Z4hl des Tages – 33 Mio

Unbekannte bieten derzeit 33 Mio Email-Adressen aus Deutschland an. 1 Mio für 800 Euro. Mit Spam wird gerechnet.

Tipp des Datenschutzbeauftragten

Fallen Sie nicht auf jeden Bauernfängertrick per Email rein. Erstmal: „Gehirn einschalten.“

Zum Artikel: Süddeutsche Zeitung


Foto: © stokkete- Fotolia.com

2-3 Schritte, damit Bitly wieder sicherer ist

1) Passwort umsetzen. Your Settings Profile

2) Verbindungen zu Twitter und Facebook trennen und erneut verbinden. Your Settings Connected Accounts

3) API-Schlüssel zurücksetzen.
Your Settings Advanced

Tipp des Datenschutzbeauftragten

Mal wieder ein neues Passwort. Falls Sie nicht auf Software vertrauen, gibt es hier eine Checkliste zum Ausdrucken.
Zum Blog-Artikel

Direkt zur Druckversion der Passwort-Checkliste als Tabelle.

Der Original-Text von Bitly (engl.)

Hello …
We have reason to believe that your Bitly account credentials have been compromised; however, we have no indication at this time that your account has been accessed without permission.

Just to be safe, we have proactively disconnected any connections you might have had to publish on Facebook and Twitter from your Bitly account. You can safely reconnect these accounts at your next login.

Although you may see your Facebook and Twitter accounts connected to your Bitly account, it is not possible to publish to these accounts until you reconnect your Facebook and Twitter profiles.

To ensure the security of your account, please take the following steps:

1) Go to Your Settings Profile tab and reset your password.

2) Go to >Your Settings Connected Accounts tab Your Settings Advanced tab to reset your API key. If you are a developer using your API key, copy the new API key and change it in all applications. These can include social publishers, share buttons and mobile apps.

We have taken measures to secure all paths that led to the compromise and ensure the security of all account credentials going forward.

We apologize for any inconvenience and we will continue to update our Twitter feed, @Bitly, as we have any further updates.

Sincerely,

The Bitly Team
bitly


Foto: Wikimedia, Bitly

Passwortwechsel? – Nicht den Überblick verlieren #Checkliste

Warum Passwortwechsel?

Nicht nur die jüngsten Erfahrungen mit Passwortklaus und dem Heartbleed-Bug bei OpenSSL zeigen, dass es gut ist, regelmäßig das Passwort zu wechseln. Da ist es gut, den Überblick zu behalten. Warum also soll das Passwort gewechselt werden? Weil es sein muss.

Was für Passwörter?

Je länger ein Passwort ist, desto mehr Möglichkeiten hat es. Je mehr Möglichkeiten es gibt, desto schwerer ist es, es zu erraten oder zu errechnen. (zum Blog-Artikel) Außerdem sollen in einem Passwort Groß- und Kleinbchstaben, Ziffern und Zeichen vorkommen.

Wo aufbewahren?

Passwörter belasten das Gedächtnis. Deshalb gibt es zur Passwortverwaltung mehrere Möglichkeiten.

  • Browser
  • Zettel
  • Passwortsafe

Der Browser selbst ist ziemlich unsicher, aber sehr bequem. Es sollte eine Möglichkeit geben, die Passwörter selbst durch ein weiteres Passwort zu sichern. Zettel sind gut, aber bei der Vielzahl von Passwörtern schnell unübersichtlich. Und man nutzt nicht das selbe Passwort überall. Und wenn doch, nehmen Sie jetzt bitte den Zettel raus und schreiben zur Strafe , bis das Blatt voll ist, aber schön klein schreiben bitte und so, dass ich’s lesen kann.

Mantra:
Ich werde nie mehr überall dasselbe Passwort verwenden.

Passwortsafes sind bequem und auch sicher. Hier finden Sie eine Auswahl: heise Download. Ob es sinnvoll ist, die Nummer 1 zu verwenden, wage ich persönlich zu hinterfragen, denn die Nummer 1 wird sicher leicht zum Ziel von Angriffen.

