Wie Passwörter gestohlen werden (und 10 einfache Schritte, um sie sicher zu halten)
Veröffentlicht: 2022-03-15
„RockYou2021: Größte Passwortsammlung aller Zeiten, die mit 8,4 Milliarden Einträgen online geleakt wurde“
„Die Polizei hat 225 Millionen gestohlene Passwörter gefunden, die auf einem gehackten Cloud-Server versteckt sind“
Diese Schlagzeilen sind leider nichts Neues. Die Gefahren, wenn Ihr Passwort geleakt/gestohlen wird, sind mittlerweile bekannt. Tech-Experten haben Tools entwickelt und getestet, die schließlich die Verwendung von Passwörtern ersetzen werden, aber es wird nicht erwartet, dass der Übergang in absehbarer Zeit vollständig implementiert wird.
Die meisten Websites und Apps erlauben keine Authentifizierung durch biometrische Daten, was bedeutet, dass wir Benutzer immer noch darauf beschränkt sind, das bescheidene Passwort zu verwenden. Die Realität ist, dass viele Menschen immer noch keine Passwort-Manager verwenden und dasselbe Passwort für mehrere Websites und Anwendungen wiederverwenden, einschließlich wichtiger Websites wie Online-Banking.
Dies bedeutet, dass Vorkehrungen zum Schutz Ihrer Passwörter (wiederum, es sei denn, Sie verwenden einen Passwort-Manager) unbedingt erforderlich sind, wenn Sie Ihre Vermögenswerte schützen möchten.
Bevor wir dorthin gehen, ist es vielleicht am besten, einen Blick darauf zu werfen, wie Datenlecks/Diebstähle passieren, da das Verständnis des Prozesses eine große Rolle bei der Verhinderung spielen kann.
Wie Passwörter gehackt und gestohlen werden
Sie können behaupten, Unternehmen zu vertreten, mit denen ihre Zielpersonen Geschäfte gemacht haben. Sie geben sich oft als Regierungsbeamte aus, darunter Strafverfolgungsbeamte, Steuerbeamte und Mitarbeiter der Sozialversicherungsverwaltung. Manchmal behaupten sie, im Namen der Familienmitglieder oder Freunde ihrer Zielperson anzurufen.
Diese Kriminellen werden versuchen, ein Gefühl der Dringlichkeit zu vermitteln und ihren Zielen vielleicht sogar mit Verhaftung oder Verlust des Zugangs zu Sozialleistungen drohen, wenn sie nicht sofort handeln und die angeforderten Informationen bereitstellen.
Diese Anmeldeinformationen werden in Anwendungen geladen, die sie schnell mit einer großen Anzahl von Websites testen, in der Hoffnung, Übereinstimmungen zu finden und Zugriff zu erhalten. Jährlich werden Hunderte Millionen solcher Angriffe protokolliert.
Apps und Funktionen, die Zugangsdaten stehlen, könnten tatsächlich Keylogger sein, Malware-Pakete, die nicht nur Ihre Passwörter, sondern alle Ihre Tastenanschläge aufzeichnen und sie dann an den Angreifer übermitteln.
Anmeldedaten stehlende Malware kann auch in Websites eingebaut werden, die so gestaltet sind, dass sie denen von seriösen Unternehmen ähneln. Beispielsweise kann ein Angreifer eine Phishing-Nachricht senden, in der behauptet wird, dass auf dem Bankkonto des Ziels verdächtige Aktivitäten beobachtet wurden und dass sich das Ziel sofort bei seinem Konto anmelden muss, um das Passwort zu ändern.
Das Opfer klickt auf einen Link in der Nachricht und wird zu einer legitim aussehenden Bankseite weitergeleitet, wo es aufgefordert wird, Anmeldedaten einzugeben, um den Vorgang zum Zurücksetzen des Passworts zu beginnen. Dadurch erhält der Angreifer die Bankkontodaten des Opfers.
Einige bösartige Look-a-Like-Sites werden in der Hoffnung erstellt, dass zufällige Personen versehentlich darauf landen und um ihre Benutzernamen und Passwörter betrogen werden.
