Du bist Teil eines Passwort-Hacks. Was nun?

Viele Dropbox User haben kürzlich eine Mail wie diese bekommen:

Hintergrund: DropBox wurde — schon in 2012 — gehackt, d.h. 68.000.000 Accounts mit EMail Adressen und Passwort-Hashes wurden bekannt. Erster Impuls: “Ich muss dort mein Passwort ändern!”.

Das ist jedoch nicht das Problem — das hat DropBox schon lange für Dich getan. Trotzdem ist das ein guter Zeitpunkt um innezuhalten und über Passwörter nachzudenken. Hast Du 3 Minuten?

Was bedeutet so ein Hack für mich?

Im Idealfall: Gar nichts. Wenn der Hack bekannt wird setzt der Dienst eh alle Passwörter zurück, Du änderst Dein Passwort also und alles ist gut.

Wirklich?

Nun ja… Das gilt natürlich nur, wenn Du dieses nun bekannte Passwort nicht auch auf anderen Seiten nutzt (tust Du doch nicht, oder?). DAS ist nämlich die Kernproblematik: Es geht nicht darum, ein möglichst tolles Passwort zu haben, viel wichtiger ist es für jeden Dienst (JEDEN!) ein anderes Passwort zu haben!

Falls nicht hat jetzt jeder mit Zugriff auf die Daten des Hacks plötzlich Zugang zu ganz vielen anderen Seiten. Und das ist gar nicht gut…

Aber das ist schwierig… ;(

Muss nicht sein. Braucht nur etwas Disziplin und einen Passwort-Manager wie LastPass oder 1Password. Die laufen im Browser mit und erzeugen und verwalten komplizierte Passwörter, und setzen sie automatisch in Login-Masken ein.

Wenn ich mich irgendwo neu registriere kann ich beispielsweise so ein Passwort erstellen:

Beispieldialog LastPass “Erstelle sicheres Passwort”

Wenn ich mich dann einlogge setzt LastPass die Daten automatisch ein:

Praktisch, oder? Diese Tools importieren auch Deine im Browser gespeicherten Passwörter und führen Sicherheitschecks durch (ist das Passwort aus einem Leak bekannt, hast Du Passwörter die mehrfach verwendet werden etc.)

Warp 2FA, Mr. Sulu!

Aber es geht sogar noch besser: Bei einigen Seiten bin ich sogar entspannt wenn jemand mein Passwort kennt. Das reicht nämlich nicht zur Anmeldung ;)

“2FA” steht für “second factor authentication”, also “Zweistufige Anmeldung”. Die Identität wird bestätigt über etwas was man kennt (das Passwort) und etwas was man besitzt. Das geht beispielsweise über einen Code, den man per SMS erhält oder mit einem Tool wie Google Authenticator auf dem Handy erstellt, oder mit einem USB-Token.

Google Authenticator

Mein Favorit dabei ist der YubiKey — sieht aus wie ein kleiner USB-Stick, hängt an meinem Schlüsselbund und funktioniert ohne Treiber an Mac und PC.

Den YubiKey kann man auch direkt in einem Bundle mit LastPass kaufen, was eine sehr gute Option ist, da auch die Anmeldung zu den eigenen Passwörtern in LastPass über den YubiKey sicherer gemacht werden kann.

Hier ein paar Links für Dienste die zweistufige Anmeldung unterstützen:

Und hier noch eine allgemeine Seite mit Anleitungen für viele andere Dienste: https://www.turnon2fa.com/tutorials/

Zusammenfassung: Was musst Du tun?

  • Installiere einen Passwortmanager. JETZT!
  • Überprüfe Deine Passwörter auf Dubletten. Ja, das mögen viele sein. Setz Dir einen Kalendertermin und schau Dir jeden Tag 3 an (und ändere sie).
  • Aktiviere die zweistufige Anmeldung wo immer es möglich ist.
  • Vorsorge: Melde Dich bei https://haveibeenpwned.com/ an, dann erfährst Du wenn Deine EMail in einem bekannt gewordenen Hack auftaucht.
  • Erzähl Deinen Freunden davon. Vergiss auch Deine Kinder nicht!
Show your support

Clapping shows how much you appreciated Frank Koehntopp’s story.