Gefahren für dein Passwort

Der Keylogger

Ein Keylogger ist eine Hard- oder Software, die dazu verwendet wird, die Eingaben des Benutzers an einem Computer mitzuprotokollieren und dadurch zu überwachen oder zu rekonstruieren. Keylogger werden beispielsweise von Hackern verwendet, um an vertrauliche Daten - etwa Kennwörter oder PIN - zu gelangen. Ein Keylogger kann dazu sämtliche Eingaben aufzeichnen oder gezielt auf Schlüsselwörter wie z. B. Passwörter warten und dann erst aufzeichnen, um Speicherplatz zu sparen.

Hier hilft dann auch nicht mehr das sichereste Passwort.

Die Phishing Attacke

Die zweite Möglichkeit besteht darin, das Opfer zu "Verarschen". Im großen Stil funktioniert das über Phishing. Hier werden dem Nutzer auf eine gemeine Weise die Zugangsdaten geklaut.

Ein kleines Beispiel für die Verständlichkeit:

Ich möchte mich bei Amazon einloggen. Gebe also oben in der Webadresse www.amazon.de ein. In wirklichkeit habe ich aber ein Tippfehler begangen, und habe www.aamazon.de eingegeben. Doch mir fällt nichts auf weil die Seite genauso aussieht, wie die echte. Logge mich also ein und werde zur richtigen amazon Seite umgeleitet als wäre nichts geschehen. In Wirklichkeit hat die gefälschte Seite im Hintergrund meine eBrief-Adresse und Passwort in eine Datenbank gespeichert, die dem Angreifer zur verfügung steht.

Die Holz Hacker Methode

Kommen wir nun zu einer Methode, die gerne eingesetzt wird um einzelne Konten gezielt zu knacken. Die eingesetzte Methode heißt: Bruteforce. Sogenannte Bruteforce Programme probieren jede Möglichkeit aus, bis Sie das richtige Passwort erraten haben. Je mehr Möglichkeiten, desto länger benötigt das Programm.

Über mehr Rechenleistung bei modernen Prozessoren und Grafikkarten freuen sich nicht nur der Computer-Anwender, sondern auch die Passwort-Knacker. Je leistungsfähiger die Rechner sind, desto schneller haben sie ein Passwort durch simples Ausprobieren aller möglicher Zeichenkombinationen gefunden.

Forscher der Firma Electric Alchemy haben die Kosten fürs Knacken einer mit 9 Zeichen verschlüsselten ZIP-Datei per Brute-Force berechnet: Bei EC2 sind für solch ein Passwort, das nur aus Buchstaben und Zahlen besteht, weniger als 2000 Dollar und eine Stunde Zeit nötig.

Zugegeben: 2000 Dollar sind kein Schnäppchenpreis. Und die Kosten steigen bei längeren Passwörtern dramatisch an. Doch Hacker haben noch ganz andere Mittel, um an ein Passwort zu kommen.

Server-Hacks

Selbst das längste Passwort schützt dich nicht, wenn Hacker es im Klartext von einem Server klauen können. Das ist in den vergangenen zwei Jahren mit Millionen Passwörtern geschehen. Etwa bei Yahoo, wo die Diebe eBrief-Adressen und Klartext-Passwörter von mehr als 450 000 Nutzern stehlen konnten. Die Daten veröffentlichten sie anschließend im Weltnetz.

Erschreckend ist alleine, wie häufig es Hacker schaffen, an die Datenbanken großer Internet-Firmen zu gelangen. Dass diese Firmen, wie im Falle von Yahoo, die Passwörter im Klartext gespeichert haben, ist eine Schande für die Firma und eine Katastrophe für die Nutzer.

Computer-Hacks

Bei den Passwort-Dieben ist der Server-Einbruch ebenso beliebt, wie der Einbruch auf dem Computer des Heimnutzers. Diesen erledigen aktuelle Viren, etwa Keylogger und Browser-Passwort-Trojaner für ihn. Zumindest gegen diese Angriffe kann sich der Anwender mit einem Antiviren-Programm und gebotener Vorsicht beim Laden von Dateien halbwegs gut schützen.

Die "Passwort vergessen" Option

Sollte ein Hacker mit keiner der bisher genannten Methoden an dein Passwort gekommen sein, dann kann er die Passwort-Zurücksetzfunktion von Webdiensten nutzen. Damit die Funktion wirkt, muss man eine Sicherheitsabfrage beantworten können, etwa: "Wie lautet der Geburtsort deiner Mutter?".
Ist das geschehen, erlischt das aktuelle Passwort umgehend und man darf ein neues Passwort vergeben. Das große Problem an dieser Methode: Die nötigen Infos sind meist nicht besonders geheim. In der Regel besitzen diese Infos schon die meisten Freunde, Bekannte, oft aber auch Kollegen oder bei Kindern die Mitschüler. Führt einer von ihnen Böses im Schilde, kann er sich so spielend in viele Internetdienste hacken. Echte Hacker kommen an die nötigen Funktionen über eine Recherche im Internet und die Suche in sozialen Netzen.