Schlagwort-Archive: Passwort-Safes

Internationaler „Ändere-dein-Passwort-Tag“

logo-sticky-passwordDer erste Februar ist der internationale „Ändere-dein-Passwort-Tag“. Er soll die Bedeutung von guten, komplexen, sicheren Passwörtern für den Privatsphären- und Datenschutz hervorheben. Da es inzwischen recht häufig zum Diebstahl von Datenbanken mit Zugangsdaten von Unternehmen – nur ein Beispiel aus jüngerer Vergangenheit, der den Internetdienstleister Yahoo betraf – kommt, ist ein regelmäßiges Ändern der Passwörter sinnvoll, um so mögliche Einbrecher doch wieder aus dem Konto auszusperren.

Dies führt aber bei erzwungenen Passwort-Wechseln alle paar Monate jedoch mitnichten zu besserer Sicherheit. Die neu gewählten Passwörter werden von den Nutzern, um sie sich besser merken zu können, nach einfachen Schemen erstellt und lassen sich so wieder einfach knacken. Daher empfiehlt sich ein Passwortmanager wie Sticky Password, das nicht nur Passwörter für alle Web- und Programmkonten sicher speichern und durch Eingabe eines Master-Kennworts zugänglich machen kann. Es hat auch eine Funktion zur Erstellung sicherer, komplexer Passwörter an Bord. Und das Ganze geht nicht nur auf Windows-Rechnern, sondern auch auf Macs und sogar auf dem Smartphone von Apple oder mit Android. Damit wird das regelmäßige Wechseln der Passwörter zum Kinderspiel! Und führt zu tatsächlich mehr Sicherheit.

01. Februar: Der offizielle Ändere-Dein-Passwort-Tag

logo-sticky-passwordDer erste Februar ist seit nunmehr vier Jahren der weltweite „Ändere-Dein-Passwort-Tag“. Er soll Computernutzer auf die Wichtigkeit des Passwort-Wechsels hinweisen und so unter anderem zu mehr Sicherheit von Online-Zugängen und privater Daten sorgen.

Da die beliebtesten Passwörter nach wie vor „123456“ bis „12345678“, „geheim“ und „passwort“ sind, sollte man natürlich ein komplexeres Passwort wählen: Groß- und Kleinbuchstaben gemischt, mit Sonderzeichen und Zahlen verfeinert. Keinesfalls sollte ein real genutztes Wort dabei herauskommen, da diese mit lexikalischen Angriffen leicht geknackt werden können. Am einfachsten ist es, sich eine „Passphrase“ auszudenken. „Jeden Tag um 12 Uhr esse ich zu Mittag!“ – wenn man hier immer das erste oder die ersten beiden Zeichen der einzelnen Wörter verwendet, erhält man ein sicheres Passwort: „JTu1Ueizm!“ respektive „JeTaum12UhesicMi!“.

Noch komfortabler gelingt das Nutzen sicherer Passwörter, wenn man einen Passwortsafe wie Sticky Password nutzt. Mit einem etwa nach obigem Vorbild gewählten, sicheren Masterkennwort kann man für alle Zugänge von dem Programm komplexe, sichere Passwörter erstellen und verwalten lassen. Man muss sich dann lediglich dieses eine Passwort merken und hat trotzdem viele unterschiedliche Passwörter im Einsatz.

Weihnachtszeit ist Phishing-Zeit

logo-sticky-passwordAlle Jahre wieder: Pünktlich zur Hochzeit des E-Commerce in der Vorweihnachtszeit wollen auch die Cyberkriminellen einen Schnitt machen und versuchen, mittels Phishing an die Zugangsdaten zu Online-Konten zu gelangen – um diese dann leer zu räumen. Es lässt sich ein starker Anstieg an Phishing-E-Mails beobachten, die selbst Experten zum genauen Hinsehen zwingen.
2015-12-01-Paypal-Phish
 
