+43 (1) 812 32 30-0 office@klenner.at
Die leidige Passwort-Problematik: Teil 2

Die leidige Passwort-Problematik: Teil 2

Nach unserem ersten Artikel über die aktuellen Passwort-Hacks und die Problematik die sich für uns Otto-Normal User ergibt, folgt nun Teil 2

Unser Chef Willy über seine letzten Beobachtungen zur aktuellen Passwort-Problematik 

Wilhelm Klenner: „Manchmal versteh ich die Welt nicht…“

Die im vorherigen Artikel genannten Tipps kann ich prinzipiell guten Gewissens unterschreiben.

Trotzdem gibt es immer wieder Fälle (wie bei den MS Online-Services, dem Billa Kundenbereich oder auch bei Kameras vom Hersteller Hiquition, die aus völlig unverständlichen Gründen die Länge der Passwörter beschränken….Ich habe keine Erklärung gefunden und mir wurden bisher auch keine stichhaltigen/ schlüssigen Gründe genannt. An einem Mangel an Speicherplatz, sowie es noch vor 30 Jahren war, kann es jawohl nicht liegen….?

Vor ein paar Tagen habe ich für eine Hiquition Kamera einen Benutzer angelegt und  dafür ein schönes langes Passwort vergeben. Beim Versuch, mich von der Synology Disc Station (auf der die Aufzeichnungen stattfinden) auf die Kamera zu verbinden, kam dann jedes Mal wieder die Fehler-Meldung: „Ungültiger Benutzername/ Kennwort.

Eine ganze Stunde lang habe ich versucht an den Einstellungen zu schrauben, weil ich nie im Leben drauf gekommen wäre, dass es am zu langen Passwort liegen könnte, das ja vorher beim Anlegen des Users noch akzeptiert wurde… Schon kurz vor der Verzweiflung stehend habe ich dann dort nochmal die „Zahlenkombination“ 1234 zum Testen eingetippt. Mit diesem Passwort lief dann auch bei der Verbindung später alles wunderbar. Ich denke das muss man nicht verstehen….

Nach einer weiteren Recherche, bin ich drauf gekommen, dass die maximale Passwort-Länge hier bei 16 Zeichen liegt. Bei Office 365 dasselbe: 16 Zeichen Maximum. Beim Billa liegt die erlaubte Passwort-Länge bei max. 8 Zeichen. Auch hier konnte mir der zuständige Support nicht erklären, warum.

Zusätzlich werden häufig auch Passwort-Kombinationen hinsichtlich der erlaubten Sonderzeichen beschränkt, sodass man schlichtweg nicht die Freiheit hat eine Raute oder den Klammeraffen zu setzen. Die sowieso schon mühsame Erstellung eines eigenen, einheitlichen Passwort-Konzeptes (gerade für uns Unternehmer äußerst ärgerlich) wird somit einmal mehr unnötig erschwert.

Mein persönlicher Geheimtipp ist mittlerweile, bei Passwörtern die man kaum bis selten braucht einfach ganz willkürlich auf die Tasten zu hauen (guter Stresstipp!) und es sich schlichtweg gar nicht erst zu merken. Einfach beim nächsten Mal re-setten lassen. Bei unwichtigen Seiten, die man eh kaum besucht, ist das ja eigentlich egal.

Stimme aus dem Off: „Da freut sich auch die Frau!“

Share0Share +10Tweet0Share0

Neue Bedrohung für fast Alle: Meltdown und Spectre

Neue Bedrohung für fast Alle: Meltdown und Spectre

Die Entwicklung von Patches läuft auf Hochtouren, seit die beiden neusten Angriffsszenarien Meltdown und Spectre entdeckt wurden: Diese werden durch Sicherheitslücken bzw. Hardware-Bugs in allen Geräten möglich gemacht, die in den letzten 20 Jahren hergestellt wurden.

Sicherheitslücke

Forscher haben vor kurzem Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Dadurch können Angreifer mit Schadcode alle Daten, die der Computer im Speicher verarbeitet auslesen – Passwörter, genauso wie Zugangscodes. Die Fülle an Angriffsmöglichkeiten wurde von drei Projektgruppen entdeckt. Durch den Fehler lässt sich Speicher auslesen, auf die ein User-Prozess gar nicht zugreifen dürfte (sog. Bruch der Memory Isolation).

