Frage von Baehri36, 112

Welche Webseiten sind für (Passwort-)Hacker besonders attraktiv?

Bei welchen Webseiten bzw. Arten von Accounts sollte man eher dazu motiviert sein, sich ein langes sicheres Passwort einfallen zu lassen? Bzw. ist es bei solchen Webseiten, die mehr bedroht sind von Hackern, nicht eher vernachlassbar ein gutes Passwort zu haben? Es gibt nach meinem bisherigen Verständnis 2 Arten davon, sein Passwort durch Fremde zu verlieren: 1. das Passwort war zu einfach und wurde schnell von einem automatischen Mechanismus herausgefunden oder 2. die Datenbank der Passwörter wurde durchschaut, im 2. Falle würde ja ein sicheres, langes Passwort auch nix bringen, und wäre sogar noch mehr Gefahr für die andern Passwörter die man hat, die kürzer sind. Frage ist also auch, welche Art von Passwortdiebstahl ist wahrscheinlicher? Die meisten Webseiten erfordern ja ein Minimum von 6 Zeichen im Passwort, nur sowas fühlt sich mir überhaupt nicht sicher genug an, wenn man mal auf https://howsecureismypassword.net/ nachschaut, das würde nur wenige Millisekunden bzw Sekunden brauchen...

Ich hoffe ich habe es verständlich geschrieben, und bitte keine platten abfertigenden Antworten wie "man sollte immer ein langes Passwort haben und bei mehreren Accounts nicht das selbe nehmen", es sollte schon detaillierter sein

Antwort
von ASRvw, 29

Moin.

Prinzipiell sollte man bei allen Accounts im Web, bei denen irgendeine Art von Informationen über Dich entwendet werden könnte, ein sicheres Passwort haben. Und das ist an sich auch gar kein Problem. Es gibt verschiedene Wege, sich sichere Passworte zu vergeben, ohne das man zwangsläufig Probleme hat, sich diese zu merken.

Am einfachsten geht das mit einem Tool Namens KeePass:

http://keepass.info/

Dieses Tool ist OpenSource, damit frei verfügbar und das so ziemlich für jede Plattform. Egal ob PC, Mac, Linux, iOS, Android oder Windows Phone. Auch für noch weniger verbreitete Plattformen ist es verfügbar.

Der Gedanke bei KeePass ist der einer mit einem einzigen Hauptpasswort verschlüsselten Datenbank, in der man all seine Account-Informationen und Passworte, sortiert nach Kategorien speichern und LogIn-Formulare im Web mit einer Tastenkombination automatisiert ausfüllen lassen kann, nach dem man die Datenbank mit seinem Hauptpasswort geöffnet hat.

Der Vorteil der KeePass-Datenbank ist, dass sie vollständig auf hohem Standard verschlüsselt ist - im Gegensatz zur Passwortspeicherung im Browser.Außerdem lässt sich hier das Hauptpasswort zusätzlich absichern, in dem man es zusätzlich an das Vorhandensein einer bestimmten Datei, zum Beispiel auf einem USB-Stick bindet.

Für jeden Account, den man sich in KeePass einträgt, bietet dieses Tool ein weit konfigurierbaren Passwortgenerator und zeigt zu allen Passworten auch gleich deren Stärke an.

Wenn Du es nur auf den PC verwenden willst, empfiehlt die Nutzung der Programmversion 2.x, der sog. Pro-Version (ebenfalls OpenSource und kostenlos). Willst Du es auf mehreren Plattformen einsetzen, solltest Du die Programmversion 1.x benutzen. Die Version 2 ist dabei nicht als neuer als Version 1 zu verstehen, sondern als eigenständige Version mit erweiterten Funktionen. V1.x und V2.x werden beide ständig, parallel zueinander weiter entwickelt. Wobei V1.x auf möglichst breite Verfügbarkeit zielt und V2.x auf höhere Funktionen bei weniger breiter Verfügbarkeit.

Neben einem solchen Tool ist auch die Buchmethode eine gute Möglichkeit, sichere Passworte zu generieren, die man quasi offen rum liegen lassen kann. Was man dazu braucht, sind ein oder mehrere Bücher und einige Zahlen die man sich gut merken kann, zum Beispiel verschiedene Geburtstage.

