Wie mir @AgileBits @1Password hilft, #identitytheft vorzubeugen. #yahoo #modaco #vbulletin #email

NetzfreiheitJohn Lose

Es gab eine Zeit, da hatte ich keinen Aluhut. Das Leben war schön und ich war voller Optimismus. Wohl aber habe ich nicht immer alles richtig gemacht, wie mir im Nachhinein auffällt. Und es vergeht heute nicht eine Woche, in jener ich nicht irgendwo lese, dass irgendein Dienst kompromittiert wurde. Mit Diensten meine ich so Dinger, wie Yahoo, Skype, Adobe, Dropbox usw. Nun, wie gehört das alles zusammen? Und warum betrifft das Dich? Nun, Du – genau Du – hast ein und dasselbe Kennwort an zwei Internetdiensten verwendet.

Mit dem „nicht richtig gemacht“ meine ich, ich habe Kennwörter mehrfach verwendet. Bedeutet: Ich habe mich benommen, wie ein DAU. Um diesen fiktiven DAU geht es jetzt. Denjenigen, der meint, er habe ja nix zu verbergen. Fred Sorglos.

Annahme, bzw. mein Kardinalfehler übersetzt:
Bedeutet auch, ist Dienst A gehackt, an jenem DAU registriert ist, ist die Wahrscheinlichkeit relativ hoch, dass auf Dienst B, jener noch nicht gehackt wurde, DAU sich mit den identischen Zugangsdaten angemeldet hat. Also Email und Kennwort. Und so ist es möglich, Onlinezugänge von jederman quer über diesen Planeten zu kapern. Darunter alles mögliche, also Paypal, Post, Ebay, usw. Die Hacker fertigen riesige Datenbanken an und verkaufen diese mit den entsprechenden Logindaten gewinnbringend. Ebenso freut sich die Spam-Szene über frisches Futter. Und das nur, weil Nutzer so selten dämlich sind wie ich, ein Kennwort mehrfach zu verwenden. Menschlich. Aber das hilft uns hier auch nicht weiter.

Sicher, damals (zu Zeiten von AOL und Compuserve) gab es noch keine „Kennwortverwaltungstools“. Ich hätte mir ja auch alles auf Zettel aufschreiben können oder so verfahren können, wie ich mit meinen SSH-Schlüsseln umgehe. Doch den Internetdiensten selbst hatte ich damals noch nicht eine so hohe Bedeutung zugedacht. Ich lag gewaltig falsch. Gottseidank hatte ich 1Password als quasi erste App erworben, als ich zum Mac gewechselt bin. Und so war es ein leichtes, nach und nach fast alle Konten auf dem Globus vollautomatisch in dieses Tool aufzusammeln.

Ab und an bekomme ich Nachrichten, zum Beispiel von „Have I been pwned?“ und die sieht dann so aus:

bildschirmfoto-2016-09-22-um-22-21-29
Oder ich sehe Nachrichten. Und da kommt dann folgende Meldung:

bildschirmfoto-2016-09-22-um-22-29-37

Und irgendwie habe ich das Gefühl, dass uns so rein „sicherheitstechnisch“ gerade der gesamte Planet um die Ohren fliegt. Es ist ja quasi nichts mehr sicher, so gilt zumindest meine Aluhut-Annahme. Und so kommt es, dass ich ab und an auch mal bei haveibeenpwned reinschaue. Leider sind auch aktuellere Mail-Adressen von mir dabei:

bildschirmfoto-2016-09-22-um-22-35-21

Noch schlimmer ist’s bei den Dingern, die wesentlich älter sind:

bildschirmfoto-2016-09-22-um-22-13-30

Und nun?

1Password ist mein Kennwortverwaltungstool. Damit habe ich alle Kennwörter im Zugriff und ich weiß in etwa heute, wo ich registriert bin. Ebenso meldet es sich automatisch an, sofern man eine Browsererweiterung installiert hat (Nebenwirkung bekannt: Steht in der Kritik). Jetzt gibt es in 1Password auch Suchfunktionen. Und zwar kann ich nach Kennwörtern suchen.

Laut meiner 1Password Datenbank habe ich knapp 750 Logins quer über diesen Globus verteilt. Das sind Foren, Onlineshops, WiFi Kennwörter, was weis ich noch. Ich hoffe noch immer, dass ich es irgendwann mal schaffe, alle Dienste mit unterschiedlichen Kennwörtern auszustatten, aber komplett gelungen ist es mir immer noch nicht. Ich war ja mal ein DAU. Deswegen lohnt es sich, mal nachzuschauen.

Zunächst ist für mich relevant, welches Kennwort ich z.B. bei Yahoo verwendet habe und vor allem von wann bis wann:

bildschirmfoto-2016-09-22-um-22-10-03

Und so kann ich in 1Password Dienste finden, die dasselbe Kennwort verwenden, indem ich die Suche auf alle Felder erweitere:
bildschirmfoto-2016-09-22-um-22-42-36

Und finde so entsprechende Konten, um die ich mich kümmern muss (Xing ist ein fiktives Beispiel):

bildschirmfoto-2016-09-22-um-22-43-58

Sicher, es ist mühsam, aber so langsam habe ich fast alles raus. Nicht so bei diesem Ding. Yahoo hatte einer dieser typischen Standard-DAU-Kennwörter und so habe ich dieses auch gleich aus den letzten 8 fiktiven Diensten rausgeschmissen.

So. Was sagt uns das?

Don’t you ever use any password twice!

Was sagt uns das noch?
Du solltest ein Kennwortverwaltungstool verwenden, wenn Du ein ganz normaler Mensch bist. Du solltest allerdings kein Onlinekennwortverwaltungstool verwenden oder Deine Daten im Browser hinterlegen. Du solltest viel eher eines verwenden, welches lokal, bei Dir speichert. Wenn Du einen Mac nutzt, kannst Du zwar die iCloud Keychain (quasi dasselbe) verwenden, doch vielleicht wird Apple ja auch mal gehackt und der Verschlüsselungsmechanismus von Apple ist gar nicht so gut, wie wir alle dachten. Also sollte es eine Alternative sein. Ich selbst kenne 1Password, aber es gibt noch eine menge andere.

Ach ja, nochmal: Finger weg von Onlinekennwortdiensten. Warum? Nun, deshalb? Link.