Sichere Passwörter =================== --- |SICHERE PASSWÖRTER| |------------------| |<small><small> Warum sie wichtig sind| --- Warum sie wichtig sind ---------------------- --- <small><small> Das sichere Passwörter "irgendwie" sein müssen, dürfte von der Mehrzahl bejaht werden. Aber warum ist das denn so wichtg? --- ### Die Dimension des Problems - Gibt es Erkenntnisse über die tatsächlich genutzten Passwörter und deren Sicherheit? --- Ja! Das Hasso-Plattner-Institut (HPI) in Potsdam veröffentlicht jedes Jahr eine: **Top 10 der Passwörter der Deutschen** --- :::spoiler Hintergrundinformationen zur Top 10 <br><small><small> - [gestohlene Accountdaten](https://www.zdf.de/nachrichten/heute/illegaler-datenhandel-21-millionen-passwoerter-im-angebot-100.html) werden im großen Stil im Internet/Deepweb auf zahlreichen Handelsplattformen gehandelt - Datengrundlage für die jährliche Top Ten sind im Netz zugängliche *Leaks* aus dem Datenbestand des [HPI Identity Leak Checkers](https://sec.hpi.de/ilc/search?lang=de) - verwendet wurden: - E-Mail-Adressen diee emit .de-Domäne registriert sind undim selben Jahr geleakt wurden. - Insgesamt wurden allein 2018 mehr als 60 Millionen Identitäten aus 120 Datenlecks in den Identity Leak Checker eingepflegt.  ::: ---- Der Blick auf die Top Ten der in Deutschland meistgenutzten Passwörter 2018 zeigt: :::warning :arrow_right: Die Ziffernfolge `123456` belegt erneut den Spitzenplatz. :arrow_right: Am beliebtesten sind weiterhin **Zahlenreihen**. ::: --- <details><summary>Top 10 Passwörter in Deutschland</summary> :::danger | # | Passwort | # | Passwort | | --- | ----------- | --- | -----------| | 1. | `123456` | 6. | `hallo123` | | 2. | `12345` | 7. | `hallo` | | 3. | `123456789` | 8. | `123 ` | | 4. | `ficken` | 9. | `passwort` | | 5. | `12345678` | 10.| `master` | ::: </details> --- ### Die häufigsten Kennwörter aus allen erfassten Leaks Das Tortendiagramm zeigt die Verteilung der 10 häufigsten Klartextkennwörter bei der Analyse. Es ist zu beachten, dass nicht alle Identitätsleaks die Passwörter im Klartext enthalten, weshalb nicht alle Leaks für dieses Diagramm eine Rolle spielen.  ---- | Passwort | Häufigkeit | | --- | --- | | `123456` | 8,10‰ von Allen | | `123456789` | 3,89‰ von Allen | | `password` | 1,89‰ von Allen | | `qwerty` | 1,85‰ von Allen | | `12345` | 1,38‰ von Allen | | `12345678` | 1,17‰ von Allen | | `111111` | 1,17‰ von Allen | | `qwerty123` | 1,02‰ von Allen | | `1q2w3e` | 0,97‰ von Allen | | `123123` | 0,85‰ von Allen | --- Die untenstehende Tabelle gibt die Top 100 der häufigsten Klartextkennwörter wieder. Die Häufigkeit wurde in Promille angegeben. |   | Passwort | Häufigkeit | | --- | --- | --- | | 1 | 123456 | 8,10‰ | | 2 | 123456789 | 3,89‰ | | 3 | password | 1,89‰ | | 4 | qwerty | 1,85‰ | | 5 | 12345 | 1,38‰ | | 6 | 12345678 | 1,17‰ | | 7 | 111111 | 1,17‰ | | 8 | qwerty123 | 1,02‰ | | 9 | 1q2w3e | 0,97‰ | | 10 | 123123 | 0,85‰ | --- ##### Verteilung der erfassten Leaks in Domänen Das Tortendiagramm gibt die Verteilung aller Identitäten in Domänen wieder. Nur für die Top 10 der häufigsten Domänen sind konkrete Tortenstücke aufgeführt. Die Restlichen Domänen wurden in _Andere_ zusammengefasst. --- | Domäne | Anzahl | | --- | --- | | yahoo.com | 1.982.701.120 | | hotmail.com | 1.349.309.946 | | gmail.com | 1.213.840.335 | | mail.ru | 504.810.523 | | aol.com | 365.413.991 | | rambler.ru | 280.875.233 | | qq.com | 264.266.791 | | 163.com | 252.011.149 | | yandex.ru | 206.401.267 | | hotmail.fr | 101.139.811 | | Andere | 3.887.669.932 | --- Andere |   | Domäne | Anteil | Anzahl | | --- | --- | --- | --- | | 1 | yahoo.com | 19,05% | 1.982.701.120 | | 2 | hotmail.com | 12,96% | 1.349.309.946 | | 3 | gmail.com | 11,66% | 1.213.840.335 | | 4 | mail.ru | 4,85% | 504.810.523 | | 5 | aol.com | 3,51% | 365.413.991 | | 6 | rambler.ru | 2,70% | 280.875.233 | | 7 | qq.com | 2,54% | 264.266.791 | | 8 | 163.com | 2,42% | 252.011.149 | | 9 | yandex.ru | 1,98% | 206.401.267 | | 10 | hotmail.fr | 0,97% | 101.139.811 | --- ### Was fällt auf? :::success :::spoiler | # | Passwort | Besonderheit | # | Passwort | Besonderheit | | | | | --- | ----------- | ------------ | --- | ---------- | ------------ | --- | --- | --- | | 1. | `123456` | Zahlen | 6. | `hallo123` | Kleinbuchstaben | | | | 2. | `12345` | Zahlen | 7. | `hallo` | | | | | | 3. | `123456789` | Zahlen | 8. | `123 ` | | | | | | 4. | `ficken` | | 9. | `passwort` | | | | | | 5. | `12345678` | Zahlen | 10. | `master` | | | | | --- A) Am häufigsten werden einfach die Zahlen auf der Tastatur die direkt nebeneinander liegen gewählt --- B) Wenn Buchstaben verwendet werden, dann in erster Linie Kleinbuchstaben und sehr einfache Wörter. ---- C) Die Passwörter sind sehr kurz --- ::: ### Was schliessen wir daraus? - Punkt 1: - Punkt 2: - Punkt 3: - Punkt 4: - Punkt 5: - Punkt 6: <details> :::success :::spoiler **Tipps zur Passwortwahl** -------------------------- Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut daher: 1. **Passwörter** > 15 Zeichen 2. **Alle** **Zeichenklassen** verwenden - Groß-, Kleinbuchstaben - Zahlen - Sonderzeichen 3. Keine Wörter aus dem Wörterbuch 4. Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten 5. Passwortmanager verwenden 6. Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen    7. Zwei-Faktor-Authentifizierung aktivieren </details> ## Hasso Platner Institut: [Identity Leak Checker](https://sec.hpi.de/ilc/search?lang=de)  Mit dem *Identity Leak Checker* können Sie prüfen, ob Sie schon Opfer eines Angriffes geworden sind und Ihre E-Mailadresse und weitere Daten frei zugänglich im Netz veröffentlicht wurden. ## Angebote des HPI zum Thema - [kostenloser Sicherheitskurs openHPI](https://open.hpi.de/) - [Datensicherheit im Netz - Einführung in die Informationssicherheit.](https://open.hpi.de/courses/informationssicherheit2019) - Schwerpunkt sind Verschlüsselungstechniken. - [Digitale Identitäten – Wer bin ich im Netz?](https://open.hpi.de/courses/identities2019) - Schwerpunkt ist die Wahl starker und sicherer Passwörter. - [Blockchain – Sicherheit auch ohne Trust Center.](https://open.hpi.de/courses/blockchain2019) - Schwerpunkt sind die Sicherheitsherausforderungen in verteilten Systemen. - [Sicher per E-Mail kommunizieren – Mitleser unerwünscht.](https://open.hpi.de/courses/email2019) - Schwerpunkt sind praktische Übungen mit kostenlosen Werkzeugen zum Verschlüsseln und digitalen Unterschreiben von E-Mails. Alle Gratis-Kurse werden von HPI-Direktor Prof. Christoph Meinel in deutscher Sprache angeboten. Sie können auch im Nachhinein, nach dem Schlusstermin, noch im Selbststudium genutzt werden – dann allerdings ohne Tests und Prüfungen und ohne Betreuung im Teilnehmer-Forum. ----- ### Häufig gestellte Fragen #### 01. Mein Kennwort ist einer geleakten Datenbank aufgetaucht. Muss ich meine E-Mail-Adresse wechseln? Es reicht aus, wenn Sie für sämtliche Benutzerkonten, die diese E-Mail-Adresse verwenden, das Kennwort ändern. --- #### 02. Zu meiner E-Mail-Adresse wurde das Kennwort gestohlen. Betrifft das nur das Kennwort meines E-Mail-Accounts? Definitiv nicht! Es kann sich dabei um das Kennwort eines beliebigen Benutzerkontos handeln, bei dem Sie Ihre E-Mail zur Identifikation angegeben haben. Das kann das Kennwort Ihres E-Mail-Kontos oder das eines beliebigen Internetdienstes sein. #### 03. Warum werden in meiner Antwort-E-Mail keine Details zu den betroffenen Daten angegeben? Wenn Ihre Daten bereits in einem Leak auftauchen, ist es möglich, dass ein Angreifer auch schon Zugriff auf Ihren E-Mail-Account hat und die Antwort-E-Mail mitlesen kann. Um zu verhindern, dass ein Angreifer weiterführende Informationen zu zusätzlichen Accounts mit der gleichen E-Mail-Adresse erhält, geben wir keine konkreten Daten (wie z.B. Klartextpasswörter) wieder. #### 04. Kann ich detailliertere Informationen zu meinen geleakten Daten bekommen? Wir können Ihnen auf Anfrage keine Informationen zu den konkreten Inhalten (z.B. Passwort, Bankdaten) der Leaks geben, da der Ursprung des Datensatzes des Dienstes _Identity Leak Checker_ keine eindeutige Zuordnung zu einer natürlichen Person ([Artikel 4, DSGVO](https://dsgvo-gesetz.de/art-4-dsgvo/)) zulässt. (Siehe auch [Datenschutzerklärung](dataprivacy)) #### 05. Ich habe meine Kennwörter bereits geändert. Warum taucht bei nochmaliger Anfrage immer noch eine Warnung für geleakte Kennwörter auf? Der Identity Leak Checker gibt lediglich Auskunft dazu, ob Ihr Kennwort in einem Leak gefunden wurde. Der Leak Checker sagt nichts darüber aus, ob dieses Kennwort für das betroffene Benutzerkonto noch funktioniert. Da Ihr Kennwort weiterhin in dem entsprechenden Leak zu finden ist, gibt die Webseite weiterhin eine Warnung aus. #### 06. Wie sieht die Antwort-E-Mail aus und von welcher E-Mail-Adresse wird diese versendet? Siehe [Antwort-E-Mails](publickeys). #### 07. Das einzugebende CAPTCHA ist zu schwer zu lesen. Wieso verwenden Sie keine einfacheren CAPTCHAs? Je einfacher ein CAPTCHA für den Nutzer zu entziffern ist, desto einfacher ist es auch für ein Computerprogramm dieses automatisiert zu entziffern. Das von uns verwendete CAPTCHA-Verfahren ist keine Eigenentwicklung, sondern wird von Google bereitgestellt. Das Verfahren ist derzeit eines der wenigen, das relativ zuverlässig zwischen Mensch und Maschine unterscheiden kann. #### 08. Wie wird der Dienst gegen Missbrauch geschützt? 1. ##### CAPTCHA gegen automatisierte Abfragen Damit Abfragen an den Identity Leak Checker nicht automatisiert abgesetzt werden können, verlangt die Webseite nach 3-malige Absetzen einer erfolgreichen Anfrage ein CAPTCHA. Dieses CAPTCHA ist relativ leicht für einen Menschen, jedoch relativ schwer für eine Maschine zu lösen. Deshalb ist es nur schwer möglich, automatisierte Abfragen in großer Menge durchzuführen. 2. ##### Nur Minimalinformationen in Datenbank Um zu verhindern, dass ein Angreifer die Daten aus unserem Dienst missbrauchen kann, wird das verwendete Datenbankschema auf die notwendigsten Daten reduziert. Dieses Schema wird im Abschnitt _Speicherung der Daten_ genauer erläutert. Sollte es einem Angreifer trotz unserer Schutzmaßnahme überhaupt gelingen, unsere Webseite zu hacken, könnte er also höchstens nur eine Datenbank mit sehr begrenztem Informationsgehalt auslesen. #### 09. In welcher Form sind die geleakten Daten gespeichert? Bei der Speicherung der Daten ist uns die Privatsphäre der Nutzer wichtig. Aus diesem Grund speichern wir zu jeder gefundenen Identität aus einem Datenleck nur die nötigsten Daten, um unseren Dienst anzubieten. Das bedeutet, dass für eine Identität lediglich die E-Mail-Adresse und die Art bzw. der Typ der veröffentlichten Information zusammen mit der Quelle und dem Veröffentlichungsdatum gespeichert werden. Zusätzlich wird die E-Mail-Adresse nicht im Klartext gespeichert, sondern wird verschleiert, so dass man nur für die Identitäten Informationen erhält, zu denen man die E-Mail-Adresse kennt. Nachfolgend ein Beispiel für die gespeicherten Daten: | Leak | Datum | E-Mail-Adresse | Passwort | Kreditkarte | ... | | --- | --- | --- | --- | --- | --- | | Leak 1 | Jan. 2014 | d446fe72146a1f05de8801b47c748cc44e920986 | Ja | Nein | ... | | Leak 2 | Apr. 2014 | c42b947f516cf6c5ccd88fa9aff254d0b25e35fd | Nein | Ja | ... | Aus den Daten der Tabelle lässt sich nicht viel herauslesen, wenn man nichts über die dahinter steckende E-Mail-Adresse weiß. Gehen wir einmal von dem Fall aus, dass ein Nutzer Max Mustermann die Seite besucht und seine E-Mail-Adresse max.mustermann@domain.com eingibt. Diese Adresse wird nun mit einem kryptographischen Verfahren verschleiert: 10. **Verschleierungsverfahren(max.mustermann@domain.com) = d446fe72146a1f05de8801b47c748cc44e920986** Das Ergebnis kann nun in der Tabelle nachgeschlagen werden und man weiß, dass das Passwort von Nutzer Max Mustermann in einem Datenleck gefunden wurde. Ein Angreifer, der Zugriff auf die Datenbank erlangen würde, könnte nicht herausfinden, welche E-Mail-Adressen sich hinter den beiden Einträgen aus der Datenbank verbergen. Er müsste die gleiche Verschleierung auf sämtliche E-Mail-Adressen anwenden, weil die Verschleierung nicht rückgerechnet werden kann. Würde der Angreifer nun zufällig das Pendant für eine verschleierte E-Mail-Adresse finden, hätte er nur Zugriff auf die Daten für eine Identität. Selbst mit den angegebenen Daten lässt sich jedoch für einen Angreifer nicht viel anfangen.