Alle Jahre wieder, dum di dum… kommt der erste Februar. Und mit ihm einer der wichtigsten Tage für jeden, der mehr als einen Account im Internet aktiv – und noch schlimmer, vergessen und verstaubt – hat. Kommen doch täglich neue Bedrohungen auf Nutzernamen und Passwörter zu. Und auch die aktuelle Welle der neuen Funktionen, die durch Künstliche Intelligenz, kurz KI, leider auch dunkle Machenschaften mit wenigen Eingaben noch realistischer erscheinen lässt, als bisherige Fake E-Mails oder Gruseltexte. Warum unter anderem der „angebliche“ Betreiber meines Dienstes jetzt unbedingt unter neuem Link mein Passwort bestätigt braucht. Oder warum ich dringend in dieser Maske mein altes und zwei neue Passwörter eingeben soll – obwohl ich nie was angefordert oder angeklickt habe. Daher, sichere Passwörter und zusätzlich einen weiteren Schlüssel nutzen! Google hat die PassKeys mittlerweile ausgerollt, somit lässt sich das Google-Konto erweitert sichern. Kurz gesagt: Schaltet an und nutzt was geht! Willkommen im Jahr 2024!
Die Top 10 der Passwörter
123456789, 12345678, hallo, 1234567890, 1234567, password, password1, target123, iloveyou und gwerty123. Das waren, auch wenn mir gwerty eher als US-Passwort vorkommt, die Top-10-Passwörter der Deutschen in 2023!
Immerhin hat sich die Länge geändert. Nichts mehr mit 12345. Es geht nun Minimum bis sieben. Und aus „password“ wurde „password1“. Langsam, ganz langsam setzt ein Umdenken auch im Digitalisierungsverweigerungsland Deutschland ein.
Hacker professionalisieren mehr und mehr
Und jetzt habe ich eine schlechte Nachricht für euch: Moderne Hacker-Technik, auf gemieteten und vernetzten Hochleistungsrechnen, stets weiterentwickelte Hacker-Werkzeuge aus dem Darknet und modernstes Sicherheitstechnikwissen machen keines der Top-10-Passwörter sicher. Sie alle werden in unter einer Sekunde – ja, SEKUNDE! – gehakt und somit steht euer Account offen.
Auch meine geliebten FIDO-Keys sind, wenn man nicht aufpasst, angreifbar. Aber eben nur mit Aufwand, sofern man nicht einen Taschendieb auf mich angesetzt hat. Kurz geschildert: Ich logge mich mit E-Mail und Passwort ein und erhalte die zusätzliche Abfrage nach meinem Fido-Schlüssel. Danach gleicht ein Server die Rückmeldung meines Schlüssels ab und gibt den Weg frei oder nicht. Bis hierhin bin ich weiter sicher.
Was nun aber auch eine entscheidende Rolle spielt, ist, logge ich mich zum Ende aus? Oder schließe ich einfach mein Browserfenster und arbeite weiter.
Letzteres, wenn du im Visier eines Hackers bist, solltest du dir schnellstmöglich abgewöhnen. Allerdings ist der Aufwand, die nachfolgende Methode zu nutzen, nicht ohne Aufwand. Und deinen PC muss man hierzu auch schon gehakt haben, da man nicht frei über deine installierte OS-Version verfügen kann. Also, wenn du kein Bitcoin-Millionär bist oder ein Einfallstor für ein großes Unternehmen darstellst, bist du in 2024 wohl eher nicht Zielperson bzw. Zielrechner.
Warum?
Vereinfacht erklärt: Das Schließen des Browserfensters beendet zum einen nicht und eben auch nicht sofort die sichere Verbindung zur anderen Seite. Meist dauert dies ein paar Sekunden bis etliche Minuten. Was eine Lücke darstellt. Sozusagen eine offene Tür.
Und, viel schlimmer und das ist der springende Punkt, die Browser löschen hierbei nicht die „Session Cookies“. Und mit deren Hilfe kann man die sichere Verbindung, üblich eine SSL, Secure Socket Layer Verbindung, aus dem Cookie nehmen und dir in den Browser zurückspielen. Dann sagt der Browser: Hey, mein Nutzer hat wohl einen Fehler begangen und das Fenster aus Versehen geschlossen. Was für ein Glück, dass der Typ mich hat und ich die Verbindung noch offengehalten habe. Und so kann er nahtlos weitermachen. Nur, dass „er“ in diesem Szenario nicht der ursprüngliche Nutzer, sondern ein gewiefter Hacker ist.
Die Werkzeuge, um den einzelnen Rechner zu hacken und die Nummer durchzuziehen, gibt es für ein paar Dollar, na ja, dafür müsst ihr schon eher so in den vierstelligen Bereich investieren, im Darknet. Gegen Kreditkartenzahlung. Und, jetzt kommt die schlechte Nachricht, werden die Methoden täglich ausgefuchster und somit bezahlbarer. Das ist somit nur eine Frage der Zeit, bis dies auch uns Privatnutzer drohen kann.
Also: Ausloggen und Browserfenster schließen. Und auch wenn es unbequem ist, prüft mal die Cookies-Einstellungen eures Browsers. Nicht alles muss sofort für ein bisschen Komfort in ein Cookie geschrieben werden. Und erst recht nicht, wenn das Cookie dann noch eine Lebensdauer von 360 Tagen oder sogar länger bekommt.
Gegenmaßnamen
Wie ihr gerade gesehen habt, es scheint mittlerweile einfach Methoden für oder gegen alles zu geben. Und wenn man meinen USB-Schlüssel nicht stehlen kann, manipuliert man den Rechner eben von der anderen Seite und hofft, dass ich den Log-out-Knopf vergesse.
Was aber nach wie vor hilft, um die 5-Dollar-Hacker abzuhalten, ist:
- Nutzt unbedingt einen Passwort-Manager
- Vor allem einen, der bis jetzt nicht durch einen Hack Daten verloren hat, wie z.B. LastPass
- Jedes Login bekommt ein individuelles Passwort
- Wo immer möglich, nutzt die neue Passkey-Technologie, die unter anderem Google langsam für seine Dienste und Login-Dienste anbietet
- Idealerweise kann das der Passwort-Manager automatisiert für euch machen
- Die Länge sollte nicht unter 35 Zeichen sein
- Zeichen sind Klein- und Großbuchstaben, Ziffern und Sonderzeichen (%, $ etc.)
- Der Passwort-Manager verschlüsselt vor und nach der Nutzung die Datei mit euren Eingaben nach modernsten Sicherheitsmethoden, da muss schon eine 256 oder besser irgendwas mit 300 stehen, damit dem so ist
- Cloudlösungen sind bequem, aber ein zusätzliches Sicherheitsrisiko
- Natürlich soll die ganze Familie diesen nutzen können – aber auch hier bekommt jeder einen eigenen Bereich mit individuellem Zugang und entsprechend sicherem Passwort
- DAS ist das EINZIGE Passwort, das man sich wirklich merken muss!
- Und nichts mit pa$ßwörtmänät$cherzuhgang2024 – das ist dank gängigen Werkzeugen des Darknets und gemieteter Hochleistungsrechner geknackt, bevor ihr es eingegeben habt!
Also, nutzt wenigstens den einen Passwort-Tag im Jahr! Und prüft eure wichtigsten Accounts auf echte Sicherheit.
Wenn dann morgen plötzlich die Online-E-Mail mit einem Archiv der letzten Jahre weg ist und auch der Online-Speicher und die Online-Bilderdatenbank verschlüsselt und gegen horrende Lösegeldzahlung in Bitcoin bestenfalls wieder freigegeben wurden – ist das ein Klacks dagegen!
Meinen Podcast abonnieren: | direkt | iTunes | Spotify | Google | amazon
STOLZ PRODUZIERT UND AUFGENOMMEN MIT ULTRASCHALL5!