Passwortsicherheit - Kaspersky Lab – Newsroom Europe.

Passwortsicherheit
Web-Accounts vor Hacking-Attacken schützen
Die Cloud ist bei den meisten Nutzern längst Alltag – wir nutzen sie für E-Mails, den
Datenaustausch oder um wichtige Informationen zu sichern. Der Nachteil: ein schwaches
Passwort und alle persönlichen Informationen stehen dem Angreifer offen. Kaspersky Lab
zeigt potenzielle Folgen schwacher Passwörter und gibt Tipps für leicht zu merkende, starke
und einzigartige Kennwörter.
Cloud-Dienste sind für die meisten Internet-Nutzer längst Alltag - wir kommunizieren über Facebook,
schreiben E-Mails über Gmail, speichern wichtige Informationen in der iCloud oder bei Dropbox.
Innerhalb weniger Jahre haben sich Dienste, Applikationen und Speicherplatz von der lokalen
Maschine über das lokale Netzwerk ins Internet verlagert. Die Sicherheitssysteme dagegen haben
sich seit den 1980er-Jahren kaum weiterentwickelt, selbst die modernsten Cloud-Dienste setzen im
Grunde auf eine einfache Kombination aus Nutzername und Passwort.
Unser digitales Leben ist schützenswert
Gelangen die Zugangsdaten in die Hände von Kriminellen, steht ihnen im schlimmsten Fall das
komplette digitale Leben des Nutzers offen. Dabei geht es nicht nur um Daten, die in der Cloud
gespeichert sind, immer häufiger sind diese Dienste mit einzelnen Geräten direkt verknüpft.
Cyberkriminelle gelangen über mehrere Wege an die Passwörter. Der „Klassiker“ ist das Abfangen
von Zugangsinformationen durch bösartige Programme (Malware), so genannte Password Stealer.
Moderne Malware ist oft modular aufgebaut, so dass nach der Infektion weitere Funktionen
nachgeladen werden können. Selbst wenn eine Schadsoftware zu Beginn keine Funktionen zum
Aufzeichnen von Eingaben oder gedrückten Tasten (so genannte Keylogger) integriert, können die
Kriminellen diese im Zweifel später nachrüsten. Die zweite populäre Möglichkeit, um an Zugangsdaten
zu gelangen, sind so genannte Breaches. Dabei handelt es sich um gestohlene PasswortDatenbanken von Online-Diensten. Ein populäres Beispiel aus der jüngsten Vergangenheit ist der
Hack des Seitensprungportals Ashley Madison aus diesem Jahr, bei dem fast zehn Gigabyte Daten
mit Informationen zu 32 Millionen Kunden entwendet wurden [1].
Durch solche Zwischenfälle sind im Web komplette Listen mit Zugangsdaten für jedermann verfügbar.
Selbst wenn diese Daten verschlüsselt sind, ist das für viele Kriminelle nur eine kleine Hürde. Das
liegt daran, dass die verfügbare Rechenleistung in den letzten Jahren durch Dienste wie Amazon EC2
oder kriminelle Botnetze (Zusammenschlüsse von infizierten Rechnern unter der Kontrolle von
Kriminellen) exponentiell gestiegen ist. Wo früher ein Rechner Jahre an einer Verschlüsselung
arbeiten musste, lassen sich nun auf Wunsch hunderte oder tausende Recheneinheiten
zusammenschalten. Diese knacken die Verschlüsselung oftmals innerhalb von Sekunden oder
Minuten. Diese Listen lassen sich in automatisierte Angriffs-Tools füttern, die anschließend die
Zugangsdaten bei beliebig vielen Webdiensten ausprobieren – denn die Wahrscheinlichkeit, dass ein
und dieselbe Kombination aus Nutzername und Passwort bei mehreren Diensten genutzt wurde, ist
hoch.
Starke Passwörter generieren und einfach merken
Dennoch können Nutzer viel zu einem guten Passwort beitragen. Das beginnt bei der Installation
eines aktuellen Schutzprogramms gegen Malware wie Kaspersky Internet Security – Multi-Device [2]
und erstreckt sich anschließend auf die Auswahl des Kennwortes. Dieses sollte möglichst lang sein
(im Idealfall bis zu 16 Stellen) und einzigartig sein.
Es sollte weder einen feststehenden Begriff (etwa aus einem Wörterbuch) enthalten, noch aufeinander
folgende Zeichen wie „12345678“ oder „qwertzui“ nutzen. Idealerweise sind Groß- beziehungsweise
Kleinschreibung gemischt und mindestens ein Sonderzeichen sowie Zahlen mit im Kennwort
enthalten. Das klingt zunächst unmöglich, Kaspersky Lab-Experte David Emm hat aber ein recht
einfaches System:
Statt eines festen Passwortes, das man variiert, merkt man sich eine bestimmte Formel zum Erstellen
der Kennwörter. Das kann beispielsweise wie folgt aussehen: Zunächst nimmt man den Namen des
jeweiligen Dienstes, für den man ein Kennwort erstellen möchte, etwa „meinebank“. Als nächstes
schreibt man etwa den vierten Buchstaben immer Groß und verschiebt den vorletzten Buchstaben an
den Anfang des Wortes. So wird aus dem Kennwort „nmeiNebak“. Nun fügt man noch Zahlen und
Sonderzeichen an festen Positionen ein, etwa nach dem dritten Zeichen und an vorletzter Stelle. Dann
wird aus einem einfachen Kennwort ein recht sicheres „nme3iNeba$k“. Emm hat noch eine weitere
einfache Alternative: Wer beispielswiese die ersten Zeichen des Satzes „Ich habe einen Online-Zugriff
auf mein Konto bei meiner Bank“ nimmt, der erhält ein „IheOZamKbmB“. Nun kann man noch Zahlen
und Sonderzeichen einfügen und hat so ein sicheres und dennoch leicht zu merkendes Kennwort.
Software unterstützt persönliches
Passwortmanagement
Eine Alternative zum Merken von Kennwörtern sind so genannte Passwort-Manager. Diese
Programme stellen im Grund einen sicheren Safe für Zugangsdaten dar – alle darin gespeicherten
Informationen werden mit einem Kennwort verschlüsselt. Öffnet der legitime Nutzer diesen Safe, so
können die meisten Programme die gespeicherten Kennwörter direkt dort einsetzen, wo sie gebraucht
werden. Der Vorteil für Nutzer ist klar: Sie müssen sich im Grunde nur noch das Passwort für den Safe
merken, alle anderen Kennwörter kann der Kennwort-Manager zufällig erstellen.
Dieses Passwort sollte allerdings sehr gut sein, schließlich schützt es alle anderen Informationen.
Nutzer von Kaspersky Total Security – Multi-Device [3] erhalten ein entsprechendes
Passwortverwaltungsprogramm zusammen mit ihrer Sicherheitslösung. Eine gute Passwort-Politik
schützt dabei nicht nur die Heimsysteme der Nutzer. Wer sich auf die Nutzung guter Passwörter
trainiert, erhöht so langfristig seine komplette IT-Sicherheit, egal ob Zuhause oder am Arbeitsplatz, ob
am PC oder am Smartphone.
Weitere Tipps zur eigenen Passwortsicherheit sind:

