Taktiken zur Vermeidung von Passwort-Leaks

Topics

Security

Inhalt

Freigeben

Dieser Artikel wurde maschinell übersetzt.

Passwort-Lecks sind ein großes Problem, das Ihre persönlichen Daten Hackern preisgeben kann.

Online-Passwortprüfer können Ihnen dabei helfen, Passwörter zu sichern, indem sie Sie benachrichtigen, wenn ein Passwort kompromittiert wurde. Sie können dann wichtige Schritte unternehmen, einschließlich der Änderung aller Ihrer Passwörter, um Ihre Identität und Ihre persönlichen Daten zu schützen.

Die Verbreitung von durchgesickerten Passwörtern

Angesichts der Tatsache, dass Datenschutzverletzungen und Passwort-Hacks regelmäßig in den Nachrichten sind, fragen Sie sich vielleicht, wie Sie die Passwort-Sicherheit für sich selbst oder das Unternehmen, für das Sie arbeiten, angehen können.

Wenn Hacker Passwörter für E-Mail-Adressen, soziale Medien und sogar medizinische oder Bankkonten erhalten, können sie viele andere wichtige Informationen und sogar Identitäten stehlen. Wenn ein institutionelles Passwort gestohlen wird, ist das Unternehmen anfällig für Diebstahl, und die anderen Mitarbeiter sind anfällig für Passwort-Sicherheitsverletzungen und Identitätsdiebstahl.

So viele Teile unseres Lebens sind mit Online-Räumen verbunden, zu denen auch die Verwendung von Passwörtern auf Dutzenden von verschiedenen Websites pro Tag gehört. Dies beläuft sich auf Milliarden von Anmeldedetails für Milliarden von Benutzern weltweit.

Hunderte von Websites sind jedes Jahr Hackerangriffen ausgesetzt und die gestohlenen Kontodaten werden auf dem Schwarzmarkt oder im Darknet verkauft. Leider wissen Sie möglicherweise nicht, dass Sie gehackt wurden. Wenn in einem Unternehmen ein Datenleck auftritt, kann es sein, dass es monatelang oder für immer über die IT schweigt.

Die Geschichte der Passwort Sicherheitsverletzung verstehen

Fast jedes Unternehmen ist anfällig für Datenschutzverletzungen wie Passwortlecks, da die meisten Unternehmen digitale und Online-Technologien nutzen, um Mitarbeiter, Benutzer/Kunden und Informationen zu verbinden. Technologie-, Einzelhandels-, Medizin-, Finanz- und Regierungsunternehmen sind seit mindestens 2004 Opfer von Cyberangriffen wie Passwort-Leaks. Tatsächlich sind allein seit 2011 fast 8 Milliarden Benutzernamen durchgesickert.

Diese schwerwiegenden Datenschutzverletzungen haben zu Passwort-Lecks geführt:

2011: Sony
2012: LinkedIn, Yahoo, DropBox
2013: Tumblr, Adobe, Evite
2014: Rambler, Dominos
2015: Ashley Madison, Clear Voice Systems, R2Games
2016: Adult Friend Finder, LiveJournal, Youku
2017: River City Media, Edmondo, Zomato, MyHeritage
2018: MyFitnessPal, Houzz, Ticketfly, Shein
2019: VerificationsIO, CafePress, LuminPDF, Canva, Facebook, Zynga, PDL
2020: Prägemünzt, Wattpad

Allein in den ersten sechs Monaten des Jahres 2019 wurden durch Datenschutzverletzungen 4 Milliarden Datensätze offengelegt, darunter in der Regel E-Mail-Adressen und Passwörter. Diese Hacks werden immer häufiger, wobei Hacker beginnen, Daten aus großen Lecks zu sammeln und Passwörter entweder offenzulegen oder online zu verkaufen.

Viele Menschen erinnern sich an die berüchtigte Experian Sicherheitsverletzung im Jahr 2017, bei der Sozialversicherungsnummern, physische Adressen und Geburtstage offengelegt wurden, wodurch die IT sehr leicht gestohlen werden konnte.

Im Jahr 2021 gab es einige der bisher schlimmsten Datenschutzverletzungen. LinkedIn erlitt im April eine Sicherheitsverletzung, bei der Hacker angaben, 500 Millionen Profile gescrapt und 2 Millionen Profilinformationen als Beweis durchgesickert zu haben. Facebook meldete im April kaum einen Hack, von dem 530 Millionen IT-Benutzer betroffen waren, und obwohl die gescrapten Informationen aus dem Jahr 2019 stammten, könnten viele Benutzernamen und Passwörter zwei Jahre später nützlich sein.

