phishing - wie schütze ich mich vor Accountdiebstahl

in #phishing3 years ago (edited)

In letzter Zeit sehe ich häufig Warnungen über phishing-Versuche auf der Steem-Blockchain. Phishing hat die Absicht Accountlogins über betrügerische Vorgehensweisen zu erhalten. Eine beliebte Methode ist das Vorgaukeln einer offiziellen E-Mail oder Webseite. Zuletzt kam dazu Beispielsweise ein Beitrag von @theaustrianguy.

Deshalb möchte ich kurz Ausführen, wie ich mich vor Accountdiebstahl schütze.

See this post if you want to read the english translation.

that's me

das sicherste Passwort

Das wohl wichtigste um sich vor Accountdiebstahl zu schützen ist ein sicheres Passwort. Sicher ist ein Passwort dann, wenn es möglichst schwer ist dieses zu "erraten". Dafür gibt es im wesentlichen zwei Kriterien:

  • die Länge des Passworts
  • die Einzigartigkeit des Passowrts

Die Passwortlänge sollte einigermaßen selbsterklärend sein, aber was ist ein einzigartiges Passwort? Regelmäßig hört man von "gehackten" Passwort-Datenbanken bei großen Konzernen. Ich rede hier von Konzernen in Größenordnungen eines "Sony". Die Wahrscheinlichkeit, dass eines eurer Passwörter bereits in irgendeiner erbeuteten Passwort-Datenbank auftaucht ist also sehr hoch, wenn ihr euch irgendwann, irgendwo angemeldet habt. Deshalb ist es sinnvoll das gleiche Passwort nicht für mehrere Accounts zu verwenden. Am besten ist ein Passwort also verschieden zu allen anderen Passwörtern die jemals verwendet wurden.

Da man nicht weiss welche Passwörter von anderen erstellt wurden kann man das zwar theoretisch nicht garantieren, man kann aber über ein zufällig generiertes Passwort mit ausreichender Länge die Wahrscheinlichkeit einer Dopplung so weit minimieren, dass sie praktisch vernachlässigbar ist.

ein Gedankenspiel

Wie generiere ich also das sicherste Passort?

Zuerst suche ich mir einen Open Source Passwort-Generator. Diesen überprüfe ich, ob dort kein unlauterer Schabernack bei der Passwortgenerierung passiert.

Anschließend übertrage ich das Programm auf einen Offline-Computer. Ich stelle sicher, dass ich mich in einem Raum befinde, der nicht eingesehen werden kann, damit niemand das Passwort vom Bildschirm oder ähnlichem abschreiben kann.

Danach führe ich das Programm aus und präge mir das generierte Passwort ein.

Jetzt habe ich ein Passwort, dass nach bester Möglichkeit abgesichert ist. Niemand konnte das Passwort bei der Generierung einsehen und der einzige Platz wo es abgespeichert ist, ist mein Gedächtnis.

Nachteile

Ich persönlich habe Probleme mir vierstellige Zahlen-Pins zu merken. Alleine eines dieser Passwörter dauerhaft im Gedächtnis zu behalten ist eine Herausforderung. Mir Steem-Master, -Active und -Posting Key zu merken ist, für mich, praktisch einfach nicht machbar.

Das sicherste Passwort der Welt ist von keinerlei Nutzen wenn ich es an falscher Stelle eingebe. Gerade wenn wir hier phishing betrachten ist es wichtig auch sicherzustellen, dass das Passwort nur dort Verwendet wird wo es auch hingehört. Es ist aber oft nicht einfach das auch zu garantieren. Ich bin vielleicht kurz unkonzentriert oder die Betrüger-Webseite ist so gut gemacht, dass ich einfach nicht mitbekommen habe, dass ich hier mein Passwort an den falschen schicke. Das händische Eingeben von Passwörtern bietet dafür nur den Schutzmechanismus "Mensch" der leider zu Fehlern neigt.

der Kompromiss

Ich mache eine Kosten/Nutzen Abwägung und entscheide wie viel Aufwand ich betreiben möchte um meine Passwörter hinreichend zu sichern. Dabei sollte ich als Kriterium den Wert des Passworts einfließen lassen. Wenn ich mit meinem Steem Master-Passwort einem Dritten die Möglichkeit gebe mir hohen Finanziellen schaden zuzufügen lohnt sich unter Umständen ein Bankfach in der Schweiz.

So gehe ich also vor:

Ich drucke mir mein Master-Passwort aus und verwahre es an einem sicheren Ort.

Für Active- und Post-Key benutze ich einen Passwort-Manager. Das kann auch schon der im Browser sein, der mittlerweile überall eingebaut ist.

Ein Passwort-Manager stellt sicher, dass das Passwort auch nur dort eingegeben wird, wo ich es zugelassen habe. Ich muss also einmalig eine hohe Aufmerksamkeit aufbringen und prüfen, ob ich hier auf der richtigen Webseite bin und ob ich dort mein Passwort übermitteln möchte. Wenn ich nun auf einer Betrügerseite lande wird mein Passwort einfach nicht eingefügt und ich bin sofort alarmiert.

Meine Passwörter werden nie im Klartext gespeichert sondern sind verschlüsselt. Ein Angreifer kann das verschlüsselte Passwort zwar abgreifen, muss aber zusätzlichen Aufwand betreiben um es in eine verwendbare Form umzuwandeln.

Der Passwort-Manager erlaubt mir die Generierung sicherer Passwörter. Im optimalen Fall ohne das diese jemals auf meinem Bildschirm angezeigt werden. Damit fallen auch screen-capture Techniken als Angriffsvektor aus. Außerdem sollte man weitestgehend vor Keyloggern geschützt sein.

Meine Meinung

Ich persönlich bevorzuge Software von Drittanbietern. Ich möchte überall auf meine Passwörter zugreifen können. Egal ob FireFox, Chrome oder Safari. Egal ob zuhause oder unterwegs. Dafür gehe ich sogar noch ein Risiko ein Risiko ein und lasse die Datei mit den Passwörtern in die Cloud hochladen, um sie zwischen allen Geräten zu synchronisieren.

Das Risiko, das ich eingehe meine Passwörter händisch zu verwalten ist einfach viel zu groß. Wenn der Aufwand ein Passwort einzugeben zu groß ist fange ich an dumme Sachen zu machen die viel Riskanter sind.

Ich benutze seit einigen Jahren 1Password, weil mir die iOS-Integration gefällt. Ich bin damit völlig zufrieden und halte jeden cent, den ich dort reingesteckt habe für mehr als gerechtfertigt.

Mein Umgang mit Passwörtern hat sich deutlich verändert. Anstatt einer überschaubaren Kombination von Standardpasswörtern und E-Mails lasse ich mir nun für jede Registrierung ein neues Passwort erstellen. Die Passwörter selber sind deutlich stärker und viel wichtiger, ein Angreifer der ein Passwort knackt kann niemals mit der selben E-Mail/Passwort-Kombination auf irgendeinen anderen Account von mir zugreifen.

Disclaimer

Die beschriebenen Methoden sind keinesfalls als Garantie auf Sicherheit zu sehen und spiegeln lediglich meine Ansichten wieder. Jeder hat eigene Anforderungen für (Account-)Sicherheit und muss selber entscheiden wie er vorgeht. Desweiteren beschreibe ich hier Methoden die ganz klar die Sicherheit eures Accounts gefährden. Bitte informiert euch selbstständig und trefft eure Entscheidungen eigenverantwortlich. Ich biete hier nur Ansatzpunkte dafür.

Sort:  

Verschiedene und komplexe Passwörter sind gut und richtig. Meine Passwort-DB (verschlüsselt) würde ich trotzem nicht in eine Cloud packen, sondern lieber mit Syncthing oder ähnlichen Methoden auf meinen Geräten synchron halten. Mein Favorit (nach etlichen Versuchen) ist KeepassXC.

Doch mit komplexen Passwörtern ist man vor Phishing nicht geschützt (man schützt höchstens andere Accounts, wenn man halt unterschiedliche komplexe Passwörter nutzt).

Ein Phishing-Schutz ist aber gar nicht so schwer… erfordert ein Minimum an Selbstdisziplin: Seiten mit Login NUR aus vertrauenswürdigen Quellen ansurfen… also die URL per Hand eingeben oder aus den (nicht über Clouddienste synchron gehaltenen) Lesezeichen auswählen. NIEMALS(!) einen Link zu solch einer Seite aus eine eMail heraus anklicken. Ich mache das nicht einmal bei eMails z. B. meiner eigenen WordPress Seiten, wenn ich da auf eine Kommentar-Moderation aufmerksam gemacht werde. Nööö… da rufe ich das Login der WP-Seite direkt im Browser auf und kann dann moderieren. Und das, obwohl ich schon recht gut sehe, dass die Mail wirklich von meiner WP-installation kommt.

Wenn man sich dieses Verhalten angewöhnt (und das geht am besten, wenn man wirklich NIE eine Ausnahme macht), dann verringert man das Phishing-Risiko schon deutlich. GANZ sicher ist eh nur der Tod. ;)

Werde ich auf irgendwelche (dubiosen oder sogar plausibel klingenden) "Probleme" bei… hmm… sagen wir mal PayPal… hingewiesen, dann klicke ich auch NIE auf einen Link in der Mail. Nein, ich rufe die PP-Seite direkt im Browser auf, logge mich ein… wenn dann irgendwas zu machen wäre, dann wird mir PP das schon nach dem Einloggen sagen.

Phishing-Opfer wird man oft einfach nur durch unbedachtes Verhalten.

Sehr gute Ergänzung.
Das hätte auch noch in den Beitrag gehört.

Aber ich denke das Thema ist sehr komplex und könnte inhaltlich deutlich vertieft und erweitert werden. Musste mich an manchen Stellen sehr zurückhalten nicht tiefer reinzugehen. ;)