Die Mails enthalten meist den korrekten Namen des Empfängers. In vielen Fällen stimmt sogar die Adresse. Optisch sind die Mails nicht von originalen Paypal-E-Mails zu unterscheiden. Einige Kleinigkeiten weisen jedoch auf Phishing hin:



  • Eine Bestellung und Bezahlung wie angegeben hat nicht stattgefunden
  • Zunächst wird im Text eine Summe von 176 Euro genannt, weiter hinten in der Mail dann ein anderer Betrag
  • Während das Wort „Storno“ noch korrekt geschrieben wurde, heißt die Schaltfläche „Stonierung“, es fehlt ein „r“.
  • Der vermeintliche Link enthält ebenfalls diesen Schreibfehler.
  • Der Link ist unverschlüsselt, während Paypal nur verschlüsselte Verbindungen nutzt:
    2015-12-01-Paypal-Phish-3-korrekt



2015-12-01-Paypal-Phish-2
Die Seite, auf der man landet, zeigt tatsächlich eine falsche Adresse an. Die Verbindung ist nicht verschlüsselt. Die ganzen Links auf der Seite sind unbenutzbar, lediglich die Schaltflächen „zur Problemlösung“ führen zu dem Formular, in dem man seine Zugangsdaten eingeben soll, damit die Angreifer damit dann das Konto leeren können.

Diese Phishing-Mails werden zunehmend schwieriger zu erkennen. Auch Experten müssen genauer hinsehen. Man kann sich jedoch recht einfach vor derartigem Phishing schützen: Ein Passwort-Manager wie Sticky Password erkennt die Phishing-URL nicht als Original-Adresse und füllt das Formular daher nicht aus!

Geschrieben von Dirk Knop.

Safer Internet Day 2015

avg_logo_deAm heutigen Dienstag findet der alljährliche Safer Internet Day statt – Ziel ist es, für die Gefahren aus dem Internet zu sensibilisieren. Bei den Gefahren, die durch die Preisgabe persönlicher Informationen und Daten etwa in sozialen Netzen lauern, kann nur eine Schulung helfen. Für die größten Angriffsflächen rein technischer Natur jedoch kann Software den Nutzer unterstützen.

Die weitaus größte Gefahr lauert immer noch beim Surfen im Netz. Cyberkriminelle versuchen, durch manipulierte Werbung auf Werbeservern, die in fast jede Internetseite integriert sind für eine Monetarisierung der Inhalte, Sicherheitslücken in der installierten Software zum Einschleusen etwa von Trojanern auszunutzen. Auf den infizierten Rechnern können sie dann Zugangsdaten zu Online-Konten mitprotokollieren, den Rechner zur Erpressung von Unternehmen etwa mittels DDoS-Attacken nutzen oder einfach Spam-E-Mails darüber versenden.

Ein paar einfache Schutzmaßnahmen genügen, um diese Bedrohung umfassend einzudämmen. So sollte die installierte Software stets auf dem aktuellen Stand gehalten werden. Dazu gehören die Windows-Updates – aber auch die ganzen Programme, die mit dem Internet in Verbindung stehen, benötigen häufig Aktualisierungen. Darunter fallen Webbrowser, Java, PDF-Reader oder wie kürzlich gesehen der Flash Player von Adobe. Der Fall des Flash-Player zeigt, dass es eine ständige Aufgabe ist, die Aktualisierungen zu suchen und zu installieren.

Gegen Exploit-Versuche von manipulierter Werbung auf Webseiten helfen der Online Shield und Link Scanner von AVG. Diese erkennen viele Angriffsmuster und können sie blockieren, bevor es zu Schaden auf dem Rechner kommt. Ein weiteres Puzzleteil im Sicherheitskonzept ist schließlich ein Passwort-Manager wie Sticky Password. Der verwaltet mit einem Masterpasswort verschlüsselt die Zugangsdaten zu allen Online-Konten und zu Programmen. Dadurch kann man die automatisch generierten hochkomplexen Passwörter aus Sticky Password verwenden und diese auch regelmäßig mit Unterstützung vom Programm ersetzen. Cyberganoven können so nicht an diese immer wichtiger werdenden Zugangsdaten gelangen beziehungsweise nichts damit anfangen.

