Thema: Passwort-Fehler ...

[SiLæncer]

Die meisten User machen es sich bei der Wahl ihrer Passworte zu leicht - und öffnen damit Hackern Tür und Tor. Nur wer bestimmte Regeln beherzigt, schützt seine Kennworte davor, allzu leicht ausgehebelt zu werden.

Hamburg - Wer in virtuellen Welten unterwegs ist, kennt das Dilemma: Für alle möglichen Dienste - sei es Online-Banking, Mail-Accounts oder Foren - braucht man ein Passwort. Rund 20 Passworte muss sich ein User im Schnitt merken. Viele nutzen daher die gleichen, meist auch noch einfach zu merkenden Passworte und ändern sie allenfalls geringfügig ab. Ein großer Fehler, warnt Lutz Neugebauer vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien Bitkom.

Wird beispielsweise der E-Mail-Account gehackt, droht die Gefahr des Identitätsdiebstahls. Mit den gewonnenen Daten - Name, Adresse, Geburtsdatum und Kontakte - können Hacker viele üble Dinge anstellen.

Nicht selten wird der Name des Betroffenen für kriminelle Machenschaften missbraucht - dann drohen juristische Probleme. Oder es trudeln Rechnungen für Gegenstände ein, die der User nie bestellt geschweige denn erhalten hat. "Mit ein bisschen Fantasie kann man sich da einiges ausmalen", sagt Neugebauer.

Neugebauer ist Bereichsleiter Sicherheit bei der Bitkom und rät zu Passworten, die mindestens acht Zeichen lang und schwer zu erraten sind. Namen von Verwandten, Freunden oder Haustieren sollten ebenso tabu sein wie reine Ziffernfolgen. Denn mit so genannten Brute-Force-Attacken sind solche Passwörter sehr schnell zu knacken.

Dabei probiert ein Programm in kurzer Zeit sämtliche gängigen Kennwörter, ganze Wörterbücher und auch Zahlenfolgen durch - die gestiegene Rechnerleistung macht's möglich.

Daher gilt: Je länger ein Passwort, desto besser. Statt aus einem Wort sollte es aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen gebildet werden. Doch wie merkt man sich solch ein Ungetüm - zumal es ja auch noch regelmäßig - mindestens alle drei Monate - geändert werden sollte? Neugebauer empfiehlt, sich eine Eselsbrücke zu bauen, indem aus den einzelnen Buchstaben und Zahlen ein gut zu merkender Satz gebildet wird.

Internet-Browser machen es den Nutzern meist sehr leicht - sie speichern auf Wunsch Passwort und Login-Namen. Doch das sollte nach Möglichkeit vermieden werden, warnt Neugebauer. Die Passworte werden nämlich im Regelfall unverschlüsselt im Computer gespeichert. Das kann zum Problem werden, wenn der Computer auch anderen zugänglich ist - oder wenn ein Hacker durch einen Trojaner Zugriff auf den PC hat. Zumindest für das Online-Banking oder für Mail-Abrufe sollte diese Funktion deshalb auf keinen Fall genutzt werden.

Aufschreiben sollte man Passworte natürlich auch nicht, aber die Versuchung ist groß, wenn immer neue komplizierte Passworte hinzukommen. Statt zum Stift zu greifen, sollte man lieber auf technische Hilfsmittel zurückgreifen, rät Neugebauer. "Passwortsafes" etwa sind Programme, die auf einem verschlüsselten Bereich der Festplatte oder auf USB-Sticks laufen.

Die Programme speichern Kennworte nicht nur, sie erstellen auch Passworte nach sehr hohen Standards, weisen sie bei Bedarf einer speziellen Web-Seite zu und nutzen sie beim Abruf dieser Homepage automatisch. Der Nutzer muss dabei das Passwort selbst gar nicht im Klartext kennen. Um das Programm zum Laufen zu bringen, braucht man nur ein möglichst starkes Master-Passwort - das sollte man allerdings auf keinen Fall vergessen.