Die Hightech-Version davon ist ein Man-in-the-Middle-Angriff. Öffentliche Wi-Fi-Netzwerke werden häufig von Angreifern genutzt, die leicht verfügbare Tools verwenden, um den Netzwerkverkehr zu überwachen und vertrauliche Daten, einschließlich Anmeldeinformationen für Konten, von Benutzern der Netzwerke zu stehlen.
Manchmal erstellen Cyberkriminelle ihre eigenen öffentlichen Wi-Fi-Netzwerke, die so aussehen, als wären sie die von legitimen Unternehmen, deren einziger Zweck darin besteht, Benutzerdaten zu stehlen. Öffentliche Wi-Fi-Netzwerke sind von Natur aus unsicher.
Tatsächlich steigt die Zahl der verwendeten Passwörter weiter an, ebenso wie die Zahl der Angreifer da draußen, die aktiv versuchen, sie zu stehlen. Der Passwortschutz sollte ernst genommen werden, also setzen Sie so viele dieser Tipps wie möglich um.
„Die Polizei hat 225 Millionen gestohlene Passwörter gefunden, die auf einem gehackten Cloud-Server versteckt sind“
Diese Schlagzeilen sind leider nichts Neues. Die Gefahren, wenn Ihr Passwort geleakt/gestohlen wird, sind mittlerweile bekannt. Tech-Experten haben Tools entwickelt und getestet, die schließlich die Verwendung von Passwörtern ersetzen werden, aber es wird nicht erwartet, dass der Übergang in absehbarer Zeit vollständig implementiert wird.
Die meisten Websites und Apps erlauben keine Authentifizierung durch biometrische Daten, was bedeutet, dass wir Benutzer immer noch darauf beschränkt sind, das bescheidene Passwort zu verwenden. Die Realität ist, dass viele Menschen immer noch keine Passwort-Manager verwenden und dasselbe Passwort für mehrere Websites und Anwendungen wiederverwenden, einschließlich wichtiger Websites wie Online-Banking.
Dies bedeutet, dass Vorkehrungen zum Schutz Ihrer Passwörter (wiederum, es sei denn, Sie verwenden einen Passwort-Manager) unbedingt erforderlich sind, wenn Sie Ihre Vermögenswerte schützen möchten.
Bevor wir dorthin gehen, ist es vielleicht am besten, einen Blick darauf zu werfen, wie Datenlecks/Diebstähle passieren, da das Verständnis des Prozesses eine große Rolle bei der Verhinderung spielen kann.
Wie Passwörter gehackt und gestohlen werden 
Raten - die einfachste Methode
Im Jahr 2020 wurden drei der am häufigsten verwendeten Passwörter als „123456“, „123456789“ und „password“ festgestellt. Bei der Suche mit den Tools von HaveIBeenPwned (auf jeden Fall einen Besuch wert) wurde festgestellt, dass diese Passwörter beim Scannen von verletzten Daten zig Millionen Mal auftauchten. Hier sind die Berichtsergebnisse ab Januar 2022:- 123456 - 37.359.195 Auftritte
- 123456789 - 16.629.796 Auftritte
- Passwort - 9.545.824 Auftritte
Phishing und andere Social-Engineering-Angriffsvarianten
Cyberkriminelle kontaktieren ihre Ziele oft direkt per Telefon (Vishing), E-Mail (Phishing), SMS (Smishing) oder über Social-Media-Konten. Bei diesen Angriffen geben sich Betrüger in der Regel als andere aus, um ihre Opfer davon zu überzeugen, vertrauliche Informationen wie Anmeldeinformationen preiszugeben.Sie können behaupten, Unternehmen zu vertreten, mit denen ihre Zielpersonen Geschäfte gemacht haben. Sie geben sich oft als Regierungsbeamte aus, darunter Strafverfolgungsbeamte, Steuerbeamte und Mitarbeiter der Sozialversicherungsverwaltung. Manchmal behaupten sie, im Namen der Familienmitglieder oder Freunde ihrer Zielperson anzurufen.
