Es werden immer mehr Identitäten sowie Benutzerkonten im Internet gestohlen – dabei sind große Plattformen aber auch der Benutzer selber ein großes Angriffsziel.
Pro Tag werden ca. 1.600.000 Konten Geleakt. (Quelle:https://sec.hpi.uni-potsdam.de/ilc/search?)
Der letzte Leak über ausspionierte persönlichen Daten stammt von LinkedIn – dabei wurden die Daten abgegriffen.
Nun was kann dagegen unternommen werden? Als Benutzer einer Plattform müssen wir immer darauf vertrauen, dass die dort eingesetzte Software immer auf dem neusten Stand gehalten wird.
Kontrollieren, ob dies auch gemacht wird, können wir nicht – aber es gibt eine einfache und effektive Lösung – Wenn wir von uns keine Daten Preisgeben, dann können auch keine persönlichen Daten gestohlen werden. Nichtsdestotrotz ist es unvermeidbar, Vorname und Nachname sowie eine Adresse bei einer Onlineshop-Bestellung anzugeben.
Um hier etwas mehr Sicherheitsbewusstsein zu generieren, verwende bei der Kontoregistrierung nicht einfach ein Passwort, dass überall wie Facebook, Twitter, usw. verwendet wird – besser verwende ein einmaliges Passwort pro Plattform, damit sinkt die Change durch den Verlust eines Passworts, alle Konten angreifbar zu machen.
Wem dies zu „anstrengend“ ist, der kann ein Tool verwenden, um seine Passwörter zu managen. Die Auswahl auf dem Markt ist sehr groß und reicht von Open-Source (Gratis, öffentlich für alle) bis hin zur teuren Business-Variante.
Das wichtigste bei der Auswahl eines Passwort Managers ist, dass dieser die Daten verschlüsselt und mit einem Masterpasswort speichert.
Online Web Tools
Webseiten die überprüfen ob Passwörter veröffentlicht wurden, gibt es viele, doch ist ungewiss, ob nach Eingabe des Passworts dieses auch nicht „gespeichert“ werden und an Dritte weitergegeben werden. Es basiert auf dem Vertrauensgrundsatz, dass der Betreiber die Daten nicht speichert. Darum würde ich niemals irgendein Passwort in ein solches Tool eingeben. Wenn ich mir unsicher bin, ändere ich das Passwort bei den Plattformen direkt.
Have I been Pwnd?
Dieses Tool prüft über die Eingaben von E-Mail-Adresse, ob diese sich irgendwo auf einer veröffentlichten Liste befindet – auch bietet der Betreiber an, benachrichtigt zu werden, sobald deine Domain, E-Mail in einer Liste auffindbar ist.
Die Passwort-Abfrage würde ich dennoch auch hier nicht verwenden.
HIP alternative – Uni Potsdam
Eine alternative und europäische Möglichkeit bietet die Uni Potsdam – dabei muss lediglich die E-Mail-Adresse angegeben werden, das Resultat wird per E-Mail zugesendet. Dabei wird in einer Tabelle dargestellt – welche Daten genau veröffentlicht wurde.
Meine persönliche Empfehlung ist ein Passworttool zu verwenden, um einzigartige Passwörter zu generieren und zu speichern.
- Roboform – Privat und Business – hervorragende Integration in Windows, Mac und Linux sowohl am PC auch am Handy Android und iPhone verfügbar. Kostenpflichtig.
- keepassxc – Sehr guter Passwortmanager der lokal auf Windows, Mac und Linux installiert werden kann. Portabel kann es auf einem USB-Stick betrieben werden. Open-Source – Kostenlos
- Weitere Passwortmanager von chip.de
Was kann nun zur Prävention gemacht werden?
- Öffne niemals E-Mails, deren Absender nicht bekannt sind. (ebay, Amazon und co. senden keine E-Mail, wo ein Passwort preisgegeben werden muss.)
- Gib nur so viel Daten bekannt, die unbedingt notwendig sind. (z. B. Geburtsdatum um eine E-Mail zu erhalten mit Glückwünschen, die Schlussendlich ohnehin im Spam landet? )
- Verwende verschiedene sichere Passwörter – 1234Passwort ist nicht sicher. Verwend als Beispiel: q&uK9*7x%UA5VNS7
- Gib dein Passwort niemals bei Plattformen die überprüfen, ob dein Passwort gehackt wurde ein. Das wäre wie ein Eigentor. Es kann nicht sichergestellt werden, was mit dieser Abfrage passiert! Es sei den, du bist der Entwickler dieser Plattform.
Ich hoffe, ich konnte den ein oder anderen Denkanstoß geben, um weniger Angriffsfläche den Angreifern zu bieten.