Aber auch in Passwortverwaltungen verliert eine oder andere den Überblick, welches Passwort denn nun geändert ist. Dazu wurde von Daleth-Datenschutz eine Checkliste erstellt, in der angegeben werden kann, welches Passwort geändert wurde. Gesetzt den Fall, es sind sichere Passwörter, zeigt die Liste dann, wo noch Nachholbedarf besteht und wo nicht. Dazu gibt es außerdem eine Grafik, die den Optimierungsbedarf darstellt.

Hier finden Sie die Checkliste.
Daleth-Datenschutz Passwort Checkliste.
Gern nehme ich Ihre Anregungen entgegen.


Foto: vecteezy.com

Passwortklau II.

Die ersten vier Angriffe haben wir – Ruhe ist die erste Bürgerpflicht – bravourös gemeistert. Nun aber wird es Zeit aufzuwachen und was hat eigentlich Datenschutz mit geklauten Passwörtern zu tun?

Es begann im Herbst 2013 mit dem Adobe-Hack. Top 100 des Adobe Hacks Was geht uns das an, fragten einiger Blogger und erklärten, dass keine Gefahr bestünde Warum 123456 als Passwort okay ist. Es folgte ein Angriff auf Yahoo-Email-Adressen Ende Januar 2014. Dann folgte Anfang 2014 eine Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Wieder waren Email-Adressen und deren Passwwörter aufgetaucht. Es wurde eine Applikation eingerichtet, bei der die Emailadresse eingetragen werden konnte und wenn die Adresse auf der Liste stand, bekam man eine Email vom BSI mit einem Verifikationscode zurück.

Nun tauchte wieder eine Liste mit 18 Millionen Passwörtern von Email-Konten auf, davon waren 3 Millionen aus Deutschland. Das klingt nicht bedrohlich, 16 % sind nicht soviel, wenn man bedenkt, dass der Bevölkerungsanteil Deutschands an der Weltbevölkerung bei etwa 1 Prozent liegt.

Am 7. April 2014 (Montag) überschlugen sich die Ereignisse.

  • Am Wochenende noch hieß es, das BSI würde wieder eine Seite schalten.
  • Am Montag Vormittag und frühen Nachmittag wurde informiert, dass die Provider selbst informieren müssten. Das entspricht auch dem Verfahren, das das Bundesdatenschutzgesetz vorsieht § 42a
    Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
  • Am Montag Abend schalten GMX und Web.de den Emailversand aus und geben ihn erst wieder frei, wenn das Passwort geändert wurde. „Datenklau“: GMX und Web.de sperren betroffene Mailkonten
  • Gleichzeitig ließ die Bundesbeauftragte für Datenschutz und Informationssicherheit verlauten, es sei ein Unding, wenn Passwörter im Klartext gespeichert würden.

Für die letzte Meldung finde ich keinen Beleg mehr. Welcher Provider hat denn da geschlampt? Ich hoffe, nicht meiner.

Tipp des Datenschutzbeauftragten

  • Verwendie Sie unterschiedliche Passwörter für unterschiedliche Dienste
  • Ändern Sie Ihre Passwörter regelmäßig

Foto: © stokkete- Fotolia.com

Mllionenfacher Datenklau: Provider sollen Opfer des Identitätsdiebstahls informieren

Dieses Mal ist alles anders. Beim ersten Einbruch hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch selbst informiert. Nachdem nun erneut etwa 18 Millionen Emailadressen – darunter 3 Millionen deutsche – samt zugehöriger Passwörter auftauchten, sollen jetzt die Provider die betroffenen Anwender informieren. Das entspricht der Vorgehensweise nach dem Bundesdatenschutzgesetz (BDSG), das in BDSG § 42a die verantwortlichen Stellen zur Information über Datenverlust verpflichtet. Obwohl: Das Bonmot muss sein, die Daten sind ja nicht weg, es hat Sie nur jemand anders.

