All posts under Passwort

Warum Emojis der nächste Passwort-Trend werden könnten

Emoji (adapted) (Image by TeroVesalainen [CC0 Public Domain] via pixabay

Würdest du dein Smartphone lieber mit einer simplen und klassischen 4-stelligen PIN oder mit einem Emoji entsperren? Wäre es einfacher und komfortabler, „🐱💦🎆🎌“ im Kopf zu behalten als beispielsweise „2476“?

Smartphone-Nutzer benutzen Emojis normalerweise, um Stimmungen, Gefühle und Gesprächsnuancen in E-Mails und Textnachrichten auszudrücken. Teilweise werden sogar ganze Nachrichten nur mit Emojis verschickt. 2015 hat eine britische Firma versucht, Emoji-Passwörter anstelle von PINs an Bankautomaten einzusetzen. Allerdings gibt es bis jetzt noch keine offizielle Studie darüber, wie einfach diese zu benutzen waren oder wie sicher die Emoji-Passwörter im Vergleich zu anderen Methoden wie PINS sind.

Um mehr darüber durch ein Experiment und in der echten Welt herauszufinden, hat ein Team von Wissenschaftern der Technischen Universität Berlin, der Universität Ulm und der University of Michigan unter der Leitung der Doktorandin Lydia Kraus von der TU Berlin den Dienst EmojiAuth entwickelt. EmojiAuth ist ein Emoji-basiertes Login-System für Android-Smartphones.

Wie gut würden Nutzer sich an ihre emojigesteuerten Passwörter erinnern können? Wären diese möglicherweise auch sicherer? Und könnten sie ebenfalls unterhaltsamer sein und das Entsperren des Smartphones für den Nutzer spaßiger gestalten?

Emoji-Passwörter kreieren

Die meisten Smartphone-Nutzer haben ihren Bildschirm gesperrt und müssen diesen dementsprechend mehrmals täglich entsperren. Viele Menschen nutzen numerische PINs, aber die Forschung hat gezeigt, das Bilder einfacher zu merken sind als Zahlen oder Buchstaben. PINs können aus einer geringeren Anzahl von Symbolen zusammengesetzt werden oder aus einer Kombination aus den Zahlen 0 bis 9. Passwörter hingegen können aus einer deutlich größeren Anzahl Ziffern bestehen, sind allerdings schwierig auf Smartphones zu tippen. Emojis dagegen erlauben es uns, von über 2.500 möglichen Emojis zu wählen, wodurch die Emoji-Passwörter viel resistenter gegen Hacking oder Spionage sind.

Im ersten Experiment gaben wir 53 Teilnehmern ein Android-Smartphone und teilten sie in zwei Gruppen ein. Die erste Gruppe von 27 Personen suchte sich ein Passwort aus, welches aus zwölf beliebigen Emojis bestand. Die zwölf beliebigen Emojis konnten aus einer Emoji-Tastatur ausgewählt werden, die aus allen möglichen Emojis individuell für jeden Nutzer generiert wurde. (Sobald die Tastatur eingestellt wurde, blieb es gleich). Die verbleibenden 26 Personen suchten sich eine numerische PIN aus.

In den meisten Fällen haben die Teilnehmer ihr Emoji-Passwort nach einer der drei folgenden Methoden ausgewählt:

  1. nach einem Muster des Emoji-Keyboards (beispielsweise von oben nach unten oder die Emojis, die sich in den Ecken befinden),
  2. nach persönlichen Vorlieben für bestimmte Emojis oder
  3. es wurden mit den Emoji-Mustern Geschichten kreiert.

Ein Teilnehmer hatte beispielsweise ein Lied im Kopf und suchte Emojis aus, die dem Text des Liedes entsprachen. Nachdem die Teilnehmer einige Male das neue Passwort eingegeben hatten, wurden sie eine Woche später gebeten, die Passworte für den Test in das Smartphone einzugeben.

Die Resultate ergaben, dass sowohl PINs als auch Emoji-Passworte leicht zu merken sind. Alles in Allem haben die PIN-Nutzer ihr Passwort im Schnitt ein paar Mal häufiger behalten. Das könnte allerdings auch daran liegen, dass Menschen in der Regel daran gewöhnt sind, PINs zu nutzen und sich diese zu merken. Die Teilnehmer mit den Emoji-Passworten berichteten allerdings von größerem Spaß bei der Eingabe ihrer Codes.

Emoji-Passworte im Alltag

Als nächstes wollten wir herausfinden, wie gut Emoji-Passworte dem Test im Alltag standhalten. Auf den Android-Smartphones von 41 Teilnehmern wurde ein spezieller Login-Screen für deren Email-App für etwa zwei Wochen installiert. Die eine Hälfte nutzte Emoji-Passworte, die andere Hälfte nutzte PINs.

Wie wir in dieser Studie herausfanden, haben die Nutzer, die Emoji-Passworte verwendeten, Emojis gewählt, die einem Muster auf der Tastatur entsprachen, nach persönlichen Vorlieben ausgesucht wurden oder eine Geschichten erzählten. Beide Teilnehmergruppen, sowohl die Gruppe mit den PINs als auch die mit den Emojis, berichteten, dass ihr Passwort leicht zu merken und zu nutzen war. Die Emoji-Testgruppe gab jedoch an, dass die Eingabe ihrer Passworte mehr Spaß machte als nur Zahlen einzugeben.

Zusätzliche Sicherheit

Am Ende der Studie haben wir die Sicherheit der Emoji-Passwörter getestet. Hierfür haben wir die Teilnehmer gebeten, den Leitern der Studie über die Schulter zu schauen, während diese ihr Passwort eingaben. Dabei fanden wir heraus, dass die Emoji-Passworte , die auf sechs zufällig gewählten Emojis basieren, bei dem „über-die-Schulter-schauen“ am schwierigsten zu „klauen“ beziehungsweise zu merken waren.

Andere Arten von Passwörtern, wie zum Beispiel vier oder sechs Emojis oder Zahlen, die nach einem Muster gewählt wurden, waren leichter zu beobachten und korrekt zu merken. Unsere Studien, die ein Mitglied unseres Forschungsteams am 30. Mai in Rom präsentieren wird, zeigen, dass eine Emoji-basierte mobile Identifikation nicht nur praktisch ist, sondern auch eine unterhaltsame Art, sich Passwörter leichter zu merken und diese zu schützen. Dies gilt nur, solange die Nutzer keine Emojis verwenden, die einem Muster der Tastatur entsprechen.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Emoji“ by TeroVesalainen (CC0 Public Domain)


The Conversation

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • HACKING Süddeutsche Zeitung: Deutschland plant Cyber-Gegenschläge: Die Bundesregierung will Voraussetzungen schaffen, unter denen es möglich ist, im Falle von Cyber-Attacke zum Gegenangriff überzugehen. Das Verfahren hierfür ist die Zerstörung des feindlichen Servers. Nach Informationen von Süddeutscher Zeitung, NDR und WDR beschloss der Bundessicherheitsrat unter Vorsitz von Kanzlerin Angela Merkel, zu analysieren, welche technischen Fähigkeiten hierfür vonnöten wären. In der ARD-Sendung „Bericht aus Berlin“ erklärte Bundesinnenminister Thomas de Maizière die Notwenigkeit der Maßnahmen und füge erklärend hinzu, ein Polizist trage im Einsatz ja nicht nur eine Schutzweste, sondern auch eine Pistole.

  • OPEN SOURCE heise: Black Duck: Open Source ist allgegenwärtig – und gefährlich: Black Duck Software, ein Spezialist für Open-Source-Audits hat über 1. 000 kommerzielle Anwendungen untersucht. Das Ergebnis liegt nun in Form der Open-Source-Sicherheits- und Risikoanalyse 2017 vor. Demnach kommt kaum noch eine Software ohne Open-Source-Komponenten aus. Gut ein Drittel des Codes stammt durchschnittlich aus Open-Source-Projekten, die am häufigsten genutzten sind jQuery, Bootstrap, JUnit, Apache Log4j sowie Software aus dem Apache-Commons-Projekt. Die verbleibenden zwei Drittel der Anwendungen nutzen allerdings Komponenten in Versionen mit bekannten Sicherheitslücken. Ausgerechnet die Branchen Handel, E-Commerce, Internet und Software-Infrastruktur sowie Finanzdienstleister und Fintechs sollen laut der Studie betroffen sein.

  • APPLE golem: Weiter Lieferprobleme bei den Apple Airpods: Auch vier Monate nachdem die Apple Airpods auf den Markt kamen, gibt es weiter Probleme bei der Auslieferung. Sechs Wochen muss man derzeit warten, wenn man jetzt ein Paar der kabellosen Kopfhörer bestellt. Im Appel Retail Store am Ku’damm in Berlin ist es bisher sogar so, dass man mit größter Wahrscheinlichkeit keine Airpods erhalten hat, ohne sie in das Geschäft vorzubestellen. Über die Gründe für die schlechte Verfügbarkeit kann nur spekuliert werden. Möglicherweise hat Apple im Vorfeld falsch kalkuliert und die Nachfragen nach den rund 180 Euro teuren Geräten unterschätzt.

