Jüngste Phishingattacken entlarven unbedarfte User
Die Mehrheit der Internet-User setzt weiterhin auf unsichere Passwörter. Das hat eine Analyse nach den jüngsten Phishing-Großattacken auf Gmail-, Hotmail- und Yahoo-Kunden ergeben. In den Top zehn der am häufigsten verwendeten Hotmail-Passwörter finden sich einfache Zahlenkombinationen wie "123456" oder "111111". Aber auch einfache Vornamen und das seit Jahren bekannte Massenpasswort "iloveyou" stehen immer noch hoch im Kurs. Die Erkenntnisse stammen aus einer am Dienstag aufgetauchten Liste von rund 10.000 Hotmail-Accounts und den dazugehörigen Passwörtern. Alle User wurden Opfer von Phishing-Attacken.
"Werden Anwender wie in diesen Fällen über Phishing-Seiten oder …
Keylogger in die Falle gelockt, hilft natürlich auch das beste Passwort nichts", umreißt Sicherheitsexperte Magnus Kalkuhl von Kaspersky Lab die Problematik. Genauso problematisch erweise sich in vielen Fällen zudem die vielerorts angebotene Sicherheitsrückfrage, mit dem der User ein vergessenes Passwort zurücksetzen kann. So hat die Frage nach der Lieblingsfarbe oder dem Lieblingsessen in der Vergangenheit oftmals dazu geführt, dass Webaccounts auch von Außenstehenden auf einfachste Weise geknackt werden konnten – eine unliebsame Erfahrung, die etwa Sarah Palin während des US-Wahlkampfes machen musste.
Sichere Passwörter, die neben Buchstaben auch Ziffern und Sonderzeichen beinhalten sollten, sind aber ungeachtet der neuen Phishingmethoden weiterhin sinnvoll, unterstreicht Kalkuhl. Gerade, wenn Datenbanken gehackt werden, könne diese Vorsichtsmaßnahme verhindern, dass das Passwort über den Einsatz bestimmter Algorithmen ausgelesen werden könne. "Die Empfehlung geht dahin, lieber ein kompliziertes Passwort aufzuschreiben und dieses an einem sicheren Ort zu verstauen, als leicht merkbare, unsichere Passwörter zu verwenden", meint der Sicherheitsexperte.
"Wir haben leider den Punkt erreicht, dass man sich ein wirklich sicheres Passwort nicht mehr merken kann. Um etwa einen mit Passwort verschlüsselten Datenträger bei einem Bruteforce-Angriff etwas entgegenzusetzen, muss das Passwort schon zwischen 30 und 40 Zeichen lang sein", erklärt Kalkuhl. Eine Bruteforce-Attacke liegt vor, wenn der Angreifer beliebig oft verschiedene Kombinationen ausprobieren kann, um das richtige Passwort zu knacken. Neue Impulse für einen besseren Passwortschutz erwartet der Kaspersky-Experte unter anderem von den Banken, die seit längerem mit kurzzeitig gültigen Einmalpasswörtern und physischen Token-Systemen ihre Kunden zu schützen versuchen.
Eine Übersicht über die am häufigsten verwendeten Passwörter in den gehackten Hotmail-Accounts findet sich auf der Homepage des Sicherheitsunternehmens Acunetix www.acunetix.com/blog/websecuritynews/statistics-from-10000-leaked-hotmail-passwords/