Sicherheit ist immer ein Kompromiss aus Benutzbarkeit und Komplexität der Sicherungsmaßnahmen. Ein sehr guter Sicherheitsgrad lässt sich aber schon mit diesen recht einfachen Mitteln erreichen.

Geschrieben von Dirk Knop.

Verbesserter Passwort-Manager Sticky Password Premium

logo-sticky-passwordDas neue Sticky Password Premium erweitert die unterstützten Plattformen um Mac OS X. Die Synchronisierung von Passwörtern ist jetzt AES-verschlüsselt im WLAN geräteübergreifend möglich. Zudem kann auf Smartphones mit Fingerabdrucksensor der Zugriff auf die eigenen Passwörter anstatt mit Master-Kennwort mit einem Fingerabdruck freigegeben werden.

Ein Passwort-Manager wie Sticky Password Premium hilft, ein vernünftiges Sicherheitskonzept mit komplexen Passwörtern für jedes einzelne Konto einfach umzusetzen. Der integrierte Passwort-Generator erstellt auf Knopfdruck automatisch ein solches komplexes Passwort, das auch künftigen Anforderungen gerecht wird. Als Nutzer muss man sich lediglich das Master-Passwort merken oder kann sogar per Fingerabdruck die Anmeldung an seine Konten freigeben. Damit schiebt man Identitätsdiebstahl effizient einen Riegel vor.

Geschrieben von Dirk Knop.

Nur 100 Malware-Programmierer weltweit

logo-sticky-passwordIn einem BBC-Interview hat der Chef der Europol-Cybercrime-Einheit Troels Oerting eine Einschätzung der derzeitigen Malware-Szene abgeliefert. Im Kern lieferten lediglich 100 Malware-Programmierer die Basis der derzeit beobachteten Schädlingsschwemme.

Die Schadsoftware-Programmierer seien besser ausgestattet als die Europol, so Oerting, und hätten weniger Hindernisse. Sie böten ihre Schädlinge in Untergrund-Foren an, sodass dann auch völlig unbedarfte Nutzer zu Cyberkriminellen werden könnten.

Die Programmierer sitzen Oerting zufolge großteils im russischsprachigen Raum. Die Zusammenarbeit mit den dortigen Behörden verbessere sich stetig. Würde man die dortigen Cybergangs unschädlich machen, würde der Rest Malware-Szene ebenfalls zusammenbrechen, ist sich Oerting sicher.

Privatnutzer sollten sich nicht nur um Schadsoftware Sorgen. Insbesondere Identitätsdiebstahl sei eine große Gefahr – der Zugang zum Apple- oder Google-Konto ermögliche, das komplette Leben eines anderen zu übernehmen, führte Oerting aus.

Um die Identität zu schützen, sollte man die Zugänge zu Online-Konten mit starken Passwörtern sichern. Dabei hilft ein Passwortsafe wie Sticky Passwort. Der Nutzer muss sich nur ein Masterpasswort merken und kann damit alle Konten verwalten und ihnen beliebig komplexe Passwörter vergeben. Dank verschlüsselter Cloud-Speicherung gelingt dies auch plattformübergreifend. Nicht nur vom PC aus, auch mit dem Tablet oder Smartphone hat man mit dem richtigen Masterkennwort alle Zugänge sicher im Griff.

Geschrieben von Dirk Knop.

Promi-Nacktfotos: Keine Sicherheitslücke, schlechte Passwörter schuld!

logo-sticky-password

Am Wochenende wurden Angriffe auf die Privatsphäre Prominenter bekannt – Nacktfotos wurden von ihrem Online-Speicher bei Apple gestohlen und gelangten in die Öffentlichkeit. Inzwischen hat Apple das Problem untersucht und kam zu dem Schluss, dass es sich um keine Sicherheitslücke im Cloudservice handelt, sondern dass die Konten mit Passwort-Cracker-Software angegriffen und so geknackt werden konnten.