  • FACEBOOK Welt: Facebook-App soll das Gedankenlesen lernen: Es klingt wie Science-Fiction, aber Facebook arbeitet wirklich daran: Das weltgrößte Online-Netzwerk will Menschen direkt aus dem Gehirn heraus Worte in Computer schreiben lassen. Es gehe zum Beispiel um die Möglichkeit, einem Freund eine Textnachricht zu schicken, ohne dafür das Smartphone herausholen zu müssen, sagte Facebook-Managerin Regina Dugan auf der hauseigenen Entwicklerkonferenz F8 im kalifornischen San José. Das aktuelle Ziel sei, auf 100 Worte pro Minute zu kommen. Dies könne in einigen Jahren erreicht werden.

  • MICROSOFT t3n: Microsoft killt das Passwort: Das Eingeben von Passwörter ist bei fast allen Nutzern unbeliebt, egal ob man immer dasselbe Passwort verwendet oder ein sicheres und immer anderes. Microsoft hat sich dem Problem angenommen und eine neue Art der Authentifizierung entwickelt, die nun an alle Nutzer ausgerollt wird. Statt das Passwort stationär auf dem PC einzugeben, kann man stattdessen sein Smartphone mit dem Konto verknüpfen. Ist es notwendig, dass sich der Nutzer identifiziert, hat er nun die Wahl, sich einen Code auf sein Smartphone schicken zu lassen. Dort kann er den Code bestätigen und so die Eingabe des Passworts umgehen.

Weiterlesen »

Android: Sicherheitsbericht zeigt Licht und Schatten

Lg (adapted) (Image by hawkHD [CC0 Public Domain] via pixabay)

Der aktuelle Sicherheitsbericht von Google zum Thema Android-Mobilgeräte zeigt einige durchaus erfreuliche Trends auf. Daneben findet sich aber auch eine sehr beunruhigende Statistik: Lediglich jedes zweite Android-Mobilgerät erhielt im Laufe des letzten Jahres ein Sicherheitsupdate. Teilweise mag es an bequemen oder unwissenden Nutzern liegen. Das Hauptproblem ist jedoch die starke Fragmentierung der Android-Welt und die Tatsache, dass gerade kleinere Hersteller die Updates oftmals gar nicht zeitnah für ihre Geräte anpassen. Google will nun helfen, die Situation zu verbessern.

Verbesserungen bei Sicherheitsfeatures, geringere Verbreitung von Schadsoftware

Rund 1,4 Milliarden aktiv genutzte Mobilgeräte mit Googles Betriebssystem Android gibt es derzeit, schätzt Google. Wie sicher sind jedoch diese gigantischen Mengen an Smartphones und Tablets? Aktuelle Untersuchungen zeigen Licht wie auch Schatten.

Googles aktueller Sicherheitsbericht zeigt einige erfreuliche Entwicklungen auf. So hat die Anzahl mit Schadsoftware infizierter Geräte im Jahr 2016 gegenüber dem Vorjahr abgenommen. So nahm die Anzahl von Trojanern gegenüber 2015 um gut 50 Prozent ab; diese machten insgesamt nur noch 0,016 Prozent aller von Googles Sicherheitssoftware untersuchten Downloads aus. Der Anteil der Phishing-Apps sank sogar um 70 Prozent. Nur noch auf 0,05 Prozent der Geräte, die nur aus Googles Play Store mit Apps versorgt werden, fand sich bei Untersuchungen ein „potentiell schädliches“ Programm. 2015 waren es noch 0,15 Prozent gewesen. Insgesamt waren rund 0,7 Prozent aller untersuchten Android-Geräte von einer solchen, womöglich schädlichen Software befallen.

Auch das Android-Betriebssystem selbst wird nach Ansicht Googles immer sicherer. Dafür hat sich der Software-Gigant sehr ins Zeug gelegt und in die aktuelle Betriebssystem-Version „7.0 Nougat“ eine ganze Reihe neuer Sicherheitsfeatures eingebaut. Darunter sind verbesserte Möglichkeiten zur Verschlüsselung – aktuell ohnehin ein großes Thema in der IT-Welt – und bessere Sicherheitsfeatures beim Abspielen von Musik- und Videodateien.

Auch das hauseigene „Bug Bounty“-Programm gewann an Bedeutung. Im Laufe des Jahres schüttete Google fast eine Million US-Dollar an Sicherheitsforscherinnen und Sicherheitsforscher aus, die halfen, Schwachstellen in der Software zu entdecken.

Updates: Nur jedes zweite Gerät wurde 2016 versorgt

Ein großes Problem allerdings zeigt der Sicherheitsbericht auf. Von den 1,4 Milliarden Android-Geräten erhielt im Jahr 2016 lediglich rund die Hälfte ein sogenanntes Plattform-Sicherheitsupdate. Google berichtet, rund 735 Millionen Android-Geräte von etwa 200 Herstellern mit entsprechenden Updates versorgt zu haben. Der Rest ging leer aus.

Die Hauptursache für dieses Problem ist keineswegs eine mangelnde Bereitschaft Googles, an der Sicherheit seiner Geräte zu arbeiten – das zeigen die Berichte über anderenorts in diesem Bereich getätigte Investitionen wohl deutlich. Auch ist in diesem Fall – anders als beispielsweise bei der Passwortsicherheit – die Ursache höchstens in zweiter Linie beim Benutzerverhalten zu suchen.

Das Hauptproblem ist vielmehr die Vielzahl im Umlauf befindlicher Android-Versionen, auch als „Android Fragmentation“ bezeichnet. Aktuell teilen Betriebssystem-Versionen von 4.4 bis 7.0 unter sich den Markt auf. Hinzu kommt, dass selbst innerhalb einer nominell identischen Android-Version keineswegs alle Systeme gleich sind. Vielmehr nehmen die meisten Smartphone-Hersteller mehr oder weniger umfangreiche Änderungen an Treibern, Bedienkonzept und Benutzeroberfläche vor.

Auf all diese verschiedenen Versionen und Besonderheiten muss ein Android-Sicherheitsupdate erst angepasst werden, bevor es verteilt werden kann, und es muss in Tests sicher gestellt werden, dass der Patch auch wie vorgesehen funktioniert und keine Probleme verursacht. All das kostet Zeit und Geld. Selbst große Hersteller versorgen gerade ältere Geräte teilweise nur schleppend mit Updates. Bei kleineren Anbietern warten die Nutzerinnen und Nutzer oft sehr lange oder Updates werden gar nicht erst verteilt. So kommt es zu den von Google berichteten, alles andere als zufriedenstellenden Zahlen.

Google ist in der Pflicht

In gewisser Hinsicht gleicht die Situation bei Android-Mobilgeräten der im Smart-Device- und Router-Bereich: Updates werden häufig gar nicht oder zu spät bereitgestellt oder von den Benutzern nicht als wichtig wahrgenommen. So kommt es zu gefährlichen Schutzlücken. Schwachstellen in der Software werden nicht zeitnah behoben und können so womöglich für Angriffe ausgenutzt werden. Im Falle von hunderttausenden Android-Geräten ist das destruktive Potential hier womöglich erheblich.

Wie auch bei Routern und ähnlichen Geräten kann hier nur herstellerseitig effektiv Abhilfe geschaffen werden. Auch Geräte mit einer eher kleinen Verbreitung müssen zeitnah Updates erhalten. Google hat schon angekündigt, sich des Problems annehmen zu wollen. Künftig will der Software-Gigant enger mit den Geräteherstellern zusammenarbeiten und es ihnen leichter machen, Sicherheits-Updates auf ihre jeweilige, individuell modifizierte Plattform anzupassen. Nun ist es an der Öffentlichkeit und vor allem der IT-Fachwelt, Google auf die Finger zu schauen und dafür zu sorgen, dass es nicht bei einem bloßen Lippenbekenntnis bleibt. Nur so kann die Welt der Android-Mobilgeräte effektiv abgesichert werden.


Image (adapted) „Lg“ by hawkHD (CC0 Public Domain)


 

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • USA süddeutsche: Tausche USA-Visum gegen Facebook-Passwort: Die Themen USA und die Einreise nach ebenda waren in letzter Zeit ohnehin bereits schwierig – jetzt will der US-Heimatschutzminister Visa-Antragsteller noch gründlicher beleuchten. Zu solchen Überprüfungsmaßnahmen einer Person könnte unter anderem auch die Abfrage von Passwörtern für Konten in sozialen Medien zählen. Bereits seit Ende 2016 können USA-Urlauber freiwillig ihre Nutzernamen bei Facebook oder Twitter angeben. Noch ist die Passwort-Abfrage nur eine Idee, wie in vielen Aspekten sollte man aber unter der Regierung auf alles gefasst sein.

