profile

Michael Mayer

Liebling, unser Passwort leakt

Published about 1 year ago • 3 min read

Passwörter "leaken" mittlerweile öfter als Waschmaschinen – ja, auch die ohne WLAN. Das ist schon komisch, denn die Haltbarkeit der Waschmaschinen ist in den letzten Jahren nicht unbedingt gestiegen. Aber jetzt wollen wir nicht über geplante Obsoleszenz diskutieren, sondern über Passwort Leaks.

Wie entsteht ein Leak?

Eine Website, Anwendung oder ein Portal wird gehackt. Wenn der Betreiber selbst draufkommt und seriös ist, dann informiert er seine User und fordert sie auf, ihr Kennwort zu ändern.

Es kommt auch oft vor, dass Hacker die Daten verkaufen oder einfach direkt veröffentlichen. Wenn die Daten an die Öffentlichkeit geraten, nennt man das "Leak". Es kann auch sein, dass sie nur wenige Stunden online sind, bevor sie gelöscht werden.

Es können Benutzernamen und E-Mail-Adressen sein, aber auch Klarnamen, Passwort-Hashes oder sogar Klartext-Passwörter. Das wäre echt eine Katastrophe, weil sie die gar nicht im Klartext gespeichert hätten dürfen.

Was juckt's mich?

Du registrierst dich in einem Forum, wie zum Beispiel im Hobby-Gärtner-Forum.

Dafür benutzt du einfach deine E-Mail-Adresse, wie immer.

Du verwendest auch dasselbe Kennwort, wie überall.

Das Hobby-Gärtner-Forum wurde gehackt, weil die Hobby-Gärtner jetzt viel draußen sind und nicht immer vor dem Computer hocken und gleich alle Security-Updates einspielen.

Die Angreifer haben jetzt deine Zugangsdaten, also E-Mail und Passwort, und können sich damit überall anmelden, wo diese Kombination gültig ist. Zum Beispiel auf deinen Social-Media-Accounts, bei deinem Webmail oder vielleicht sogar im Firmen-VPN. 💀

Wie bekomme ich einen Leak mit?

Auf der Website Have-I-Been-Pwned kannst du checken, ob deine E-Mail-Adresse schon geleakt wurde und falls ja, wo und welche Daten noch davon betroffen sind. Link: https://haveibeenpwned.com

Der Dienst ist kostenlos und wird von Troy Hunt, einem Security Researcher, betrieben. Die Leak-Datenbank hat heute knapp 15 Milliarden geleakte Accounts. Fun-Fact: "Pwned" ist eigentlich ein Tippfehler und soll "owned", also "gehackt", heißen. Das kommt aus dem Hacker-Slang.

Die Website überwacht das Internet nach Leaks, lädt sie sofort herunter, extrahiert die E-Mail-Adressen und stellt die Daten bereit. Keine Sorge, deine Kennwörter werden nicht gespeichert, oder angezeigt. Du bekommst nur die Info darüber, dass etwas passiert ist.

Gib einfach deine E-Mail-Adresse ein und prüf, ob du schon betroffen bist. Wenn ja, dann änder deine Kennwörter in den angezeigten Portalen am besten sofort. Die Kennwörter sollten natürlich individuell und zufällig generiert werden und du solltest sie gleich in deinem Passwort-Manager Passwort-Manager speichern.

Ich lege dir auch gleich ans Herz, die Benachrichtigungen von Have-I-Been-Pwned zu aktivieren. Wenn dein Account in einem Passwort-Leak auftaucht, wirst du automatisch darüber informiert.

Wie kann ich meine Firma schützen?

Auch hier ist die Antwort wieder Have-I-Been-Pwned. Sie haben einen Service, der "Domain Search" heißt. Dafür musst du deine Domain(s) erst einmal verifizieren und kannst dann einen API-Key beantragen.

Wenn deine Domain weniger als 10 geleakte E-Mail-Adressen hat, ist der Service sogar kostenlos. Danach sind die Preise gestaffelt, aber auch sehr günstig.

Es ist schon erstaunlich, wo sich Mitarbeiter mit ihrer E-Mail-Adresse überall registrieren. Ich will gar nicht erst von den privaten Dingen anfangen, aber auch die beruflichen Sachen sind oft sehr umfangreich.

Was kann ich gegen Leaks tun?

Nichts! Du vertraust deine E-Mail-Adresse und dein Kennwort einer fremden Organisation an und hoffst, dass sie damit sorgsam umgeht und keine Scheiße baut.

Spoiler-Alert: Das machen sie nicht. Und selbst wenn, Hacks passieren trotzdem.

Wenn wir wieder die Risiko-Management-Brille aufsetzen, dann heißt das für dich, dass du die Eintrittswahrscheinlichkeit nicht verringern kannst, aber sehr wohl das Schadensausmaß:

  • Verwende überall individuelle und zufällig generierte Kennwörter
  • Verwende überall, wo es geht, Multi-Faktor-Authentisierung
  • Verwende überall, wo es geht, Passkeys anstatt Passwörtern
  • Verwende verschiedene E-Mail-Adressen:
    • Eine "Spam Adresse" für Webshops, Foren, Portale, Newsletter (ja, auch meiner)
    • Eine "Private Adresse" zur Kommunikation mit Menschen, die du kennst
    • Du kannst auch Hide-My-E-Mail-Dienste nutzen wie ProtonMail oder Apple iCloud
  • Für die Firma kannst du auch deinen eigenen IdP (Identity Provider) nutzen, wie Microsoft 365, oder Google und Single Sign-On für bekannte Portale einrichten. Dadurch können alle User ihre Standard-Accounts benutzen, ohne zusätzlichen Kennwörtern.

Fazit

Passwort-Leaks sind ein echtes Problem und haben schon vielen das Genick gebrochen. Bitte nimm sie nicht auf die leichte Schulter. Wenn du dein Kennwort schon einem Fremden anvertraust, dann verwende zumindest ein anderes als für deine Bank, deinen E-Mail-Provider oder deine eID.

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Einbrecher kommen nachts. Hacker? Die kommen um 10 Uhr vormittags, wenn dein Team gerade im Meeting sitzt, die Produktion läuft und der Kaffee noch warm ist. Der Angriff passiert mitten im Alltag und genau das macht ihn so verdammt schwer zu erkennen. Digitale Einbruchsspuren sind fast unsichtbar Bei einem klassischen Einbruch siehst du sofort, dass was nicht stimmt. Zersplittertes Glas, aufgebrochene Türen, durchwühlte Schränke. Alles schreit:"Hier war wer!" Cyberangriffe hinterlassen nur...

7 months ago • 2 min read

Jede Firma hat sie, aber keiner spricht drüber. Und alle hoffen, dass sie niemand entdeckt: Die Leichen im Keller der IT. Damit meine ich nicht Friedrich, den Mainframe-Admin aus den 80ern, der einmal im Jahr aufgetaut wird, wenn es wieder mal eine Spezial-Frage gibt. Nein, sondern von den Systemen, Prozesse und Gewohnheiten, die hysterisch … ähm historisch gewachsen sind. Die vergessenen Altlasten Du weißt ganz genau, wovon ich spreche. Jede Firma hat sie und Admins in ihrem Home-Lab...

7 months ago • 3 min read

Wenn sich die IT selbst prüft, ist das so, als wenn zwei Wölfe und ein Schaf darüber abstimmen, was es heute zu Mittag gibt. Das klingt zwar wie ein Vorwurf, ist es aber nicht. Wenn wir mal unser Ego beiseite lassen und akzeptieren, dass jeder von uns Fehler macht, dann wird klar, warum es unabhängige Prüfinstitute gibt. Aus demselben Grund sind Penetrationstests, Security-Audits und Hacking-Simulationen (Red Teaming) auch so wichtig. Wo endet die IT? Die IT macht den Betrieb und die Security...

7 months ago • 4 min read