In den 90ern habe ich mir keine Gedanken um Kennwörter gemacht. Auch noch nach FIDO/Maus-Zeiten (Link) hätte mein geliebter Kater mit „Sicherheit“ eine helle Freude an mir. Jeder kannte meinen geliebten Zimmertiger. Den Namen desselben natürlich auch.
tl;dr: Ich weiß sehr wohl, wie ich mit Kontensicherheit umgehen muss. Doch dann und wann holt mich meine Vergangenheit ein: Unwissenheit schützt vor Strafe nicht.
Heute bekomme ich lustige und weniger lustige Mails. Mein Kater lässt grüßen und wünscht Bitcoins. Es tut ein bisschen weh, denn ich wünschte, er wäre noch bei mir. An anderen Tagen freue ich mich, denn ich habe schöne Zeiten mit ihm erlebt. Der Lütte war frech, witzig, verspielt und verschmust. Er hat mich getröstet, wenn ich Liebeskummer hatte. Und ich hatte sehr viel Liebeskummer.
Sicher, die Dinger landen alle im Junk. „haveibeenpwned“ quatscht mich bisunter 20 Mal im Jahr schräg von der Seite an. Denn eines der Mailkonten „von damals“ besitze ich noch heute. Und einer der Dienstleister „von damals“ ist irgendwann mal hops genommen worden.
In einem Supportforum für Grafikkartentreiber postete mein gehacktes EGO Ende letzten Jahres z.B. munter Werbelinks zu blauen Pillen. Das Supportforum selbst wurde nicht gehackt, jedoch ein Hersteller für Soundkarten in der Jahresmitte 2018.
Ich hatte die Dämlichkeit besessen, den Namen meines Autos und die Hausnummer meines Elternhauses als Kennwort zu verwenden. Bei beiden Dienstleistern.
Dass ich in einem Grafikkartenforum ein Konto besitze, und dass ich bei „Creative“ mal ein Hardwareproblem einer Soundkarte gemeldet hatte, ist mir untergegangen. Nein, ich war ganz offensichtlich nicht frei von Fehlern. Ich behaupte einfach mal: Niemand war das. Damals nur (bis zur Jahrtausendwende) gab es keine Konsequenzen.
Der Kennwortmanager hilft, hat aber eine Schwachstelle
Erst Mitte 2007 hatte ich begonnen, 1Password zu verwenden. Das war so ungefähr zu der Zeit, als ich mich von Microsoft Windows verabschiedet hatte. Nur ein halbes Jahr hatte ich es damals mit diesem Unfall namens „Windows Vista“ ausgehalten. Debian war für mich zu dieser Zeit noch nicht in Griffreichweite.
Bis zu der Zeit existieren keinerlei Aufzeichnungen ehemals verwendeter Konten und Kennwörter in 1Password. Und das ist ein Problem.
Mailkonten
Das primäre Angriffsziel ist grundsätzlich das Mailkonto. Das ist die ultimative Möglichkeit, auch an alle anderen Konten herranzukommen – Und zwar über die „Kennwort-Zurücksetzen-Funktion“. Ich muss mein Mailkonto schützen, wie mein Augenlicht.
Sicherheit bei Dienstleistern?
Viele der Dienstleister bieten heute leider immer noch das 3-Fragen-Prinzip an, welches sich über social Engineering oder simples Querverbinden von geplatzen Datenbanken schnell umgehen lässt.
Die Straße, in der Du gewohnt hast: … Ja leck‘ mich doch!
Und auch aktiviertes 2-Faktor lässt sich umgehen. Per Telefon zum Beispiel, beim Support. Da das Mailkonto ja schon gehackt ist, lässt sich 2-Faktor über den zugeschickten Link problemlos deaktivieren. Auch bei Twitter.
Ich habe keine Ahnung, was die mit meinen Daten machen. Ich weiß nicht, wie gut verschlüsselt die meine Daten hinterlegen. Ich kann es nur ahnen.
Manchen Dienstleister bringe ich mehr Vertrauensvorschuss entgegen, manch anderen weniger. Es ist ein ständiges Abwägen auch bei Paymentprovidern: Apple Pay ist eine sichere Zahlungsalternative im Netz, Sofortüberweisung.de traue ich nur so weit, wie ich eine Waschmaschine werfen kann.
Jeder Dienstleister geht irgendwann mal hoch:
Sicher ist nur: Nix ist sicher!
Wer meinen MX-Record prüft, wird recht schnell rausfinden, dass meine Infrastruktur in einer Wolke von T-Systems in Magdeburg liegt (Nein, ich bin mit dem wackeligen Zustand jener genannten im Moment auch unzufrieden, habe aber keine brauchbare Alternative!). Ich wäre wohl mit dem Klammerbeutel gepudert, würde ich der Sicherheit jener Administrations- und Nutzerkonten in dieser Umgebung eine gleichwertige Aufmerksamkeit widmen, wie vor der Jahrtausendwende.