Eine neue Möglichkeit, die einen noch besseren Schutz bietet, ist die Biometrie. Erste USB-Sticks und Notebooks, die den Fingerabdruck des Nutzers scannen und erkennen, sind bereits im Handel erhältlich.

Fremde haben dann so gut wie keine Chance mehr, an geschützte Daten heranzukommen.

Im Kommen sind auch Einmal-Passworte. Sie werden zufällig generiert, können vom Display eines speziellen Keys abgelesen werden und sind dann nur zeitlich begrenzt gültig. Der Nutzer muss sie nur noch um einen nur ihm bekannten Teil ergänzen und kann sich dann einloggen. Allerdings ist der administrative Aufwand recht hoch - bislang wird diese Methode daher vor allem in der Wirtschaft beim Umgang mit hochsensiblen Daten genutzt. Aber auch Ebay und PayPal haben vor Kurzem eine Testphase mit den so genannten Sicherheits-Tokens gestartet.

Quelle : www.spiegel.de

[SiLæncer]

Ist Ihr Passwort unter den Top-10 der meistverwendeten Kennwörter? Begehen Sie einen der fünf häufigsten Passwort-Fehler? Welchen Schaden ein entwendetes Passwort anrichten kann, zeigt der Fall Twitter. Mit unseren Tipps werden Sie nicht zum Opfer.

Passwörter sind quasi überall. Wer nicht bereits beim Hochfahren des Computers nach einem gefragt wird und auch den Anmeldebildschirm von Windows mit keinem versehen hat, stößt doch spätestens beim Checken seiner Mails darauf. Auch Social Networks wie Xing, Online-Banking, Messenger wie ICQ oder der Premium-Account bei PC WELT verlangen nach einem Passwort. Wer soll sich die alle merken können? Lesen Sie hier, warum es zu unsicher ist, immer das gleiche Kennwort zu benutzen oder es zu speichern.

Denn wie schnell ein Passwort in die falschen Hände geraten und was für Schaden das anrichten kann, hat erst vor kurzem der Fall Twitter gezeigt. Ein Hacker konnte mithilfe eines unsicheren Passwortes Zugriff auf Konten prominenter Nutzer wie Barack Obama erlangen und verbreitete in deren Namen gefälschte Nachrichten. Lesen Sie weiter, wie das Passwort lautete, ob Ihnen das auch passieren könnte und welche Passwort-Stolpersteine vielen sonst noch zum Verhängnis werden.

In einer Umfrage wollte das Sicherheitsunternehmen McAfee die gebräuchlichsten Passwörter der Europäer wissen. Finden Sie Ihr Passwort in der Top-10 wieder? Alle der folgenden Kennwörter machen mindestens einen gravierenden Fehler.

mehr

Quelle : www.pcwelt.de

[SiLæncer]

Dass Anwender oftmals Ratschläge zu sicheren Passwörtern und Schutz vor Phishing in den Wind schlagen, hat nach Meinung von Cormac Herley von Microsoft Research einen einfachen Grund: Aufwand und Nutzen stehen in keinem vernünftigen Verhältnis zueinander. Somit sei es eigentlich ganz rational, dass Anwender die Regeln nicht befolgten. Während die Ratschläge beispielsweise zu Passwörtern sehr konkret seien, sei die damit verbundene Verbesserung eher spekulativ – und verspräche oftmals auch zuviel.

In seinem Thesenpapier "So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users" nennt Herley die Regeln zum Umgang mit Passwörtern als ein Beispiel. Ein Passwort soll lang sein, Zahlen und Sonderzeichen enthalten, in keinem Buch stehen, oft gewechselt werden und nicht niedergeschrieben werden. Das verkompliziere den Umgang mit Passwörtern erheblich während es gegenüber heutigen Angriffen per Phishing und Keyloggern keinen Schutz biete und Brute-Force-Angriffe nur noch selten auftreten und ohnehin von vielen Webseiten verhindert oder ausgebremst würden.

