Schlagwort-Archive: Masterkennwort

01. Februar: Der offizielle Ändere-Dein-Passwort-Tag

logo-sticky-passwordDer erste Februar ist seit nunmehr vier Jahren der weltweite „Ändere-Dein-Passwort-Tag“. Er soll Computernutzer auf die Wichtigkeit des Passwort-Wechsels hinweisen und so unter anderem zu mehr Sicherheit von Online-Zugängen und privater Daten sorgen.

Da die beliebtesten Passwörter nach wie vor „123456“ bis „12345678“, „geheim“ und „passwort“ sind, sollte man natürlich ein komplexeres Passwort wählen: Groß- und Kleinbuchstaben gemischt, mit Sonderzeichen und Zahlen verfeinert. Keinesfalls sollte ein real genutztes Wort dabei herauskommen, da diese mit lexikalischen Angriffen leicht geknackt werden können. Am einfachsten ist es, sich eine „Passphrase“ auszudenken. „Jeden Tag um 12 Uhr esse ich zu Mittag!“ – wenn man hier immer das erste oder die ersten beiden Zeichen der einzelnen Wörter verwendet, erhält man ein sicheres Passwort: „JTu1Ueizm!“ respektive „JeTaum12UhesicMi!“.

Noch komfortabler gelingt das Nutzen sicherer Passwörter, wenn man einen Passwortsafe wie Sticky Password nutzt. Mit einem etwa nach obigem Vorbild gewählten, sicheren Masterkennwort kann man für alle Zugänge von dem Programm komplexe, sichere Passwörter erstellen und verwalten lassen. Man muss sich dann lediglich dieses eine Passwort merken und hat trotzdem viele unterschiedliche Passwörter im Einsatz.

Weihnachtszeit ist Phishing-Zeit

logo-sticky-passwordAlle Jahre wieder: Pünktlich zur Hochzeit des E-Commerce in der Vorweihnachtszeit wollen auch die Cyberkriminellen einen Schnitt machen und versuchen, mittels Phishing an die Zugangsdaten zu Online-Konten zu gelangen – um diese dann leer zu räumen. Es lässt sich ein starker Anstieg an Phishing-E-Mails beobachten, die selbst Experten zum genauen Hinsehen zwingen.
2015-12-01-Paypal-Phish
 
Die Mails enthalten meist den korrekten Namen des Empfängers. In vielen Fällen stimmt sogar die Adresse. Optisch sind die Mails nicht von originalen Paypal-E-Mails zu unterscheiden. Einige Kleinigkeiten weisen jedoch auf Phishing hin:



  • Eine Bestellung und Bezahlung wie angegeben hat nicht stattgefunden
  • Zunächst wird im Text eine Summe von 176 Euro genannt, weiter hinten in der Mail dann ein anderer Betrag
  • Während das Wort „Storno“ noch korrekt geschrieben wurde, heißt die Schaltfläche „Stonierung“, es fehlt ein „r“.
  • Der vermeintliche Link enthält ebenfalls diesen Schreibfehler.
  • Der Link ist unverschlüsselt, während Paypal nur verschlüsselte Verbindungen nutzt:
    2015-12-01-Paypal-Phish-3-korrekt



2015-12-01-Paypal-Phish-2
Die Seite, auf der man landet, zeigt tatsächlich eine falsche Adresse an. Die Verbindung ist nicht verschlüsselt. Die ganzen Links auf der Seite sind unbenutzbar, lediglich die Schaltflächen „zur Problemlösung“ führen zu dem Formular, in dem man seine Zugangsdaten eingeben soll, damit die Angreifer damit dann das Konto leeren können.

Diese Phishing-Mails werden zunehmend schwieriger zu erkennen. Auch Experten müssen genauer hinsehen. Man kann sich jedoch recht einfach vor derartigem Phishing schützen: Ein Passwort-Manager wie Sticky Password erkennt die Phishing-URL nicht als Original-Adresse und füllt das Formular daher nicht aus!

Geschrieben von Dirk Knop.