  • SOCIAL MEDIA heise: Steckt in jedem ein Troll?: Jeder der schon mal in den Kommentarsektionen von Social Media Kanälen unterwegs war hat wahrscheinlich Begegnung mit ihnen gemacht – Trolle. Keine Monster unter Brücken, sondern Kommentatoren deren einziges Ziel es ist, ein Maximum an Störung zu verursachen und Streit anzuzetteln. Forscher der Universitäten Stanford und Cornell behaupten in jedem von uns könnte ein solcher Troll stecken. Zu deren Studie soll nun Ende Februar ein Fachaufsatz auf der CSCW 2017 vorgestellte werden.

  • CROWDFUNDING golem: Protonet ist insolvent: Das Server-Startup Protonet aus Hamburg ist insolvent. Einst hatte die Firma über Crowdfunding eine, für deutsche Verhältnisse, Rekordfinanzierung von 3,2 Millionen Euro erhalten. Laut eigener Aussage habe Protonet intern nicht erfolgreich gewirtschaftet und neue Investoren blieben auch aus. Vor fünf Jahren wurde das Unternehmen mit dem Ziel gegründet, sichere und unkompliziert zu betreibende Server für Kunden herzustellen, bei denen Daten nur in Deutschland gespeichert werden sollten.

  • SLACK t3n: Chatbot fürs Firmenwissen: Obie bringt Confluence, Evernote und mehr in eure Slack-Kanäle: Obie zeigt, wie viel Arbeit uns Chatbots schon heute in der Teamkommunikation abnehmen können. Wichtige und arbeitsrelevante Informationen liegen oft genug auf einer Unzahl von verschiedenen Diensten verstreut, von Cloud-Speichern über Notizdienste hin zum firmeneigenen Wiki. Der Bot führt diese jetzt aus diversen Tools zusammen und setzt sich so zum Ziel, Ordnung und Übersicht im Kommunikations-Verlauf zu schaffen. Der Chatbot kann kostenlos zu Slack hinzugefügt werden.

  • WEARABLES googlewatchblog: Smartwatches: Google stellt Android Wear 2.0 sowie LG Watch Style & LG Watch Sport vor: Am gestrigen Abend hat Google sein neues Smartwatch Line-up inklusive neuem Betriebssystem präsentiert. Wofür benutzen Menschen Wearables wie Smartwatches eigentlich? Für diese Frage hat sich der Konzern für den Nachfolger des Android Wear Betriebssystems knapp drei Jahre Zeit gelassen und stellt jetzt das Modell 2.0 in den Fokus. Besonderes Feature ist beispielsweise die Option, mehrere Watch Faces gleichzeitig anlegen zu können, beispielsweise für eine Oberfläche für die Arbeit oder für zu Hause.

Weiterlesen »

Passwort-Sicherheit: Viel Raum für Verbesserungen

Aktuelle Analysen belegen, dass es mit der Passwort-Sicherheit bei vielen Nutzerinnen und Nutzern noch immer nicht weit her ist. Nach wie vor dominieren ausgesprochen schwache Passwörter wie „123456“ oder „qwerty“ (beziehungsweise sein deutsches Gegenstück). Das öffnet Online-Kriminellen Tür und Tor zu derart „abgesicherten“ Benutzerkonten. Es besteht also Handlungsbedarf. Keineswegs sollten die vernichtenden Forschungsergebnisse aber als Signal interpretiert werden, die Flinte ins Korn zu werfen und Benutzer-Schulungen als sinnlos abzutun.

Studie belegt: Passwort-Sicherheit lässt nach wie vor zu wünschen übrig

IT-Sicherheitsforscherinnen und -forscher des Unternehmens Keeper haben in einer Studie die beliebtesten Passwörter des Jahres 2016 analysiert. Dazu haben sie rund 10 Millionen Benutzer-Konten aus sicherheitsrelevanten Vorfällen des Jahres 2016 untersucht.

Die Ergebnisse sind nicht ermutigend. Sie legen nahe, dass viele Nutzerinnen und Nutzer sich noch immer zu wenige Gedanken über Passwort-Sicherheit machen – und dass diejenigen, die Websites betreiben und administrieren, nicht für bestimmte Mindeststandards bei der Passwort-Vergabe sorgen. In der Folge wird es Kriminellen unnötig leicht gemacht, Benutzer-Konten zu kompromittieren.

Kopfschütteln bei Fachleuten

„Als wir die Liste mit den häufigsten Passwörtern 2016 sahen, konnten wir nicht aufhören, die Köpfe zu schütteln“, so das wenig ermutigende Fazit der Sicherheits-Expertinnen und -Experten. Die Reaktion ist verständlich. Der Studie zufolge wurde in nicht weniger als 17 Prozent der Fälle das Passwort „123456“ vergeben. Damit ist dieses Passwort der unangefochtene Spitzenreiter. Auch die längeren Zahlenfolgen „1234567“, „12345678“, „123456789“, „1234567890“ und „987654321“ schafften es unter die Top Ten, ebenso wie „111111“ und „123123“.

Die Vorliebe vieler Nutzerinnen und Nutzer für bequeme Muster auf der Tastatur beweist auch der Klassiker „qwerty“ (auf einer englischen Tastatur der Beginn der obersten Buchstabenreihe; auf deutschen Websites ist erfahrungsgemäß auch das Äquivalent „qwertz“ populär), der es immerhin auf den dritten Platz schafft. Abgerundet werden die Top Ten durch den Begriff „password“. Je nach Nationalität des Forums oder der Website taucht dieser häufig neben Englisch auch in der jeweiligen Landessprache auf.

Vier der zehn beliebtesten Passwörter umfassten nur sechs Zeichen oder weniger. Das macht sie anfällig für einen sogenannten Brute-Force-Angriff, bei dem schlichtweg alle möglichen Zeichenkombinationen der Reihe nach durchprobiert werden. Mit modernen Rechnern geht dies für kurze Passwörter erstaunlich schnell. Nur Sekunden benötigen diese für das Knacken eines Passwortes von sechs Zeichen oder weniger Länge. Angesichts der heutigen Hardware-Leistung und der leichten Verfügbarkeit von Cloud-Rechenzeit empfiehlt es sich für wichtige Konten, Passwörter von zehn oder mehr Zeichen zu verwenden. Acht sollten es auf jeden Fall mindestens sein, um ein Mindestmaß an Sicherheit zu bieten.

Insgesamt beweisen die Nutzerinnen und Nutzer nur wenig Kreativität beim Ausdenken ihrer Passwörter. Die 25 von Keeper identifizierten beliebtesten Passwörter wurden 2016 für über die Hälfte der analysierten Benutzer-Konten eingesetzt. Das ist ein großes Problem, denn jedes derart beliebte Passwort ist unweigerlich auch in der Cybercrime-Szene bekannt. Somit findet es sich in Wörterbüchern, die für Angriffe auf Benutzer-Konten eingesetzt werden. Unabhängig von der Länge sind solche Passwörter in Sekunden zu erraten.

Insgesamt hat sich die Liste der populärsten Passwörter in den letzten Jahren nur sehr wenig verändert. Das ist besorgniserregend, zeigt es doch, dass bisherige Aufklärungskampagnen nur bedingt Erfolg hatten. Manche Nutzerinnen und Nutzer sind offenbar noch immer zu unwissend und/oder bequem, um sichere Passwörter zu verwenden.

Tipps und Tricks: Begriffe aus dem Wörterbuch vermeiden

Die Expertinnen und Experten geben einige Tipps, die die Passwort-Sicherheit erhöhen sollen. So empfehle es sich, Passwörter mit verschiedenen Arten von Zeichen – Ziffern, großen und kleinen Buchstaben und unter Umständen auch Sonderzeichen – zu verwenden, um einen Wörterbuch-Angriff zu erschweren. Aus dem selben Grund sollten Begriffe, die als Passwörter populär sind, und idealerweise auch alle Begriffe aus gängigen Wörterbüchern gemieden werden.

Um dies zu erreichen, ist beispielsweise die als Leetspeak bezeichnete Methode, Buchstaben durch ähnlich aussehende Ziffern oder Sonderzeichen zu ersetzen, denkbar. Alternativ können beispielsweise Sätze gebildet und die Anfangsbuchstaben der darin enthaltenen Wörter als Passwort verwendet werden.

Wer Probleme hat, sich schwierige Passwörter zu merken, und deswegen immer wieder auf schwache Varianten zurückgreift, kann alternativ einen Passwort-Manager nutzen. Diesen Tipp geben die Expertinnen und Experten von Keeper zwar wohl nicht ohne Hintergedanken – immerhin bietet ihr Unternehmen unter anderem auch solche Software an – er wird aber nichtsdestotrotz in der Branche vielfach und zu Recht vertreten. Übrigens bringen viele Betriebssysteme und Webbrowser mittlerweile eine derartige Funktionalität auch schon mit.