Dieser Vorfall zeigt einmal mehr, das schwache Passwörter keine Lapalie sind, sondern eine ernstzunehmende Sicherheitslücke darstellen. Da man sich komplexe Passwörter schlecht merken kann, können hier plattformübergreifende Passwort-Safes wie Sticky Password helfen, auch starke Passwörter zu verwenden. Und zwar für jeden einzelnen Webdienst ein eigenes. Der Nutzer muss sich nur das Masterpasswort merken und kann damit dann alle Konten komfortabel absichern.

Geschrieben von Dirk Knop.

 

Android: Auch Apps ohne Rechte potenziell gefährlich

avg_logo_de

Um finanziellen Schaden anzurichten, waren bislang stets Berechtigungen wie das Senden von SMS für eine App auf einem Android-Smartphone nötig. Chinesische Forscher haben nun einen Angriffsvektor gezeigt, bei dem eine Anwendung ohne jedwede Sonderrechte ebenfalls Kosten verursachen kann. Als Steigbügel dient die Stimmerkennung von Google Now, das auf zahlreichen aktuellen Handys aktiv ist und Komfortfunktionen wie Sprachbedienung, Wetterberichte und Fahrtzeiten etwa zur Arbeitsstätte liefert.

Die bösartige App nutzt dabei aus, dass zum Abspielen von Sounddateien keine Rechte nötig sind. Im Hintergrund abgespielte, aufgenommene Befehle, die mit „Ok Google“ anfangen, führen dann zu Interaktionen mit der Google-Now-App. Geht der Befehl etwa weiter „Rufe Nummer 0900123456 an“, kann damit der teure Anruf bei einer Premium-Nummer ausgelöst werden.

Abhilfe schafft das Einrichten eines Sperrcodes für das Handy, der den Zugriff auf die Bedienoberfläche schützt. Zudem sollten Anwender nur Apps aus dem App-Store herunterladen und installieren, da Google diese Apps prüft und gegebenenfalls auch im Nachgang unschädlich machen kann.

Auch hilfreich ist ein Virenschutz auf dem Handy wie AVG Anti-Virus Pro für Android. Damit lassen sich bösartige Apps aufspüren oder auch eine Diebstahlsperre für das Smartphone einrichten.

Geschrieben von Dirk Knop

BSI warnt: 16 Millionen E-Mail-Konten gehackt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell davor, dass bei Analysen von Botnetzen 16 Millionen gekaperte E-Mail-Zugänge entdeckt wurden. Die Daten umfassen E-Mail-Adresse und Passwort und ermöglichen Identitäts­diebstahl.

Auf einer eigens dafür eingerichteten Website können Anwender ihre E-Mail-Adresse überprüfen. Gehört die eigene E-Mail-Adresse zu den kompromittierten Konten, erhält der Empfänger dann eine E-Mail mit weiteren zu ergreifenden Maßnahmen. Deren Betreff kündigt das BSI auf der Website an. Unverlangt zugesandte E-Mails mit dem Absender BSI oder welche mit anderem Betreff sollten Empfänger vorsichtig behandeln und keine Anhänge daraus öffnen.

Da viele Nutzer oftmals ein und dasselbe Passwort für unterschiedliche Dienste nutzen, ist mit diesen Daten meist ein vollständiger Identitätsdiebstahl möglich. Kriminelle können mit diesen Daten dann etwa Waren bestellen und so dem eigentlichen Besitzer Probleme bereiten.

Daher empfiehlt sich, einen Passwort-Safe und -Generator wie Sticky Password zu verwenden, der für jede Website ein eigenes Passwort anlegt und verwahrt. Mit dem Master-Kennwort kann man dann diverse Konten sicher nutzen.

Geschrieben von Dirk Knop.