Safer Internet Day 2015

avg_logo_deAm heutigen Dienstag findet der alljährliche Safer Internet Day statt – Ziel ist es, für die Gefahren aus dem Internet zu sensibilisieren. Bei den Gefahren, die durch die Preisgabe persönlicher Informationen und Daten etwa in sozialen Netzen lauern, kann nur eine Schulung helfen. Für die größten Angriffsflächen rein technischer Natur jedoch kann Software den Nutzer unterstützen.

Die weitaus größte Gefahr lauert immer noch beim Surfen im Netz. Cyberkriminelle versuchen, durch manipulierte Werbung auf Werbeservern, die in fast jede Internetseite integriert sind für eine Monetarisierung der Inhalte, Sicherheitslücken in der installierten Software zum Einschleusen etwa von Trojanern auszunutzen. Auf den infizierten Rechnern können sie dann Zugangsdaten zu Online-Konten mitprotokollieren, den Rechner zur Erpressung von Unternehmen etwa mittels DDoS-Attacken nutzen oder einfach Spam-E-Mails darüber versenden.

Ein paar einfache Schutzmaßnahmen genügen, um diese Bedrohung umfassend einzudämmen. So sollte die installierte Software stets auf dem aktuellen Stand gehalten werden. Dazu gehören die Windows-Updates – aber auch die ganzen Programme, die mit dem Internet in Verbindung stehen, benötigen häufig Aktualisierungen. Darunter fallen Webbrowser, Java, PDF-Reader oder wie kürzlich gesehen der Flash Player von Adobe. Der Fall des Flash-Player zeigt, dass es eine ständige Aufgabe ist, die Aktualisierungen zu suchen und zu installieren.

Gegen Exploit-Versuche von manipulierter Werbung auf Webseiten helfen der Online Shield und Link Scanner von AVG. Diese erkennen viele Angriffsmuster und können sie blockieren, bevor es zu Schaden auf dem Rechner kommt. Ein weiteres Puzzleteil im Sicherheitskonzept ist schließlich ein Passwort-Manager wie Sticky Password. Der verwaltet mit einem Masterpasswort verschlüsselt die Zugangsdaten zu allen Online-Konten und zu Programmen. Dadurch kann man die automatisch generierten hochkomplexen Passwörter aus Sticky Password verwenden und diese auch regelmäßig mit Unterstützung vom Programm ersetzen. Cyberganoven können so nicht an diese immer wichtiger werdenden Zugangsdaten gelangen beziehungsweise nichts damit anfangen.

Sicherheit ist immer ein Kompromiss aus Benutzbarkeit und Komplexität der Sicherungsmaßnahmen. Ein sehr guter Sicherheitsgrad lässt sich aber schon mit diesen recht einfachen Mitteln erreichen.

Geschrieben von Dirk Knop.

Zugangsdaten tausender E-Mail-Konten aufgetaucht

logo-sticky-passwordIm Internet sind erneut Zugangsdaten zu E-Mail-Konten aufgetaucht. Zehntausende der 60.000 Datensätze betreffen deutsche Mailkonten. Darunter befinden sich auch zahlreiche Zugänge zu Firmen- und Behörden-Mailboxen, meldet heise online.

Die Daten lagen unverschlüsselt und frei zugänglich auf Drop-Zones auf gehackten Servern im Internet. Drop-Zones nennen sich die Zielserver von Trojanern, auf denen diese ihre von infizierten Rechnern ergaunerten Daten ablegen. Das Netzwerk-Sicherheitszentrum BUND-CERT wurde über diese Daten informiert. Daher wird es wahrscheinlich in Kürze wieder eine Abfragemöglichkeit geben, mit der man die eigene E-Mail-Adresse überprüfen kann.

Bei der Wahl komplizierter, sicherer Passwörter hilft Sticky Password. Es kann nicht nur Passwörter für alle Arten von Konten erstellen, sondern diese auch gleich verwalten – plattformübergreifend, vom PC bis zum Smartphone. Man benötigt nur noch sein Masterkennwort und kann sich damit sicher und komfortabel im Netz bewegen. Ein Passwortwechsel lässt sich mit Sticky Password mit wenigen Klicks durchführen – und schon ist das eigene Mailkonto auf wieder ordentlich gesichert!

Geschrieben von Dirk Knop.