Provider in der Pflicht

Neben den Nutzerinnen und Nutzern sieht Keeper – zu Recht – aber vor allem die Betreiber-Firmen von Online-Angeboten in der Pflicht. Diese, so wird vorgeschlagen, sollen mit Hilfe technischer Maßnahmen durchsetzen, dass Passwörter gewisse Mindeststandards erfüllen. Das ist angesichts der Studien-Ergebnisse offensichtlich nötig und zumindest eine kurzfristige Lösung, um Schlimmeres zu verhindern.

Die Hoffnung stirbt zuletzt

Daneben darf aber auch die Schulung der Nutzerinnen und Nutzer nicht vernachlässigt werden. Kein Zweifel, Statistiken wie diese sind entmutigend. Dennoch wäre es der gänzlich falsche Weg, wie von den Kollegen von The Register (nicht ganz ernst gemeint) vorgeschlagen, „einfach aufzugeben“ angesichts der Lernresistenz einiger Menschen. Manche Lernerfolge benötigen einfach Zeit, stellen sich aber irgendwann doch noch ein.

Aktuelles Beispiel dafür ist die Verwendung von Verschlüsselungs-Technologien. Jahrelang schien sich diese trotz unbestreitbarer Vorzüge nicht durchsetzen zu können. Im letzten Jahr jedoch schien endlich der Knoten sowohl bei der Industrie als auch bei den Nutzerinnen und Nutzern zu platzen und starke Kryptographie erreichte den Mainstream. Hoffentlich wird die Nutzung sicherer Passwörter, ruhig durch Rückgriff auf technische Hilfsmittel, auf ähnlichem Wege auch noch zu einer Selbstverständlichkeit. 


Image „datenschutz“ (adapted) by succo (CC0 Public Domain)


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me

  • FACEBOOK golem: Facebook kauft Passwörter im Darknet: Facebook-Sicherheitschef Alex Stamos erwähnte auf der Web Summit in Lissabon, dass die Firma im Darknet Listen mit gehackten Passwörtern kauft. Dieses Verfahren ist umstritten, da die Passwörter im Vorfeld illegal kopiert wurden. Facebook gleicht diese Listen dann mit den eigenen Listen der Passwörter der User ab. Diese liegen der Plattform jedoch nicht im Klartext vor, sondern sind gehasht. Indem Facebook die Listen abgleicht, kann man doppelte Passwörter erkennen. Die Firma kann dann im nächsten Schritt Nutzer warnen und sie auffordern, ihr Passwort zu ändern.

  • APPLE heise: Apple erhält neues Patent für Kopfhörer mit Tracking-Funktion: Apple hat für die AirPods, die sich noch immer in der Entwicklung befinden, ein weiteres Patent eingereicht. Schon jetzt können über Sensoren in den Ohrhörern Daten erfasst werden, wie z. B., ob der Kopfhörer im Ohr steckt. Doch die Planungen gehen soweit, dass es eine regelrechte Sprache geben soll, in der User Befehle an das verbundene Gerät senden können. Die Sprache stellen hierbei Kopfbewegungen dar. Weitere Sensoren sollen folgen, sodas biometrische Daten wie beispielsweise Herzfrequenz, Temperatur und Atmung erfasst warden können.

  • SONNTAG Abendblatt: Mehr verkaufsoffene Sonntage pro Jahr: Während man im Internet 24/7 einkaufen kann, ist man in Geschäften weiterhin an Öffnungszeiten gebunden. Der Handel will nun versuchen, für Kunden wieder attraktiver zu werden und wettbewerbsfähig zu bleiben. So sagte Josef Sanktjohanser, Präsident des Handelsverbands Deutschland, der Neuen Osnabrücker Zeitung: „Wir schlagen vor: Bundesweit zehn verkaufsoffene Sonntage mit Öffnungszeiten von 13 bis 18 Uhr, ohne dass es dafür einen besonderen Anlass geben muss”. Doch promt gibt es Gegenwind. Die Gewerkschaft Ver.di lehnt diesen Vorschlag ab und bezeichnet ihn als indiskutabel und verfassungswidrig. Eine Sprecherin sagte: „Der arbeitsfreie Sonntag ist ein Grundrecht, das Beschäftigten zusteht.“

  • GOOGLE t3n: Großes Update für Google Newsstand: Nutzer der Apple- und Android-App Google Newsstand können sich über ein umfangreiches Update freuen. Zukünftig wird die App persönlicher durch sogenanntes „Machine Learning” Beim Start zeigt Newsstand ein Briefing mit aktuellen, auf die Interessen des Nutzers abgestimmten Schlagzeilen an. Vor allem aber kommt mit dem Update auch endlich eine Webversion. Unter der Internetadresse newsstand.google.com wird die Website für User erreichbar sein. Google plant den Release des Updates in den nächsten Tagen.

  • DOMINO’S Techbook: Erste Pizza per Drohne geliefert: Die Versuche haben Monate gedauert, die der Pizza-Lieferant Domino’s zusammen mit dem Tech-Startup Flirty durchgeführt hat. Doch es hat sich gelohnt, denn inzwischen ist es soweit: zum ersten Mal wurde eine Pizza von einer Drohne geliefert. Allerdings nicht hier in Deutschland, sondern in Neuseeland. Nachdem Domino’s in den letzten Monaten auch in Deutschland vermehrt auf Elektro-Autos wie den Renault Twizy setzt, sollen Drohnen jetzt der nächste Schritt in Richtung Zukunft der Lieferdienste sein.

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • APPLE Süddeutsche Zeitung: Auch Mac-Nutzer sollten jetzt dringend ihr Betriebssystem aktualisieren: Eine Woche nachdem Apple eine Sicherheitslücke gestopft hat, die der Spionage-Software „Pegasus“ Zugang zu iPhones verschaffen konnte, warnt Apple nun erneut, dass die Spionage-Software auch Mac-Desktop-Computer und Macbooks angreifen könnte und rät Mac Nutzer nun sofort das Betriebssystem zu aktualisieren. Die Software kann alles mitlesen, Passwörter abgreifen und Anrufen verfolgen.
  • IRAN heise online: Iran stellte erste Phase seines nationalen Internets vor: Iran möchte ein eigenes nationales Internet haben. Am Sonntag wurde die erste Phase eines rein nationalen Datennetzwerks vorgestellt. Es gibt zurzeit nur lokale Webseiten und Online-Dienste von Behörden und Regierungsstellen, die Nutzer aufrufen können. Im Februar 2017 soll bereits Videostreaming möglich sein. Und im März 2017 beginnt die dritte Phase, wo weitere Dienste hinzugefügt werden sollen.
  • SPOTIFY t3n: Spotify: Warum einige Nutzer ihr Passwort ändern müssen: Einige Kunden von Spotify müssen ihr Kennwort ändern, der Hintergrund bleibt aber noch unklar. Noch ist nicht bekannt, nach welchen Kriterien die Nutzer ausgewählt wurden und wie viele betroffen sind. Nach eigenen Angaben reagiert das Unternehmen damit auf die Veröffentlichung großer Datensätze mit Passwörtern, etwa aus dem Dropbox-Hack aus dem Jahr 2012. Doch Passwörter als reine Vorsichtsmaßnahme zu wechseln, ist umstritten. Und wenn Nutzer zum regelmäßiges Wechseln von Passwörtern gezwungen werden erhöht nicht die Qualität und Sicherheit.
  • SCHUFA Spiegel Online: Identitätsdiebstahl: Schufa startet Angebot für Opfer: Die Schufa führt einen neuen Dienst für Opfer von Identitätsdiebstahl im Internet ein. Wenn man Opfer von Datenmissbrauch geworden ist, kann man sich dort bei der Auskunft melden und damit den weiteren Datenmissbrauch vorbeugen. Der Grund für die neuen Angebote sind die steigenden Zahlen von Identitätsdiebstahl. Händler, aber auch Telekommunikationsanbieter nutzen Schufa um die Identität ihrer Kunden zu überprüfen.
  • YOUTUBE Handelsblatt: Youtube kämpft gegen harte Konkurrenz: Youtube ist der unangefochtene Marktführer wenn es um vorproduzierte Videos geht. Doch bei Live-Angeboten versucht Youtube verzweifelt, gegen Facebook und Snapchat anzukommen, die beiden erfolgreichen Streaming Dienste haben den Fokus auf Smartphones und Tablets. Jetzt werden die Arbeiten am Backstage-Bereich noch mehr vorangetrieben um den Nutzer alles, von Text über Fotos bis zu Videos und natürlich Livestreams zu ermöglichen.
Weiterlesen »

5 Lesetipps für den 23. Dezember

In unseren Lesetipps geht es heute um Sicherheitslücken bei EC-Kartenlesegeräten, das Smartphone als Passwort-Ersatz, ein neues Roboterauto, Roboter als Sprachtrainer und Whatsapp. Ergänzungen erwünscht.

