Error: no file object

Die eigene Kreativität zum Schutz im Internet nutzen

Das Thema Security bei den eigenen Geräten (Router, Smartphone, PC, Laptop etc.) und den unzähligen Online-Accounts habe ich des öfteren bereits kommuniziert. Ein Artikel bei Heise Security lässt schon wieder aufhorchen. Leider kriegen das meistens nur die mit, die das Thema ohnehin bereits interessiert und die abgesichert sind.
2,2 Milliarden Accounts sind derzeit nachweislich geleakt, und dabei darf man getrost von einer wesentlichen höheren Dunkelziffer ausgehen.

Dateien mit einmal nur abgegriffenen Passwörtern oder mal in Kombination von eMail-Adressen und Hashwert des jeweiligen Passwortes schwirren durch das Internet. Letzterer gilt zwar je verwendeten Hash-Verfahren als nahezu nicht zurückführbar auf das Klartext-Passwort. Aber zusammen mit solchen Dateien voller entdeckter Klartextpasswörtern und Wörterbüchern lassen sich die vorhandenen Hashwerte in einer Programmschleife mit zuvor berechneten Hashes aller Hashverfahren aus den vorhandenen Passwörter in den Dateien vergleichen. Mit der entsprechenden Rechenpower und etwas Geduld werden so die gesammelten Hashwerte in Klartextpasswörter zur jeweiligen Mailadresse umgewandelt. Und da in den Leaks auch Informationen über die Quelle des Leaks stehen, weiß man, wo man die Mailadresse samt  Passwort anwenden kann.

Im Prinzip ganz einfach.

Das Hasso-Plattner-Institut bietet Ihnen sogar einen ganz besonderen Service an, mit dem Sie testen können, welche Ihrer Mailadressen geleakt sind. Hier sind bereits diese neuen Leaks eingepflegt. Und Sie erhalten an Ihre geprüfte Mailadresse einen ausführlichen Bericht darüber, wo die Datenlücke offen ist.
Das A und O sind also der Umgang mit unseren Passwörter. Nicht nur der Umgang sondern auch die Strategie ist sehr wichtig.

Passwort-Strategie

Ihrer Kreativität können Sie regelrecht am Passwortes ausleben. Dabei ist es wichtig, dass  das Passwort gut im Gedächtnis bleibt. Dazu existieren unterschiedliche Hilfsstrategien: Der eine kann sich einen Satz (Mantra) sehr gut merken und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den Zweiten oder den Letzten). Zusätzlich kann man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen verwandeln. Beispiel aus „One“ wird eine „1“ oder ein Kommazeichen mutiert zum %-Zeichen. Die Nächste verwendet einen ganzen Satz als Passwort oder reiht unterschiedliche Wörter, verbunden durch Sonderzeichen, aneinander. Oder es gibt Menschen, die sich die Abfolge der Zeicheneingabe visuell im Gedächtnis behalten können.

Allerdings nach wie vor besteht folgende Grundsatz regelt: Je länger, desto besser. Das heißt, ein gutes Passwort sollte mindestens acht bis 12 Zeichen lang sein. Darunter gewinnen immer Programme, die Kombinationen ausprobieren.
Allerdings: Die Verschlüsselungsverfahren für WLAN, wie zum Beispiel WPA und WPA2, sollten von Ihnen ernst genommen werden. Ein Passwort kleiner 20 Zeichen ist ein Glückstreffer für jeden Angreifer. Denn an diesen Punkten sind so genannte Offline-Attacken machbar. Diese werden auch ohne existierende offene Netzverbindung funktionieren. Etwas, das beim Hacken von Online-Accounts nicht realisierbar ist.

  • Für Ihr Passwort können Sie in der Regel alle verfügbaren Zeichen verwenden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…). Je mehr Ziffern und Sonderzeichen Sie in das Passwort einbauen, umso stärker wird das Passwort – und natürlich je länger es ist. Allerdings sollten Sie auch bedenken, bei Auslandsreisen haben Sie landestypische Tastaturen, so dass Sie einige Zeichen nicht ad hoc zur Verfügung haben könnten. Abhilfe schaffen hier auch wieder Passwortmanager.

  • Gänzlich ungeeignet als Passwörter sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten und so weiter. Insbesondere Daten, die sich aus Wörterbüchern, Namensregistern, Adressbüchern herausfiltern lassen. Sozialmedia macht es heute auch möglich, ganz schnell zu eruieren, wie Ihre Verwandschaft, Ihre Freunde, Ihre Favoriten und natürlich Ihre Tiere heißen. Auch ist es keine gute Idee, gängige Varianten und Wiederholungs- oder Tastaturmuster wie "asdfgh", „qwert“, „password“, „HalLO“ oder "1234abcd" zu verwenden.

  • Genauso ist es ein Unding dem Passwort einfache Ziffern am Ende oder am Anfang anzuhängen resepektive eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen. Die gleiche Untat wäre ein simples Passwort wie zum Beispiel einen Namen mit einem Datum, das meistens ein signifikantes Datum zu ummanteln, in der Gestalt hier „0520TesTeron19“.

  • Passwortmanager wie KeePass unterstützen Sie nicht nur für jeden Account ein neues Passwort anzulegen. Sondern Ihnen werden bereits exzellent gute und starke Passwörter angeboten, die Sie getrost übernehmen können. Denn Ihre verschlüsselte Passwortdatenbank von KeePass schützen Sie mit Ihrem einen gut merkbaren und sicherem Masterpasswort. Gleichzeitig können Sie die KeePass-Datenbank auf allen Ihren Geräten (Smartphone, PC, Laptop, Tablet) nutzen, selbst über einen USB-Stick lässt sie sich im InternetCafe oder im Büro mit verwenden.

  • Linux- und OS-Benutzer haben zur Passwortgenerierung zusätzlich ein sagenhaft gutes Tool in der Bash zur Verfügung: pwgen.
    Hiermit generieren Sie viele und optional Passwörter mit vielen Sonderzeichen und Ziffern in der gewünschten Länge. Auch die Groß- und Kleinbuchstaben können gezielt berücksichtigt werden.

  • Ein letzter guter Ansatz ist die Zwei-Faktor-Authentifizierung, bei der Ihnen an eine hinterlegte Mobilrufnummer eine SMS mit einem Code oder Token gesendet wird. Das Gleiche wäre auch mit der eMail-Adresse möglich. Nachteil bei Letzterem ist wieder das Risiko einer geleakten Mailadresse. Und nachteilig wäre auch die Herausgabe der Mobilrufnummer, die ja auch sehr beliebt als Datensammelobjekt bei den Anbietern ist.

  • Mein Favorit ist das Anlegen von spezifischen Mailadressen für gezielt spezieller Accounts. Das sähe dann folgt aus, android.pit@example.tld für besagtes Forum oder face.b@example.tld für FaceBook etc. Dazu muss man heutzutage keineswegs unendliche Mailaccounts anlegen. Da reicht ein Mailaccount bei dem man 10 oder mehr Mailaliases anlegen kann.
    Das Gute daran ist, dass ich den Mailaliases wieder löschen kann, wenn ich ihn nicht mehr benötige oder merke, dass die Adresse für SPAM oder Anderes missbraucht wird, respektive geleakt wurde.


Sie sehen, Ihre IT-Sicherheit liegt ganz bei Ihnen und Ihrer Kreativität, wie Sie sie einsetzen. Gleichzeitig schützen Sie sich und Ihr Netzwerk selber, sondern Sie tragen auch zur Sicherheit aller anderen Beteiligten im Internet bei. Denn ein geleakter Internetbenutzer hat meistens zur Folge, dass dessen Kontakte (Mail, Adressbuch) ebenfalls betroffen sein werden. Und das kann zum Selbstläufer werden.

Seien Sie kreativ und werden Sie aktiv! Am besten jetzt am Ende dieses Blogs!