Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Dienste
  3. Passwörter und mehr

Sinnvolle Ergänzungen zum Virenscanner

Passwörter und mehr

Inhaltsverzeichnis
  1. Sinnvolle Ergänzungen zum Virenscanner
  2. Firewalls und Updates
  3. Passwörter und mehr
  4. Auf einer Seite lesen

Passwörter

Ein Problembereich sind nach wie vor Passwörter. Nicht weil die reihenweise geknackt würden, wie Untersuchungen über die nötige Komplexität von Passwörtern suggerieren, sondern weil man mehr braucht, als man sich merken kann. Und wer für viele Seiten das gleiche Passwort verwendet, lebt gefährlich. Wenn einer dieser Server gehackt werden sollte oder man sich im falschen WLAN aus Versehen über eine unverschlüsselte Seite anmeldet und prompt jemand das im Klartext verschickte Passwort mit liest, stehen dem geneigten Hacker Tür und Tor zu einer ganzen Reihe von Diensten offen.

Keepass hilft auch beim Erstellen guter Passwörter.

Das vielleicht wichtigste Passwort ist das des Mail-Zugangs. Denn in der Inbox finden sich oft Zugangsdaten und oft kann man sich über einen Passwort-Reset Zugang zu weiteren Diensten verschaffen. Deshalb sollte man dieses Passwort möglichst separat behandeln.

Um für die anderen Accounts jeweils ein eigenes, ausreichend sicheres Passwort zu verwenden, kann man sich helfen lassen; zum Beispiel von einem der eingebauten Passwort-Safes der Browser. Doch die lassen sich ihre Geheimnisse sehr leicht entlocken. Als mindestes sollte man dort ein Master-Passwort für den Zugriff setzen. Sonst genügen wenige Mausklicks am unbeaufsichtigten Rechner, um sich die komplette Passwortliste auszudrucken. Oder eine der auf Websites nahezu allgegenwärtigen Cross-Site-Scripting-Lücken gibt das Passwort preis.

Die nächste Stufe ist ein externer Passwort-Safe wie Keepass . Damit hat man die schutzbedürftigen Geheimnisse schon mal aus der Risikozone Browser entfernt. Allerdings bleibt der Safe ein sehr lohnenswertes und prinzipbedingt anfälliges Ziel. Denn irgendwann müssen Sie ja mal das Master-Passwort eintippen – und dann kann ein eventuell mitlauschendes Spionageprogramm im Hintergrund abräumen.

Wer es also Ernst meint mit der Sicherheit, geht noch einen Schritt weiter und speichert die Passwörter nicht auf dem anfälligen PC sondern merkt sie sich mit einem Trick: Man merkt sich eine möglichst lange, komplexe Zeichenkette und kombiniert die mit einer im Zweifelsfall leicht zu erratenden für jede einzelne Site. Da kommt dann etwa heis%fgHao6CE4 heraus. %fgHao6CE4 brennt sich im Gedächtnis ein, wenn man es ein paar Dutzend Mal eingetippt hat und etwas wie "heis" für den heise-Account kann man sich grade noch merken. Zu knacken ist diese Art von Passwort jedoch kaum.

Wem das zu kompliziert ist, dem sei ein altmodischer, analoger Passwort-Safe ans Herz gelegt. Auch wenn es oft verspottet wird, ist das Aufschreiben von Passwörtern auf einem Zettel, den man im Geldbeutel verwahrt, gar keine so schlechte Idee. Auf den Geldbeutel passt man ohnehin gut auf und das Spionageprogramm, das vom PC aus einen solchen Zettel ausspioniert, muss erst noch erfunden werden.

Ein Taschendieb der einen Geldbeutel klaut, wird am Bargeld und der Kreditkarte mehr Freude haben, als an einem unscheinbaren Zettel mit kryptischen Zeichenfolgen. Und wer sich wirklich gezielt Geldbeutel klaut, um an diese Passwörter zu gelangen, scheut im Zweifelsfall auch nicht vor dem Einsatz von physischer Gewalt zurück. Natürlich sollte man den Zettel-Safe nicht als Passwort-Policy für Hochsicherheitsbereiche verallgemeinern. Aber wenn man zwischen wenigen, schlechten Passwörtern und Aufschreiben entscheidet, ist der Zettel definitiv die bessere Wahl.

Mehr davon

Wer darüber hinaus noch etwas für seine Sicherheit tun will, sollte das Haupteinfallstor weiter absichern: den Web-Browser. Firefox statt Internet Explorer zu benutzen, bringt einen schon aus der Schusslinie vieler Exploits. Aber man sollte sich damit nicht allzu sehr in Sicherheit wähnen. Denn Firefox ist kein Exot mehr und Web-Exploits sind eine reale Gefahr: Für Bot-Netz-Baukästen wie Zeus gibt es bereits spezielle
Firefox-Module.

Aus Sicherheitssicht viel versprechend ist Google Chrome, da hier Entwickler mit dem Ziel, einen modernen, sicheren Browser zu bauen, den gesamten Netscape-Ballast über Bord geworfen und dabei einige sehr interessante Sicherheitskonzepte umgesetzt haben. So isoliert Chrome jedes Browserfenster in einem eigenen Prozess und kritische Komponenten sind nochmals in einem Bereich mit niedrigen Privilegien abgeschottet. Diese zusätzlichen Hürden sind sicher nicht unknackbar, aber sie haben immerhin dazu beigetragen, dass Chrome als einziger der „großen“ Browser bereits zwei Mal unversehrt aus dem alljährlichen Hacker-Spektakel Pwn2own hervorging. Das man sich damit wieder ein Stück mehr dem Datenkraken Google ausliefert, steht auf einem anderen Blatt.