Was technisch bei so einem Angriff passiert, können Sie in einer Analyse von Andreas Stiller nachlesen. Feststeht, dass die neuartigen Angriffsszenarien nicht mit herkömmlichen Softwareschwachstellen  vergleichbar sind. Ihre Besonderheit liegt darin, dass sie direkt das Design des Chips ausnutzen, das eigentlich die Rechenprozesse beschleunigen soll.

Besonders gefährdet sind Web-Browser: Sie laden Code herunter und führen ihn aus (JavaScript, HTML 5). Schadcode könnte beispielsweise über unseriöse Webseiten eingeschleust werden. Dagegen helfen Browser-Updates und Script-Blocker wie NoScript.

„Meltdown“ betrifft hauptsächlich Intel, ARM und AMD Prozessoren. Software-Patches können hier zwar die Angriffsfläche verringern, aber den Fehler nicht gänzlich beheben. Zusätzlich zu den Betriebssystem-Updates müssen auch BIOS Updates der jeweiligen Computer- bzw. Motherboard-Hersteller eingebracht werden. Bei Markengeräten und jüngeren PCs jetzt kein großes Problem, aber zig-Millionen Noname- und Supermarkt PCs in technisch nicht versierten Haushalten stellen eine riesige Gefahr dar. Da es sich um eine Hardware-Lücke handelt, sind alle Betriebssysteme betroffen, also etwa Windows, Linux, macOS, iOS, Android und FreeBSD.

Ob Ihre Geräte davon betroffen sind?

Mit größter Wahrscheinlichkeit Ja! Die anfälligen Prozessoren sind in so ziemlich allen Geräten verbaut – von PCs, Laptops und Smartphones, bis hin zu Tablets und Streaming-Boxen.

Auch ein Antivirus-Programm kann hier keinen Hunderprozentigen Schutz gewährleisten.

Grundsätzlich sind aktuelle, als auch ältere Prozessoren für mindestens eins der Angriffsszenarien anfällig. Eine ausführliche Auflistung finden Sie hier. Einer der wenigen Prozessoren, die als nicht betroffen gelten ist der Prozessor des Raspberry Pi.

Wie kann man sich schützen?

Für alle Benutzer von Windows- betriebenen PCs oder Laptops ist es hilfreich die letzten Windows 10 – und BIOS Updates von Dell, HP, Lenovo, oder der anderen Hardware Herstellern sicherzustellen. Microsoft hat bereits Patches zur Verfügung gestellt, die zumindest eine Ausnutzung der Sicherheitslücken schwerer machen sollen. Auch andere Betriebssystemhersteller rollen bereits Updates aus. Am besten schnellstmöglich installieren!Updates diverser Hersteller, sowie Infos dazu finden Sie hier. Die Liste wird laufend aktualisiert.

Nochmal zusammengefasst Willy’s 10 Punkte Liste:

  1. Immer das aktuellste Betriebssystem mit den aktuellsten Updates und Patches verwenden
  2. Auch alle Anwendungssoftware wie Browser, PDF Reader, Grafikprogramme auf den neuesten Stand bringen
  3. Das BIOS des Computer aktualisieren. Wer es nicht selber kann soll sich Hilfe holen.
  4. Unbedingt für jeden genutzten Dienst ein eigenes Passwort anlegen, nie das gleiche Passwort für mehrere Dinge verwenden
  5. Das EMail-Passwort ist das Wichtigste. Hier ein starkes Passwort verwenden. Wer dieses ergaunert hat, kann sich über „Passwort zurücksetzen“ andere Dienste freischalten lassen
  6. Verwenden Sie ein gutes und aktuelles Antivirenprogramm. Die Updates für dieses müssen automatisch und zumindest stündlich aktualisiert werden. 
  7. Wenn es sich um Firmengeräte handelt, schützen Sie sich durch eine richtige Hardware-Firewall. Diese (wenn sie eine aktuelle ist) schützt Sie auch vor Viren und Angriffen, in dem sie den Datenverkehr direkt am Internetanschluss kontrolliert und ggf. blockiert.
  8. Sobald alle Updates (auch das BIOS) installiert sind, die Passwörter wechseln. Man kann nie wissen, ob sie nicht schon ausgespäht worden sind
  9. Geben Sie acht, worauf Sie klicken. Wenn Ihnen etwas komisch vorkommt, schauen Sie genau oder kontaktieren Sie den Absender.
  10. Wenn Ihr Handy keine Updates mehr erhält, tauschen Sie es aus. Es gibt sehr gute Geräte um unter € 300,-, diese kann man wieder ein paar Jahre nutzen

Wie geht’s jetzt weiter?