Mitte 2021 ereignete sich eines der schlimmsten Passwort-Leaks in der Geschichte des Internets. Die Datei mit unverschlüsselten Passwörtern mit dem Namen RockYou2021, wahrscheinlich in Anlehnung an die berüchtigte Rock You-Datenschutzverletzung von 2009, wurde im Juni in einem beliebten Hacker-Forum veröffentlicht. Das Poster Behaupten, die Datei enthalte 82 Milliarden Passwörter, und das Dokument IT hat 8,4 Milliarden Einträge, was einem Gewicht von 100 GB in nur einer Klartext-Datei entspricht. Nicht-ASCII-Zeichen und Leerzeichen wurden entfernt.

Auch wenn die Datei nur 8,4 Milliarden einzelne Passwörter enthält und nicht die versprochenen 82 Milliarden, gibt es weltweit nur 5 Milliarden Internetnutzer , so dass die Datei für jeden zumindest ein Passwort enthält.

Bis Oktober desselben Jahres hatten viele Passwort-Checker ihre Informationen mit den meisten Daten aus der RockYou2021-Datei aktualisiert, sodass Sie kostenlose Checker wie den persönlichen Daten Leak Checker von CyberNews online verwenden können. Doch da Datenlecks und -kompilationen wie dieses immer größer und häufiger werden, könnten die Leute dafür abstumpfen und nicht einmal mehr prüfen, ob ihre Passwörter durchgesickert sind.

Wenn Sie eine Einzelperson sind, gehen Sie vielleicht einfach davon aus, dass Sie kompromittiert wurden, und ändern Ihre Passwörter und Benutzernamen regelmäßig. Aus geschäftlicher Sicht sollten IT-Manager über Prozesse verfügen, um die Passwörter der Mitarbeiter zu überprüfen und die Systeme sicher zu halten.

Wie kann ich feststellen, ob ich gehackt wurde?

Die meisten großen Unternehmen und ihre Partner-Websites verschlüsseln die Passwörter und Informationen der Benutzer, so dass es im Falle einer Datenschutzverletzung für Hacker viel schwieriger ist, diese Informationen zu knacken, und den Benutzern Zeit gibt, ihre Passwörter zu aktualisieren und andere Schritte zu unternehmen, um ihre Daten zu schützen. Sie sollten jedoch dennoch Ihre eigenen Schritte unternehmen, um Ihre Passwörter vor Lecks zu schützen.

Es kann Monate dauern, bis ein großes Unternehmen erkennt, dass seine Benutzer oder Kunden Opfer einer Datenschutzverletzung geworden sind, und selbst dann kann es sein, dass sie nicht jedem Benutzer direkt von dem Hack erzählen. Stattdessen schreiben sie vielleicht eine Pressemitteilung, von der Sie vielleicht nicht sofort erfahren. Der schlimmste Weg, um herauszufinden, dass Sie oder Ihr Unternehmen Opfer einer Datenschutzverletzung geworden sind, besteht darin, festzustellen, dass Ihre Identität gestohlen wurde.

Möglicherweise stellen Sie fest, dass sich Ihre Kreditwürdigkeit zufällig ändert. Es kann sein, dass Sie zufällige Nachrichten auf Facebook, Twitter, Instagram, WhatsApp oder in Ihrer E-Mail-Adresse erhalten. Ein Freund könnte sich mit Ihnen in Verbindung setzen, weil er ungewöhnliche Beiträge in Ihren sozialen Medien bemerkt hat. Es kann sein, dass Sie aus Ihrem eigenen Konto ausgesperrt werden, wenn ein Hacker Ihr Passwort und Ihren Benutzernamen ändert.

Ihre personenbezogenen Daten könnten gegen Lösegeld gehalten werden. Oder es kommt immer häufiger vor, dass Patienten-, Benutzer- oder Kundendaten als Lösegeld festgehalten werden, was beispielsweise bei Unternehmen wie medizinischen Einrichtungen der Fall ist. Am schlimmsten ist jedoch, dass Sie möglicherweise finanzielle Probleme bekommen. Sie könnten Ihre Steuerrückerstattung verlieren, Ihnen könnte ein Kredit verweigert werden oder es könnte Geld von Ihrem Bankkonto abgebucht werden.