Analysieren Sie Accounts auf Wichtigkeit: E-Mail- und Online-Shopping-Portale sind
naturgemäß wichtiger als etwa Foren oder Profile bei Zeitungen. Allerdings sollten Sie nicht
vergessen, dass sich aus diesen scheinbar unwichtigen Konten zahlreiche Rückschlüsse
ziehen lassen, etwa auf Fragen zum Zurücksetzen von Passwörtern.


Ändern Sie regelmäßig die Passwörter der Accounts: Zur Passwort-Pflege gehört, dass Sie
Ihre Kennwörter regelmäßig ändern. Leider müssen Sie meist selbst den Überblick behalten,
die wenigsten Dienste bieten eine Ablauffunktion für Passwörter.
Nutzen Sie 2-Faktor-Authentifizierung, wo sie angeboten wird: Google, Ebay oder der
Spielehersteller Blizzard bieten beispielsweise eine so genannte 2-Faktor-Authentifizierung,
bei der neben dem Passwort auch eine PIN eingegeben wird, die etwa über eine SmartphoneApp erzeugt wird. Diese Probleme setzen zusätzliche Hürden für Angreifer.
[1] http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/ashley-madison-nutzerdaten-vonseitensprungportal-veroeffentlicht-13757617.html
[2] http://www.kaspersky.com/de/multi-device-security
[3] http://www.kaspersky.com/de/total-security-multi-device
Über Kaspersky Lab
Kaspersky Lab ist weltweit eines der am schnellsten wachsenden sowie das größte privat geführte Unternehmen für
Cybersicherheit. Das Unternehmen zählt zu den vier erfolgreichsten Anbietern von IT-Sicherheitslösungen für EndpointAnwender (IDC, 2014). Seit 1997 hat Kaspersky Lab zahlreiche Innovationen im Bereich Cybersicherheit auf den Weg gebracht
und bietet effektive digitale Sicherheitslösungen und Threat Intelligence für Großunternehmen, KMU und Heimanwender.
Kaspersky Lab ist ein internationales Unternehmen, das derzeit in rund 200 Ländern auf der ganzen Welt vertreten ist und über
400 Millionen Nutzer weltweit schützt.
Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/. Kurzinformationen erhalten Sie zudem
über www.twitter.com/Kaspersky_DACH und www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam
sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter www.viruslist.de und auf dem Kaspersky-Blog
auf http://blog.kaspersky.de/ abrufbar.
Redaktionskontakt:
essential media GmbH
Florian Schafroth
[email protected]
Tel.: +49-89-7472-62-43
Fax: +49-89-7472-62-17
Landwehrstraße 61
80336 München
Kaspersky Labs GmbH
Stefan Rojacher
[email protected]
Tel.: +49-841-98-189-325
Fax: +49-841-98-189-100
Despag-Straße 3
85055 Ingolstadt
© 2015 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky
Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing
herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial
errors or omissions contained herein.