profile

Michael Mayer

Liebling, unser Passwort leakt

Published 27 days ago • 3 min read

Passwörter "leaken" mittlerweile öfter als Waschmaschinen – ja, auch die ohne WLAN. Das ist schon komisch, denn die Haltbarkeit der Waschmaschinen ist in den letzten Jahren nicht unbedingt gestiegen. Aber jetzt wollen wir nicht über geplante Obsoleszenz diskutieren, sondern über Passwort Leaks.

Wie entsteht ein Leak?

Eine Website, Anwendung oder ein Portal wird gehackt. Wenn der Betreiber selbst draufkommt und seriös ist, dann informiert er seine User und fordert sie auf, ihr Kennwort zu ändern.

Es kommt auch oft vor, dass Hacker die Daten verkaufen oder einfach direkt veröffentlichen. Wenn die Daten an die Öffentlichkeit geraten, nennt man das "Leak". Es kann auch sein, dass sie nur wenige Stunden online sind, bevor sie gelöscht werden.

Es können Benutzernamen und E-Mail-Adressen sein, aber auch Klarnamen, Passwort-Hashes oder sogar Klartext-Passwörter. Das wäre echt eine Katastrophe, weil sie die gar nicht im Klartext gespeichert hätten dürfen.

Was juckt's mich?

Du registrierst dich in einem Forum, wie zum Beispiel im Hobby-Gärtner-Forum.

Dafür benutzt du einfach deine E-Mail-Adresse, wie immer.

Du verwendest auch dasselbe Kennwort, wie überall.

Das Hobby-Gärtner-Forum wurde gehackt, weil die Hobby-Gärtner jetzt viel draußen sind und nicht immer vor dem Computer hocken und gleich alle Security-Updates einspielen.

Die Angreifer haben jetzt deine Zugangsdaten, also E-Mail und Passwort, und können sich damit überall anmelden, wo diese Kombination gültig ist. Zum Beispiel auf deinen Social-Media-Accounts, bei deinem Webmail oder vielleicht sogar im Firmen-VPN. 💀

Wie bekomme ich einen Leak mit?

Auf der Website Have-I-Been-Pwned kannst du checken, ob deine E-Mail-Adresse schon geleakt wurde und falls ja, wo und welche Daten noch davon betroffen sind. Link: https://haveibeenpwned.com

Der Dienst ist kostenlos und wird von Troy Hunt, einem Security Researcher, betrieben. Die Leak-Datenbank hat heute knapp 15 Milliarden geleakte Accounts. Fun-Fact: "Pwned" ist eigentlich ein Tippfehler und soll "owned", also "gehackt", heißen. Das kommt aus dem Hacker-Slang.

Die Website überwacht das Internet nach Leaks, lädt sie sofort herunter, extrahiert die E-Mail-Adressen und stellt die Daten bereit. Keine Sorge, deine Kennwörter werden nicht gespeichert, oder angezeigt. Du bekommst nur die Info darüber, dass etwas passiert ist.

Gib einfach deine E-Mail-Adresse ein und prüf, ob du schon betroffen bist. Wenn ja, dann änder deine Kennwörter in den angezeigten Portalen am besten sofort. Die Kennwörter sollten natürlich individuell und zufällig generiert werden und du solltest sie gleich in deinem Passwort-Manager Passwort-Manager speichern.

Ich lege dir auch gleich ans Herz, die Benachrichtigungen von Have-I-Been-Pwned zu aktivieren. Wenn dein Account in einem Passwort-Leak auftaucht, wirst du automatisch darüber informiert.

Wie kann ich meine Firma schützen?

Auch hier ist die Antwort wieder Have-I-Been-Pwned. Sie haben einen Service, der "Domain Search" heißt. Dafür musst du deine Domain(s) erst einmal verifizieren und kannst dann einen API-Key beantragen.

Wenn deine Domain weniger als 10 geleakte E-Mail-Adressen hat, ist der Service sogar kostenlos. Danach sind die Preise gestaffelt, aber auch sehr günstig.