Man nehme ein Buch, z:B. sein Lieblingsbuch und ein Datum, z.B. den 22.04.2016. Die 22 gibt die Seite an, die 04. die vierte Zeile. Die Zeile verwendet man als Passwort. Und zwar, jeden Anfangsbuch jedes Wortes dieser Zeile unter Beibehaltung von Groß- und Kleinschreibung und zusätzlich alle Satzzeichen wie Komma und Punkt an den stellen, an deren sie stehen. Die 2016 teilt man auf und beginnt das Passwort mit der 20 und beendet es mit der 16.

So ergibt zum Beispiel Seite 22, Zeile 4 der StarWars Saga

Das Naß mußte aus dem harten, blauen Himmel herabgelockt werden - gelockt, gezwungen, heruntergerissen auf die verdorrte Oberfläche.

nach dieser Methode als Passwort

20DNmadh,bHhw-g,g,hadvO16

Das Buch kannst Du dabei neben dem PC stehen, ja sogar offen herum liegen lassen, um Dein Passwort jederzeit nachschlagen zu können. Das einzige was Du Dir dabei merken musst, ist welche Internetseite Du mit welchem Geburtstag verbindest.

Prüfe dieses Passwort mal mit der von Dir schon genannten Seite. Das Ergebnis lautet auf 29 Nonillionen Jahre. Und es kann offen auf Deinem Tisch liegen, ohne das es jemand findet.

ASRvw de André

Kommentar von Baehri36 ,

interessante systematik

Antwort
von VBHHerzog, 20

1.passwörter kann man bruteforcen, also automatisch raten, das ist mittlerweile eher oldsccool, und bringt idr nicht mehr viel

2.dann kann man zbs durch eine sql injection an passwörter gelangen, also die datenbank manipulieren(grob erklärt), da die pws aber dort gehasht + gesalted sein sollten(verschlüsselungs-algorythmen) , gilt hier gilt auch wieder, das das pw nur so sicher ist wie das pw selbst.

3.wenn die passwörter nicht verschlüsselt in der DB liegen, dann können sie natührlich gedumped werden(in dem sinne ausgelesen und gespeichert)

4.dann gibt es noch möglichkeiten durch keylogger/trojaner an die pws zu kommen

5.phising seiten wären auch eine möglichkeit

6.per XSS cookies auslesen, und so useraccs übernehmen, seltener auch passwörter auslesen

7.man in the middle attacken sind auch beliebt, also wenn der angreifer im selber wlan ist wie du, und den netzwer traffic mitschneidet, um so nutzerdaten zu sniffen(mitzulesen), oder tcp verbindungen zu übernehmen etc

8.mitm angriffe werden durch SSL/TLS(erkennst du an dem httpS:// das S bedeutet save = verschlüsselte verbindung) deutlich erschwert, aber mit zbs bettercap(nicht ettercap) oder ssl-strip wird das sniffen auch ein kinderspiel.

wie man sicher absichern kann?

1,2 = langes passwort, >= 10 zeichen, großbuchstaben, zahlen, kleinbuchstaben, sonderzeichen, keine privaten daten

3. Garnicht, schutz liegt in der hand des datenbank entwicklers

4. keine unbekannten dateien downlaoden, aktueller virenscanner hilft selten auch(selten weil durch einfache string umbenennung viele AVs die schadsoftare nichtmehr erkennen), etc

5. auf die url achten, damit man nicht auf eine phising seite landet

6. NoScript, addon für firefox, blockt javascripte bei bedarf, blockt XSS versuche

7, 8. VPN, damit Datenverkehr seperatt verschlüsselt wird, SSL/TLS verschlüsselung benutzen


lg


text wurde schnell getippt, rechtschreibfehler dürft ihr behalten




Expertenantwort
von Limearts, Community-Experte für Computer & Internet, 29

Je wichtiger dir die Seite / dein Account ist, desto besser sollte natürlich auch das Passwort gewählt werden. Minimum natürlich wenigstens 8 Zeichen aufwärts. Je länger, desto weniger wichtig ist die Komplexität des eigentlichen Passworts. Allein die Länge trägt schon massiv dazu bei dass das Passwort schnell nicht mehr automatisch zu knacken wäre und nur über Abfangen oder Diebstahl der Benutzerdaten in Erfahrung gebracht werden kann.

