Inyovas kurzer monatlicher Newsletter mit Sicherheitsempfehlungen, Neuigkeiten und interessanten Fakten.
Dies ist ein interner Newsletter, der jeden Monat ans Inyova-Team versandt wird. Wir hoffen, dass er Euch auch so gut gefällt wie uns.
Heute: Schnallt Euch an – Credential-Stuffing-Angriffe
Was zum Hacker ist Credential-Stuffing?
Ein Credential-Stuffing-Angriff ist eine Art von brachialer Cyberattacke, die sehr geschickt daherkommt. Anstatt zu versuchen, sich auf einer Plattform mit zufälligen Zeichenfolgen einzuloggen, benutzen die Angreifer*innen eine Liste von E-Mail-Adressen und Passwörtern, die schon mal gehackt und dann veröffentlicht wurden. Da Leute oft immer wieder dieselben Passwörter benutzen, ist die Chance recht hoch, dass ein Account gehackt werden kann.
Normalerweise werden Passwörter als Hash gespeichert, also als zerstückelter, unlesbarer Text. Das nimmt Angreifer*innen normalerweise den Wind aus den Segeln. Aber im Jahr 2009 wurde RockYou gehackt und 32 Millionen User-Accounts wurden als Klartext gespeichert, inklusive Passwörter. Also, wenn Du im Jahr 2009 einen Account bei Facebook oder Myspace hattest, bist Du vermutlich in den gehackten Daten vertreten.
Was geht mich das an?
Der Fall RockYou 2009 ist nur eines von vielen Beispielen. Seither wurden Milliarden von Zugangsdaten geklaut, vor allem in den letzten Jahren. Die Ausgangslage für Stuffing-Angriffe ist heutzutage so gut wie nie.
Auf dieser Website kannst Du überprüfen, ob Deine E-Mail-Adresse in einer bekannten Attacke aufgetaucht ist.
Was soll ich tun?
Metaphorisch gesagt: Die einzige Möglichkeit zu verhindern, dass Dein Fernseher geklaut wird, ist, Deine Haustüre mit einem Schlüssel zu verschliessen, der nicht kopiert und in Deiner Nachbarschaft verteilt wurde.
Du benutzt nicht einen einzigen Schlüssel für all Deine Türen – benutze auch nicht ein einziges Passwort für alle Plattformen. Nimm für jede ein anderes Passwort.
Dein Haustürschlüssel ist nicht einfach ein simpler, gerader Stab, sondern eine komplexe metallische Form – mach auch Dein Passwort komplex, indem Du darauf achtest, dass es mindestens 8 Zeichen lang ist und Gross- und Kleinbuchstaben, Sonderzeichen und Ziffern enthält.
Wenn Dein Wohnungsschlüssel gestohlen wird, wechselst Du die Schlösser aus – wenn Dein Login geklaut wird, ändere Dein Passwort.
Im Browser speichern?
Das könntest Du, ABER ein Nachteil beim Speichern von Passwörtern im Browser ist, dass jede Person, die Zugang auf Deinen physischen Computer erlangt, auch Zugriff auf Deine Passwörter hat. Glücklicherweise wirst Du neuerdings – zumindest auf macOS – nach Deinem Computer-Passwort gefragt, wenn Du ein Passwort in den Einstellungen ansehen willst. Aber auch das ist einfach zu umgehen.
Ich würde empfehlen, ein Passwortverwaltungssystem zu benutzen sowie Plugins für Arbeits- und Privat-Logins.
Das wär’s. Haltet Eure Technik sicher und danke fürs Lesen.
Quelle: https://www.upguard.com/blog/biggest-data-breaches