Diese Kriminellen werden versuchen, ein Gefühl der Dringlichkeit zu vermitteln und ihren Zielen vielleicht sogar mit Verhaftung oder Verlust des Zugangs zu Sozialleistungen drohen, wenn sie nicht sofort handeln und die angeforderten Informationen bereitstellen.
Brute-Force- und Stuffing-Angriffe
Wie bereits erwähnt, stehen Hackern Tools zur Verfügung, die schnell zufällige Passwörter generieren und testen können, um festzustellen, ob sie Zugriff auf gezielte Konten gewähren. Stuffing, eine Variante des Brute-Forcing, beinhaltet die Verwendung zuvor gestohlener Zugangsdaten, die bei Sicherheitsverletzungen offengelegt wurden und Kriminellen über das Dark Web zur Verfügung stehen.Diese Anmeldeinformationen werden in Anwendungen geladen, die sie schnell mit einer großen Anzahl von Websites testen, in der Hoffnung, Übereinstimmungen zu finden und Zugriff zu erhalten. Jährlich werden Hunderte Millionen solcher Angriffe protokolliert.
Anmeldeinformationen stehlende Malware
Ihre Geräte können mit Malware zum Diebstahl von Anmeldeinformationen infiziert werden, wenn Sie auf bösartige Links in Phishing-E-Mails klicken, infizierte E-Mail-Anhänge öffnen, versehentlich die Website eines Angreifers besuchen oder eine App installieren, die nicht aus einer seriösen Quelle stammt.Apps und Funktionen, die Zugangsdaten stehlen, könnten tatsächlich Keylogger sein, Malware-Pakete, die nicht nur Ihre Passwörter, sondern alle Ihre Tastenanschläge aufzeichnen und sie dann an den Angreifer übermitteln.
Anmeldedaten stehlende Malware kann auch in Websites eingebaut werden, die so gestaltet sind, dass sie denen von seriösen Unternehmen ähneln. Beispielsweise kann ein Angreifer eine Phishing-Nachricht senden, in der behauptet wird, dass auf dem Bankkonto des Ziels verdächtige Aktivitäten beobachtet wurden und dass sich das Ziel sofort bei seinem Konto anmelden muss, um das Passwort zu ändern.
Das Opfer klickt auf einen Link in der Nachricht und wird zu einer legitim aussehenden Bankseite weitergeleitet, wo es aufgefordert wird, Anmeldedaten einzugeben, um den Vorgang zum Zurücksetzen des Passworts zu beginnen. Dadurch erhält der Angreifer die Bankkontodaten des Opfers.
Einige bösartige Look-a-Like-Sites werden in der Hoffnung erstellt, dass zufällige Personen versehentlich darauf landen und um ihre Benutzernamen und Passwörter betrogen werden.
Schultersurfen und Man-in-the-Middle-Angriffe
Der Begriff „Shoulder Surfing“ beschreibt die Taktik, jemandem über die Schulter zu schauen, um zu beobachten, was auf seinem Computer oder Gerätedisplay angezeigt wird, und zu versuchen, Passwörter oder andere sensible Informationen zu entdecken.Die Hightech-Version davon ist ein Man-in-the-Middle-Angriff. Öffentliche Wi-Fi-Netzwerke werden häufig von Angreifern genutzt, die leicht verfügbare Tools verwenden, um den Netzwerkverkehr zu überwachen und vertrauliche Daten, einschließlich Anmeldeinformationen für Konten, von Benutzern der Netzwerke zu stehlen.
Manchmal erstellen Cyberkriminelle ihre eigenen öffentlichen Wi-Fi-Netzwerke, die so aussehen, als wären sie die von legitimen Unternehmen, deren einziger Zweck darin besteht, Benutzerdaten zu stehlen. Öffentliche Wi-Fi-Netzwerke sind von Natur aus unsicher.