In einem Artikel von futurezone heißt es: Ein komplett neues Chip-Design werde es nicht von heute auf morgen geben. Das wird noch viele Jahre dauern…

Auch noch wichtig! Wenn Sie eine E-Mail vom Bundesamt für Sicherheit in der Informationstechnik erhalten, in der Sie gebeten werden, den von ihnen, AMD und Intel entwickelten Sicherheitspatch zu installieren: Auf KEINEN Fall installieren, sondern die Mail sofort löschen!Dabei handelt es sich um eine Fake-Mail, die gerade in Umlauf ist und die auf eine Fake-Website führt – mit einem als Sicherheitspatch getarnten Windows-Trojaner!

Beitrag von Wilhelm Klenner: Hier erfahren Sie mehr über Insider-Erkenntnisse und wie wir von klenner.at mit der derzeitigen Situation umgehen, um unsere Kunden bestmöglichst zu schützen…

Share0Share +10Tweet0Share0 Default button text

Was ist ein sicheres Passwort?

„Was ist ein sicheres Passwort?“ und “So nicht“

Ein Hackerangriff auf die Server des Softwareherstellers Adobe hat kürzlich ans Tageslicht gefördert, dass die häufigsten Passwörter „123456“, bzw. „123456789“ gefolgt von „password“ sind.

Rankings der beliebtesten Passwörter zeigen, dass „abc123“,
„qwerty“, „monkey“, „letmein“, „dragon“, „111111“ unter den Top-10 rangieren, wie fahrlässig Benutzer mit Passwörtern umgehen.

Aber auch wer den Namen von Familienmitgliedern oder Geburtsdaten als Passwort verwendet, der darf sich nicht wundern, wenn Unbefugte in seine Accounts einsteigen.

Wir verraten Ihnen, wie Sie ein sicheres Passwort im Handumdrehen erstellen.

Tipps für ein sicheres Passwort

  • Fantasiewörter verwenden: Wörter, die im Wörterbuch stehen, sind leicht zu erraten bzw. zu knacken.
  • Je länger, umso besser: Je länger ein Passwort ist, desto schwerer ist es zu knacken. Mindestens acht Zeichen lang sollte es ein.
  • Die Satzmethode
    Ein schwer zu knackendes, sicheres Passwort kann man sich mit Hilfe eines einfachen Tricks leicht merken: Bilden Sie dazu einen Satz, etwa „Mir schmeckt Sachertorte sehr gut!“. Nehmen Sie jeweils den Anfangsbuchstaben jedes Wortes und die Satzzeichen und schon haben Sie ein Kunstwort. In diesem Fall ist es „MsStsg!“ Dann mischen Sie noch ein paar Zahlen dazu, und schon ist das Passwort sehr sicher: „Ms3Stsg!“

Für verschiedene Systeme können Sie den Verwendungszweck an das Passwort anhängen, z.B „Ms3Stsg!.fb “für Ihren Zugang zu Facebook.

Je nach Wichtigkeit des Zuganges können Sie unterschiedlich lange Basispasswörter verwenden.

So nicht“ – Das sollten Sie niemals tun

  • Niemals Namen von Familienmitgliedern, Haustieren oder Geburtsdaten als Passwort verwenden.
  • Passwörter nicht weitergeben
  • Geht gar nicht: PostIt´s am Schreibtisch oder in der Geldbörse, Notizbücher oder Kalender.
  • Niemals für alle Accounts das gleiche Passwort verwenden (wird ein Account geknackt, könnte der Hacker das Passwort auch bei anderen Systemen verwenden)
  • Niemals ein Passwort jahrelang verwenden: Passwörter regelmäßig wechseln, aber nicht erneut verwenden

„Wie jetzt?“

Die einzige Möglichkeit, Passwörter sicher aufzubewahren sind entweder Tresore oder Passwortmanager am Computer, zum Beispiel: KeePass,  oder „Schlüsselbundverwaltung“ unter Mac OS.
Hier werden die verschiedenen Passwörter verschlüsselt gespeichert, und lassen sich nur durch die Eingabe eines Master-Passwortes auslesen. So muss man sich im Idealfall nur noch ein Passwort merken!

1