Hi!
Hier im BTT-Forum liest man ja leider täglich von Fällen wo Leute gescammed, Accounts gehacked und viel zu viele Coins gestohlen werden. Fast alle dieser erfolgreichen Angriffe basieren schlichtweg darauf, dass der Großteil der User zu unvorsichtig mit den eigenen Daten und Accounts umgeht oder ganz einfach zu gutgläubig (oder gierig ;-) ist. Ich habe mir deswegen vorgenommen, eine Thread-Serie zum Thema „Security 1x1“ zu schreiben in welcher ich Schritt für Schritt die mMn. wichtigsten Punkte zusammenschreibe um sich halbwegs sicher im Netz zu bewegen, Coins sicher zu handeln und vor allem nicht Gefahr zu laufen, hart verdientes Geld/Accounts/whatever zu verlieren.
Der erste Teil befasst sich mit den Basics rund um sichere Passwörter. Bitte um euer Feedback ob die Serie überhaupt Sinn macht oder euch Punkte fehlen. Habe versucht die techn. Details etwas herauszuhalten, wenn gewünscht kann ich aber gern auch näher auf technische Hintergründe eingehen!
Würde die Serie anschließend mit Tools, die einem das sichere Bewegen im Internet erleichtern (MetaCert, 2FA, der Browser ansich, ...) fortsetzen.
Viel Spaß beim Lesen, würde mich wie gesagt über Kritik freuen!
--------------
Teil 1: Sichere Passwörter
TL;DR
- Möglichst lange Passwörter verwenden, Tools bzw. einfache Denkhilfen helfen dabei
- Optimal: Mindestens 12 Zeichen, Sonderzeichen, Großbuchstaben und Zahlen
- Niemals ein Passwort recyclen
- Wenn möglich Passwortsafes verwenden
- Tools helfen beim Check der Passwörter und Accounts
Auf die Länge kommt es an – Oder wie ich mein Passwort richtig wähle
2017 war das beliebteste Passwort „123456“, unter die Top 10 hats auch „password“ geschafft. Aber warum ist die Verwendung solcher Passwörter eigentlich so gefährlich?
Ganz einfach:
Angriffe auf Passwörter eines Users können bspw. über die so genannte „Brute-Force“ Methode durchgeführt werden. Dabei wird von einem Programm immer und immer wieder versucht, das Passwort eines Users zu erraten. Der erste Versuch dazu startet z.B. mit einem „aaaaaa“, ist das nicht das Passwort, so wird im nächsten Schritt ein „abaaaa“ versucht und so weiter. Irgendwann gelangt man so auch bei „123456“ an und das Passwort ist geknackt. Kurz gesagt gilt also: Umso länger das Passwort, umso länger dauert es, dieses zu knacken. Als Richtlinie für ein sicheres Passwort gilt hier mittlerweile: Mindestens 12 Zeichen, Sonderzeichen, Großbuchstaben und Zahlen verwenden.
Ähnliches gilt auch für Passwörter die in einem Wörterbuch zu finden sind. Vereinfacht gesagt: Ein Angreifer nimmt bspw. ein Deutsches Wörterbuch her, fängt bei A an und versucht sich mit allen mit „A“ beginnenden Wörtern einzuloggen.
OK OK, aber wie erstelle ich mir nun ein sicheres Passwort, welches ich mir auch merken kann?
Eigentlich ganz einfach. Es gibt Tools, die Passwörter generieren. Da kommt dann sowas raus wie „B!AÜP)(71.378“ … wahnsinnig sicher, aber auch unmerkbar. Hier schaffen bspw. Passwortsafes Abhilfe. Das sind einfache Programme, die dir für alle deine Accounts die Passwörter verwalten - auch am Smartphone. Um Zugriff auf die Passwörter zu erhalten brauchst du ein „Masterpasswort“, welches wieder möglichst sicher sein muss. So können auch „unmerkbare“ Passwörter ganz einfach verwendet werden. Ich persönlich verwende hier TrueKey (https://www.truekey.com/de)
Aber es gibt auch relativ einfache Möglichkeiten um sich selber leicht zu merkende sichere Passwörter zu erstellen. Dazu nimmt man einen einfach zu merkenden Satz wie „Meine Doge Coins werden mich in 10 Jahren reich machen!“ und merkt sich davon nur die Anfangsbuchstaben: MDCwmi10Jrm! … schon hat man ein sehr schwer zu knackendes, aber einfach zu merkendes Passwort.
Passwort-Recycling: Der Umwelt zu liebe …?
Ich denke jeder von uns hat zumindest einen Account, wo er ein Passwort eines anderen Accounts wiederverwendet. Aber was ist daran so gefährlich? Letztes Jahr im Sommer – wir waren gerade am Strand - bekomme ich eine Mail, dass das Passwort meines Blizzard-Accounts geändert wurde. Ich dachte mir im ersten Moment nix dabei, habs als Scam-Versuch abgetan. Abends wurde mir dann aber doch mulmig und ich versuchte mich, bei Blizzard einzuloggen. Gelang mir leider nicht, mein Passwort wurde tatsächlich geändert. Der Account läuft auf meine GMX-Adresse, so wie bspw. auch mein Account für diverse Börsen. Ich rufe daraufhin sofort GMX auf und will mich einloggen, aber der Account war bereits gesperrt … Wegen zu vielen Login-Fehlversuchen. Ich hatte gsd ein anderes Passwort in Verwendung. Hätte ich das nicht gehabt, wären dem Angreifer Tür und Tor zu meiner Online-Identität geöffnet gewesen, über die Mailadresse lassen sich so ziemlich alle Account-Passwörter zurücksetzen, angefangen von Facebook über Xing bis hin zu bitcoin.de …
Um Passwörter nicht recyclen zu müssen verwende ich wie gesagt einen Passwortsafe. Es gibt aber auch die Möglichkeit, sich selber auf relativ einfache Art und Weise pro Account eindeutige Passwörter zu generieren – und diese auch zu merken.
Nehmen wir an unser Passwort ist wieder „MDCwmi10Jrm“ … ich will mir nun einen Account bei bitcoin.de erstellen. Was sicher ewig gleich bleiben wird ist hier die URL, eignet sich also ideal, um mein Passwort damit die verbessern. Ich könnte also einen Teil der URL verwenden um mir das Passwort geringfügig abzuändern, bspw. mit dem ersten und den letzten Buchstaben der URL: bitcoin.de -> so wird aus meinem Passwort MDCwmi10Jrm.be … für GMX.com wärs MDCwmi10Jrm.gm usw. usf. Die Regel kann man nach Belieben abändern, man muss sie sich nur merken können ;-)
Passwörter und Accounts testen
Ihr könnt über folgende Seite testen lassen, ob euer Passwort bereits geknackt wurde und in einer Passwortliste im Darknet verfügbar ist:
https://haveibeenpwned.com/Passwords
Über diese Seite könnt ihr auch checken, ob eure E-Mail in einer der gehackten Listen aufscheint, und wenn ja … woher:
https://haveibeenpwned.com/
Zu guter Letzt noch ein Tipp … Über folgende Seite könnt ihr testen, wie schnell euer Passwort geknackt werden kann (ACHTUNG: Nicht euer wirkliches Passwort eingeben, sondern zumindest die Buchstaben austauschen): https://howsecureismypassword.net/
