Passwortsicherheit: So leicht kommen Hacker an dein Passwort
Deine vertraulichen Informationen sind ein begehrtes Gut. Umso wichtiger, dass du gut informiert bist über die Methoden der Hacker. Hier erfährst du mehr zu 5 gängigen Techniken.
Lesezeit: 7 Min.
Passwortsicherheit war für dich bisher eher selten ein Thema? Hier sind ein paar Fakten, die dich vielleicht erschrecken: 18 % aller Waren, die im Darkweb gehandelt werden, sind Online-Accounts, E-Mail-Logins und Passwörter. Der Diebstahl von Anmeldedaten ist seit 2017 um fast 30 % gestiegen und 81 % aller Hacking-Angriffe sind auf schwache oder kompromittierte Anmeldedaten zurückzuführen. Das sind ziemlich düstere Zahlen. Da aber die meisten Angriffe (74 %) auf menschliche Fehler zurückzuführen sind, liegt die Lösung nicht in moderner Technologie, sondern in den Händen der NutzerInnen. Hier zeigen wir dir einige erschreckend einfache Methoden, wie Hacker deine Passwörter stehlen und wie dich davor schützen kannst.
Brute-Force-Angriff – jeden digitalen Verschlüsselungscode ausprobieren
Der Durchschnittsmensch hat über 100 Passwörter und jedes davon ist im Prinzip ein Schlüssel. Bei einer so großen Sammlung von Schlüsseln lassen sich viele zu Eselsbrücken verleiten und legen Passwörter fest, die leicht zu merken sind. Oder sie verwenden Passwörter auf mehreren Websites wieder. Aber genau da stoßen wir auf das Problem.Die Brute-Force-Hacking-Methode, sich also mit „roher Gewalt“ Zugang zu verschaffen, ist das digitale Äquivalent dazu, alle Schlüssel so lange auszuprobieren, bis die Tür sich öffnet. Sie ist bei Hackern sehr beliebt, weil sie so simpel und effektiv ist. Eine besonders gängige Brute-Force-Technik ist das sogenannte Credential Stuffing. Hacker nutzen sie, wenn sie vorher eine Reihe von Kombinationen aus geleakten Nutzernamen und Passwörtern erbeuten konnten. Sie lassen diese Anmeldedaten dann mit einem automatisierten System über viele Websites laufen. Im Grunde genommen ist es ein Zahlenspiel. Nur stehen dabei fatalerweise die Chancen für die Cyberkriminellen bei geschätzten 193 Milliarden Attacken weltweit in nur einem Jahr sehr gut.Die Quintessenz: Beim Thema Passwortsicherheit ist Vielfalt mehr als nur die Würze des Lebens – sie ist die Festungsmauer, die deine digitale Domäne schützt. Du solltest den „Eines-für-alle-Ansatz“ lieber vergessen und dir ernsthaft Gedanken darüber machen, dir einen Passwortmanager anzuschaffen. Letzten Endes ist die beste Verteidigung gegen einen Brute-Force-Angriff, viele starke und spezifische Passwörter zu haben.
Durch das trübe Wasser von Phishing und Vishing waten
Phishing-Angriffe machen sich die menschliche Natur zunutze – unsere angeborene Neigung, zu vertrauen und unter Druck gelegentlich die falsche Entscheidung zu treffen. Es gibt alle möglichen Formen, aber ein beliebter Phishing-Ansatz ist, sich als vertrauenswürdiger Kontakt der Zielperson auszugeben, z. B. als Freundin, Familienmitglied oder bekanntes Unternehmen. Doch hinter einer gut gestalteten, echt wirkenden E-Mail eines geliebten Menschen oder Teammitglieds lauert eine böse Absicht: ein Link oder ein Anhang, der Malware freisetzt oder dich auf eine gefälschte Website leitet, auf der deine persönlichen Daten abgegriffen werden.Doch die Hinterlist hört lange noch nicht bei E-Mails oder SMS-Nachrichten auf. Hier kommt „Vishing“ ins Spiel, der Zwilling von Phishing am Telefon. Vishing ist eine Betrugsform, bei der die Betrüger in Telefonaten Menschen so hinter’s Licht führen, dass sie persönliche Daten wie Bankkontodaten, Passwörter oder Sozialversicherungsnummern preisgeben. Im Gegensatz zum herkömmlichen Phishing, das meist per E-Mail funktioniert, können die Vishing-Betrüger in einem Telefonat das Gefühl einer dringenden Angelegenheit oder einer Autorität erzeugen. Dabei geben sie sich oft als VertreterInnen eines seriösen Unternehmens, einer Regierungsbehörde oder eines technischen Support-Teams aus.Bei einem Phishing- oder Vishing-Betrug helfen Aufmerksamkeit und eine gesunde Portion Misstrauen. Achte auf unerwartete und verdächtige Informationsanfragen, überprüfe die Adresse, von der die E-Mail-Adresse abgesendet wurde und denke immer daran: Wenn es gar zu dringend oder zu gut klingt, um wahr zu sein, dann ist es das wahrscheinlich auch.