Es ist schon erstaunlich, wo sich Mitarbeiter mit ihrer E-Mail-Adresse überall registrieren. Ich will gar nicht erst von den privaten Dingen anfangen, aber auch die beruflichen Sachen sind oft sehr umfangreich.

Was kann ich gegen Leaks tun?

Nichts! Du vertraust deine E-Mail-Adresse und dein Kennwort einer fremden Organisation an und hoffst, dass sie damit sorgsam umgeht und keine Scheiße baut.

Spoiler-Alert: Das machen sie nicht. Und selbst wenn, Hacks passieren trotzdem.

Wenn wir wieder die Risiko-Management-Brille aufsetzen, dann heißt das für dich, dass du die Eintrittswahrscheinlichkeit nicht verringern kannst, aber sehr wohl das Schadensausmaß:

  • Verwende überall individuelle und zufällig generierte Kennwörter
  • Verwende überall, wo es geht, Multi-Faktor-Authentisierung
  • Verwende überall, wo es geht, Passkeys anstatt Passwörtern
  • Verwende verschiedene E-Mail-Adressen:
    • Eine "Spam Adresse" für Webshops, Foren, Portale, Newsletter (ja, auch meiner)
    • Eine "Private Adresse" zur Kommunikation mit Menschen, die du kennst
    • Du kannst auch Hide-My-E-Mail-Dienste nutzen wie ProtonMail oder Apple iCloud
  • Für die Firma kannst du auch deinen eigenen IdP (Identity Provider) nutzen, wie Microsoft 365, oder Google und Single Sign-On für bekannte Portale einrichten. Dadurch können alle User ihre Standard-Accounts benutzen, ohne zusätzlichen Kennwörtern.

Fazit

Passwort-Leaks sind ein echtes Problem und haben schon vielen das Genick gebrochen. Bitte nimm sie nicht auf die leichte Schulter. Wenn du dein Kennwort schon einem Fremden anvertraust, dann verwende zumindest ein anderes als für deine Bank, deinen E-Mail-Provider oder deine eID.

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Jeder kennt ihn, den freundlichen Hacker aus der Nachbarschaft. Er trägt einen Hoodie, ist die ganze Nacht online, hat Augenringe bis zum Kinn, trinkt nur Clubmate, spricht kaum und sein Laptop ist voller Sticker. Klassisch eben … oder? Die Illusion Was uns die Medien und Stockfotos seit Jahrzehnten weismachen wollen, hat mit der Realität nur wenig zu tun. Hollywood hat die hochbegabten Computerflüsterer bis in den Himmel gehoben, damit wir Normalsterblichen sie vergöttern können. Was davon...

6 days ago • 5 min read

Wer kennt es nicht? Du musst einen Server aufsetzen. Du erstellst eine VM, legst die Windows Server ISO ein, drückst ein paarmal auf Weiter, vergibst noch schnell ein lokales Admin Passwort und zack, alles läuft. Der Server ist einsatzbereit, alles funktioniert und er kann auch mit anderen Systemen kommunizieren. Fertig, Arbeit! Aber bist du dir sicher? Wenn ich Microsoft mit einem Wort beschreiben müsste, dann wäre es Kompatibilität. Windows ist darauf ausgelegt, dass du selbst Jahrzehnte...

13 days ago • 3 min read

Früher mussten Hacker viel technische Vorarbeit leisten, um einen Angriff durchführen zu können – heute reicht ein Klick auf LinkedIn. OSINT heißt das Zauberwort, und manchmal liefern die eigenen Leute die besten Geheimnisse frei Haus. Was ist OSINT überhaupt? OSINT steht für Open-Source Intelligence, also Informationen, die frei verfügbar sind. Das muss nicht immer das Internet sein, auch Printmedien oder Vor-Ort-Begehungen können viel verraten. Aber in der Regel ist das Internet der...

20 days ago • 3 min read