Passwörter
Ein Problembereich sind nach wie vor Passwörter. Nicht weil die reihenweise geknackt würden, wie Untersuchungen über die nötige Komplexität von Passwörtern suggerieren, sondern weil man mehr braucht, als man sich merken kann. Und wer für viele Seiten das gleiche Passwort verwendet, lebt gefährlich. Wenn einer dieser Server gehackt werden sollte oder man sich im falschen WLAN aus Versehen über eine unverschlüsselte Seite anmeldet und prompt jemand das im Klartext verschickte Passwort mit liest, stehen dem geneigten Hacker Tür und Tor zu einer ganzen Reihe von Diensten offen.
Das vielleicht wichtigste Passwort ist das des Mail-Zugangs. Denn in der Inbox finden sich oft Zugangsdaten und oft kann man sich über einen Passwort-Reset Zugang zu weiteren Diensten verschaffen. Deshalb sollte man dieses Passwort möglichst separat behandeln.
Um für die anderen Accounts jeweils ein eigenes, ausreichend sicheres Passwort zu verwenden, kann man sich helfen lassen; zum Beispiel von einem der eingebauten Passwort-Safes der Browser. Doch die lassen sich ihre Geheimnisse sehr leicht entlocken. Als mindestes sollte man dort ein Master-Passwort für den Zugriff setzen. Sonst genügen wenige Mausklicks am unbeaufsichtigten Rechner, um sich die komplette Passwortliste auszudrucken. Oder eine der auf Websites nahezu allgegenwärtigen Cross-Site-Scripting-Lücken gibt das Passwort preis.
Die nächste Stufe ist ein externer Passwort-Safe wie Keepass . Damit hat man die schutzbedürftigen Geheimnisse schon mal aus der Risikozone Browser entfernt. Allerdings bleibt der Safe ein sehr lohnenswertes und prinzipbedingt anfälliges Ziel. Denn irgendwann müssen Sie ja mal das Master-Passwort eintippen – und dann kann ein eventuell mitlauschendes Spionageprogramm im Hintergrund abräumen.
Wer es also Ernst meint mit der Sicherheit, geht noch einen Schritt weiter und speichert die Passwörter nicht auf dem anfälligen PC sondern merkt sie sich mit einem Trick: Man merkt sich eine möglichst lange, komplexe Zeichenkette und kombiniert die mit einer im Zweifelsfall leicht zu erratenden für jede einzelne Site. Da kommt dann etwa heis%fgHao6CE4 heraus. %fgHao6CE4 brennt sich im Gedächtnis ein, wenn man es ein paar Dutzend Mal eingetippt hat und etwas wie "heis" für den heise-Account kann man sich grade noch merken. Zu knacken ist diese Art von Passwort jedoch kaum.
Wem das zu kompliziert ist, dem sei ein altmodischer, analoger Passwort-Safe ans Herz gelegt. Auch wenn es oft verspottet wird, ist das Aufschreiben von Passwörtern auf einem Zettel, den man im Geldbeutel verwahrt, gar keine so schlechte Idee. Auf den Geldbeutel passt man ohnehin gut auf und das Spionageprogramm, das vom PC aus einen solchen Zettel ausspioniert, muss erst noch erfunden werden.
Ein Taschendieb der einen Geldbeutel klaut, wird am Bargeld und der Kreditkarte mehr Freude haben, als an einem unscheinbaren Zettel mit kryptischen Zeichenfolgen. Und wer sich wirklich gezielt Geldbeutel klaut, um an diese Passwörter zu gelangen, scheut im Zweifelsfall auch nicht vor dem Einsatz von physischer Gewalt zurück. Natürlich sollte man den Zettel-Safe nicht als Passwort-Policy für Hochsicherheitsbereiche verallgemeinern. Aber wenn man zwischen wenigen, schlechten Passwörtern und Aufschreiben entscheidet, ist der Zettel definitiv die bessere Wahl.
Mehr davon
Wer darüber hinaus noch etwas für seine Sicherheit tun will, sollte das Haupteinfallstor weiter absichern: den Web-Browser. Firefox statt Internet Explorer zu benutzen, bringt einen schon aus der Schusslinie vieler Exploits. Aber man sollte sich damit nicht allzu sehr in Sicherheit wähnen. Denn Firefox ist kein Exot mehr und Web-Exploits sind eine reale Gefahr: Für Bot-Netz-Baukästen wie Zeus gibt es bereits spezielle
Firefox-Module.
Aus Sicherheitssicht viel versprechend ist Google Chrome, da hier Entwickler mit dem Ziel, einen modernen, sicheren Browser zu bauen, den gesamten Netscape-Ballast über Bord geworfen und dabei einige sehr interessante Sicherheitskonzepte umgesetzt haben. So isoliert Chrome jedes Browserfenster in einem eigenen Prozess und kritische Komponenten sind nochmals in einem Bereich mit niedrigen Privilegien abgeschottet. Diese zusätzlichen Hürden sind sicher nicht unknackbar, aber sie haben immerhin dazu beigetragen, dass Chrome als einziger der „großen“ Browser bereits zwei Mal unversehrt aus dem alljährlichen Hacker-Spektakel Pwn2own hervorging. Das man sich damit wieder ein Stück mehr dem Datenkraken Google ausliefert, steht auf einem anderen Blatt.
Die Checkliste
- Verhaltenswächter: AV-Programm oder Threatfire
- Updates: Update-Check oder PSI
- Passwörter: Mit System oder Passwort-Safe
- Firewall: Router + Windows Firewall
- Sonstiges: NoScript, EMET
Das Microsoft-Tool EMET aktiviert zusätzliche Schutzmechanismen von Windows und lässt damit viele Exploits ins Leere laufen. Den Alltag im Internet können auch kleine Helfer in Form von Add-ons sicherer gestalten. Mit NoScript kann man aktive Inhalte weitgehend verbieten und nur ausgewählte, vertrauenswürdige Websites für dynamische Inhalte freischalten. Das ist natürlich mit erheblichen Komforteinbußen verbunden. Wer sich in sozialen Netzen tummelt, kennt die allgegenwärtigen Kurz-URLs von Bit.ly & Co. Sie verschleiern das eigentliche Ziel eines Links und kommen deshalb gern zum Einsatz, um Anwender auf bösartige Seiten zu leiten. Der Dienst LongURL Please löst die Umleitung auf und enthüllt das eigentliche Ziel. Das erledigt auf Mausklick ein kleines Bookmarklet, das man in seiner Lesezeichenleiste speichert. Für Firefox gibt es sogar ein Add-on.
(ju)