Ergebnis von Have I Been Pwned: Es gibt ein Problem

Datendiebstahl 101: So werden Passwörter von Hackern geklaut

Es vergeht kaum eine Woche, ohne dass ein Datendiebstahl in den Nachrichten auftaucht oder jemand aus deinem Bekanntenkreis erzählt, dass er oder sie gehackt wurde.

Da fragt man sich natürlich: Warum klappt das nur immer wieder? Wie gehen Kriminelle vor, um Kontodaten zu stehlen? Wie kann ich meine eigenen Passwörter sichern?

Lass uns bei den ersten beiden Fragen anfangen. Das sind die gängigsten Techniken der Hacker:

Social Engineering und Phishing

Social Engineering ist der Versuch, dich dazu zu bringen, persönliche Daten wie Passwörter oder Telefonnummern preiszugeben. Der Angreifer versucht, dich auszutricksen, indem er sich als eine Person ausgibt, die du kennst oder der du vertraust – das kann dein Vorgesetzter bei der Arbeit, deine Bank oder ein alter Freund von der Uni sein – und sich einen glaubwürdigen Grund ausdenkt, warum du ihm die Daten mitteilen solltest.

Und damit „phisht“ – also „angelt“ – ein Hacker deine Daten weg. Social Engineering kann in Form einer E-Mail, einer Textnachricht oder eines Telefonanrufs (bekannt als „Vishing“) erfolgen. Angreifer werfen oft ein großes Netz aus und senden in der Hoffnung, dass sich jemand davon täuschen lässt, massenweise Phishing-Angriffe an Hunderte oder Tausende von Empfängern.

Geleakte Passwörter und Credential Stuffing

Hacker sitzen eher selten vor ihrem PC und probieren verschiedene Passwörter aus, um in deine Konten einzudringen.  Das ist viel zu zeitaufwändig und sie werdet wahrscheinlich nach ein paar erfolglosen Versuchen ausgesperrt. Stattdessen versuchen sie es mit Anmeldedaten, die aus früheren Datenlecks stammen.

Angreifer wissen, dass der Durchschnittsbürger selten verschiedene Passwörter verwendet. Wenn sie daher den Benutzernamen und das Passwort eines alten MySpace-Kontos kennen, besteht eine hohe Wahrscheinlichkeit, dass dieselben Anmeldeinformationen auch bei Yahoo funktionieren. In der Praxis verwenden Hacker spezielle Software, um gestohlene Anmeldeinformationen im gesamten Internet in großem Umfang zu testen. Diese Art von Angriff wird als „Credential Stuffing“ bezeichnet.

Wörterbuchangriffe und das Knacken von gehashten Passwörtern

Stell dir vor, ein Angreifer entdeckt eine Datenbank mit Passwörtern. Er hat allerdings ein Problem: Alle Zugangsdaten wurden zum Schutz mit einem Hash-Algorithmus verschlüsselt. Der Angreifer könnte nun alle Passwörter durch gängige Hashing-Algorithmen laufen lassen und dann sehen, ob das Ergebnis mit einem Eintrag in der Datenbank übereinstimmt. Aber das ist alles andere als sinnvoll.

Stattdessen versuchen Angreifer gängige Wörter, Phrasen oder zuvor durchgesickerte Passwörter aus einer vorhandenen Liste durch. Sobald der Hacker eine Übereinstimmung findet, versucht er, mit dem jetzt entschlüsselten Passwort auf das zugehörige Konto – oder ein anderes Onlinekonto des Besitzers – zuzugreifen.

Jetzt weißt du also, wie Hacker die Passwörter klauen. Was kannst du nun tun, um dich gegen diese Taktiken und Datendiebstahl im Allgemeinen zu schützen?

Schütze dich mit einem individuellen Passwort für jeden Dienst.

Der beste Weg, dich online zu schützen, ist die Verwendung starker und nur einmal vergebener Passwörter pro Konto. Denn selbst wenn deine Daten für eine Website geknackt wurden, sind die Daten einer anderen Website davon nicht betroffen. Niemand kann sich Hunderte von verschiedenen Passwörtern merken – bis auf einen Passwortmanager! Mit dem integrierten Passwortgenerator von 1Password sparst du Zeit, um sichere Passwörter für jede Website und jeden Dienst zu erstellen, darunter auch Amazon, Instagram und Gmail.

Multi-Faktor-Authentifizierung aktivieren

Die Multi-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene für deine Online-Konten. Sobald diese Funktion aktiviert ist, wird zusätzlich zu deinem Benutzernamen und deinem Passwort ein zweiter Faktor benötigt – in der Regel ein zeitabhängiger Code – um sich anzumelden. 1Password teilt dir mit, welche Websites die Multi-Faktor-Authentifizierung unterstützen und fungiert als Authentifikator, der deine speziellen Einmalcodes kopiert und automatisch ausfüllt.

Mit Watchtower bleibst du über Sicherheitsbedrohungen auf dem Laufenden

Watchtower informiert dich über Datenverstöße und andere Sicherheitsprobleme im Zusammenhang mit den gespeicherten Elementen in 1Password. Hierzu zählen Websites, für die du derzeit schwache oder mehrfach verwendete Passwörter hast, sowie Dienste, für die du noch keine Passkeys verwendest. Das Befolgen der Benachrichtigungen im Watchtower ist ein Garant, um deine Sicherheit zu erhöhen und die Wahrscheinlichkeit zu verringern, dass deine persönlichen Daten im Dark Web auftauchen.