Freitag, 14. Juli 2017

Ich wurde gehackt

OK, ich gebe es zu, es ist typischer Clickbait; nicht ich wurde gehackt, sondern ein paar Dienste, bei denen ich mich mal registriert habe.

Das Hasso-Plattner-Institut hat Leaks gesammelt und bietet einen Identity Leak Checker an, mit dem man überprüfen kann, ob man selbst betroffen ist: https://sec.hpi.de/leak-checker/search?

Bei mir sieht es bei einer E-Mail Adresse so aus:


Warum ich dennoch entspannt bin, möchte ich in diesem Post erläutern. 


1. E-Mail-Adresse pro Dienst

Zu allererst besitze ich eine eigene Domain mit der Möglichkeit, unbegrenzt viele E-Mail-Adressen auf diese Domain laufen zu lassen. Das bedeutet, dass ich für jeden (mir wichtigen) Dienst eine eigene E-Mail-Adresse erstellt habe. Eigentlich hatte ich das vor ca. 20 Jahren gemacht, um herauszufinden, woher der Spam kommt, wenn er denn kommt. Verkauft z.B. Amazon die E-Mail-Adressen, würde ich das zweifelsfrei erkennen, weil nur Amazon diese E-Mail-Adresse benutzt.

Zudem wird besitzt keine E-Mail-Adresse, die ich nach außen trage, ein Postfach. Es werden alle an ein nach außen unbekanntes E-Mail-Postfach weitergeleitet. Klingt seltsam, dienst aber dem Spam-Schutz. Ist eine E-Mail-Adresse in einem Spam-Verteiler und ich werde nicht mehr Herr der Lage, kann ich sie abschalten. Das wäre bei manchen Adressen zwar schmerzlich, aber der wahre Empfänger bliebe dennoch unberührt.

Man merkt schon, dass ich beim Einrichten dieser Informationslogistik vor allem Spam im Blick hatte. Übrigens war die Befürchtung ein Stück weit unbegründet: Weder Amazon noch Google noch sonstein größerer (ernst zu nehmender) Dienst hat E-Mail-Adressen verkauft. Beim Spamaufkommen (im Juni waren es 15 Mails) handelt es sich tatsächlich um die Adressen, die nun auch der Identity Leak Checker bemängelt. Daher dürfte die grundsätzliche Herkunft von Spam nachvollziehbar vor allem an Hacks von Diensten liegen.

Der Spam-Ordner sollte übrigens hin und wieder mal überprüft werden. Nicht nur, weil da nützliche E-Mails landen könnten, sondern vor allem, weil der Spam manchmal preisgibt, wo sich eine Lücke aufgetan hat - und sei es über die Empfängeradresse.

2. Passwort pro Dienst

Wesentlich wichtiger als ständig wechselnde Passwörter sind aus meiner Sicht die Vermeidung von Mehrfachnutzung. So benutze ich pro Dienst ein eigenes Passwort. Dabei sind die Passwörter so gestrickt, dass ich sie mir natürlich auch wieder herleiten kann.

Beispiel gefällig?
Nehmen wir mal Amazon. Dort könnte ein individuelles Passwort so aussehen:
AmahfP:2017!

Wie man sich sowas merken und herleiten kann? Ganz einfach:
  • Am Anfang stehen drei Buchstaben des Dienstes: "Ama"
    Das ist wichtig, weil sich darüber die Dienste unterscheiden. So wären beispielsweise die ersten drei Buchstaben von Google "Goo". - Ich denke, es wird klar, wo es hingeht.
  • Danach kommt eine statische Zeichenfolge, die ich mir mit einem Satz merken kann: "hfP:"
    Der Satz, den ich mir bis hier merken müsste, würde lauten: "Amazon hat folgendes Passwort:"
  • Dann kommt eine Komponente, die ich regelmäßig ändere: "2017"
    Das wäre bei mir das Jahr, wann das Passwort erstellt wurde oder ähnliches.
  • Zum Schluss ein Satzzeichen, weil es ist ja ein Satz, den ich mir merken muss: "!"
So haben wir mit Leichtigkeit ein 12-stelliges Passwort, was kompliziert genug ist, individuell und dennoch leicht zu merken. 

Die Sicherheit des Passwortes kann man hier recht gut testen: https://wiesicheristmeinpasswort.de.

Noch ein Tipp am Rande: Kennwörter, die regionale Sonderzeichen beinhalten ('ä', 'ö', 'ü', 'ß') schließen schon mal eine gewisse Gruppe aus, die mit Zeichensätzen arbeitet, die diese Zeichen nicht beinhaltet. Das ist zwar kein besonders großer Schutz, aber die Summe aller Maßnahmen zählt.

Übrigens: Das oben ist natürlich nicht mein Passwort für Amazon. ;-)

3. Vermeidung von Cross-Logins

Nun kann man sich mit dem Facebook- oder Google- oder Microsoft-Login auch bei anderen Diensten authentifizieren. Ich gehe damit extrem sparsam um. Weil: Was ist, wenn dieser Dienst gehackt wird? Oder: Was ist, wenn dieser Dienst die API ändert? Oder: Was ist, wenn dieser Dienst generell ausfällt?

Ich nutze die Cross-Logins nur für Dienste, die mir nicht besonders wichtig sind.

4. Sicherheitsmeldungen interpretieren 

Meldungen wie diese: Hasso-Plattner-Institut warnt bei Identitätsklau und Browser-Lücken sollte man ernst nehmen, aber auch interpretieren. So hat das HPI vorwiegend die Leaks der letzten 5 Jahre gesammelt. Deshalb ist es durchaus wahrscheinlich, dass die Meldung, dass mein Dropbox-Account kompromittiert ist, etwas älter ist. 

5. Sicher browsen

Übrigens bietet das HPI auch einen Browser-Check unter https://www.hpi-vdb.de/vulndb/sd_first/.

Wenn ich diesen Browser-Check aufrufe, passiert erstmal so lange gar nichts, bis ich im ScriptBlocker das Javascript für diese Domain aktiviere. 

Ich benutze vom Prinzip her nur zwei Erweiterungen: 
  • uBlock Origin (Werbeblocker gegen Popups, automatische Videos und Audios, Wackelbilder, Overlays, ... - alles was nervt), 
  • ScriptBlock (schaltet Javascript standardmäßig aus, und man kann es für jede Domain und Subdomains einzeln wieder hinzuschalten)
So ist eine Website, die ich ansteuere standardmäßig nicht in der Lage, mit Skripte unterzujubeln. Ich muss mich bewusst dafür entscheiden, dass die Skripte (und/oder Werbung) von bestimmten Domains geladen werden dürfen oder nicht. So kann es eben auch nicht passieren, dass Domain1 mir Skripte von Domain2 unterjubelt - auch das müsste ich bewusst zulassen.

Es ist auch kein alles überragender Schutz - aber definitiv besser als blindes Vertrauen in Virenscanner und das ständige Ändern des einzigen Passwortes, was man hat ...

Die Meldung vom HPI kann nämlich auch so aussehen: 


Keine Kommentare:

Kommentar veröffentlichen

Farbe ist das neue Schwarz

Das gute alte Batch - sie funktioniert und tut, aber leider ist sie so schwarz und unschön. Dabei gibt es von (nahezu) Anfang an die Möglich...