Heute nervt’s mich einfach nur. Ich habe im Kopf weder Lochkarten noch ein SATA-Interface zur Speicherung von Informationen. Ich weiß einfach nicht mehr, wass ich in meiner Jugend alles für einen Blödsinn gemacht habe. Das mag eine Schutzfunktion meines Gehirns, möglicherweise auch bedingt durch den Genuss von mehr oder weniger bewusstseinserweiternden Mitteln unterschiedlicher Natur sein (Alkohol zählt auch dazu).
Die Hacker wissen, was ich (letzten Sommer) getan habe
Und handeln mit meinen Daten fröhlich im Darkweb. Kost‘ ja auch nix mehr, der Datensatz mit den 80 Millionen Konten von anno driet inne pief. In den Schlagzeilen steht immer nur eine Zahl und dazu das Wort „Zugangsdaten“ oder „Onlinekonten“ und das Schlüsselwort „gehackt“, „gephisht“, gewasweisichnoch – (Beispiel-Link).
So sehr ich die Suchfunktion in 1Password anstrenge, ich habe keine – bekannten – Konten mehr, in jenen ich Kennwörter „von damals“ verwende. Mit Sicherheit derer aber unbekannte. Die gehen dann und wann hoch. Ich muss mich damit abfinden, dass ich nichts machen kann. Weil ich damals ein Mensch war.
Was kann ich tun?
- Ich verwende niemals ein Kennwort, welches ich zuvor verwendet habe
- Mir hilft ein Kennwortmanager, der noch nicht „hochgegangen“ ist
- Ich nutze – sofern möglich – 2-Faktor-Authentifizierung
- Ein jedes meiner Geräte ist ständig auf aktuellem Stand
- Ich bin datensparsam. Mein Geburtstag geht keinen Dienstleister etwas an.
- Ich nutze keine Multilogins, wie z.B. Google, Twitter oder Facebook und auch keinen Blödsinn wie Verimi, NetID oder ID4ME
- Konto A (z.B. Spotify) ist nicht verknüpft mit Konto B (z.B. Facebook), so cool das auch sein mag
- Meine SSH-Schlüssel und andere wichtige Tokens befinden sich auf einem verschlüsselten Volume, nein das muss ich nicht immer dabei haben
- Jede Software, die ich nutze, ist ständig auf aktuellem Stand (auch diese Website) und niemals aus dubiosen Quellen oder „verändert“
- Ich bediene mich grundsätzlich meines Denkapparates, sofern möglich und vertraue keiner Nachricht, auch nicht von meinen Freunden (die könnten ja auch „gehackt“ sein). Anhänge öffne ich niemals. Links ebensowenig. Aus Gründen der Höflichkeit kommuniziere ich selbst im Klartext und nicht in html und versende selbst keine Office-Dokumente
- Ich verwende keine Dienstleister, die nachweislich keinen Datenschutz umsetzen, dazu gehören u.a. alle Produkte von Facebook
- Ich verrate meine Freunde (Kontakte) an keinen Dienstleister
- Eine Straße, in der ich damals gewohnt habe, ist grundsätzlich mal keine Straße, sondern ein Zeichen- und Ziffernfolge
- Sofern ich eigene Domains besitze, lege ich für unterschiedliche Dienstleister unterschiedliche Mailempfängeradressen an
- Ich bin mir nicht zu schade, meine Freunde oder Kollegen um Rat zu fragen
Sicher, geändert haben sich ein paar Dinge im Leben. Damals war mein Wahlspruch: „Beschleunigung ist, wenn die Tränen der Ergriffenheit waagerecht zum Ohr hin abfließen“ (Walter Röhrl). Heute fahre ich höchstens noch 120 auf einer Bundesautobahn. Das ist mein persönlicher Luxus und sicherer für alle Mitreisenden und mich.
Ich weiß, dass ich nicht mehr tun kann, als ich im Moment eh schon mache. Für meine Vergangenheit bin ich zwar verantwortlich, aber ich bin auch ein Mensch. Sollte ein Dienstleister hochgehen, ein Stück Software schlecht gesichert sein, irgend ein Bug noch nicht public sein – irgendein Staat kauft den sicher. Es hilft nix, mit dem Finger auf andere zu zeigen, denn meine idiotische Regierung ist da ganz vorne mit dabei.
In diesen – mitunter vielen – Fällen bin ich einfach machtlos. Die Punkte, jene ich zuvor aufgezeigt habe, sind keine „howto“, denn jeder denkt und tickt anders. Aber sie können eine Orientierung für Dich sein. Vielleicht lässt sich die Liste auch mit Deiner Mithilfe verlängern. In diesem Fall danke ich Dir für Deine Mail. Anbei noch ein paar Links zu (im Moment) vertrauenswürdigen Anbietern.
Überprüfung von Domains oder Mailkonten auf Leaks:
Kennwortmanager: