8Sep
Die Leute reden davon, dass ihre Online-Accounts "gehackt" werden, aber wie genau passiert dieses Hacking? Die Realität ist, dass Konten auf ziemlich einfache Weise gehackt werden - Angreifer verwenden keine schwarze Magie.
Wissen ist Macht. Wenn Sie wissen, wie Konten tatsächlich kompromittiert werden, können Sie Ihre Konten schützen und verhindern, dass Ihre Kennwörter von vornherein "gehackt" werden.
Wiederverwenden von Passwörtern, insbesondere durchgesickerten
Viele Menschen - vielleicht sogar die meisten Menschen - verwenden Passwörter für verschiedene Accounts. Manche Leute benutzen sogar das gleiche Passwort für jeden Account, den sie benutzen. Dies ist äußerst unsicher. Bei vielen Websites - selbst bei großen, bekannten wie LinkedIn und eHarmony - sind ihre Passwortdatenbanken in den letzten Jahren durchgesickert. Datenbanken mit durchgesickerten Passwörtern sowie Nutzernamen und E-Mail-Adressen sind online leicht zugänglich. Angreifer können diese Kombinationen aus E-Mail-Adresse, Benutzernamen und Passwörtern auf anderen Websites ausprobieren und Zugang zu vielen Konten erhalten.
Durch die Wiederverwendung eines Passworts für Ihr E-Mail-Konto sind Sie noch mehr gefährdet, da Ihr E-Mail-Konto dazu verwendet werden könnte, alle anderen Passwörter zurückzusetzen, wenn ein Angreifer Zugriff darauf erhält.
Wie gut Sie Ihre Kennwörter schützen, Sie können nicht kontrollieren, wie gut die von Ihnen verwendeten Dienste Ihre Kennwörter schützen. Wenn Sie Passwörter wiederverwenden und ein Unternehmen ausfällt, sind alle Ihre Konten gefährdet. Sie sollten überall verschiedene Passwörter verwenden - ein Passwort-Manager kann dabei helfen.
Keylogger
Keylogger sind bösartige Softwareteile, die im Hintergrund laufen und jeden von Ihnen vorgenommenen Schlüsselzug protokollieren. Sie werden häufig verwendet, um sensible Daten wie Kreditkartennummern, Online-Banking-Passwörter und andere Kontoinformationen zu erfassen. Sie senden diese Daten dann über das Internet an einen Angreifer.
Solche Malware kann durch Exploits eindringen. Wenn Sie beispielsweise eine veraltete Version von Java verwenden, können Sie, wie bei den meisten Computern im Internet, durch ein Java-Applet auf einer Webseite kompromittiert werden. Sie können jedoch auch in anderer Software getarnt ankommen. Zum Beispiel können Sie ein Tool eines Drittanbieters für ein Online-Spiel herunterladen. Das Tool ist möglicherweise bösartig, erfasst Ihr Spielpasswort und sendet es über das Internet an den Angreifer.
Verwenden Sie ein anständiges Antivirenprogramm, halten Sie Ihre Software auf dem neuesten Stand und vermeiden Sie das Herunterladen von nicht vertrauenswürdiger Software.
Social Engineering
Angreifer verwenden häufig auch Social-Engineering-Tricks, um auf Ihre Konten zuzugreifen. Phishing ist eine allgemein bekannte Form von Social Engineering - der Angreifer imitiert im Wesentlichen jemanden und fragt nach Ihrem Passwort. Einige Benutzer übergeben ihre Passwörter ohne weiteres. Hier einige Beispiele für Social Engineering:
- Sie erhalten eine E-Mail, die behauptet, von Ihrer Bank zu sein, Sie auf eine gefälschte Bankwebsite zu leiten und Sie aufzufordern, Ihr Passwort einzugeben.
- Sie erhalten eine Nachricht auf Facebook oder einer anderen sozialen Website von einem Benutzer, der behauptet, ein offizieller Facebook-Account zu sein. Sie werden gebeten, Ihr Passwort zur Authentifizierung zu senden.
- Sie besuchen eine Website, die Ihnen etwas Wertvolles verspricht, wie zum Beispiel kostenlose Spiele auf Steam oder kostenloses Gold in World of Warcraft. Um diese gefälschte Belohnung zu erhalten, benötigt die Website Ihren Benutzernamen und Ihr Passwort für den Dienst.
Achten Sie darauf, wem Sie Ihr Passwort geben - klicken Sie nicht auf Links in E-Mails und gehen Sie zur Website Ihrer Bank, geben Sie Ihr Passwort nicht an Personen weiter, die Sie kontaktieren und fordern Sie keine Zugangsdaten annicht vertrauenswürdige Websites, vor allem solche, die zu gut erscheinen, um wahr zu sein.
Beantworten von Sicherheitsfragen
Kennwörter können häufig durch Beantworten von Sicherheitsfragen zurückgesetzt werden. Sicherheitsfragen sind im Allgemeinen unglaublich schwach - oft Dinge wie "Wo wurdest du geboren?", "In welche High School bist du gegangen?" Und "Wie war der Mädchenname deiner Mutter?".Es ist oft sehr einfach, diese Informationen auf öffentlich zugänglichen Social-Networking-Sites zu finden, und die meisten normalen Leute würden Ihnen sagen, auf welche Highschool sie gingen, wenn sie gefragt wurden. Mit diesen leicht zu erhaltenden Informationen können Angreifer häufig Kennwörter zurücksetzen und Zugriff auf Konten erhalten.
Idealerweise sollten Sie Sicherheitsfragen mit Antworten verwenden, die nicht leicht zu erkennen oder zu erraten sind. Websites sollten auch verhindern, dass Menschen Zugang zu einem Konto erhalten, nur weil sie die Antworten auf einige Sicherheitsfragen kennen, und manche tun es - aber manche tun es immer noch nicht.
E-Mail-Konto und Passwort Setzt
zurückWenn ein Angreifer eine der oben genannten Methoden verwendet, um Zugriff auf Ihre E-Mail-Konten zu erhalten, haben Sie größere Probleme. Ihr E-Mail-Konto fungiert in der Regel als Ihr Hauptkonto online. Alle anderen Konten, die Sie verwenden, sind damit verknüpft, und jeder mit Zugriff auf das E-Mail-Konto kann damit Ihre Kennwörter auf einer beliebigen Anzahl von Websites zurücksetzen, bei denen Sie sich mit der E-Mail-Adresse registriert haben.
Aus diesem Grund sollten Sie Ihr E-Mail-Konto so gut wie möglich sichern. Es ist besonders wichtig, ein eindeutiges Passwort dafür zu verwenden und es sorgfältig zu schützen.
Welches Passwort "Hacking" ist nicht
Die meisten Leute denken wahrscheinlich, dass Angreifer jedes einzelne Passwort versuchen, sich in ihr Online-Konto einzuloggen. Das passiert nicht. Wenn Sie versuchen, sich in das Online-Konto von jemandem einzuloggen und weiterhin Passwörter zu erraten, würden Sie verlangsamt und daran gehindert werden, mehr als eine Handvoll Passwörter auszuprobieren.
Wenn ein Angreifer nur durch Erraten von Passwörtern in ein Online-Konto gelangen konnte, war das Passwort wahrscheinlich etwas, das bei den ersten Versuchen, wie "Passwort" oder der Name des Haustiers, offensichtlich war.
Angreifer können solche Brute-Force-Methoden nur verwenden, wenn sie lokalen Zugriff auf Ihre Daten haben. Nehmen wir an, Sie haben eine verschlüsselte Datei in Ihrem Dropbox-Konto gespeichert und Angreifer haben Zugriff darauf erhalten und die verschlüsselte Datei heruntergeladen. Sie könnten dann versuchen, die Verschlüsselung brutal zu erzwingen und im Wesentlichen jede einzelne Passwortkombination auszuprobieren, bis eines funktioniert.
Personen, die angeben, dass ihre Konten "gehackt" wurden, sind wahrscheinlich der Wiederverwendung von Kennwörtern, der Installation eines Keyloggers oder der Übergabe ihrer Anmeldeinformationen an einen Angreifer nach Social-Engineering-Tricks schuldig. Sie könnten auch aufgrund leicht zu erratender Sicherheitsfragen kompromittiert worden sein.
Wenn Sie angemessene Sicherheitsvorkehrungen treffen, wird es nicht einfach sein, Ihre Konten zu "hacken".Die Verwendung der Zwei-Faktor-Authentifizierung kann ebenfalls hilfreich sein - ein Angreifer benötigt mehr als nur Ihr Passwort, um hineinzukommen.
Bildquelle: Robbert van der Steeg auf Flickr, asenat auf Flickr