Auch die "Oft-Wechseln"-Regel helfe etwa nur dann, wenn der Angreifer nach dem Ausspähen des Passwortes wochenlang warte, um es zum Zugriff einzusetzen. Selbst die Empfehlung, dasselbe Passwort nicht auf mehreren Webseiten einzusetzen, bringt Herleys Ansicht nach nicht viel Sicherheitsgewinn. Tipps zum Erkennen von Phishing-Seiten findet der Microsoft-Forscher genauso überflüssig. Das Prüfen von URLs in der Adresszeile des Browsers nach Phishingmerkmalen werde immer komplexer und Adressen wie w+w.paypal.com.evil.com und w+w.paypa1.com als betrügerisch zu erkennen, erfordere immer neue Hinweise. Da US-Banken in den meisten Fällen ohnehin den Schaden bei Phishing-Fällen übernehmen würden, hätte der Kunde also eigentlich nur Aufwand ohne Nutzen.

Auch die Regeln zum Umgang mit SSL-Verbindungen und wie man bei Fehlermeldungen umgehen soll, sei wenig hilfreich, da der Anwender zu oft auf legitime aber abgelaufene SSL-Zertifikate stoße, die eine Warnung produzieren. Darüber hinaus würde auch die Kontrolle, ob eine SSL-Verbindung bestehe, den Anwender oftmals unnötig misstrauisch machen. So würden manche Seiten den HTML-Inhalt unverschlüsselt ausliefern, während Formulare mit Kundendaten aber mit einem SSL-gesicherten POST-Request sicher auf den Server gelangen – was aber so im Browser nicht zu erkennen ist.

Das Problem mit den Ratschlägen ist laut Herley, dass sie sich oft am "Worst Case" orientierten, während die reale Bedrohung weit geringer sei. Ihm sei auch beispielsweise kein Fall bekannt, bei dem ein Bankkunde aufgrund des Ignorierens eines Zertifikatsfehlers Opfer einer Man-in-the-Middle-Atacke wurde und ihm auf diesem Wege Geld abhanden kam. Auch sei ihm nicht bekannt, dass durch das Niederschreiben eines Passworts, jemals ein Zugang zu einem System kompromittiert worden sei.

Zwar stehen Herleys Ansichten den allgemeingültigen Empfehlungen offenbar entgegen, dennoch finden sie durchaus Anklang. Krypto-Guru und Sicherheitsspezialist Bruce Schneier sieht Parallelen zur eigenen Meinung. Gervase Markham von der Mozilla Foundation und führender Bugzilla-Entwickler stimmt Herley in seinem Blog ebenfalls zu. Gefordet seien nun unter anderem leicht erkennbare Merkmale, ob eine Webseite die richtige sei. EV-SSL-Zertifikate könnten dies seiner Meinung nach bieten.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitssoftware-Hersteller Avira führte im Juli dieses Jahres eine Studie unter gut 5000 Internetnutzern zum Umgang mit Passwörtern durch. Das Ergebnis: ein grundsätzliches Problembewusstsein ist vorhanden, aber oft werden unnötige Fehler gemacht.

Die meisten Benutzer, so die Studie, wissen um die Wichtigkeit ihrer Passwörter und sind grundsätzlich sehr auf deren Schutz bedacht. Bei einem Drittel der Befragten funktioniert dies auch sehr gut: Ihnen bescheinigt Avira, "äußerst verantwortungsvoll" mit ihren Passwörtern umzugehen. Sie verwenden für jeden Account ein anderes, sicheres Kennwort und verwalten generell ihre Passwörter streng vertraulich. Damit kommen sie den Zielvorstellungen von IT-Sicherheits-Experten sehr nahe und minimieren das Risiko erfolgreicher Angriffe.

Weniger vorbildlich: ein Viertel der Befragten verwendet ein und dasselbe Passwort für sämtliche Accounts. Das Risiko liegt auf der Hand: Mit Hilfe einer Phishing-Seite können Cyberkriminelle so das Passwort für sämtliche Dienste herausbekommen. "Wird ihr Universalpasswort ausspioniert, öffnen sie Cyberkriminellen Tür und Tor ihrer gesamten Online-Privatsphäre. Ist das einzige Passwort einmal geknackt, können Kriminelle mehrere Dienste in fremdem Namen missbrauchen, um beispielsweise Links zu Schadsoftware zu versenden, die als private Nachrichten getarnt sind. Im schlimmsten Fall tätigen Hacker mit den Daten des Kontoinhabers sogar Einkäufe auf dessen Kosten," warnen die Experten.

Ebenfalls eine Todsünde im Bereich Passwort-Sicherheit ist das Notieren der Passwörter auf einem Zettel oder dem vielzitierten Post-It am Monitor. Auch im Jahr 2009 gab noch jeder Fünfte Befragte an, dieser Unsitte zumindest gelegentlich zu frönen. Avira empfiehlt als Alternative einen Passwort-Manager - bei einigen Betriebssystemen wie KDE-basierten Linux-Distributionen oder auch Mac OS ist dieser sogar bereits eingebaut. Knapp 13 Prozent der Befragten nutzen solche Tools bereits.

Neun Prozent der Befragten gehören zu den notorischen Passwort-Vergessern: Sie lassen sich bei jedem Einloggen auf einer Website ein neues Kennwort per E-Mail zusenden. "Ein sicheres Passwort sollte länger als acht Zeichen und eine zufällige Folge aus Buchstaben in Groß- und Kleinschrift, Sonderzeichen sowie Ziffern sein", rät Travis Witteveen, Head of Sales & Marketing der Avira GmbH. "Um sich diese meist wenig einprägsamen Passwörter zu merken, gibt es nützliche Tricks: So wird beispielsweise aus den Anfangsbuchstaben des Satzes 'Meine 2 Kinder gehen morgens um 8 in die Schule und ich sehe sie erst abends um 6!' das sichere Passwort 'M2Kgmu8idSuisseau6!'. Für jeden genutzten Dienst oder Account sollten sich Anwender ein separates sicheres Passwort erstellen, um nicht Gefahr zu laufen, mit dem Verlust eines Passwortes gleich mehrere Konten zu gefährden.

Quelle : www.gulli.com

[SiLæncer]

Die Sicherheitsexperten aus dem Hause Imperva hatten die Möglichkeit, einen Datensatz mit 32 Millionen Passwörtern auszuwerten. Daraus entstand eine Studie über die schlechtesten Angewohnheiten bei User-Passwörtern.

Die Daten stammen von einem Sicherheitsproblem bei RockYou, einem Anbieter sozialer Anwendungen und gelangten im Dezember 2009 ins Internet. Laut dem Chief Technical Officer von Imperva, Amichai Shulman, ist es das erste Mal, dass so viele real genutzte Passwörter untersucht werden konnten, berichtet 'TGDaily'.

Die beliebtesten Passwörter:

    * 123456
    * 12345
    * 123456789
    * Password
    * iloveyou
    * princess
    * rockyou
    * 1234567
    * 12345678
    * abc123


Das Ergebnis ist erschreckend, überrascht aber wenig. Viele Anwender benutzen so einfache Passwörter, dass sie von Hackern leicht erraten werden können. Laut Shulman ist es mit heutigen Mitteln problemlos möglich, alle 17 Minuten Zugriff auf 1.000 Nutzerkonten zu erhalten, geht man von den Passwörtern im Datensatz aus.

Die Einstellung der Nutzer gegenüber der Sicherheit hat sich in den letzten 20 Jahren kaum verändert, erklärt Shulman. Bereits 1990 wurde eine ähnliche Studie über Unix-Passwörter veröffentlicht, die zu dem gleichen Ergebnis kam.

Quelle : http://winfuture.de

[SiLæncer]

Der IT-Branchenverband BITKOM untersuchte kürzlich das Verhalten der Deutschen bei der Passwort-Nutzung. Das Ergebnis ist wenig überraschend: beim Sicherheitsbewusstsein vieler Nutzer von PC und Internet gibt es in diesem Bereich noch immer massive Defizite.

Eine repräsentative Forsa-Umfrage im Auftrag des BITKOM enthüllte, dass viele Deutsche noch immer nicht genug Sorgfalt beim Umgang mit ihren Passwörtern an den Tag legen. Ein großes Problem stellt vor allem die Tatsache dar, dass viele der Befragten ihre Passwörter an Dritte weitergeben. Bei privaten Passwörtern - beispielsweise für den eigenen Rechner oder für bestimmte Websites - tun das 37 Prozent der Befragten. Rund ein Drittel gibt sogar am Arbeitsplatz Passwörter für berufliche Inhalte weiter. "Dass die Bürger ihren Mitmenschen vertrauen, ist zwar grundsätzlich ein positives Zeichen – Passwörter sollten aber nur in Ausnahmesituationen weitergegeben werden", sagte BITKOM-Präsidiumsmitglied Prof. Dieter Kempf. "In Einzelfällen kann eine zeitlich begrenzte Weitergabe des Passworts an vertrauenswürdige Personen, z.B. für Wartungsprozesse, notwendig sein. Es sollte dann jedoch zeitnah das bisherige Passwort gegen ein neues getauscht werden. Grundsätzlich empfehlen wir größtmögliche Zurückhaltung."

Besonders häufig, nämlich von 27 Prozent der Befragten, werden Passwörter an den Lebenspartner oder die Lebenspartnerin weitergegeben. Jeder Zehnte (9 Prozent) vertraut engen Verwandten, drei Prozent der Befragten ihren Freunden und Bekannten.

Offenbar ist nicht allein allzu großes Vertrauen Grund für die Problematik. "Viele Menschen geben ihre Passwörter weiter, weil sie befürchten, sie selbst zu vergessen – ähnlich wie den Haustürschlüssel, den man sicherheitshalber in der Nachbarschaft hinterlegt. In der digitalen Welt gibt es dafür aber bessere Alternativen", so Kempf. Er empfiehlt beispielsweise die Nutzung eines Passwort-Managers. Was aber am heimischen PC durchaus funktionieren kann, ist nicht empfehlenswert, wenn mehrere Benutzer an einem Rechner arbeiten. In diesen Fällen bleibt doch nur das Vertrauen auf das eigene Gedächtnis.

Quelle : www.gulli.com

[Jürgen]

Es ist eigentlich gar keine so schlechte Idee, wichtige Passworte in schriftlicher Form an möglichst vertrauenswürdiger externer Stelle aufzubewahren.
Gewissermassen ist das ein ausgelagertes Backup, das nicht dazu neigt, zusammen mit dem Original verloren zu gehen.
Eine recht hohe Sicherheit gegen unbemerkten Missbrauch ist dabei einfach zu erreichen, in Form eines versiegelten Umschlags mit einer Einlage aus Alufolie gegen Durchleuchten.
Gleiches gilt für den zusätzlichen Wohnungsschlüssel, einfach einsiegeln.

So führt man niemanden in Versuchung.

Wer Siegel bricht, wird gekielholt...


BTW, Passwort-Weitergabe am Arbeitsplatz kann durchaus auch normal sein.
An unseren Arbeitsplatzrechenrn im Verkauf nutzt jeder Mitarbeiter einer Abteilung denselben rechnerspezifischen Benutzernamen.
Und alle in der Filiale dasselbe Passswort, welches regelmässig zentral geändert wird.
Natürlich müssen die an dem Tag anwesenden Kollegen andere informieren, die gerade frei hatten.
Diese Passwortsicherung gilt allein dem Schutz vor Eingriffen durch Kunden.
Buchungen in der Warenwirtrschaft werden an diesen Rechnern nicht durchgeführt, sondern nur vorbereitet und anschliessend erst durch Vorgesetzte endgültig freigegeben.
Alle Mitarbeiter sind ohnehin einschlägig belehrt.
Und wenn man einem aus der überschaubaren Kollegenschaar nicht vertrauen könnte, wäre ohnehin etwas grundsätzlich falsch...