  • SICHERHEITSLÜCKE SPIEGEL ONLINE: EC-Kartenleser: Hacker finden Sicherheitslücke bei der Zahlung mit Karte: Kriminelle haben wieder einmal die Möglichkeit sich kinderleicht zu bereichern, denn Sicherheitsforscher haben in Kartenlesesystemen Sicherheitslücken entdeckt. Es bedarf nicht vieler Handgriffe und die Diebe könnten sich einfach selbst Gutschriften ausstellen. Laut den Sicherheitsforschern sollen fast alle Bezahlterminals in Deutschland betroffen sein, also Hotelbetreiber, Tankstellen und Einzelhandelsgeschäfte. Doch auch die Betreiber haben eine Möglichkeit, sich vor diesen Angriffen zu schützen, sollten Hacker tatsächlich in der Lage sein die Bezahlterminals zu knacken.

  • PASSWORT-ERSATZ GWB: Smartphone als Sicherheits-Schlüssel: Google testet Login ohne Passwort: Ein Smartphone als Passwort-Ersatz? Es ist schwer sich etwas darunter vorzustellen, aber Google verfolgt damit einen ganz genauen Plan. Durch die vielen in Google-Accounts gespeicherten Nutzerinformationen, sollten die Daten besser gesichert sein, als durch ein bloßes Passwort. Nutzer testen derzeit den sicheren Login per Smartphone. Im Login-Feld wird die E-Mail-Adresse angegeben und der Nutzer muss anschließend die Frage beantworten, ob er tatsächlich versucht sich einzuloggen. Beantwortet der Nutzer mit JA, so läd sich die Seite neu und man ist eingeloggt. 

  • FORD DIE WELT: Autonomes Fahren: Ford und Google bauen gemeinsam ein Roboterauto: Google und Ford haben gemeinsame Pläne: Der Bau eines Roboterautos. Schon seit längerer Zeit arbeitet Google an seinen eigenen fahrerlosen Autos. Doch leider ist das Design der kleinen fahrenden Kugeln nicht ganz so umwerfend. Deshalb suchte Google nach einem Partner und so liefert das Unternehmen nun die Software und Ford die Hardware. Die Zusammenarbeit soll allerdings erst Anfang des nächsten Jahres im Rahmen der Consumer Electronics Show in Las Vegas bekannt gegeben werden.

  • SPRACHROBOTER n-tv.de: Sprachkurse für Einwandererkinder: Roboter sollen beim Deutschlernen helfen: Deutschlehrende Roboter für Einwandererkinder – eine etwas andere Art zu lehren und Wissenschaftler wollen jetzt wissen, ob das möglich ist. In den kommenden drei Jahren soll sich dann herausstellen, ob das Roboterkind “Nao” als Sprachtrainer für Vier- bis Fünfjährige geeignet ist. Der Sinn dahinter ist, dass Kitas es sich nicht großartig leisten können jedes einzelne Kind in einer Zweitsprache zu unterrichten. Der Roboter “Nao” könnte da Abhilfe schaffen.

  • WHATSAPP t3n: WhatsApp bekommt Videochat-Funktion: Interner Beta-Test soll schon laufen: Wie viele andere, entwickelt sich auch WhatsApp weiter und so heißt es, dass es womöglich bald eine Videochat-Funktion geben wird. Derzeit soll WhatsApp eine Beta-Version der Messaging-App testen. Doch wie soll diese Videochat-Funktion eigentlich aussehen? Der Chatpartner wird den größten Teil des Bildes einnehmen. In der unteren Leiste, befindet sich dann ein Button zum Auflegen, Stummschalten und zum Wechseln der Front- und Rückkamera. Man darf also gespannt sein, wann wir tatsächlich dieses neue Feature anwenden können.

CHIEF-EDITOR’S NOTE: Wenn Ihnen unsere Arbeit etwas wert ist, zeigen Sie es uns bitte auf Flattr oder indem Sie unsere Reichweite auf Twitter, Facebook, Google+, Soundcloud, Slideshare, YouTube und/oder Instagram erhöhen. Vielen Dank. – Tobias Schwarz

Nutze Netzpiloten 1-Klick: Mit nur einem Klick werden dir bequem alle 40 Sekunden die hier besprochenen Seiten „vorgeblättert“ START.

Weiterlesen »

Passwort: Die Länge ist wichtiger als Zahlen und Großbuchstaben

Linux password file (adapted) (Image by Christiaan Colen [CC BY-SA 2.0] via Flickr)

Die Kriterien für ein sicheres Passwort können die meisten von uns wohl im Schlaf aufzählen, eine Studie legt nun aber nahe, dass diese doch nicht so effektiv sind, wie angenommen. Passwörter müssen mindestens sechs Zeichen lang sein und folgende Elemente aufweisen: Groß- und Kleinbuchstaben (A–Z bzw. a–z), Ziffern (0–9) und Sonderzeichen (?_!@#). Auch wenn diese Kriterien weitestgehend bekannt sind, bedeutet dies nicht, dass sie auch von den meisten Nutzern beachtet werden, oder dass sie effektiv sind. Eine Studie hat nun ergeben, dass Ziffern und Groß- und Kleinbuchstaben nicht annähernd so effektiv sind, wie die Länge eines Passwortes.

Die Regeln verändern sich

In einer Studie des französischen Forschungsinstituts Eurecom hat Maurizio Filippone zusammen mit Matteo Dell’Amico vom Symantec Research Labs State-of-the-Art Techniken zum Erraten von Passwörtern getestet. Dabei sind sie zu dem überraschenden Ergebnis gekommen, dass Ziffern sowie Groß- und Kleinbuchstaben Passwörter kaum stärker machen. Längere Passwörter, sowie die Verwendung von Sonderzeichen, sind dagegen deutlich effektiver.

Doch wie kann das sein? Schließlich ist doch der Grundgedanke, je mehr unterschiedliche Zeichen man einsetzt, umso komplexer ist das Passwort und dadurch umso schwerer zu knacken. In der Theorie stimmt dies zwar, doch macht uns die Praxis mal wieder einen Strich durch die Rechnung.

Das Problem mit den bisherigen Kriterien liegt zum einen in der Umsetzung durch den Nutzer und zum anderen in der Weiterentwicklung von Software zum Erraten von Passwörtern. In der Theorie ist eine Mischung von Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen eine gute Methode, um die Chancen zu verringern, dass eine Software das Passwort errät, indem sie systematisch jede Kombination von Zeichen und Ziffern ausprobiert.

Doch ganz so stumpf gehen aktuelle Software-Lösungen längst nicht mehr vor. Statt wie bisher einfach alle möglichen Kombinationen mehr oder weniger zufällig auszuprobieren, gehen die Software-Tools deutlich schlauer vor. Zu verdanken haben sie es einer Menge Leaks von Listen mit Millionen Passwörtern, wie etwa den rund 130 Millionen Passwörter umfassenden Leak von Adobe aus dem Jahr 2013. Aus diesen Listen lassen sich nämlich gängige Muster für den Aufbau von Passwörtern ableiten, die es den Software-Tools deutlich vereinfachen, ihren Job schnell zu erledigen.

Sicherheitsrisiko Passwort

Das Problem ist, dass die vorgegebenen Kriterien auf immer gleiche Arten umgesetzt werden. Schuld daran sind auch die Anzeigen, die beim Erstellen eines Passwortes angeben, wie sicher dieses ist, denn sie achten nur auf das Vorhandensein der entsprechenden Zeichen, nicht aber auf deren Mischung. Dell’Amico und Fillipone haben daher eine neue Messmethode zum Ermitteln der Passwortsicherheit erarbeitet, die genau das mit in Betracht zieht.

Sie nahmen sich eine Liste mit 10 Millionen geleakten Passwörtern, um damit Software zum Erraten von Passwörtern zu trainieren. Diese Software ließen sie dann eine Liste von Passwörtern generieren und haben daraus einen “Guessability Score” (also einen Erratbarkeitswert) erarbeitet. Diese Methode haben sie dann an 32 Millionen Passwörtern getestet, wie sie in ihrer Studie ausführlich beschreiben.

Groß- und Kleinbuchstaben sowie Ziffern sind für die Stärke eines Passwortes nicht so wichtig, da die Nutzer sie tendenziell immer gleich einsetzen: Großbuchstaben finden sich überwiegend am Anfang und Zahlen am Ende des Passwortes, wie Dell’Amico gegenüber MIT-Technology Review erklärt. Seiner Ansicht nach müssen wir Passwörter weniger vorhersehbar machen. Dies ist allerdings leichter gesagt als getan, wenn nicht mal große Webseiten ihre Anforderungen für sichere Passwörter den neuen Umständen anpassen können.

