{"id":1659,"date":"2019-02-08T14:33:44","date_gmt":"2019-02-08T13:33:44","guid":{"rendered":"http:\/\/ichbindochnichthierumbeliebtzusein.com\/?p=1659"},"modified":"2019-02-08T14:33:44","modified_gmt":"2019-02-08T13:33:44","slug":"ich-bin-doch-nicht-schuld-wenn-mein-passwort-gehackt-wird","status":"publish","type":"post","link":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/2019\/02\/08\/ich-bin-doch-nicht-schuld-wenn-mein-passwort-gehackt-wird\/","title":{"rendered":"ICH bin doch nicht schuld, wenn MEIN PASSWORT gehackt wird!"},"content":{"rendered":"

JETZT REICHTS! Der gr\u00f6\u00dfte Hack der Geschichte ver\u00f6ffentlicht gerade, in diversen Tranchen, Millionen (oder sind es schon Milliarden?) von email-Adressen, Passw\u00f6rtern, Nutzernamen. Klar, ich habe Euch in meinem letzten BlogPost<\/a> die heutzutage minimale Anforderung an sichere Passw\u00f6rter und erschwerende Login-Bedingungen nahe gelegt – aber: das MILLIONEN ZUGANGSDATEN FREI IM NETZ LIEGEN, IST NICHT MEINE\/UNSERE SCHULD!!!!!!!!!! WIRKLICH NICHT!!!!!!!!!!!!!einself!!!!!<\/em><\/p>\nhttps:\/\/zopb4l.podcaster.de\/download\/20190205_ichbindochnichthierumbeliebtzusein_-_Sicherheit_Teil_2_-_Anbieter_muessen_auch_ran__edited.mp3<\/a><\/audio>\n

<\/p>\n

Collection #1 h\u00e4tte uns aufschrecken sollen. In den letzten Wochen wurden dreistellige Millionen von email-Adressen und damit verbundene Passw\u00f6rter offen zum Download im Internet angeboten. Mittlerweile ist mit Collection #5 (oder war es schon #7) und immer noch kein Ende in Sicht.<\/p>\n

Klar, ein paar der Zugangsdaten sind hoffentlich veraltet, da sie aus fr\u00fcheren Hacks stammen und nur zusammengefasst wurden. Das absolute Risiko der aktuellen Bereitstellung ist allerdings, dass die Kombinationen so zusammengestellt worden sind, dass man sie vollautomatisiert mit einem Script abrufen und auf der jeweiligen Webseite weiter geben kann – somit lassen sich in Sekunden hunderte von Zugangsdaten auf Echtheit bzw. Funktionalit\u00e4t testen.<\/p>\n

Ich hatte in meinem letzten BlogPost<\/a> zur Nutzung eines Passwort-Managers und der Zwei-Wege-Authentifizierung aufgerufen. Viele machen das bereits, auch schon seit Jahren – aber eben immer noch nicht JEDER!<\/p>\n

Aber das ist nur die halbe Miete – und die andere H\u00e4lfte prangere ich heute offen und ganz deutlich an: Anbieter, die sich einen DRECK um Datensicherheit k\u00fcmmern!<\/p>\n

 <\/p>\n

Ja, es ist an sich undenkbar, aber es passiert t\u00e4glich:
\nMan logt sich bei seinem email-Anbieter ein: und sieht pl\u00f6tzlich Mails, die jemand anderem geh\u00f6ren.
\nBeim Verwalten seines gemieteten Servers kommt man pl\u00f6tzlich in das root-Verzeichnis und findet im Klartext gespeicherte Login-Passwort-Kombinationen des aktuellen Kundenstamms.
\nOder man fordert seine Alexa-Sprachprotokolle ab und erh\u00e4lt neben den eigenen auch fremde Auswertungen – die noch dazu so offen und detailliert vorliegen, dass man auf die andere Person mit Leichtigkeit schlie\u00dfen kann.<\/p>\n

Und die Liste der Beispiele k\u00f6nnte noch beliebig weit weiter gehen! Wir erfahren ja immer nur die Sicherheits“br\u00fcche“, die entweder bei den gro\u00dfen, bekannten und weltumspannenden namhaften Unternehmen passieren oder wenn wieder ganze Listen und Sets von Login-Kombinationen auftreten – oder wenn jemand einen Weg findet, mit Facetime sein Gegen\u00fcber zu belauschen, obwohl der noch gar nicht abgehoben hat.<\/p>\n

 <\/p>\n

Aber eins ist dem allen immer gemein: ALLE VERSUCHEN IMMER NOCH DIE SICHERHEITSBR\u00dcCHE IM ERSTEN ANLAUF ZU VERTUSCHEN, KLEIN ZU REDEN ODER SCHLICHTWEG ZU VERHEIMLICHEN!<\/p>\n

Damit muss endlich Schluss sein! Schlimm genug, dass wir namhaften Anbieter unsere wichtigsten Daten anvertrauen M\u00dcSSEN, um den „kompletten“ Service convenient benutzten ZU K\u00d6NNEN!<\/p>\n

Um es ganz offen zu sagen: Ich nichts daf\u00fcr, nein, es IST SCHLICHTWEG NICHT MEIN PROBLEM, wenn mein Anbieter, egal wie er hei\u00dft, gehackt wird. Wer meine Kreditkarte dauerhaft speichern will, da ich sonst den Service nicht nutzen kann, hat gef\u00e4lligst zu HAFTEN, wenn meine Nummer pl\u00f6tzlich im Web steht, der Account gehackt wurde oder sonst irgendwie meine Daten verschwunden sind.<\/p>\n

Von uns werden sichere Passw\u00f6rter verlangt – zu Recht! Und damit loggen wir uns bei immer noch nur „http“-Verbindungen ein? Oder https mit angelaufenen Zertifikaten? Gehts noch?!?
\nOder es werden keine Passw\u00f6rter mit Sonderzeichen akzeptiert? Darf das 2019 \u00fcberhaupt noch wahr sein, dass man in der L\u00e4nge oder den Zeichen restriktiert wird? WIRKLICH?<\/p>\n

Ich \u00fcbernehme maximal die Verantwortung, dass EIN Account von mir gehackt wurde! Schlie\u00dflich halte ich mich an die Schritte, die ich in meinem letzten BlogPost ver\u00f6ffentlicht habe! Wenn also ganze Listen an email-Passwort-Kreditkarten-Information im Netz auftauchen, sollte der Betreiber eine ordentliche hinter die Ohren bekommen! Schadenersatz, Aufwandsentsch\u00e4digung der User f\u00fcr die ganzen Passwort-\u00c4nderungen und Kreditkarten-Neubestellungen. Und auch eine generelle Strafe in einer H\u00f6he, die wirklich richtig weh tut und anteilig erlassen wird, wenn die interne Sicherheit umgehend aufgestockt und durch einen kompetenten neu einzustellenden Mitarbeiter ab sofort zus\u00e4tzlich sicher gestellt wird. Oder, oder, oder…<\/p>\n

 <\/p>\n

Erg\u00e4nzend zu den Schritten f\u00fcr Eure eigene Passwort-Sicherheit gilt es also noch zu erg\u00e4nzen:<\/p>\n