So überprüfen Sie, ob Ihr Passwort kompromittiert wurde

Anstatt auf das Schlimmste zu warten, können Sie selbst Online-Passwort-Checker verwenden. Große Unternehmen wie Norton Antivirus, Kaspersky und Avast bieten entweder kostenlos oder für Abonnenten Optionen an, um Ihre Passwörter zu überprüfen. Abonnenten vieler dieser Antiviren-Softwareprogramme können auch benachrichtigt werden, wenn das Programm verdächtige Kontoaktivitäten bemerkt.

Diese Unternehmen führen Datenbanken mit Passwort Sicherheitsverletzungen und vergleichen Ihre Anmeldedaten mit diesen Informationen. Wenn Ihre Passwörter angezeigt werden, werden Sie benachrichtigt, damit Sie sie ändern können, bevor Ihre persönliche oder betriebliche Sicherheit kompromittiert wird.

Eine kostenlose Option, um zu sehen, ob Ihre E-Mail-Adresse oder Ihr Passwort bei einem Leck oder einer Sicherheitsverletzung "gepwned" wurde, ist die Website Have I Been Pwned? Diese Website wurde von Troy Hunt, dem regionalen Direktor von Microsoft, erstellt, wobei Daten aus Sicherheitsverletzungen verwendet wurden, die mindestens das letzte Jahrzehnt umfassen, um Ihre Informationen mit bestimmten Unternehmen zu verknüpfen, die große Sicherheitslücken erlitten haben. Diese Website richtet sich jedoch an private Internetnutzer, nicht an Unternehmen.

Mehrere Unternehmen bieten auch Schutz vor Datenschutzverletzungen wie Viren, Hacking und Passwort-Lecks an. SolarWinds führt beispielsweise eine Watchlist für IT Manager in Unternehmensumgebungen, die überwachen müssen, ob und wann Passwörter und E-Mail-Adressen des Unternehmens kompromittiert oder gehackt wurden. Die Identitätsüberwachungssoftware bietet auch einen Passwort-Checker, der die vorhandenen Passwörter der Mitarbeiter mit den wichtigsten Datenbanken vergleicht und andere Arten von Kompromittieren findet, die zu Passwort-Lecks oder anderen Datenschutzverletzungen führen können.

Was tun, wenn Ihr Passwort durchgesickert ist?

Wenn Sie Opfer eines Passwortlecks oder einer Datenpanne werden, müssen Sie leider einiges an Aufräumarbeiten erledigen.

Hier sind die Schritte, die Sie unternehmen sollten, um Ihre Informationen nach einem Passwortleck zu verwalten:

Finden Sie alle Konten, die Sie regelmäßig verwenden, von E-Mail-Adresse und Social Media bis hin zu Bankkonto und Krankenversicherung, und ändern Sie alle Passwörter. Erwägen Sie, die Benutzernameninformationen zu aktualisieren, wenn möglich.
Nutzen Sie einen Dienst wie Have I Been Pwned, um herauszufinden, welche Datenschutzverletzungen Sie betreffen könnten, damit Sie Ihre Informationen in diesen Konten ändern oder das Konto löschen können, das Sie nicht mehr verwenden.
Wenn Sie einen Passwortmanager verwenden, aktualisieren Sie dort die Passwörter.
Erwägen Sie, sich einen zufälligen Passwort-Generator zuzulegen, damit Sie völlig neue, einzigartige Passwörter für Ihr gesamtes Konto haben.
Einige Konten können verknüpft sein (z. B. kann dein Etsy-Konto deine Facebook-Informationen als IT-Anmeldeinformationen verwenden), also hebe die Verknüpfung dieser Konten auf.
Überprüfen Sie Ihr Konto regelmäßig auf verdächtige Aktivitäten und erwägen Sie, sich für Überwachungsdienste anzumelden.
Denken Sie an das Konto, das Sie für Dienste haben, die Sie nicht mehr nutzen, und schließen Sie dieses Konto.
Wenden Sie sich an Ihre Familie und Freunde, um sie über Passwort-Lecks und Datenschutzverletzungen zu informieren, insbesondere über solche, die Sie direkt betroffen haben, da diese auch sie betreffen könnten.

Da es einige Zeit dauern kann, bis die IT von Passwortlecks oder anderen Datenschutzverletzungen erfährt, kann die Anmeldung für ein kostenloses Überwachungstool Einzelpersonen dabei helfen, zu erkennen, wann ihre Informationen nicht mehr sicher sind. Zwei der beliebtesten sind Googles Passwort Checkup und Mozillas Firefox Überwachung. Dabei handelt es sich um Erweiterungen, die Sie für diese beliebten Browser herunterladen können. Ihre Antivirensoftware bietet wahrscheinlich auch eine Passwortüberwachung und -verwaltung als Ergänzung zu den Abonnementdiensten an.

Die schlechtesten Passwörter der Geschichte

Sie denken vielleicht, dass Sesam öffne oder ein ähnlicher Satz aus einer berühmten Geschichte das schlechteste Passwort wäre, aber in der heutigen Zeit gibt es viele Passwörter, die überstrapaziert und vorhersehbar sind.

NordPass stellt eine Liste der gängigsten und unsichersten Passwörter zusammen und gibt an, wie oft sie verwendet werden. Hier sind einige Beispiele:

12345
12456
test1
Passwort
ASDF
qwerty
iloveyou
Dubsmash
Prinzessin
Sonnenschein
Ashley
111111
555555
Fußball
Familie
Michael
Fußball
Baseball
Schokolade
Fitness
abcd1234
letmein
Changeme

Natürlich sind diese Passwörter schnell eingerichtet und leicht zu merken. Dieser Einspruch macht sie auch zu extrem häufigen, leicht zu erratenden und konstanten Treffern auf der Liste der schlechtesten Passwörter von NordPass.

Auch wenn Sie andere, sicherere Passwörter erstellen, besteht bei einem leicht zu merkenden Passwort immer noch das Risiko, dass Ihre Daten gehackt werden. Dies gilt umso mehr, wenn Sie wie die meisten Menschen dasselbe Passwort oder ähnliche Passwörter für mehrere Programme verwenden, einschließlich der Software, die Sie für Ihre Arbeit nutzen.

Als IT-Manager können Sie Ihre Mitarbeiter nicht davon abhalten, die oben genannten Passwörter auszuwählen. Sie können jedoch selbst einige Präventionsmaßnahmen ergreifen und Ihre Mitarbeiter dazu ermutigen, persönliche Präventionsmaßnahmen zu ergreifen.

Bewährte Sicherheitspraktiken für Passwörter

Eine Studie ergab, dass bis zu 44 Millionen Microsoft-Benutzer Passwörter recycelt haben, was es für Hacker viel einfacher macht, Passwörter für andere Konten zu erraten. Jetzt, da Ihr Konto gesichert ist, finden Sie hier einige Präventionsmaßnahmen, die Sie ergreifen sollten, damit Ihre personenbezogenen Daten in Zukunft weniger wahrscheinlich kompromittieren werden:

Erstellen Sie ein aussagekräftiges Passwort, das mindestens 15 Zeichen lang ist und eine Kombination aus verschiedenen Zeichen verwendet, darunter Groß- und Kleinbuchstaben, Zahlen und Symbole.
Vermeiden Sie gängige Ersetzungen oder die Wiederholung ähnlicher Muster von Buchstaben und Zahlen in Ihren Passwörtern. Es mag für Sie einfacher sein, sich die IT zu merken, aber die IT ist auch für Hacker leichter zu stehlen.
Verwenden Sie keine einprägsamen Tastaturpfade wie qwerty.
Verwenden Sie einen zufälligen Passwort-Generator, der ein völlig einzigartiges Passwort erstellt. Verwenden Sie dann einen Passwortmanager, um die IT zu speichern. Diese Manager verschlüsseln Passwortinformationen auf der Seite des Benutzers, wodurch diese Informationen schwieriger zu entschlüsseln sind.

In den Anfängen des Internets führte die Best Practice für die Erstellung von Passwörtern zu vorhersehbaren Kombinationen aus Buchstaben, Zahlen und Symbolen, die dann auf mehreren Plattformen verwendet wurden. Hacker haben heute die Werkzeuge, um diese Art von Passwort leichter zu erraten als in den späten 1990er und frühen 2000er Jahren, daher haben Sicherheitsspezialisten ihre Empfehlungen für die Erstellung eigener sicherer Passwörter überarbeitet.

Hier sind die wichtigsten Empfehlungen:

Überarbeitete Passphrase-Methode: Anstatt einen zufälligen Satz von Buchstaben und Zahlen zu generieren oder ein bekanntes Wort mit einer Reihe vertrauter Zahlen oder Symbole zu verwenden, empfehlen Sicherheitsspezialisten jetzt, eine Reihe von Wörtern auszuwählen und einen Ausdruck mit einigen Groß- und Kleinbuchstaben zu erstellen.
Verwenden Sie ungewöhnliche Wörter, Namen berühmter Personen oder Orte und Wörter in anderen Sprachen. Beispiel: CeruleanGraciasExcaliber.