Ich habe einmal wahllos auf eBay geschaut und dort heißt es beispielsweise: Ein sicheres Passwort ist mindestens sechs Zeichen lang. Solche kurzen Passwörter gelten allerdings schon lange nicht mehr als Herausforderung für Passwort-Hacking-Tools, die dank günstiger und gewaltiger Rechenleistung mit Brute Force innerhalb kurzer Zeit derart kurze Passwörter knacken.

Der Sicherheitsforscher Mark Burnett bestätigt dann auch gegenüber Technology Review, dass auch die neuerarbeitete Methode nicht perfekt ist, dennoch ist sie seiner Ansicht nach die beste Methode, die er derzeit kennt. Sein Tipp ist, bei der nächsten Passwortvergabe einfach noch ein oder zwei Wörter dranzuhängen. Aber auch dies wird nur eine temporäre Lösung sein, denn die entsprechenden Tools werden immer klüger und unsere Passwörter immer länger, so dass sie inzwischen weitestgehend nutzlos sind.

Die Industrie muss sich hier bald etwas neues einfallen lassen – bis dahin können wir nur jedem Leser ganz dringend die Verwendung von Passwort-Managern wie 1Password, True Key oder die Open-Source-Alternative KeePass empfehlen, mit denen sich ellenlange Zufallspasswörter erstellen lassen, die man sich dann aber nicht merken muss.


Image (adapted) “Linux password file” by Christiaan Colen (CC BY-SA 2.0)


 

Weiterlesen »

Was bei einem gehackten Twitter-Account zu tun ist

Laptog (image by geralt [CC0 Public Domain] via flickr)

Montagnachmittag wurde der Twitter-Account des Münchner Tech-Blogs CHIP Online von einem Unbekannten gehackt. Dieser twitterte dann unter dem Namen von CHIP Online lauter Unsinn. Die Redaktion kam wohl noch einmal mit dem Schrecken davon, denn solch ein Fall kann auch weitaus schlimmer ausgehen. Wenn das einem Twitter-Nutzer passiert, sollte dieser schnellstens aktiv werden und folgende Schritte durchführen.

Hat ein Dritter das eigene Twitter-Konto gehackt, kann man sich unter Umständen vielleicht auch noch selber anmelden. Dann sollten Nutzer folgendermaßen vorgehen:

  1. Zuerst muss das Passwort geändert werden. Dazu muss unter “Einstellungen” (Zahnrad-Symbol) der Menüpunkt “Passwort” aufgerufen werden. Jetzt können Nutzer das Passwort ändern, indem sie das alte Passwort angeben und dann zweimal das neue Passwort bestätigen.

  2. Durch den Hack das Twitter-Accounts können Dritte auch Zugang zum E-Mail-Account des Nutzers erhalten haben, weshalb gleich auch das Passwort für das E-Mail-Konto geändert werden muss. Dies ist von Mail-Anbieter zu Mail-Anbieter unterschiedlich und muss individuell versucht werden.

  3. Inzwischen melden sich immer mehr Nutzer mit Twitter auch für andere Dienste an oder erlauben Apps den Zugriff auf das eigene Nutzerkonto. Beides ist keine gute Idee. Ebenfalls unter dem Menüpunkt “Einstellungen” kann der durch einen Klick auf “Apps” gesehen werden, welche Apps Zugriff haben und einem unbekannte Dienste entfernt werden.

Natürlich können Hacker auch bereits das Passwort des Twitter-Konto geändert haben und die obere Anleitungen nützt einem gar nichts mehr. Dann helfen nur noch diese beiden Schritte:

  1. Beim Versuch sich einzuloggen, können Nutzer das alte Passwort zurücksetzen, ein neues Passwort beantragen und Twitter sendet dem Nutzer eine Mail zum Festlegen des neuen Passworts zu.

  2. Im äußersten Notfall hilft nur noch den Support von Twitter zu kontaktieren und den Vorfall in all seinen Details zu schildern. Dies kann aber ein paar Tage in Anspruch nehmen.


Teaser & Image “Passwort” by geralt (CC0 Public Domain)


CHIEF-EDITOR’S NOTE: Wenn Ihnen unsere Arbeit etwas wert ist, zeigen Sie es uns bitte auf Flattr oder indem Sie unsere Reichweite auf Twitter, Facebook, Google+, Soundcloud, Slideshare, YouTube und/oder Instagram erhöhen. Vielen Dank. – Tobias Schwarz

Weiterlesen »

WLAN-Passwort für Windows und Mac auslesen

wifi-BIG (adapted) (Image by EFF-Photos [CC BY 2.0] via Flickr)

Wie kommt man an das Passwort des WLAN-Netzwerks, mit dem man verbunden ist, an das man sich aber nicht mehr erinnert? Ein einfacher Schritt kann helfen. Stellen Sie sich vor, sie sind mit einem WLAN-Netzwerk verbunden und möchten jetzt noch ein zweites Gerät mit diesem Netzwerk verbinden, beispielsweise ein Smartphone. Wie kommt man jetzt an das Passwort, an das man sich in dem Moment nicht mehr erinnert? Falls es nicht möglich ist, das Passwort vom Router abzulesen, können Sie entweder dem Netzwerkadministrator eine Passwort-Anfrage schicken, oder aber Sie öffnen die Eingabeaufforderung auf ihrem Computer und holen sich das gespeicherte Passwort in einem einfachen Schritt. Das Gute daran: Das Verfahren lässt sich sowohl für Computer mit Windows, als auch für Macs durchführen.

Das Passwort unter Windows auslesen:

Öffnen sie die “Eingabeaufforderung“ als Administrator. Dazu machen sie einen Rechtsklick auf das Symbol “Eingabeaufforderung“ und wählen anschließend “Ausführen als Administrator“. Schreiben Sie “cmd“ in die Ausführen-Box und geben Sie im Anschluss folgenden Befehl ein:

netsh wlan show profile name=NetzpilotenHQ key=clear

Denken Sie daran, “NetzpilotenHQ“ mit dem Namen ihrer Wireless SSID (der Name des WLAN-Netzwerks mit dem Sie verbunden sind) zu ersetzen. Das Passwort erscheint anschließend unter der Sektion “Sicherheitseinstellungen“, wie man auf dem Screenshot sehen kann.

WLAN Windows Screen 650x500 farbe

Das Passwort unter OS X auslesen:

Seit Mac OS X Lion gibt es die sogenannte Schlüsselbundverwaltung (Keychain). Diese wird verwendet, um die Konfigurationsdetails des WLAN-Netzwerks zu speichern. Der BSD Befehl “Sicherheit“ kann verwendet werden, um alles innerhalb der Keychain abzufragen, inklusive dem WLAN-Passwort. Und so funktioniert es:

Öffnen Sie Spotlight (CmD+ Leertaste) und schreiben Sie “terminal“, um das Terminal-Fenster zu öffnen. In die Kommandozeile geben Sie den folgenden Befehl ein (ersetzten Sie NetzpilotenHQ mit Ihrem WLAN-Namen), anschließend geben Sie ihren Mac-Benutzernamen und das Passwort ein, um Zugriff auf die OS X Keychain zu erhalten. Das WLAN-Passwort wird Ihnen im Anschluss auf dem Bildschirm angezeigt.

security find-generic-password -ga NetzpilotenHQ | grep password

ScreenMac 650x418 farbe2

Mit diesen kleinen Schritten, können Sie ohne Problem das Passwort für WLAN-Netzwerke auslesen, mit denen Ihr Windows-PC oder Ihr Mac verbunden sind.


Image (adapted) „wifi-BIG“ by EFF Photos (CC BY 2.0)

Screenshots by Patrick Kiurina


Weiterlesen »

Warum sind sichere Passwörter so schwierig zu erstellen?

Datenschutz (adapted) (Image by succo [CC0 Public Domain] via Pixabay)

Wer technisch halbwegs bewandert und besorgt um die Sicherheit seiner Daten ist, wird Wert auf sichere Passwörter legen. Doch diese sind oft gar nicht so sicher, wie man denkt. Was macht ein Passwort sicher? Mindestens acht Zeichen, die aus einer Mischung aus Groß- und Kleinbuschstaben, Zahlen und Satz- oder Sonderzeichen bestehen und nicht in Wörterbüchern zu finden sind, auch nicht mit ausgetauschten Zeichen, wie etwa in ‚P@sswort‘. Diese Regeln befolgst du akribisch und betest sie in- und auswendig jedem deiner technisch weniger versierten Freunde vor? Du fühlst dich und deine Daten so sicher, wie möglich, denn wer um alles in der Welt könnte diese willkürliche Zahlenfolge erraten? Du musst jetzt tapfer sein. Ich hoffe du sitzt? Denn das meiste, was du über Passwörter weißt, ist nicht korrekt.

