Passwörter, 2FA und der Politikerhack

Bin ich betroffen? link

Die wohl größte Frage möchte ich direkt am Anfang beantworten. Oft gibt es keine Anzeichen dafür, dass Daten bei einem Anbieter abgegriffen wurden. Daher hat einmal das Hasso-Plattner-Institut und der Microsoft Entwickler und Sicherheitsexperte Troy Hunt einen Service eingerichtet. Hier wird anhand der E-Mail Addresse direkt in der Datenbank überprüft, ob diese in einem aufgetauchten Datensatz vorkam. Falls ein Account betroffen ist, wird zusätzlich angezeigt, welche Daten betroffen sind.

Politiker Hack – Was ist passiert? link

Das besondere am Politikhack war, dass dieser von einem Jugendlichen mit zu viel Langeweile, ganz ohne besondere Werkzeuge, durchgeführt wurde. Dieser erbeutete viele Kontaktdaten, aber auch private Nachrichten, E-Mails, Dokumente, Kontoinformationen oder der Kopie vom Personalausweiß.

Viele der Daten sind dabei gewesen, weil befreundete Personen oder Arbeitskollegen gehackt wurden und über deren Addressbuch, E-Mails oder private Nachrichten Informationen über/von Dritten abgegriffen wurden. So sollte auch das Umfeld gebeten werden, Sicherheitsstandards einzuhalten.

Passwörter sind wie lange Zahlenschlösser link

Doch wie ist der Angreifer vorgegangen? In der einfachsten Form sind Passwörter wie lange Zahlenschlösser. Sie unterscheiden sich zwar in der Länge, aber für jede Position gibt es eine endliche Anzahl an Zeichen die passen könnten. In der Fachwelt nennt man das Bruteforce Attacke. Dabei probiert man einfach eine Kombination nach der anderen durch. Also wie beim Zahlenschloss vom Koffer des Kindes “a”, “b”, “aa”, “ab”, …. Banken brüsten sich bei ihrem PIN damit, Sicherheitsvorkehrungen zu haben, die nach einer gewissen Anzahl an Versuchen den Nutzer zu einer Pause zwingen oder das Konto sperren. Ersteres erfordert nur mehr Geduld/Motivation, letzteres schützt im zweifel das Geld, auch wenn der Beschädigte erstmal nicht mehr darüber verfügen kann.

Passwörter haben den entscheidenen Nachteil, dass diese oft Wörter oder Reihenfolgen beinhalten, die viele Personen im Sinn haben. So kann man, wie auch beim Zahlenschloss mit “0000”, mit bekannten Reihenfolgen anfangen. Besonders beliebt scheint immernoch “passwort”, “1234567890” oder ähnliches zu sein. Dies wird dann Wörterbuch Attacke genannt. Dem aufmerksam Leser wird hier schon auffallen, dass das eigens gewählte Passwort möglichst lang und nicht im Wörterbuch stehend sein sollte.

Durch das Sammeln von Informationen können noch weitere Passwortlieblinge ermittelt werden. So sind Name der Frau/Mann, Haustier, Geburtsdaten oder das jährliche Urlaubsziel gern gewählte Passwörter.

Fremdes Passwort wiederherstellen lassen link

Wie sich jeder vorstellen kann, dauert es relativ lange ein Passwort auszuprobieren. Da ist es praktisch, dass ich mir überall mein Passwort wiederherstellen kann, wenn ich meine verwendete E-Mail Addresse eingebe. Diese hat sich der Angreifer aus den Addressbüchern bereits “gehackter” Accounts bzw. Politiker/innen geholt. Nach Eingabe der E-Mailaddresse bekomme ich an diese meist einen Link geschickt über den ich das Passwort neu setzen kann.

Daher sollten für wichtige Accounts eigene E-Mail Addressen und Passwörter genutzt werden. So können nicht mit einem erbeuteten E-Mail Postfach direkt alle Dienste übernommen werden.

Um die E-Mails mit den neuen Passwörtern lesen zu können, brauche ich allerdings Zugang zum E-Mail Postfach. Da hier keine E-Mail an mein für mich nicht erreichbares Postfach geschickt werden kann, muss ich oft Fragen beantworten.

Die Sicherheitsfragen nach dem Haustier, dem Geburtsort oder ähnlichen kann auch wieder wie ein Passwort gesehen werden. Steht in diesem Feld eine öffentliche Information, kann diese auch jemand erraten. Linus Neumann, einer der Sprecher des Chaos Computer Club e.V., hat in einer TV Talkshow (die ich leider nicht mehr finde), dazu aufgerufen, in dieses Feld wilde Zahlen/Buchstaben Kombinationen einzutragen. Diese können wie damals der PUK vom Handy aufgeschrieben und an einem sicheren Ort offline gelagert und im Notfall herausgesucht werden.

