Autsch, schon wieder gehackt

https://blog.wdr.de/digitalistan/autsch-schon-wieder-gehackt/

Autsch, schon wieder gehackt

Kommentare zum Artikel: 1

Wir haben uns längst daran gewöhnt, dass immer wieder Onlinedienste gehackt und/oder Zugangsdaten im großen Stil geklaut werden. Aktuell informiert der Speicherdienst Dropbox seine Kunden, die schon länger dabei sind, dass im Jahr 2012 die Passwörter von rund 68 Millionen Usern geklaut wurden. Der Datendiebstahl von damals war schon lange bekannt und auch öffentlich gemacht, nur der Umfang war bislang nicht bekannt. Weil nun aber Listen von damals aufgetaucht sind, weiß man jetzt, wie viele User betroffen waren: 68 Millionen. Ob man selbst betroffen ist, kann man bei dem wirklich empfehlenswerten Onlinedienst Have I been pwned nachschauen.

Genau hinschauen: 68 Millionen Dropbox-User wurden gehackt

Genau hinschauen: 68 Millionen Dropbox-User wurden gehackt

Schlapp verschlüsselt und deshalb gefährdet

Das ist bei weitem nicht der größte bekannt gewordene Hack, hat aber trotzdem einen erheblichen Umfang. Wie meist in solchen Situationen werden die Betroffenen (und auch die potenziell Betroffenen) aufgefordert, ihr Passwort zu ersetzen. Die Hacker sind nicht in den Besitz der Passwörter selbst gekommen, das ist ohnehin selten der Fall, sondern in den Besitz der so genannten Hashcodes. Das sind verschlüsselte Varianten des Passworts. Die verschlüsselte Variante wird mit der verschlüsselten Version des eingetippten Passworts verglichen. Stimmen beide überein, was das Passwort korrekt.

Ein verschlüsseltes Passwort zu entschlüsseln ist schwer bis unmöglich. In 2012 wurden noch Verschlüsselungsmethoden verwendet, die sich SHA1 und Salt nennen und die mittlerweile durchaus geknackt werden können. Bedeutet: Macht sich jemand die Mühe – was eine Weile dauert -, kann man so ein verschlüsseltes Passwort entschlüsseln und dann auch zum Login benutzen. Rund die Hälfte der geklauten Passwörter sind damals mit SHA1 oder Salt verschlüsselt worden und deshalb gefährdet, bei der anderen Hälfte wurde bereits bcrypt verwendet, das kaum zu knacken ist.

Laptop-Tastatur Hacker; Rechte: dpa/Picture AllianceDie Beute der Hacker wird immer umfangreicher

User sollten sich dringend besser wappnen

Wer seit 2012 sein Passwort nicht geändert hat, sollte das nun dringend nachholen. Das gilt allerdings nicht nur für Dropbox, sondern auch für andere Onlinekonten. Denn ist so ein Passwort erst mal entschlüsselt, kann man es natürlich auch in anderen Onlinekonten ausprobieren. Viele User verwenden ja – entgegen allen Ratschlägen – überall dasselbe Passwort. Kommt es zu einem Daten-Gau wie diesen, hängt man sozusagen am Fliegenfänger der Hacker. Sie bekommen überall Zutritt.

Ich kann nur dringend empfehlen, Password Manager wie Lastpass oder 1Password zu benutzen. Dann kann man komfortabel in jedem Onlinedienste ein anderes, gerne auch extrem kryptisches Passwort verwenden – der Manager trägt sie ja in die Eingabefelder ein. Das erhöht den Schutz enorm. Und – dringende Bitte von einem leidgeprüften Blogger! -: Bitte verwendet doch öfter und möglichst überall die Zwei Faktor Authentifizierung. Das funktioniert auch bei Dropbox schon seit einer Ewigkeit. Dann verlieren geklaute Passwörter schlichtweg ihren Schrecken, weil im Smartphone ein Code generiert wird, der neben dem Passwort eingegeben werden muss.

https://vimeo.com/181042524

Und wer glaubt, er hätte einen Schutzengel und sei noch nie gehackt worden: Ich empfehle wirklich dringend einen Besuch bei Have I been pwned. Einfach mal die eigene Mail-Adresse eingeben und nachschauen. Sofort erfährt man, ob und bei welchen größeren Hacks man in den Fangnetzen der Hacker gelandet ist. Bei mir sind es – leider! – einige Fälle. Wenn das keine Motivation ist, sich um die Sicherheit der eigenen Onlinezugänge zu kümmern, dann weiß ich es nicht …

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

1 Kommentar

  1. Herbert Kaiser am

    Hallo, wie vertrauenswürdig ist denn haveibeenpwned? Ich bin skeptisch, wenn ich irgendwo meine Email-Adresse(n) „zu Prüfungszwecken“ eingeben soll. So kann ich auch in eine Adressdatenbank für Spam geraten? Und um prüfen zu können, ob meine Email-Adresse in einer gestohlenen Datenbank vorkommt, muss der betreffende Dienst diese gestohlene Datenbank doch selbst haben, oder? Woher? Wer also ist „haveibeenpwned“ und wie finanziert sich dieser Dienst?

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Um Ihren Kommentar zu versenden, beantworten Sie bitte die folgende Frage: *

Top