Wie Passwörter gehackt werden

Okay, das ist jetzt vielleicht alles etwas schwer zu verdauen, aber ein Passwort, das den gängigen Regeln folgt, um aus diesem Weg den typischen Hacking-Techniken zu widerstehen, kann genauso schnell entschlüsselt werden, wie ‚Passwort‘ oder ‚123456‘. Doch wie werden Passwörter eigentlich gehackt? Dafür ist es nicht ganz unwichtig zu wissen, dass keine Website (außer Sony Pictures) die Passwörter als Klartext speichert. Vielmehr werden diese einseitig verschlüsselt. Der Algorithmus, der diese Operation ausführt wird ‚hash‘ genannt und sorgt dafür, dass sich das Passwort anhand des Ergebnisses nicht mehr rekonstruieren lässt. Wenn man sich auf einer Website einloggt, wird das Passwort ‚gehasht‘ und mit der auf dem Server gespeicherten Version verglichen.

Ein Hacker, der eine Datei mit gehashten Passwörtern in die Finger bekommt, geht mit sogenannten Brute-Force-Methoden, also mit roher Gewalt, vor um die Passwörter herauszufinden. Zunächst werden die gängigsten Passwörter ausprobiert, dann Wörter aus Wörterbüchern und dann Wortkombinationen. Natürlich sind längere Passwörter, die komplexe Zeichensätze verwenden exponentiell schwerer zu knacken, als kurze, simple Passwörter, allerdings verkürzt die erschwinglich gewordene rohe Rechenkraft diese Zeit erheblich. Aktuelle Rechner mit einem Grafikkarten-Array arbeiten sich durch Milliarden und sogar Billionen Passwörter pro Sekunde, wenn der SHA-1-Algorithmus zum Einsatz kommt. Dieser ist zwar veraltet, aber aufgrund der Trägheit immer noch weit verbreitet – doch selbst aktuellere Verschlüsselungsalgorithmen verlangsamen den Vorgang auf „nur“ Zehntausende bis Hunderttausende Passwörter pro Sekunde. Mit anderen Worten, die schiere Rechenleistung ermöglicht es Hackern alle nur erdenklichen Zeichenkombinationen in kurzer Zeit auszuprobieren. Ein Passwort, das aus 10 bis 12 Zeichen besteht und allen möglichen Zeichenarten besteht, bleibt auch weiterhin sehr sicher, und kann höchstens den determiniertesten Hackern zum Opfer fallen. Wer also Passwortgeneratoren und -Manager wie 1Password, KeyPass oder LastPass verwendet, minimiert mit einzigartigen und zufälligen Passwörtern das Risiko zumindest. Die wenigsten Nutzer tun dies allerdings und genau hier liegt das Problem.

Nicht Goethe zitieren

Das große Problem mit den Passwort-Richtlinien ist, dass sie den Nutzer mehr in Gefahr bringen, als ihn zu schützen. Denn auch wenn die Seite, auf dem man ein Passwort eingibt, einem suggeriert, dass dies sicher sei, weil es den Sicherheitsanforderungen entspricht, muss dem nicht so sein. Das Problem ist, dass das menschliche Gehirn nicht dafür gebaut ist, sich wahllose Ketten aus Buchstaben, Zahlen und Satzzeichen zu merken. Wenn Nutzer aufgefordert werden, ein sicheres Passwort zu erstellen, nehmen die meisten ihr Lieblingswort oder Konzept und versuchen es in die entsprechende Form zu pressen. Menschen erzählen sich halt keine merkwürdigen Zeichensequenzen, sondern Geschichten. Die meisten Indikatoren für die Qualität eines Passwortes messen letztendlich nur, wie unwahrscheinlich es ist, sich ein Passwort zu merken. Doch genau das ist schließlich sehr wichtig für Nutzer, vor allem, wenn sie keine Passwortmanager einsetzen. In einem Feldversuch hat Ars Technica 2013 drei Experten im Knacken von Passwörtern beauftragt, sich eine geleakte Passwort-Datenbank vorzunehmen. Mit den üblichen Methoden zum Minimieren der unendlichen Kombinationsmöglichkeiten, wie Markow-Ketten, konnten die Experten innerhalb einer Stunde Passwörter mit einer Trefferquote von 60 Prozent ermitteln, nach 20 Stunden waren es bereits 90 Prozent.

Der Sicherheitsforscher Dr. Marcus Jacobsen hat in einem Interview mit Fast Company einen anderen Vorschlag für sichere Passwörter unterbreitet, den er „Fastwords“ nennt. Diese Methode soll Geschichtenerzählen, Passwortstärke und Wahrscheinlichkeit vereinen und dadurch nahezu unknackbare Passwörter erstellen. Diese Methode ist der aus einem bekannten xkcd-Comic nicht unähnlich, in der vorgeschlagen wird, sich eine kurze Geschichte auszudenken, die man dann auf wenige Wörter herunterbricht. Zum Beispiel: Man tritt beim Joggen durch den Wald beinahe auf ein Eichhörnchen – daraus wird dann „Joggen Wald Eichhörnchen„. Da Passwörter aus Phrasen mit mehr als 10-12 Zeichen durch Brute Force nicht effizient zu knacken sind, versuchen Hacker Wortkombinationen und andere Techniken, weshalb die Kombination der Wörter in dieser Reihenfolge aufgrund der geringen Wahrscheinlichkeit wichtig ist.

Um herauszufinden, ob ein Fastword so sicher wie möglich ist, sollte die Wahrscheinlichkeit seines Vorkommens in einem großen Textkörper überprüft werden. „Des Pudels Kern“ kommt in Goethes Faust vor und wird als gängiges Zitat sehr häufig anzutreffen sein. Je seltener die Wortkombination, desto besser die Verteidigung gegen Passwortknacker. Diese Methode könnte endlich eine Abkehr von einer Passwortpolitik herbeiführen, die dem Nutzer mehr schadet, als ihn vor genau diesem zu beschützen. Auf lange Sicht wird dies allerdings auch nicht ausreichen – hier wird ein zweiter Faktor nötig, etwa biometrische Sensoren wie Fingerabdruck-Scanner, die bereits im iPhone 6 oder im Samsung Galaxy S6 zu finden sind. In diesem Bereich forschen viele Unternehmen an Alternativen für das alte Passwort, doch bis diese sich durchsetzen und sicher sind, werden wir uns noch mit den alten Passwörtern herumschlagen müssen.


Image (adapted) „Datenschutz“ by succo (CC0 Public Domain)

Weiterlesen »

5 Lesetipps für den 21. November

In unseren Lesetipps geht es um die Digitalisierung von Büchern, das Geheimnis der Passwörter, Uber, Erfahrungen mit dem Smart Home und Amazons Snapchat-Experiment. Ergänzungen erwünscht.

  • DIGITALISIERUNG Wired: Allen B. Riddell digitalisiert Bücher, deren Regelschutzfrist abgelaufen ist: Die Netzpiloten-Autorin Katharina Brunner berichtet auf Wired.de über die Digitalisierung von gemeinfreien Werken. Ab dem ersten Januar nächsten Jahres werden nämlich die Werke von 1280 Autoren gemeinfrei. Da der Aufwand, all diese Werke zu digitalisieren, sehr hoch ist, hat Allen B. Ridell nun ein Algorithmus entwickelt, der die Werke mit Wikipedia abgleicht und basierend darauf ein Ranking erstellt, welches angibt, welche dieser Werke für die Allgemeinheit am wichtigsten sind. Zwar ist der Algorithmus noch lange nicht perfekt, doch vereinfacht er die Arbeit der Freiwilligen, die die Werke mit viel Mühe digitalisieren.

  • PASSWÖRTER New York Times: The Secret Life of Passwords: Jeder hat sie, jeder benutzt sie täglich: Passwörter. Mit ihnen werden Dokumente, Daten und vieles mehr vor unerlaubtem Zugriff geschützt. Doch auch wenn diese somit hauptsächlich zweckmäßig verwendet werden, steckt hinter ihnen oftmals weitaus mehr. Wie Ian Urbina in einer Reportage für die New York Times untersucht hat, verstecken sich in den Passwörtern unsere persönlichen Hoffnungen und Träume, unsere liebsten Erinnerungen und die tiefsten Bedeutungen. Oft verraten die Passwörter sogar mehr, als unsere Accounts hinter ihnen.

  • UBER Gründerszene: 7 Gründe, warum Uber auf dem besten Weg zum Mobilitätsgiganten ist: In den letzten Tagen hatten wir bereits zwei Mal einen Artikel über den Taxi-Konkurrenten Uber in den Lesetipps. Auch heute wollen wir euch einen interessanten Artikel über das Startup nicht vorenthalten, denn über Uber wird momentan einfach viel spannendes geschrieben. So hat Gründerszene nun sieben Gründe genannt, warum Uber auf dem besten Weg ist, der nächste Mobilitätsgigant zu werden. Trotz der negativen Presse in dieser Woche seien die zukünftigen Aussichten weiter rosig, wie sowohl die Wachstumsaussichten als auch die Möglichkeit weiteres Kapital zu erhalten, zeigen.