Verzweifelt den Dienst anrufen link

Der Angreifer kam in viele Accounts, die über zusätzliche Faktoren gesichert waren. Hierfür hat er anscheinend einfach z.B. bei Twitter angerufen und um die Aushebelung der Sicherheitsfunktionen gebeten. Da nur schlechte oder keine Gegenfragen gestellt wurden, konnte der Angreifer mit gesammelten Informationen (z.B. durch das Übernehmen von befreundeten Accounts) diese beantworten und bekam Zugriff.

2 Factor Authentifizierung link

Die 2 Factor Authentifizierung (2FA) ist eine zusätzliche Authentifizierung. Beim Onlinebanking muss ich z.B. neben dem Login für meinen Account auch noch einen TAN angeben.

Viele Webseiten verwenden einen ähnlichen Ansatz. Hier wird ein zeitbasiertes One Time Passwort generiert und dem Nutzer auf Wunsch angezeigt. Dieses Passwort ist nur für eine sehr kurze Zeit nutzbar und auch nur einmalig. Die Zustellung kann über eine SMS an eine hinterlegte Handynummer erfolgen oder über APPs wie den Google Authenticator bei Bedarf erzeugt werden. Einige Passwort Manager bieten diese Funktion auch an, so dass es beim Login automatisch klappt.

Ein erfolgreicher Login findet nur statt, wenn diese zustätzliche Stufe geschafft wurde.

Wenn ich den Wiederherstellungscode vergessen habe oder mein Handy mit der 2FA App nicht mehr anspringt, kann ich nicht mehr auf meinen Account zugreifen. Erstmal ein gutes Sicherheitsfeature.

Da die Anbieter meistens aber ein geschäftliches Interesse daran haben, dass ich ihren Dienst weiter nutze, gibt es auch hier Wege dies zu umgehen. In den meisten Fällen verlangt der Anbieter einen Nachweis darüber, dass ich auch die angegebene Person bin.

Mit den Daten, die durch Erraten des Passwortes bei Geschäftspartnern, Kollegen oder Freunden bereits erbeutet wurden, konnte der Politiker “Hacker” Dokumente vorzeigen. Von einer Rechnung an die Anschrift bishin zur Personalausweiskopie fürs Reisebüro wird vieles unbedacht über das Internet versendet.

Im Zweifel hat dieser beim Dienstleister angerufen und um die Abschaltung der 2FA gebeten.

Sichere “einfache” Passwörter link

NICHT geeignete Passwörter sind:

• Familienmitglieder
• Haustier
• Urlaubsorte
• Geburtsdaten (auch nicht des Kindes)
• Lieblingsstar
• Jährliches Urlaubsziel
• Traumautomarke
• “passwort”, “admin”, “123456…”

Auch nicht geeignet sind Dinge auf dem Schreibtisch. Durch ein unbedachtes Foto des Kaffees oder dem Geschenk der Kollegen landen viele Hinweise auf das Passwort im Internet oder unbefugte Dritte können dies beim Vorbeigehen sehen.

Wenn es unbedingt eine Eselsbrücke sein sollte, kann ein Satz mit Zahlen und Sonderzeichen genommen werden. Falls dies zu lang ist, z.B. von jedem Wort der Anfangsbuchstaben sowie die Zahlen und Sonderzeichen. Das Passwort sollte dabei gerne über 12 Zeichen haben. Wobei dies auch schon recht kurz ist.

Dabei kommt es eher weniger darauf an, wie sehr sich die einzelnen Stellen des Passworts unterscheiden und mehr darauf, dass die Phrase, so wie sie verwendet wird, nicht in Wörterbüchern oder Passwortlisten vorkommt. Heise Online, Sichere Passwörter

Das alles bietet keinen 100% Schutz. Aber es macht Unbefugten den Zugriff zumindest etwas schwerer. Wichtig ist dabei auch, dass Umfeld aufzuklären, da beim Politikhack die meisten Daten indirekt im E-Mail Verkehr mit Angehörigen oder Kollegen erbeutet wurden.

Weitere Links link

• Golem - 13 Lehren aus dem Politiker Hack
• Troy Hunt check ob betroffen: haveibeenpwned.com
• Hasso-Plattner-Institut check ob betroffen
• HeiseOnline - Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts
• BSI Ratgeber
• BSI 2FA