auf Stärke und mehrmalige Verwendung.
3. Durchsuchen Sie Ihre E-Mails nach Logindaten und löschen Sie die Informationen.
4. Schützen Sie sensible Logins wie Banking-Seiten und Cloud-Speicherdienste mit besonders starken Passwörtern.
5. Nutzen Sie, sofern möglich, zusätzlich zu Passwörtern noch weitere Sicherungsverfahren, etwa 2-Faktor-Authentifikation, bei der zudem ein einmal gültiger Code eingegeben werden muss.
6. Kontrollieren Sie regelmäßig ihren Kontostand auf verdächtige und fremde Aktivitäten.