Der „Ändere-dein-Passwort-Tag“ am 1. Februar ist der jährliche Aufruf, die eigenen Passwörter zu aktualisieren. Denn das Risiko, als Unternehmen oder Privatperson gehackt und Opfer eines Cyberangriffs zu werden, ist groß. „Die Frage ist nicht, ob es passiert, sondern wann“, betonen die Sicherheitsexperten des Hasso-Plattner-Instituts (HPI) in einer neuen Folge des Wissenspodcasts „Neuland“. Mit Moderator Leon Stebe sprechen Professor Christoph Meinel, Institutsdirektor und Leiter des Fachgebiets „Internet-Technologien und Systeme„, und Professor Christian Dörr, HPI-Fachgebietsleiter für „Cybersecurity – Enterprise Security„, über die aktuelle Bedrohungslage, über den milliardenschweren Handel mit persönlichen Daten im Netz und wie man sich davor am besten schützen kann.
Auch im vergangenen Jahr hat der Diebstahl digitaler Identitäten weiter zugenommen. „Unser HPI Identity Leak Checker ermöglicht mittlerweile den Abgleich mit rund 13 Milliarden gestohlener und im Internet frei verfügbarer Identitätsdaten“, erzählt Meinel. Die Überprüfung, ob man selbst Opfer eines Datendiebstahls geworden ist, sei mit dem kostenlosen Service, den das HPI seit 2014 betreibt, denkbar einfach. Mehr als 8 Millionen geleakte Details zu Bankverbindungen seien beispielsweise in Verbindung mit der E-Mail bereits gefunden worden. Über diese Risiken, die schwache und damit unsichere Passwörter verursachen können, klärt das HPI auf und veröffentlicht jedes Jahr die „Top 10“-Passwörter der Deutschen.
„Den meisten ist gar nicht bewusst, wie schnell die Rechenleistung der Server und Computer geworden ist. Bei den sogenannten Brute-Force-Angriffen können Milliarden von Kombinationen innerhalb einer einzigen Sekunde ausgespielt werden. Da ist die Trefferquote groß“
Professor Christian Dörr, HPI-Fachgebietsleiter
Neben den bereits bestehenden Tipps für sichere Passwörter, empfiehlt er lange Passwörter zu erstellen. Dahinter stecke einfache Mathematik. „Wenn man sich die Kombinationsmöglichkeiten anschaut, vervielfacht jedes weitere Zeichen die Zeit, die es braucht, um das Passwort knacken zu können“, so der Sicherheitsexperte. Für die Passwortsicherheit bestehe somit ein enormer Unterschied, ob ein Passwort zwölf, vierzehn oder sechzehn Zeichen umfasse.
Wie ist ein sicheres Passwort aufgebaut?
Wie viele Zeichen sollte ein sicheres Passwort haben?
- Die Experten vom Hasso-Plattner-Institut empfehlen lange Passwörter mit mehr als15 Zeichen
Wie sieht ein sicheres Passwort außerdem aus?
- Verschiedene Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
Beispiel für ein sicheres Passwort
Die folgenden Beispiele zeigen euch, wie ein sicheres Passwort aussehen könnte:
- Große/kleine Buchstaben / Zahlen / Sonderzeichen / Umlaute: -9_KUl.1kBtA
- Große/kleine Buchstaben / Zahlen / Sonderzeichen: D&[22doI2Eia
- Gut zu merken und sicherer: @Dubibeldo424(
Der Identity Leak Checker
Ob man Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen. Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als 12,8 Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks bei denen deutsche Nutzer betroffen sind. Das Angebot ist in Deutschland einzigartig.
Insgesamt haben mehr als 16,5 Millionen Nutzer mithilfe des Identity Leak Checkers die Sicherheit ihrer Daten in den letzten fünf Jahren überprüfen lassen. In mehr als 4,2 Millionen Fällen mussten Nutzer darüber informiert werden, dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich war.
Spezialangebot für Unternehmen und Organisationen: Identity Leak Checker Desktop Client
Der Identity Leak Checker Desktop Client ist ein kostenpflichtiges Angebot für Unternehmen und Organisationen, das sie bei der kontinuierlichen Überwachung der eigenen Domäne(n) unterstützt. Werden neue Datenlecks in den ILC importiert, prüft der Desktop Client automatisch, ob E-Mail-Adressen der überwachten Domäne(n) betroffen sind. Die betroffene(n) E-Mail-Adresse(n) können dann sofort gewarnt werden. Weitere Informationen zum Angebot unter: https://sec.hpi.de/ilc/