Dennoch, ein privates Login würde ich von einem Firmenrechner aus niemals vornehmen.
Die Zentralregierung möchte ich nicht in Versuchung führen...

[berti]

zum schmunzeln und nachdenken:

so Kempf. Er empfiehlt beispielsweise die Nutzung eines Passwort-Managers.

vor ein paar tagen ergab sich bei  uns in der firma folgende situation:
kollege hat alle seine passworte in einen pw-manager gespeichert, rechner win7 mit Bitlocker und TPM

dann das zugangspasswort zum rechner vergessen - alle passwörter weg. so kanns gehen.

[Warpi]

Hier hilft das Training von /dev/brain 

[SiLæncer]

41 Prozent der Bundesbürger verändern aus eigener Initiative niemals ihre Zugangscodes für Online-Konten, E-Mail-Postfächer, Auktionsplattformen, PCs oder das Handy. Das ergab  eine repräsentative Forsa-Umfrage im Auftrag des Branchenverbands Bitkom. Nur jeder Sechste (17 Prozent) ändert seine wichtigsten Geheimzahlen und Passwörter wenigstens einmal im Quartal. "Bei Passwörtern zahlt sich Treue nicht aus – die wichtigsten Passwörter sollten alle drei Monate geändert werden", kommentiert Dieter Kempf vom Präsidium des Bitkom die Umfrage.

Jeder Zwölfte (8 Prozent) ändert seine Zugangscodes nur alle paar Jahre, jeder Neunte (11 Prozent) immerhin jährlich. 6 Prozent wechseln im Schnitt halbjährlich ihre Kennwörter, 9 Prozent quartalsweise, 7 Prozent monatlich, jeder Hundertste gar wöchentlich. Frauen ändern laut der Auswertung ihre wichtigsten Kennwörter seltener als Männer: 45 Prozent tun dies nie (Männer: 38 Prozent), nur 12 Prozent mindestens einmal im Quartal (Männer: 24 Prozent). Sensibilisiert sind laut Bitkom aber Jugendliche und junge Erwachsene bis 29 Jahre. In dieser Gruppe soll jeder Vierte (27 Prozent) seine wichtigsten Kennwörter mindestens quartalsweise ändern. Faul sind dagegen Senioren: Bei Personen über 60 Jahren sind es nur rund 4 Prozent.

"Private Nutzer und Unternehmen sind gleichermaßen gefordert. Die Firmen sollten die PCs ihrer Mitarbeiter so einstellen, dass Kennwörter regelmäßig geändert werden müssen. Zudem sollte es Vorgaben zur Mindestlänge und dem Schwierigkeitsgrad des Passwortes geben", fordert Kempf. Zuletzt veröffentlichte Bitkom Anfang des Monats eine Studie zu Passwörtern, wonach 37 Prozent private Passwörter für ihren PC, Internet-Seiten und Co. an andere weitergeben.

Aktuelle Fälle zeigen, inwieweit die Wahl des Passworts die Widerstandsfähigkeit gegen Knackversuche beeinflussen kann. So hat sich das FBI einem Bericht des brasilianischen TV-Senders Globo zufolge zwölf Monate mit einer Wörterbuchattacke an einem per Truecrypt-verschlüsselten Container die Zähne ausgebissen. Das FBI hatte die Dateien von den brasilianischen Behörden erhalten, nachdem diese sich bereits 5 Monate daran versucht hatten. Die Datei stammte von dem wegen betrügerischer Transaktionen angeklagten Banker Daniel Dantas.

Auf der anderen Seite ist gerade ein französischer Hacker freigesprochen worden, der sich illegal Zugang zu etlichen Nutzer-Konten des Kurzmitteilungsdienstes Twitter verschafft – darunter auch zu denen von Barack Obama und Britney Spears. Der Zugriff gelang ihm, weil er die Passwörter von Twitter-Admins erraten hatte und mit (damals) verfügbaren Support-Tools Tweets auf beliebige Konten veröffentlichen konnte.

Ob nun besonders lange und kryptische Passwörter und regelmäßige Wechsel ein Konto länger schützen, als kurze, aber nicht leicht erratbare, kommt auf den jeweiligen Anwendungsfall an. Im Fall von Truecrypt vs Wörterbuchattacke lohnt sich sicherlich ein langes Passwort mit Sonderzeichen und Drumherum. Auch den Twitter-Admins hätte das vermutlich gereicht, um den gezielten Angriff abzuwehren. Stattdessen haben sie offenbar persönliche Informationen wie Namen und dergleichen in die Passwörter einließen lassen, die sich über Social-Networking-Seiten herausfinden ließen.

Der Privatanwender steht jedoch selten unter direktem Beschuss, da etwa eine ungezielte Wörterbuchattacke für Kriminelle zu viel Aufwand bedeutet. Zudem blockieren oder erschweren viele Webseiten weitere Login-Versuche nach einer gewissen Zahl von Fehlschlägen. Wesentlich häufiger kommen Passwörter durch Phishing-Attacken abhanden – und da hilft dann auch kein hunderstelliges Passwort mehr. Immerhin kann der Einsatz verschiedener Passwörter für unterschiedliche Seite dann den Schaden begrenzen.

Ist der PC jedoch mit einem Passwort-stehlenden Trojaner (wie ZeuS ) infiziert, hilft auch das nicht mehr. Denn dann liest der Trojaner ohnehin alles mit. Immerhin könnte ein regelmäßiger Passwortwechsel die Betrüger aus dem Tritt bringen: Da diese nicht in Echtzeit die Daten missbrauchen oder weitergeben können, vergeht bis zum Missbrauch der Daten etwas Zeit. Wechselt man (trotz Unkenntnis der Infektion) rechtzeitig die Daten, so läuft der Login-Versuch der Betrüger ins Leere.

Quelle : www.heise.de

[SiLæncer]

Viele Medien berichten über ein Ergebnis des Global Security Reports 2012 von Trustwave , wonach das mit Abstand häufigste Kennwort in der Geschäftswelt "Password1" sei, da es bezüglich Länge, Groß/Kleinbuchstaben und Zahlen den Mindestanforderungen von Microsoft entspricht. Der [ --] gegen Registrierung frei herunterladbare – Report enthält aber darüber hinaus zahlreiche weitere Informationen über die Sicherheitslage, unter anderem die 24 darauffolgenden beliebtesten Kennwörter. Hier die Hitliste der ersten zehn:

    Password1
    welcome
    password
    WeLcome1
    welcome1
    Password2
    123456
    Password01
    Password3
    P@ssw0rd

Ein Testlauf mit den frei erhältlichen Hackprogrammen Cryptohaze Multiforcer und John the Ripper konnte mit den Kennwortlisten in 10 Stunden rund 200.000 von 2.521.248 Kennworten knacken

Auch dass weiterhin ein großer Teil von Kennwörtern völlig unverschlüsselt über das Netz geht, prangert Trustwave an. So macht sich das größte mobile Netzwerk SCinet , das immer zur Supercomputer-Konferenz aufgebaut wird, immer "einen Spaß" daraus, verwendete Klartextkennwörter im Netz auf einem Display anzuzeigen. Auch zum Ursprung der meisten Attacken gibt der Trustwave-Report Auskunft. Klarer "Sieger" ist danach Russland mit 29,6 Prozent, die USA folgen mit 10,5 Prozent weit dahinter. Deutschland kommt in dieser Disziplin nur auf 1 Prozent

Auch auf die Qualität von Antivirus-Programmen geht der Report ein. Von 70.000 Schädlingsprogrammen haben laut Trustwave die 25 untersuchten Schutzprogramme im besten Fall nur 83 Prozent abgewehrt.

Trustwave selbst war als Zertifikationsherausgeber unterdessen auch selbst in die Kritik geraten, da es ein mittlerweile widerrufenes Zertifkat an eine Firma verkauft hatte, mit dem sich diese damit gültige Zertifikate für beliebige Server ausstellen und so verschlüsselten Datenverkehr mitlauschen konnte.

Quelle : www.heise.de