Es ist am besten, einen Satz zu erstellen, der bestimmte Bilder in deinem Kopf hervorruft, damit du dich erinnern kannst, aber wähle Wörter, die nicht direkt mit dir in Verbindung gebracht werden, insbesondere Namen und Orte.
Satz-Methode: Menschen finden es in der Regel einfacher, sich Sätze zu merken als eine Nonsens-Phrase, weil Sätze Bilder in einer Sequenz leichter in den Sinn bringen. Softwareprogramme und künstliche Intelligenz haben es schwerer, Passwörter in Sätzen zu entschlüsseln.
Ein gängiger Ansatz bei dieser Methode besteht darin, einen Satz zu bilden und dann die ersten beiden Buchstaben jedes Wortes zu verwenden, um das neue Passwort zu erstellen. Ein Satz könnte zum Beispiel lauten: "Der schnelle braune Fuchs ist über den faulen Hund gesprungen." Das Passwort wäre also: ThQuBrFoJuOvThLaDo.
Multi-Faktor-Authentifizierung (MFA): Dies ist eine zusätzliche Sicherheitsintegration zusätzlich zur Erstellung eines eindeutigen Passworts. Eine der gängigsten Formen von MFA waren früher Textnachrichten mit zufällig generierten PINs, aber Hacker verwenden diese Methode jetzt als Phishing oder sie können diese Informationen abfangen und sie verwenden, um sich in die Site zu hacken.
Als Reaktion darauf können Authentifizierungsfaktoren wie die von Okta alle paar Sekunden eindeutige PINs generieren, die entweder manuell eingegeben werden können oder direkt mit der Site verknüpft werden können, um zu überprüfen, ob Sie tatsächlich die Person sind, für die Sie sich ausgeben. Auch wenn Sie oder Ihr Benutzer keine starken Passwörter haben, kann eine effektive MFA mithilfe eines Authentifizierungsfaktor-Programms das Risiko durchgesickerter Passwörter verringern.

Passwort-Leaks verhindern

Dies sind weitere wichtige Sicherheitsmaßnahmen, die Sie ergreifen sollten:

Installieren Sie hochwertige Internet-Sicherheitssoftware, die oft mit Antivirensoftware verknüpft ist.
Lassen Sie automatische Softwareupdates zu, um Ihren Computer mit dem neuesten Sicherheitspatch auf dem neuesten Stand zu halten, oder suchen Sie regelmäßig nach Updates.
Vertrauen Sie nicht auf Websites, die kein SSL (Secure Sockets integrieren) Zertifikat im URLhaben. Sichere Websites sind HTTPS, während unsichere Websites HTTP sind.
Verwenden Sie ein VPN in öffentlichen WLANs.
Senden Sie Ihr Passwort niemals jemandem per SMS oder E-Mail-Adresse.
Halten Sie Ihr Antivirenprogramm auf dem neuesten Stand.
Öffnen Sie keine verdächtig aussehenden E-Mail-Adressen oder Texte, insbesondere wenn sie nach Ihrem Passwort gefragt werden.
Wenn Sie eine E-Mail-Adresse oder einen Text erhalten, in dem Sie nach Ihrem Passwort gefragt werden, sollten Sie in Erwägung ziehen, auf die Site zu gehen und Ihr Passwort dort zu ändern, und nicht über die E-Mail-Adresse.

Wenn Sie der IT Manager eines Unternehmens sind, können Sie vier grundlegende Schritte unternehmen, um das Risiko eines Datenlecks, beispielsweise eines Passwortlecks, zu verringern:

Identifizieren Sie potenzielle Bedrohungen wie unsichere Passwörter und Datenverkehr.
Sichere Anwendungsumgebungen, die Zwei-Faktor-Authentifizierung und Zugriffsanforderungen für externe Geräte verwenden. Nutzen Sie niemals die Dienste eines anderen Anbieters, ohne dessen Sicherheitsprotokolle zu überprüfen.
Richten Sie Wiederherstellungsmechanismen für den Fall eines Hacks ein.
Erstellen Sie ein Assurance-Programm, um zukünftige Compliance und die Widerstandsfähigkeit des Unternehmens zu gewährleisten.

Auch wenn Ihre Daten nicht für immer sicher sein werden, können Sie Ihre Daten durch grundlegende Präventionsmaßnahmen so lange wie möglich schützen. Die Verschlüsselung von mehreren Fronten ist der beste Weg, um Hacker von Ihren Daten fernzuhalten, selbst nach einer größeren Sicherheitslücke.