  • SMARHOME Golem: Smarthome: Das intelligente Haus wird nie fertig: Das Smart Home ist im Trend. Doch ist der Aufbau und die langfristige Anwendung eines vernetzten und intelligenten Zuhauses auch praktikabel? Ein Erfahrungsbericht auf Golem erklärt die Vorzüge, aber auch Nachteile und Herausforderungen des Smart Homes. Von der Planung über die schrittweise Umsetzung zeigt der Bericht, dass einmal angefangen das Smart Home süchtig macht und man nicht mehr aufhören kann sein Zuhause nach und nach weiter zu vernetzen und intelligenter zu machen.

  • AMAZON CNet: Amazon uses Snapchat to send exclusive deals: In nur einer Woche findet der alljährliche „Black Friday“ statt. Der Online-Versandhändler Amazon versucht sich im Rahmen des Shopping-Events dieses Jahr an einer neuen Form der Promotion. Via der Instant-Messaging App Snapchat verschickt Amazon von nun an Geschenkideen, Empfehlungen und exklusive Deals. Der Versandriese verstärkt damit seine Präsenz in den sozialen Medien – vor allem im mobilen Segment. Mittlerweile kaufen bei Amazon mehr als die Hälfte aller Nutzer über mobile Endgeräte ein. Amazon möchte deswegen nun auch versuchen hierüber die Kunden zu erreichen.

Nutze Netzpiloten 1-Klick: Mit nur einem Klick werden dir bequem alle 40 Sekunden die hier besprochenen Seiten „vorgeblättert“ START.

Weiterlesen »

Die digitalen Langfinger beim Datenklau

Die Cyber-Kriminalität ist unaufhaltsam auf dem Vormarsch. Doch machen wir den Langfingern den Datenklau nicht viel zu einfach? // von Oliver Bernt.

Binär (Bild: geralt  [CC BY-SA 2.0], via pixabay.com)

Die Vorstellung, dass die persönlichen Daten durchs Internet schwirren und jedem frei zur Verfügung stehen ist erschreckend. Aber leider auch nicht unüblich. Das Risiko, dass Kriminelle unsere Daten für dunkle Machenschaften missbrauchen, ist hoch wie nie zuvor. Um Herauszufinden, wie es um die eigenen Daten steht, hat das Hasso-Plattner-Instituts der Uni Potsdam ein Programm namens Identity Leak Checker kostenlos online zur Verfügung gestellt. Weiterlesen »

Weiterlesen »

5 Lesetipps für den 27. Mai

In den Lesetipps geht es um die Datenschutz-Lüge, den Erfinder des Passworts, Internet vs. TV, einen kühnen Plan von Google und Gegenwind für Amazon. Ergänzungen erwünscht.

  • ÜBERWACHUNG Zeit Online: Die Datenschutz-Lüge: Geheimdienste und Sicherheitsbehörden lagern immer mehr Überwachungsmaßnahmen an private Unternehmen aus. In einem Gastbeitrag auf Zeit Online fordert der grüne Politiker Malte Spitz, dass die Politik diese unheilvolle Allianz beenden muss. Längst sind europäische Geheimdienste, also auch „unser“ BND, Teil einer globalen Überwachungsmaschinerie. Der von Angela Merkel und Sigmar Gabriel nahezu perfektionierte Populismus ist aber keine angemessene Reaktion auf diesen für eine Demokratie nicht hinnehmbare Situation. Die Bundesregierung sollte einmal wirklich etwas gegen Überwachung tun.
  • PASSWORT Wall Street Journal: Man Behind the First Computer Password: Nach dem Heartbleed-Bug haben sich viele Nutzer mit einem in Zeiten von Social Login fast vergessenen Artefakt des Internets auseinandergesetzt: dem Passwort. Für das Wall Street Journal hat Danny Yadron den Erfinder des ersten Computer-Passworts, Fernando Corbató, interviewt. Corbató schreibt seine Passwörter noch heute auf ein Blatt Papier und erklärt im Interview, warum er das erste Passwort erst erfinden musste.
  • INTERNET VS. TV Forbes: Time Warner CEO Says TV is Taking Over The Web: Der TV-Moderator Fareed Zakaria hatte die undankbare Aufgabe seinen sehr weit über ihn stehenden Vorgesetzten Jeff Bewkes, CEO von Time Warner, zu interviewen. Auf die wohl als nette Steilvorlage gedachte Frage, ob denn nicht das Internet das Fernsehen auffrisst, legte Bewkes eine einem Raketenstart gleichende Antwort vor: Das Fernsehen wird das Internet schlucken. Bewkes begründet diese Aussage dann noch mit einer Argumentation, die Steven Rosenbaum in seinem Forbes-Artikel kommentiert.
  • GOOGLE Go2Android.de: Google plant kostenloses WLAN für Alle: Das Feuilleton hat uns in den letzten Monaten ja sehr intensiv über die uns bedrohenden Denkweisen des Silicon Valley aufgeklärt. Bei Google soll man ja groß denken und das dann mal Zehn oder so multipliziere. Scheinbar hatte jemand mal wieder so eine Idee, denn Stefan Kirchner berichtet auf Go2Android.de, dass Google jetzt plane, nach den Entwicklungsländern und weißen Flecken auf der Internet-Karte auch Industrienationen mit einem kostenlosen WLAN zu versorgen. Was wie die angekündigte Disruption von Mobilfunkanbietern klingt ist vor allem Grundlage für die lukrative Auswertung der absoluten Vernetzung des wohlhabendsten Teil der Welt.
  • AMAZON Frankfurter Rundschau: Brutale Erpressung: Auf der Seite der Frankfurter Rundschau schreibt Jonas Rest über die Praxis von Amazon, Bücher aus dem eigenen Angebot verschwinden zu lassen, um Verlage gefügig zu machen. Nun erwägt der Börsenverein des Deutschen Buchhandels kartellrechtliche Schritte, denn auch in Europa wendet der US-Internetkonzern diese Taktiken an. Wer Brad Stones „Der Allesverkäufer“ gelesen hat wird ahnen, dass Amazon sich hier durchsetzen wird, denn am Ende entscheiden die Kunden und mein letzter Versuch bei einem Verlag direkt ein Buch zu bestellen, zeigte mir einmal mehr auf, warum Amazon gegen jede Moralvorstellung weiterhin erfolgreich sein wird.

Nutze Netzpiloten 1-Klick: Mit nur einem Klick werden dir bequem alle 40 Sekunden die hier besprochenen Seiten „vorgeblättert“ START.

Weiterlesen »

Die 25 häufigsten Passwörter und PINs

Dass Passwörter regelmäßig geknackt werden ist gang und gäbe. Wir erinnern uns zuletzt beispielsweise an den LinkedIn-Hack, der 6.5 Millionen Kennwörter abgegriffen und veröffentlicht hat. Was man dann oftmals in den Medien liest, sind Tipps wie man sichere Kennwörter generiert, welche Attribute das Passwort haben und welche Begiffe und Zahlenkombinationen man besser nicht wählen sollte.

Mindestens genauso wichtige Tipps gibt es auch für den Umgang mit PINs. Menschen neigen dazu oftmals Sicherheitsschlüssel zu wählen, die leicht eingänglich sind. Ein zweiter Fehler besteht auch darin, dass man für viele verschiedene Dienste immer die gleichen Anmeldedaten nutzt. Da kommt es schon mal vor, dass das Facebook-Passwort identisch mit dem vom E-Mail-Client ist oder dass die Smartphone-PIN aus der gleichen Zahlenfolge besteht, wie die des Girokontos.

Weiterlesen »

Weiterlesen »

Werden Passwörter und PINs bald überflüssig sein?

Passwörter und PINs sind ja ganz nett. Aber seien wir doch mal ehrlich. Für jeden halbwegs talentierten Hacker ist es ein leichtes sie auszulesen und zu nutzen. Etwas sicherer wird es da schon mit biometrischen Daten. Der Fingerabdruck-Scan beispielsweise ist inzwischen in weiten Teilen der Informationstechnologie gang und gäbe. Es gibt ihn bekanntlich auch bereits als Hardware-Komponente an vielen PCs und Laptops für den privaten Gebrauch. Weitere Möglichkeiten, wie z.B. die Iris-Erkennung sind ebenfalls schon lange erforscht und entwickelt, aber haben es bisher eher auf Systeme im unternehmerischen Umfeld geschafft. Diese Möglichkeiten, so einzigartig sie auch sind, haben allerdings einen Makel: die Informationen werden sich nie ändern, da sich sowohl der Fingerabdruck sowie auch die Iris von der Geburt an nicht weiterentwickeln.

Weiterlesen »

Weiterlesen »