Ohne Stress – Banking, wie ich will
Deine Bankkarte ist weg? Sperre und entsperre sie in Sekundenschnelle in deiner N26 App.
Shoulder Surfing – über die Schulter ein Passwort ausspähen
Glaubst du, dass alle Hacker komplexe Algorithmen und Hightech brauchen? Und das Thema Passwortsicherheit nur die digitale Welt betrifft? Da liegst du falsch. Beim Shoulder Surfing in seiner einfachsten Form wird jemandem über die Schulter geschaut, um an vertrauliche Informationen, insbesondere Passwörter oder andere Sicherheitsdaten, zu gelangen. Das kann dir überall passieren, jemand lugt dir in einem überfüllten Café über die Schulter oder beobachtet dich, wenn du deine PIN am Bankautomaten eingibst. Das Shoulder Surfing hat sich auch weiterentwickelt, es geht schon lange nicht mehr nur um körperliche Nähe. Cyberkriminelle setzen auch digitale Werkzeuge wie Kameras oder Software zur Bildschirmaufzeichnung ein, um vertrauliche Informationen aus der Ferne zu erfassen. Shoulder Surfing ist, obwohl dabei kaum Technik zum Einsatz kommt, nach wie vor eine effektive und unkomplizierte Methode, um sich unbefugt Zugang zu persönlichen oder vertraulichen Daten zu verschaffen. Dies macht deutlich, dass du selbst in scheinbar sicheren Umgebungen wachsam sein solltest.Es wäre also ein Fehler, Shoulder Surfing als veraltet abzutun. Nur weil dazu keine Hightech notwendig ist, bedeutet das nicht, dass es weniger gefährlich ist. Wenn du also das nächste Mal in der Öffentlichkeit etwas eintippst, denke daran, dass dich neugierige Augen beobachten könnten und dass nicht alle Hacker einen Computer brauchen, um dein Passwort zu klauen.
Maskenangriff – die Maskerade eines Hackers
Bei einem Maskenangriff gelangen Angreifende durch Datenschutzverletzungen oder Cybersicherheitsvorfälle an einen Teil deines Passworts. Auch wenn die Hacker dabei nicht dein vollständiges Passwort erhalten, haben sie genug Anhaltspunkte, um mit der Suche zu beginnen. Anstatt wie bei einem Brute-Force-Angriff alle möglichen Zeichenkombinationen durchzuspielen, wenden sie eine „Maske“ an, die zu dem bereits bekannten Teil passt. Wenn ein Hacker beispielsweise weiß, dass das Passwort mit „Der“ beginnt und acht Zeichen lang ist, wird er nur Kombinationen ausprobieren, die diesem Muster entsprechen. Dadurch reduziert sich die Zahl der Versuche, die ein Hacker zum Knacken des Passworts braucht, beträchtlich. Das Gute daran ist (für dich, nicht für den Hacker), dass auch ein kleiner ausgespähter Teil den Hackern nicht dein vollständiges Passwort liefert, wenn es sich dabei um das digitale Äquivalent eines Hochsicherheitsschlosses handelt: lang, komplex und schwierig vorherzusagen. Du solltest dein Passwort also aus einer langen Kombination aus Zahlen, Buchstaben und Sonderzeichen in einem Muster erstellen, das nur du verstehst.