Welche Seiten dahingehend kritisch sind? Die meisten Angriffe geschehen heutzutage automatisch. Eine Softwarelücke wird bekannt, man schreibt ein Programm und lässt es auf das Netz los. Jede Seite die diese Lücke aufweist / die Software noch nicht aktuallisiert hat, wird ein potentielles Ziel. Was aufgegriffen wird geht gesammelt zum Entwickler der Schadsoftware.

Welche Seiten lohnen sich für gezielte Angriffe? Primär solche mit einer großen Nutzerbasis und / oder lohnenswerten Accounts, die irgendwelche Währungen,  Zahlungsinformationen oder sensible Informationen inne haben könnten.

Aber wertvoll ist erst mal jeder gekaperte 0815-Account. Schon allein die Kombination aus Passwort und E-Mail-Adresse gewährt potential auch auf anderen Seiten damit erfolgreich in Konten zu gelangen da eben doch viele Leute ein Einheitspasswort nutzen. Und selbst wenn nicht, lassen sich die Benutzerdaten als entsprechende Liste für Werbe/Spam-Zwecke weiterverkaufen.


Kommentar von Baehri36 ,

also sollte der Email-Account die allerhöchste Priorität haben in der Sicherheit?

Antwort
von Bohne999, 5

Generell ist es natürlich wichtig sichere Passwörter zu haben. Dafür muss man aber erstmal überlegen was sicher für einen Computer bedeutet. Für Menschen sieht: KdePmWoa sicherer aus als: PassWort . Doch für den Computer ist es die selbe Herausforderung. Ich persönlich nutze die App 1Password, diese kann mir für Websites, Accounts, etc. sichere Passwörter generieren und diese speichern. Zugriff habe ich auf sie mit einem sogenannten Master Passwort. 

Aber zurück zu deiner Frage: 

Allgemein ist es erstmal nur wichtig das du überall wo du dich anmeldest ein einigermaßen sicheres Passwort verwendest, sodass der Hacker nicht durch BruteForce oder ähnliche Attacken in deinen Account kommt.

Doch wenn der Hacker sich Zeit nimmt und in die Datenback wo dein Account hinterlegt ist eindringen möchte, kann dein Passwort noch so lang sein. Dann bist du deinen Account schonmal los. Es ist natürlich klar, dass sowas einfacher bei kleinen Internet Foren geht, als bei Apple, Google, Facebook, etc. An diese Accounts will der Hacker aber somit versucht er mit deiner E-mail Adresse und dem Passwort weiter zu kommen.

Wenn du jetzt aber für die wirklich wichtigen Account andere E-mail Adressen verwendest, kann der Hacker mit den gewonnen Informationen wenig anfangen. 

Ein Hacker muss auch nicht sofort in die Datenbank eindringen. Auch einfache Methoden wie Phishing sind leider oftmals effektiv.  

Aber das wichtigste sind die Passwörter der E-Mail Accounts, denn wenn der Hacker diese hat kann er in alle Accounts die du hast, durch einfaches zurücksetzen des Passwortes und ändern der E-Mail Adresse. Wenn er dann Identitätsklau betreibt hast du verloren, den dass lässt sich nur sehr schwer beweisen, das du es nicht warst.

Zusammengefasst:

Es ist egal in welcher Website der Hacker versucht an deine Daten zu kommen. Er will immer mehr Informationen über dich haben, also schütze dich dagegen, indem du verschiedene E-Mail Adressen benutzt, etc. 

Die meisten gehackten Accounts sind aber durch abfangen von Informationen entstanden. Also antworte nicht auf E-Mails wo du aufgefordert wirst dich bei Facebook neu einzuloggen etc. 

Die Zwei-Stufen Sicherheit wird auch mittlerweile oft angeboten, damit kannst du im Falle das du gehackt wurdest schnell reagieren und ggf. andere Passwörter schnell ändern.

Sichere Passwörter erreichst du, indem du Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen einbaust. Desweiteren ist auch der Name des Haustieres nicht gut, der Angreifer muss nur einmal auf deiner Facebook Seite vorbeischauen und kennt evtl. dein Passwort. 

Hoffe ich konnte etwas helfen :)

Antwort
von mirolPirol, 24

"Man sollte immer ein sehr langes Passwort haben und keines mehrfach benutzen!", das ist aber die passende Antwort. Das ist ja auch ganz einfach, wenn man sich weder ein Passwort ausdenken noch merken muss. Man nutzt einen "Passworttresor", also eine Software, die sichere Passwörter automatisch erzeugt und speichert. Um diesen "Tresor" zu öffnen braucht man sich nur ein einziges Passwort zu merken (das sollte allerdings gut sein), den Rest, nämlich die automatische Anmeldung beim Webshop, beim Hoster, im Chat u.s.w. erledigt die Software ganz allein.

Antwort
von priesterlein, 21

Es gibt noch eine Möglichkeit, sein Passwort an andere zu verraten: Man gibt es auf einer Seite ein, die einem verspricht, zu sagen, wie sicher es ist.

Die Unsicherheit liegt oft beim Seitenbetreiber, der kein Enter, keine White spaces, praktisch also keine Nichtstandardeingaben zulässt.

Eine weitere große Unsicherheit sitzt vor dem Bildschirm und lässt oft selber Spionagesoftware zu bzw. füttert sie mit Daten.

Da nützt kein noch so sicheres Passwort.

Kommentar von Baehri36 ,

die seite ist sehr bekannt und vertrauenswürdig, ansonsten wär das sicherlich schon aufgefallen....

Kommentar von priesterlein ,

Wenn ich da dem Copyrightinhaber folge, komme ich zu Seiten, die der hiesige Schutzmechanismus als "Dies ist eine bekannte gefährliche Website." markiert. Detail: "Unbemerkte Downloads"

Kommentar von VBHHerzog ,

man gibt sein pw nirgends ein, außer in der login maske, auch wenn der seitenbetreiber seriös ist, vlt hat er selbst sicherheitsfehler beim coden gemacht etc..

Kommentar von priesterlein ,

Naja, manche regeln das über Javascript lokal, aber wenn das jemand übernimmt, kommt, was du schon angedeutet hast, die Möglichkeit der Datenübermittlung hinzu.

Antwort
von RECA7730G, 27

natürlich wäre es für einen hacker profitabler eine große firma zu hacken (facebook/google/...), allerdings ist es bei diesen firmen auch umso schwerer, wenn nicht sogar unmöglich. außerdem sind die passwörter bei den großen firmen auf den server immer zusätzlich verschlüsselt.

du hast eine dritte art vergessen, das phishing, wo du unwissentlich das passwort an kriminelle überträgst.

ein "sicheres" passwort solltest du bei, ich nenne es mal knotenpunkten haben. das ist zb dein email account. wenn ein hacker zugriff darauf hat, kann er alle accountpasswörter die über diese email laufen ganz einfach erhalten bzw. die passwörter zurücksetzten.

Kommentar von VBHHerzog ,

alles ist hackbar, nur eine frage der zeit

Kommentar von RECA7730G ,

natürlich ist alles hackbar/entschlüsselbar. aber bis wir quantencomputer haben dauern die meißten brute force attacken bei einigermaßen komplexen passwörtern selbst mit dem besten supercomputer ewigkeiten:

128 zeichen numerisch = 9,17e+103 jahre (bei 38,36 billiarden kombinationen pro sekunde)

http://calc.opensecurityresearch.com/

natürlich sind da nicht die unendlich vielen neuen computergenerationen eingerechnet, aber auch nicht die neusten verschlüsselungsarten...

Antwort
von FLUPSCHI, 27

Zb alle wo du Online bestellst ebay , Amazon usw usw weisst was ich meine

Kommentar von FLUPSCHI ,

und natürlich Email is klar denk ich

Kommentar von FLUPSCHI ,

Bau in dein Passwort punkt und komma und zahlen ein das geht so schnell nicht zu knacken

Antwort
von BrokerJohny, 5

Oh wüsste da eine. Meine aber die darf ich hier nicht posten. Sonst wars das lol.

Habe so ziemlich jeden Tag um die 10-20 gezielte Hackversuche. Sprich händische keine von Bots ausgeführten

Antwort
von happyfish2, 28

Bei allen Sachen, wo es irgendwie darum geht, sich Vorteile zu schaffen. Sei es finanziell oder sonstwie.

Keine passende Antwort gefunden?

Fragen Sie die Community