Beiträge

Suchmaschine für gehackte Passwörter

Die bis­he­ri­gen Angebote zur Identifizierung gehack­ter Webaccounts funk­tio­nier­ten auf Basis der benutz­ten Email-Adresse. Seit kur­zem ist nun ein neu­er Service des Anbieters HaveIbeenpawned online. Eine Datenbank mit mehr als 306 Millionen (306 000 000) Einträgen gibt Auskunft, ob das eige­ne Lieblingspasswort kom­pro­mit­tiert ist.

Gehackte Accounts und deren Passwörter fin­den schnell Einzug in die Datenbanken von Knacksoftware, die zum auto­ma­ti­sier­ten Angriff und Hacking von Nutzeraccounts (z.B. über Wörterbuch- und Brute-Force-Attacken) genutzt wer­den. Ärgerlich, wenn das eige­ne Passwort dar­in vorkommt.

Vorsichtige Administratoren las­sen sol­che “bekann­ten” und somit unsi­che­re Passwörter erst gar nicht zur Auswahl durch den Nutzer bei Neuanlage eines Passworts in ihrem Netzwerk zu. Eine ent­spre­chen­de API stellt der Anbieter des Prüfservices, Troy Hunt gleich zur Einbindung bereit.

Wollen Sie nun Ihr eige­nes Lieblingspasswort über­prü­fen, ob die­ses noch sicher ist? Oder Ihren Passwortpool? Dann besu­chen Sie den Service online und füh­ren die Überprüfung Ihres Passworts durch.

Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels

Heute ist also der Ändere-Dein-Passwort-Tag. Anwender sol­len die­sen Tag zum Anlass neh­men, ein bewähr­tes Passwort über Bord zu wer­fen, sich ein mög­lichst lan­ges und kom­pe­xes Passwort neu aus­zu­den­ken — und zu mer­ken. Das Ganze mög­lichst für jede Anmeldung und Software sepa­rat. Und wie­so? Na, das ist doch sicher! Und das haben wir ja schon immer so gemacht! Und im Zweifel ver­langt es auch noch die Passwort-Richtlinie des einen oder ande­ren Unternehmens oder auch der Behörde.

Die Sinnhaftigkeit eines regel­mä­ßi­gen Wechsels darf bezwei­felt wer­den. In unse­rem Beitrag “Über Bord mit ver­al­te­ten star­ren Passwort-Richtlinien” haben wir im August 2016 bereits auf aller­lei Unfug in der Praxis rund um das Thema Passwort hin­ge­wie­sen. Neben den Mythen Passwortlänge und Kompexität war dar­in das Wechselintervall von Passwörtern eben­falls Thema.

Wenn bei der Auswahl von Passwörtern die vor­han­de­ne Technik (z.B. Accountsperre bei 5 Fehlversuchen) sowie die tat­säch­li­che Bedrohungslage berück­sich­tigt und kon­fi­gu­riert wer­den, gibt es eigent­lich nur drei Anlässe, ein Passwort zu ändern. Kurioserweise befin­det sich unter die­sen 3 weder der Ändere-Dein-Passwort-Tag oder ein star­res Intervall wie 90 Tage :-), sondern

  • das Passwort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  • das Passwort wur­de unnö­ti­ger­wei­se einer Kollegin oder einem Kollegen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  • es han­delt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigent­li­che Passwort ersetzt wer­den muss.

Und das war es!

Alles ande­re nervt Ihre Anwender, führt im Zweifel zu notier­ten Passwörtern (am Besten gleich per Haftnotiz am Monitorfuss, inklu­si­ve Passwort vom Kollegen) und redu­ziert damit nach­weis­bar das Sicherheitsniveau. Lesen Sie mehr in unse­rem Beitrag vom August 2016.

Wir bean­tra­gen hier­mit die Umbenennung des Ändere-Dein-Passwort-Tages in Überarbeite-Deine-Passwort-Strategie-generell-Tag 🙂 Die Hoffnung stirbt zuletzt.