Durch das Labyrinth der Rainbow Tables finden
In den dunkelsten Tiefen des Internets findest du eine Hacking-Methode, die ganz harmlos klingt, aber weit davon entfernt ist: Rainbow Tables. Rainbow Tables sind wie Spickzettel, die Hacker zum Knacken von Passwörtern nutzen. Wenn du in einer App oder auf einer Website ein Passwort erstellst, wird dies normalerweise mithilfe einer Hash-Funktion in ein verschlüsseltes, unkenntliches Format umgewandelt – diesen Prozess nennt man „Hashing“. Im Grunde genommen sind Rainbow Tables Tabellen mit vorberechneten Hash-Werten, die unzähligen potenziellen Passwörtern zugeordnet werden. Mit den Rainbow Tables gleichen Hacker das verschlüsselte Passwort (den Hash-Wert) mit seiner ursprünglichen Form in ihrer Tabelle ab. So haben sie es viel einfacher, das richtige Passwort zu erraten und können sich einen zeitraubenden Prozess von Versuch und Irrtum sparen.Aber es gibt auch einen Silberstreifen am Horizont: Wenn dein Passwort komplex und einzigartig ist, bist du vor Hackern gut geschützt. Außerdem gibt es die Praxis des „Salting“ – das Einstreuen von zufällig erzeugten Zeichenketten in das Passwort, bevor es in einen Hash-Wert verwandelt wird. Dadurch wird das Ganze zu einem Rätsel, das selbst für die längsten Rainbow Tables zu verworren ist, um entschlüsselt zu werden.
Wie heimtückisch und einfach Wörterbuchangriffe sind
Der Name ist etwas irreführend, denn bei dieser Methode wird nicht in der neuesten Ausgabe des Duden geblättert, sondern mit dem „Wörterbuch“ eines Hackers gearbeitet, d. h. mit einer kompakten Sammlung der beliebtesten Passwörter im Internet. So etwas wie: „123456“, „qwertz“, „Passwort“, „ichliebedich“ und das im Internet berühmte „hunter2“.In dieser Geschichte gibt es allerdings eine überraschende Wendung namens „Spidering“. Wenn ein Hacker ein bestimmtes Unternehmen oder eine Organisation ins Visier nimmt, probiert er nicht einfach die üblichen Passwörter so lange aus, bis eines hängen bleibt. Er spinnt vielmehr ein Netz aus bestimmten Wörtern, die zum Ziel passen, also eine Unternehmenssprache, Branchenjargon oder alles, was mit dem Unternehmen öffentlich in Verbindung gebracht wird. Dies geschieht aber nicht mit einem verstaubten alten Thesaurus, sondern mit einer digitalen Spinne, ähnlich wie Bots, die mit Suchmaschinen riesige Bereiche des Internets indizieren.Der Reiz bei Wörterbuchangriffen, insbesondere in Kombination mit einer Spidering-Strategie, liegt in ihrem Potenzial, die Konten von Führungskräften, die hoch oben auf der Unternehmensleiter stehen, zu knacken. Aber auch dieser Methode kannst du etwas entgegenhalten. Wenn du ein Passwort erstellst, solltest du alles vermeiden, was ein Wörterbuchangriff vorhersagen könnte – persönliche Informationen, einfache Folgen, sinvolle Kombinationen oder alles, was auch nur im Entferntesten erraten werden könnte. Nimm lieber eine chaotische Mischung auf Buchstaben, Nummern und Sonderzeichen, die du immer nur für ein Konto verwendest. So kann dir keiner deine digitalen Schlüssel entwenden und du bist gegen Wörterbuchangriffe gut geschützt.
Dein Geld bei N26
Bei N26 nehmen wir Sicherheit sehr ernst. Jede N26 Mastercard wird mit 3D Secure-Technologie geschützt. Wenn du eine verdächtige Aktivität in deinem Konto entdeckst, kannst du deine Karte sofort in der App sperren. Außerdem geben dir Push-Nachrichten in Echtzeit zu jeder Kontobewegung die nötige Übersicht und Gewissheit. Besuche unsere Kontoübersichtsseite, um das richtige für dich zu finden.
Betrüger geben sich als Vertreter von N26 aus, um Nutzerdaten zu stehlen. Hier zeigen wir, wie N26 dich kontaktiert und wie nicht, damit du einen Betrug erkennst.
Betrüger geben sich als Vertreter von N26 aus, um Nutzerdaten zu stehlen. Hier zeigen wir, wie N26 dich kontaktiert und wie nicht, damit du einen Betrug erkennst.