Tipp des Datenschutzbeauftragten

Es ist Vorsicht geboten. Findige Zeitgenossen können die Benachrichtigung eines Mail-Providers fälschen. Am besten ist es, bei Emailadressen unverzäglich das Passwort zu ändern.
Wichtig!
Nutzen Sie keine Links in Emails, gehen Sie direkt mit Ihrem Browser (Internet Explorer, Firefox, Chrom, Opera, Safari usw.) auf die Seite der Anbieter und ändern Sie das Passwort dort und anschließend im Mail-Client (Outlook, Thunderbird usw.) Eventuell müssen Sie ein paar Minuaten warten, bis die Passwortänderung beim Mail-Provider aktualisiert ist.

Verweise

Artikel bei: heise Security


Foto: © stokkete- Fotolia.com

Fünfjähriger entdeckt XBox-One-Backdoor – heise Security

Eine interessante Beobachtung machte ein 5jahriger. Er entdeckte eine Hintertür in der XBox-One, als er sich die Konsole des Vaters schnappte und ohne das Passwort zu kennen, mit dem väterlichen Konto spielte. Ursache waren fehlerhaft implementierte Passwort-Routinen. Ein echter Monkey-Test.

Tipp des Datenschutzbeauftragten

Brigen Sie selbst großen Namen nicht blindes Vertrauen entgegen. Überzeugen Sie sich selbst.

Reblog von: heise


Foto: © stokkete- Fotolia.com

Schwertfisch – Das Passwort

Dieser Sketch (englisch) zeigt, wie es nicht geht.

[youtube https://www.youtube.com/watch?v=ySqec8WrEQQ]

Tipp des Datenschutzbeauftragten

Seien Sie vorscihtig mit der Weitergabe von Passwörtern.
Wenn jemand anderes Ihr Passwort kennt, kann diese Person in Ihrem Namen ggf. Emails lesen, versenden und andere Dinge in Ihrem Namen unternehmen.
Und diese Person könnte auch Ihr Passwort ändern, dann säßen Sie in der Tinte.


Foto: © stokkete- Fotolia.com

Passwortvergesslichkeit und Faulheit

Ja, mir ist es passiert: Passwort vergessen. Urlaub, länger nicht gebraucht und schon ist es gelöscht im flüchtigen Speicher hinter der Schädeldecke.

Passwörter kann man aufschreiben. Das hilft nichts, wenn der Zettel weg ist. So ging es mir bei einem Cloud-Anbieter. Die zugesandte Merkhilfe brachte mich zwar auf den richtigen Gedanken, aber es gabe immer noch zuviel Möglichkeiten mit Satzzeichen, Groß- und Kleinschreibung, Ziffern.Es lebe die Faulheit, der Papierkorb war noch nicht geleert und ich habe es wieder gefunden. Im oberen Drittel des Papierkorbs.

In diesem Video aus dem Jahr 2009 sind 8 stellige Passwörter vorgeschlagen, aber das ist heute nur die unterste Grenze der Sicherheit.
Passwort-Merkhilf

[youtube https://www.youtube.com/watch?v=ozgMjS7D8Jg]

Links

Wer stiehlt schon gerne Passwörter?


Quelle: SAP TV via Youtube

Wer stiehlt schon gern Passwörter?

Passwörter liegen – bei den meisten – Anbietern – so hoffe ich – nicht als Klartext in einer Datei und kleben nicht unter der Tastatur. Das wäre dann wohl doch zu blauäugig. Passwörter werden als Einwegverschlüsselung gespeichert, sogenannte Hash-Werte. Diese Werte sind Einbahnstraßen aus dem Hash-Wert kann das Passwort nicht zurückgerechnet werden. Dann ist doch alles gut, werden Sie erleichternd aufatmend sagen. Die Antwort kommt aus dem Kaukasus: „Im Prinzip ja.“ Denn mit ausreichend Rechenleistung lassen sich aus beliebigen Variationen von Zahlen, Zeichen und Buchstaben errecchnen. Der errechnete Wert wird mit dem vorhandenen Hash-Wert aus der Tabelle verglichen und wenn sie übereinstimmen: Bingo! Die Anzahl der Möglichkeiten und damit die Rechenzeit steigt am deutlichsten mit der Anzahl der Stellen eines Passowrtes. Die Präsentation zeigt dazu Beispiele.

