ICH bin doch nicht schuld, wenn MEIN PASSWORT gehackt wird!

JETZT REICHTS! Der größte Hack der Geschichte veröffentlicht gerade, in diversen Tranchen, Millionen (oder sind es schon Milliarden?) von email-Adressen, Passwörtern, Nutzernamen. Klar, ich habe Euch in meinem letzten BlogPost die heutzutage minimale Anforderung an sichere Passwörter und erschwerende Login-Bedingungen nahe gelegt – aber: das MILLIONEN ZUGANGSDATEN FREI IM NETZ LIEGEN, IST NICHT MEINE/UNSERE SCHULD!!!!!!!!!! WIRKLICH NICHT!!!!!!!!!!!!!einself!!!!!

Collection #1 hätte uns aufschrecken sollen. In den letzten Wochen wurden dreistellige Millionen von email-Adressen und damit verbundene Passwörter offen zum Download im Internet angeboten. Mittlerweile ist mit Collection #5 (oder war es schon #7) und immer noch kein Ende in Sicht.

Klar, ein paar der Zugangsdaten sind hoffentlich veraltet, da sie aus früheren Hacks stammen und nur zusammengefasst wurden. Das absolute Risiko der aktuellen Bereitstellung ist allerdings, dass die Kombinationen so zusammengestellt worden sind, dass man sie vollautomatisiert mit einem Script abrufen und auf der jeweiligen Webseite weiter geben kann – somit lassen sich in Sekunden hunderte von Zugangsdaten auf Echtheit bzw. Funktionalität testen.

Ich hatte in meinem letzten BlogPost zur Nutzung eines Passwort-Managers und der Zwei-Wege-Authentifizierung aufgerufen. Viele machen das bereits, auch schon seit Jahren – aber eben immer noch nicht JEDER!

Aber das ist nur die halbe Miete – und die andere Hälfte prangere ich heute offen und ganz deutlich an: Anbieter, die sich einen DRECK um Datensicherheit kümmern!

 

Ja, es ist an sich undenkbar, aber es passiert täglich:
Man logt sich bei seinem email-Anbieter ein: und sieht plötzlich Mails, die jemand anderem gehören.
Beim Verwalten seines gemieteten Servers kommt man plötzlich in das root-Verzeichnis und findet im Klartext gespeicherte Login-Passwort-Kombinationen des aktuellen Kundenstamms.
Oder man fordert seine Alexa-Sprachprotokolle ab und erhält neben den eigenen auch fremde Auswertungen – die noch dazu so offen und detailliert vorliegen, dass man auf die andere Person mit Leichtigkeit schließen kann.

Und die Liste der Beispiele könnte noch beliebig weit weiter gehen! Wir erfahren ja immer nur die Sicherheits“brüche“, die entweder bei den großen, bekannten und weltumspannenden namhaften Unternehmen passieren oder wenn wieder ganze Listen und Sets von Login-Kombinationen auftreten – oder wenn jemand einen Weg findet, mit Facetime sein Gegenüber zu belauschen, obwohl der noch gar nicht abgehoben hat.

 

Aber eins ist dem allen immer gemein: ALLE VERSUCHEN IMMER NOCH DIE SICHERHEITSBRÜCHE IM ERSTEN ANLAUF ZU VERTUSCHEN, KLEIN ZU REDEN ODER SCHLICHTWEG ZU VERHEIMLICHEN!

Damit muss endlich Schluss sein! Schlimm genug, dass wir namhaften Anbieter unsere wichtigsten Daten anvertrauen MÜSSEN, um den „kompletten“ Service convenient benutzten ZU KÖNNEN!

Um es ganz offen zu sagen: Ich nichts dafür, nein, es IST SCHLICHTWEG NICHT MEIN PROBLEM, wenn mein Anbieter, egal wie er heißt, gehackt wird. Wer meine Kreditkarte dauerhaft speichern will, da ich sonst den Service nicht nutzen kann, hat gefälligst zu HAFTEN, wenn meine Nummer plötzlich im Web steht, der Account gehackt wurde oder sonst irgendwie meine Daten verschwunden sind.

Von uns werden sichere Passwörter verlangt – zu Recht! Und damit loggen wir uns bei immer noch nur „http“-Verbindungen ein? Oder https mit angelaufenen Zertifikaten? Gehts noch?!?
Oder es werden keine Passwörter mit Sonderzeichen akzeptiert? Darf das 2019 überhaupt noch wahr sein, dass man in der Länge oder den Zeichen restriktiert wird? WIRKLICH?

Ich übernehme maximal die Verantwortung, dass EIN Account von mir gehackt wurde! Schließlich halte ich mich an die Schritte, die ich in meinem letzten BlogPost veröffentlicht habe! Wenn also ganze Listen an email-Passwort-Kreditkarten-Information im Netz auftauchen, sollte der Betreiber eine ordentliche hinter die Ohren bekommen! Schadenersatz, Aufwandsentschädigung der User für die ganzen Passwort-Änderungen und Kreditkarten-Neubestellungen. Und auch eine generelle Strafe in einer Höhe, die wirklich richtig weh tut und anteilig erlassen wird, wenn die interne Sicherheit umgehend aufgestockt und durch einen kompetenten neu einzustellenden Mitarbeiter ab sofort zusätzlich sicher gestellt wird. Oder, oder, oder…

 

Ergänzend zu den Schritten für Eure eigene Passwort-Sicherheit gilt es also noch zu ergänzen:

  • Schritt 8:
    Verabschiede Dich von Anbietern, die kein „https“ oder ein damit verbundenes gültiges Zertifikat besitzen. Nimm diese Warnungen Deines Browsers ernst, Google’s Chrome ist hier eiskalt und setzt den Maßstab hierfür!
    Wenn Du noch bei einem Anbieter bist, dem absolut offensichtlich die Sicherheit Deiner Daten schlichtweg SCHEIßEGAL sind – Account löschen und nicht mehr wieder kommen!
  • Schritt 9:
    Einschlägige Tech-Blogs oder Zeitschriften berichten immer sehr zeitnah über Sicherheitsbrüche. Das ist dann Eure Startzeichen! Bin ich dabei? Egal, sofort das Passwort ändern:  bei email-Account und dem Online-Dienstleister! Kreditkarte und Konto prüfen! Ein bisschen Schizophrenie tut hier Not, um auf der sicheren Seite zu sein!
  • Schritt 10:
    Verlass Dich nicht auf Versprechungen! 100%-ige Sicherheit gibt es heutzutage nicht mehr, das sind lediglich Momentaufnahmen! Auch das Zwei-Wege-Verfahren wird mit Sicherheit irgendwann geknackt und dann von sechs- auf achtstellig erhöht werden und einen neuen Unterbau bekommen. Erste SMS-Versand-Dienste als Login-Codes sind bereits gehackt worden und gelten nicht mehr als sicher – obwohl man früher immer gesagt hat, dass es keinen sicheren Weg gibt!

 

Damit ist mein Mehrteiler zum Thema Passwort-Sicherheit (erst) einmal vorbei! Sicherheit klappt nur, wenn beide Seiten, Du und Dein Anbieter, das Thema mit dem notwendigen Ernst anpassen: aktuelle Software nutzen, sei es Browser oder die Apache-Installation. Zwei-Wege-Logins bieten und unterschiedliche Passwörter nutzen. Stand der Dinge sichere Passwörter vergeben, 15+ Zeichen mit allem, was die Tastatur her gibt und keine Kombinationen oder Abkürzungen – und das auf der anderen Seite auch zulassen!

Und dann noch der gesunde Menschenverstand!
Eine .de-Seite MUSS nicht von Deinem Nachbar betrieben werden! Die kann irgendwo auf der Welt liegen, selber gehackt worden sein oder schlicht bewusst als Betrug aufgebaut worden sein! Daher: Produkte gibt es immer irgendwo anders günstiger – aber ein Schnäppchen, das auf einer ominösen und unbekannten Webseite hunderte(!) von Euros günstiger sind, das KANN NUR ein Fake sein! Wer es genau wissen will: Google hilft, was es über den Anbieter zu sagen gibt! Und ja, NUR fünf-Sterne-Bewertungen sind auch nicht mehr real, heutzutage.

 

Auf dass ihr mit den Tipps erfolgreich und sicher durch das heutige WWW kommen möget – und Euch der Rhythmus der Passwort-Wechsel in Fleisch und Blut übergehen möge… und natürlich unsere Anbieter auf der anderen Seite nicht an den falschen Stellen sparen!

 

Ach ja, PS: Auf die deutsche Regierung, wie diverse Hacks und EDV-Pannen der letzten Zeit beweisen, zu verlassen und auf mehr Sicherheit oder Kompetenz von den diversen zuständigen Stellen zu erwarten, IST EIN FEHLER!!! Egal, wie man es dreht und wendet: Für Deine Online-Sicherheit bist nur Du alleine verantwortlich! Hier kann Dir sonst keiner helfen, nicht wahr, Herr „Internet seit 1812“ Seehofer?!

 

 

 


Meinen PodCast abonnieren: | direkt | iTunes | Spotify |

 

Über aviationsteve

...eigentlich bin ich ganz anders, ich komm' nur so selten dazu... Private Pilot, AZF included.

Veröffentlicht am 8. Februar 2019 in Intelligentes Spielzeug, Nerd, Service für'n Arsch, Tagtägliches und mit , , , , , , , getaggt. Setze ein Lesezeichen auf den Permalink. Hinterlasse einen Kommentar.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d Bloggern gefällt das: