Die Krux mit Benutzerkonten und den Passwörtern

Erwartete Lesezeit: 4 minuten

Heute morgen staunte ich nicht schlecht, als bei mir ein kleines Fenster am unteren Bildschirmrand aufblinkte , das eine meine E-Mail Adressen in einem Datenleck der sich im Januar 2020 ereignete und erst im April entdeckt wurde enthalten sei.

Zum Glück handelt es sich bei dieser Adresse um einen Alt-Account, den ich früher immer für Online Shopping genutzt habe. Für einzelne Accounts hatte ich die EMail Adresse nicht geändert, da das damals stellenweise nicht möglich war oder wenn man den Account kapern würde nicht viel Mist bauen könnte.

Über die Website „https://haveibeenpwned.com/“ kann mein einfach sehen, ob die eigene EMail Adresse kompromentiert wurde.
Für den neusten Hack habe ich die folgende Info erhalten :

Ulmon: In January 2020, the travel app creator Ulmon suffered a data breach. The service had almost 1.3M records with 777k unique email addresses, names, passwords stored as bcrypt hashes and in some cases, social media profile IDs, telephone numbers and bios. The data was subsequently posted to a popular hacking forum.

In January 2020, the travel app creator Ulmon suffered a data breach. The service had almost 1.3M records with 777k unique email addresses, names, passwords stored as bcrypt hashes and in some cases, social media profile IDs, telephone numbers and bios. The data was subsequently posted to a popular hacking forum.
Compromised data: Bios, Email addresses, Names, Passwords, Phone numbers, Social media profiles

Quelle : https://haveibeenpwned.com/

Wie man sieht wurden die Daten in mehrer Forum bereits angeboten. Immerhin sind die Passwörter als BCRYPT Hash gespeichert und nicht wie bei einem anderen Vorfall bei einem anderen Anbieter , der die Passwörter in Klartext gespeichert hat. Von diesem Breach komme ich am und zu immer noch „Erpresser Mails“ in der Art : Das ist ihr Passwort. Wir haben Sie beim Porno gucken gefilmt. Gib uns Geld oder wir veröffentlichen den Film. Ich hab Ihn bloß noch nie gesehen und ich dachte ich werde berühmt. 😉

Schadensminimierung

Wie man im oben genannten Beispiel sieht , bekommt man oft erst Monate nach einem Ereignis Kenntnis drüber. Wenn überhaupt. Und wenn man die E-Mail / Passwort Kombination mehrfach verwendet hat, kann die Kacke dann schon ganz schön am dampfen sein.

Doch wie kann man nun den Schaden minimieren?

Auf der Entwicklerseite sollte man sich an die gegeben Sicherheitsstandards halten.
Auch sollten Passwörter von Kunden nicht verschlüsselt oder im Klartext gespeichert werden, sondern nur gehashed.

Hierzu gehören Argon2Id, PBKDF2 und das aus meiner Sicht bekannteste Bcrypt. Bei Bcrypte wollte man allerdings den Workfactor von 10 auf min. 12 Stellen.
Zusätzlich sollte für jedes Passwort ein eingener Salt genutzt werden.
Fügt man noch einen paswrtübergreifendes Pepper hinzu , kann nicht mehr viel schief gehen.

OWASP hat hierzu ein sehr gutes Cheat-Sheet zum sicheren Speichern von Passwörter erstellt . Ihr findet es hier .

Was kann man nun als Anwender machen ?

Zum ersten fällt einem immer der Satz ein , wähle ein sicheres Passwort. Jahrelang wurde wir darauf abgerichtet nicht merkbare Passwörter mit Groß-,Kleinschreibung , Sonderzeichen und Zahlen zu nutzen. Aber sind diese Wirklich so sicher :

Ein Passwort von 11 Stellen (z.B. das berühmte Tr0b4dor&3 lässt sich bei 1000 Versuchen in der Sekunde in 3 Tagen knacken. (2 ^28 Bits of Entropie).

4 zufällig gewählte englische Wörter kommen auf eine Entropie von 44 Bits. Dann braucht man bei 1000 Versuchen pro Sekunde schon 550 Jahre.

Das ganze ist auch schön in dem folgenden Comic beschrieben:

password strength - Die Krux mit Benutzerkonten und den Passwörtern
Quelle: https://imgs.xkcd.com/comics/password_strength.png

Daneben kann ich nur empfehlen , für jeden genutzten Online Service jeweils ein eigenen Username , Passwort und auch E-Mail Account zu nutzen.
Das klingt zwar kompliziert, aber viele EMail Anbieter bieten auch Aliase nach. Dieses bedeutet , nach außen hin hat die EMail eine anderen Namen , als der Account wirklich wirklich heißt.

Beispiel :

image 1024x590 - Die Krux mit Benutzerkonten und den Passwörtern

Der Account heißt test@example.com und hat 3 Aliase test1, test2 und test3.
Empfängt nun eine der Aliase eine Nachricht , landet sie automatisch im Hauptaccount.

Ist ein Alias kompromittiert , dann kann man ihn einfach deaktivieren und beim Service einen anderen Alias beim Service hinterlegen. Die Deaktivierung hilft dabei , nicht auf Phishing-Attacken rein zufallen.
Sollte ein Anbieter eine Zwei Faktor Anmeldung unterstützen, nutze diese. Auch wenn es schon vorgekommen ist , dass Kriminelle die 2FA deaktivieren ließen. Dieses geschah meistens nach einer erfolgreichen Phishing-Attacke oder durch unvorsichtige Mitarbeiter der Anbieter, die zu gutgläubig waren.

Fazit

Solange man im Web auf Usernamen und Passwort angewiesen ist , müssen diese auch beim Anbieter gespeichert sein und ein 100%ig sicheres IT Netz gibt es nicht. Beide Seiten führen schon seit Jahren einen anhaltenden Kampf. Die Entwickler die Sicherheitslücken versuchen zu Vermeiden, Whitehat Hacker, die gefundene Sicherheitslücken melden und dann die bösen Blackhat Hacker die diese Lücken für sich ausnützen.
Daher ist es wichtig zu wissen, ob man Betroffen ist. Die Website https://haveibeenpwned.com/ ist hierfür eine gute Anlaufstelle.