Bei Passwörtern kommt es auf die Länge an

Passwörter - es kommt auf die Größe an

Ein Beispiel für diese Rechnerei. Jemand hat einen Passwort-Hash-Wert „bekommen“.
Der lautet „059fb00a4e5ef45c7fe0d60563c453c6“. Nun beginnt die Rechnerei. Die Anzahl der Verfahren für Passwortverschlüsselung ist übersichtlich. Wir beginnen mit MD5 und quälen uns durchs Wörterbuch der deutschen Sprache. Beim Buchstaben T werden wir fündig und erkennen: Das Passwort zu diesem Hash-Wert ist „Tante“. Die Wörterbuchsuche ist eine übliche Variante und es gibt vorberechnete Tabellen für viele Wörter, damit man nicht immer wieder neu rechnen muss, das sind Rainbow-Tables. Hätten wir den Hash-Wert für das Wort „Acker“ gesucht, wären wir mit dem Berechnen viel schneller fertig gewesen. Obwohl die Anzahl der Möglichkeiten gleich geblieben ist.

Es kommt also auf ein Wort an, dass das Wort nicht in einem Wörterbuch steht. Gewiefte Administratoren setzen zur Sicherung der Passwortdatenbank mehrere Verfahren nacheinander ein und „salzen“ die Hash-Werte mit bestimmten Zeichenfolgen. Das erschwert das Zurückrechnen wesentlich, weil neben den bekannten Verfahren noch das Wissen um das geheime Wort – das Salz – bekannt sein muss. Das Beispiel zeigt, dass Passwörter aus Wörterbüchern und einfachste Lösungen keine gute Idee sind.

Woher bekommt man die Rechenleistung? Ein handelsüblicher Computer kann heute (15.10.13) 600 Millionen Passwörter berechnen. Pro Sekunde. Nimmt man eine Grafikkarte dazu, die sehr gute Rechenleistungen haben, werden daraus 1,2 Milliarden und das lässt sich mit weiteren Grafikkarten in einem PC weiter ausbauen. So erhält man für einige 100 Euro ein gutes Rechenzentrum.

Wie findet man ein sicheres Passwort? Zunächst sollte ein Passwort sich aus folgenden Merkmalen zusammensetzen:

  • Zahlen,
  • Zeichen wie „(){}!§$%&/=-.,;:_“,
  • Großbuchstaben und
  • Kleinbuchstaben

Die Stellenanzahl sollte zusätzlich mindestens bei 8 liegen, dann ist ein Passwort recht sicher. Auf der folgenden Seite können Sie Beispiele Ihrer Passwörter testen. Achtung, nicht das echte Passwort nutzen! http://www.wiesicheristmeinpasswort.de/.

Übrigens,
ein guter Ort zur Speicherung des Passwortes ist ein Zettel in der Brieftasche. Jedenfalls solange, bis das neue Passwort sitzt. Und da sollte auch nur das Passwort stehen, nicht der Benutzername und auch nicht der Computername.

Zum Erzeugen eines sicheren Passwortes gibt es unter anderem diese drei Möglichkeiten

  1. Mehrere kurze Wörter zu einem Satz verbinden. Denken Sie vier Wörter, die ohne Zusammenhang sind, und setzen sie aneinander. „Tulpe“, „blau“, „tanzt“ und „Meer“. Das ergibt das Passwort „BlaueTulpetanztMeer“, setzen Sie ein Sonderzeichen dazu und Sie haben ein langes leicht zu merkendes Passwort.
  2. Nehmen Sie ein längeres Wort und fügen Sie sprechende Zeichen ein. Aus „Donaudampfschiff“ machen Sie „D0naud8mpfsch1ff“. Das ergibt einen guten Wert in Sicherheit.
  3. Anfangsbuchstaben eines Satzes verwenden. Denken Sie sich einen Satz aus und erstellen Sie das Passwort aus den Anfangsbuchstaben. Der Satz könnte heißen: „Ein Großteil der Menschen in Europa atmet ungesunde Luft,“ (Zeit online) das ergibt das Passwort „EGdMiEauL,“ das ist noch nicht so gut, aber wenn Sie die Jahreszahl davor und danach anbringen, wird es viel besser. „20EGdMiEauL,13“

Literatur