So schützen Sie meine Passwörter in 10 einfachen Schritten vor Hackerangriffen
Im Folgenden sind die Strategien aufgeführt, die Sie leicht implementieren können, um Ihre Passwörter, Ihre Konten und Ihre vertraulichen Informationen zu schützen:- Eine grundlegende Faustregel: Holen Sie sich einen Passwort-Manager/Tresor. Dies sind Anwendungen, die speziell entwickelt wurden, um Ihr Passwort sicher aufzubewahren. Mit ihnen müssen Sie sich nur ein Master-Passwort merken (immer noch nach den folgenden Regeln!)
- Fügen Sie keine echten Wörter hinzu. Wenn möglich, erfinden Sie Ihre eigenen Wörter, die wahrscheinlich nicht „erraten“ werden (z. B. „Radamabla“)
- Verwenden Sie keine Geburtstage und andere leicht identifizierbare Daten über sich selbst (z. B. Nachname).
- Verwenden Sie keine schwachen (einfachen) Passwörter. Ihre Passwörter sollten lang und komplex sein und Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
- Verwenden Sie für jedes Ihrer Konten ein anderes Passwort. Wenn ein Konto kompromittiert wird, sind andere Konten aufgrund der Verwendung derselben Anmeldeinformationen nicht gefährdet (insbesondere wiederholen Sie keine Passwörter für E-Mail-Konten und Finanzkonten).
- Verwenden Sie eine 2FA (Zwei-Faktor-Authentifizierung), wo immer sie verfügbar ist. Dies fügt dem Anmeldeprozess eine weitere Komponente hinzu. In den meisten Fällen handelt es sich um eine PIN, die per SMS oder E-Mail an Ihr Gerät gesendet wird. Wenn ein Angreifer Ihre Anmeldeinformationen stehlen kann, kann er die Anmeldung ohne diesen zusätzlichen Faktor dennoch nicht abschließen.
- Sofern Sie nicht sicher sind, dass Sie der Quelle einer E-Mail, SMS oder Social-Media-Nachricht vertrauen können, und insbesondere wenn die Nachricht etwas Ungewöhnliches oder Verdächtiges enthält, sollten Sie es vermeiden, Anhänge zu öffnen oder auf enthaltene Links zu klicken.
- Stellen Sie beim Besuch von Websites sicher, dass diese HTTPS verwenden. Links neben der URL der Website sollte oben in Ihrem Browser ein geschlossenes Vorhängeschloss angezeigt werden, das auf die Verwendung dieses Sicherheitsprotokolls hinweist. Einige Kriminelle haben jetzt damit begonnen, HTTPS auf ihren Websites zu verwenden, sodass diese Methode Ihre Informationen nicht zu 100 % effektiv vor Betrügern schützt, aber wenn Sie diese Empfehlung befolgen, können Sie bösartige Websites meiden.
- Stellen Sie sicher, dass die Betriebssysteme auf Ihren Geräten auf dem neuesten Stand sind und Updates automatisch herunterladen und installieren. Stellen Sie außerdem sicher, dass auf allen Ihren Geräten Anti-Malware-/Antivirus-Anwendungen ausgeführt werden.
- Vermeiden Sie die Nutzung öffentlicher WLANs, es sei denn, Ihr Gerät ist auch mit einer App für ein virtuelles privates Netzwerk (VPN) ausgestattet und diese App wird verwendet. VPNs verschlüsseln die Daten, die zu und von Ihrem Gerät übertragen werden. Selbst wenn sie von einem Angreifer abgefangen werden, können die Daten nicht entschlüsselt und gelesen werden. Wenn Sie kein VPN haben und öffentliches WLAN verwenden müssen, vermeiden Sie es, sich bei irgendwelchen Konten anzumelden oder vertrauliche Informationen über Messaging-Dienste zu senden.
Abschließende Gedanken
Seit mehr als zehn Jahren prognostizieren Fachzeitschriften das Ende des Passworts, aber es ist immer noch da.Tatsächlich steigt die Zahl der verwendeten Passwörter weiter an, ebenso wie die Zahl der Angreifer da draußen, die aktiv versuchen, sie zu stehlen. Der Passwortschutz sollte ernst genommen werden, also setzen Sie so viele dieser Tipps wie möglich um.