Die Checkliste

  1. Verhaltenswächter: AV-Programm oder Threatfire
  2. Updates: Update-Check oder PSI
  3. Passwörter: Mit System oder Passwort-Safe
  4. Firewall: Router + Windows Firewall
  5. Sonstiges: NoScript, EMET

Das Microsoft-Tool EMET aktiviert zusätzliche Schutzmechanismen von Windows und lässt damit viele Exploits ins Leere laufen. Den Alltag im Internet können auch kleine Helfer in Form von Add-ons sicherer gestalten. Mit NoScript kann man aktive Inhalte weitgehend verbieten und nur ausgewählte, vertrauenswürdige Websites für dynamische Inhalte freischalten. Das ist natürlich mit erheblichen Komforteinbußen verbunden. Wer sich in sozialen Netzen tummelt, kennt die allgegenwärtigen Kurz-URLs von Bit.ly & Co. Sie verschleiern das eigentliche Ziel eines Links und kommen deshalb gern zum Einsatz, um Anwender auf bösartige Seiten zu leiten. Der Dienst LongURL Please löst die Umleitung auf und enthüllt das eigentliche Ziel. Das erledigt auf Mausklick ein kleines Bookmarklet, das man in seiner Lesezeichenleiste speichert. Für Firefox gibt es sogar ein Add-on.

(ju)

Vorherige 1 2 3 Nächste

Mehr zum Thema

  • Sicherheitslücken
  • Virenscanner

Forum bei heise online: Erste Hilfe

Teile diesen Beitrag

https://heise.de/-1106122 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Wordpress-Plug-in Orbit Fox

Junos OS

Tor Browser

Cisco: Updates für div. Produkte

Der digitale Treffpunkt für Security-Experten

secIT by Heise

Auf der secIT Digital präsentieren wir Ihnen die neuesten Trends, Lösungen und Informationen zum Thema IT-Security. Freuen Sie sich auf ein neues, innovatives Format, das Ihnen alle Möglichkeiten eines Präsenzevents ermöglicht. Zudem haben wir die secIT Digital auf 3 Tage verlängert – 23. bis 25. Februar 2021, damit wir ausreichend Raum für alle aktuellen Themen haben.

Anzeige
Anzeige
  • Zweitgrößte FinanzGruppe Deutschlands sucht dich
  • So sieht der Arbeitsplatz der Zukunft aus!
  • Threat-Hunting: Gefahr erkannt, Gefahr gebannt!
  • Einheitliche Plattform für digitale Zusammenarbeit
  • Mehr Sicherheit für digitale Prozesse
  • Huawei AppGallery: Nie mehr Apps suchen müssen!
  • Themenspecial: Moderne IT-Infrastruktur
  • Digitalisierung: BWI optimiert die Zukunft
  • Onlineshops für kleine Firmen – geht das gut?
  • Themenspecial: Zukunftssichere IT für KMU
Artikel

Ausprobiert: BlackArch Linux als umfangreiches Penetration-Testing-Toolkit

2621 mitgelieferte Security-Tools und die Option, vorhandene Arch-Systeme mit den Paketquellen flexibel aufzurüsten sind gute Gründe zum Antesten von BlackArch.

38 Kommentare mit Bilderstrecke

Kommentar: Wie offen ist FireEye?

Angriffstechniken, die noch keiner kenne, sollen den Hack gegen FireEye ermöglicht haben. Höchste Zeit, diese offenzulegen, findet Jürgen Schmidt.

50 Kommentare

Risk Based Authentication: Die Krücke für Passwörter und wie sie ausgenutzt wird

Mit der Risikoabschätzung RBA wollen Online-Dienste den Passwortmissbrauch bekämpfen. Doch Cybercrime macht daraus ein Geschäft: mit digitalen Doppelgängern.

300 Kommentare mit Bilderstrecke

Neueste Forenbeiträge

  1. Re: Open Thread Scanner - dauert ewig?
    Wenn sie abbrechen haben sie die fertigen Log-Dateien, aus denen müssen sie sich dann aber selbst alles mühselig raussuchen. Was den…

    Forum:  Desinfect

    The lonely hat keinen Avatar
    von The lonely; Sonntag, 16:24
  2. F-Secure, ERROR: Permission denied
    Beim scannen eines Ordners des M$ Flight Simulators meinte F-Secure das ihm der Zugriff verweigert wurde. Mit den Ordnern der WindowsApps hatte…

    Forum:  Desinfect

    The lonely hat keinen Avatar
    von The lonely; Samstag, 17:47
  3. HDD Schreibschutz
    Hallo, vorausschicken möchte ich dass ich nur sehr rudimentäre Kenntnisse von Linux habe. Nun mein Problem: Mein Win 10 Rechner bootet nicht…

    Forum:  Desinfect

    berndione hat keinen Avatar
    von berndione; Samstag, 13:58
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 581997
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien