Heute habe ich eine Mail bekommen, in der ein Unbekannter behauptet, er habe meine Infrastruktur kompromitiert. Zum Glück habe ich schnell rausgefunden, dass der Gauner, der mir da 750 US$ abschwatzen wollte, meine E-Mail-Adresse aus dem 8tracks Datenleak erbeutet hat. So konnte ich schnell überprüfen, ob ich ein Passwort, dass ich bei 8tracks mal benutzt habe, derzeit noch irgendwo anders einsetze oder mal bei Google eingesetzt habe. Doch das war nicht der Fall. Noch besser wäre es natürlich, wenn mein Passwortgenerator keine bereits verwendeten Passwörter erzeugt. Derzeit prüft er allerdings nur gegen die API von Troy Hunt. Zu Google ist anzumerken, dass sie es erlauben Zugriff auf das Konto zu erlangen, wenn man ein altes Passwort kennt. Dies wurde schon von einigen Sicherheitsexperten kritisiert, doch bis heute hat sich an der Prozedur nichts geändert.
Nicht so naiv sein.
Ohne jetzt irgendwelchen größeren Überprüfungen durchzuführen, glaube ich nicht, dass meine IT-Infrasturktur kompromitiert ist. Die Vermutung begründe ich mit folgenden 3 Punkten:
- Ich benutze so gut wie überall andere Passwörter, die ich in meinem Passwortsafe speichere.
- An kritischen Stellen nutze ich 2-Faktor-Authentifizierung (hier kann man überprüfen, welche Services das anbieten)
- Zum anderen hätte der Gauner mir seine Behauptungen ganz leicht beweisen können, wenn er irgendwelchen Zugriffe hätte.
Der Weg zu einer passwortärmeren Welt.
Heise und andere IT Medien haben bereits darüber berichtet, dass die Fidoallianz einen Standard geschaffen haben, um die Authentifikation zu vereinfachen. Einfach erklärt:
- Man nutzt einen Schlüssel, wie eine App auf einem Handy oder einen Hardwaretoken,
- verbindet diesen mit dem beim Dienst zu authentifizierenden Gerät und
- registriert sich bei ersten Mal. (Das funktioniert so ähnlich und einfach wie das Koppeln von 2 Bluetoothgeräten.) Dabei wird ein Schlüsselpaar beim Dienst und Client hinterlegt.
- Anschließend erkennen die beiden sich wieder, sobald man zum Beispiel im Browser die temporäre Berechtigung dafür gibt.
Leider wird diese Methode noch nicht von so vielen Diensten unterstützt. Aber die Liste wächst kontinuierlich und so könnten wir in einigen Jahren in einer gleichzeitig sichereren und gleichzeitig unkomplizierteren Welt leben.
Ende
Falls Sie auf diesem Beitrag gelandet sind, weil sie folgende Bitcoin Adresse gesucht haben: 1Gjt8otuWpPrGQCkTzWN9uCqVHYNo6xf3, überweisen Sie kein Geld, falls nicht wirklich Beweise vorliegen!
Danke, dass du diesen Beitrag bis zu ende gelesen hast. Falls du Anmerkungen, Fragen oder kritik hast, hinterlasse doch einfach einen Kommentar und eine E-Mail-Adresse, damit ich dir antworten kann und du eine Benachrichtigung darüber bekommst. Ich wünsche ein Schönes Wochenende.