Skip to content

Tipps: Sicherer surfen

Foto Hatte ich schon geschrieben, dass das Thema Sicherheit im Internet nichts ist, was man einmalig macht und abhakt, sondern ein kontinuierlicher Prozess?

Ich verwende beim Browsen meistens Firefox (das Schweizer Taschenmesser unter den Browsern) mit den Add-Ons https Everywhere, Privacy Badger und uBlock Origin.

Weil es früher beim Webseitenerstellen wichtig war zu prüfen, wie die gebastelte Seite in anderen Browsern angezeigt wird, habe ich auch Opera (den schönste Browser von allen), Chromium (naja) und Google Chrome (Datenkrake – schnell und komfortabel) installiert. Und verwende sie je nach Aufgabenstellung.

Als Lektüre zum Thema kann ich folgende (nicht mehr ganz frischen) Beiträge empfehlen:

via Netzpolitik.org

PS: natürlich gibt es meine 3 Lieblings-Add-Ons auch für andere Browser. Hier die Links: https Everywhere (von der EFF) Privacy Badger (ebenfalls EFF) uBlock Origin

Alle Default-Passwörter geändert?

Vielleicht habt ihr es mitbekommen: am letzten Wochenende waren große Websites wie Paypal oder Twitter längere Zeit unbenutzbar. Das lag an einer sogenannten DDoS-Attacke (Distributed Denial of Service).

Einfach ausgedrückt bedeutet das, das man so viele Anfragen an einen Webserver schickt, bis er durch Überlastung zusammenbricht. Bei einer kleinen Webseite, die über ein Billigangebot betrieben wird, kommt sowas öfter mal vor, wenn von einer »großen« Webseite darauf verlinkt wird. Passiert regelmäßig, wenn zum Beispiel Fefe von blog.fefe.de aus einen Link setzt.

Für Paypal ist gute Erreichbarkeit überlebenswichtig, deshalb haben die die schnellsten Datenleitungen, unzählige Rechenzentren und richtig viel Kapazität für alles. Eigentlich unvorstellbar, dass man die überlasten könnte.

Und doch ist es passiert. Das geht nicht mit einem einzelnen Rechner; dazu braucht es ein gewaltiges Netzwerk. Früher haben Hacker dazu schlecht gesicherte Computer übernommen und zu sogenannten Botnetzen verbunden. Für die aktuellen Attacken hätte das aber nicht gereicht.

Das geht anscheinend nur über die unzähligen miserabel geschützten Dinge, die mittlerweile zu Millionen im Internet hängen: Stichwort »Internet of Things« (IoT) oder einfacher ausgedrückt Überwachungskameras, Router, Videorecorder(!), Drucker – aller Kram, der eine Internetverbindung hat.

Üblicherweise haben die alle ein sogenanntes Default-Passwort, das man gleich nach Inbetriebnahme ändern soll. Weil Menschen bequem oder unwissend sind, wird das oft nicht gemacht. Mal ehrlich, habt ihr das Passwort für euren Router / Fritzbox / Wasauchimmer geändert? Wirklich? Und auch auf ein gutes Passwort und nicht auf einen der unglaublicherweise immer noch die Passworthitlisten anführenden Favoriten »12345«, »Passwort« oder »asdf«?

Also los. Jetzt kontrollieren und ändern. Wie man das macht verrät eine Googlesuche. Dabei wird sicher auch das Defaultpasswort mitgeliefert. Aber Achtung: die jahrelang bewährte Praxis, dass ein 8-10 stelliges Passwort aus Buchstaben, Zahlen und Sonderzeichen eine gute Wahl sei, gilt nicht mehr! Dank schneller Internetverbindungen und gestiegener Rechnerleistung wird sowas mittlerweile in Sekunden geknackt. Zumindest wenn das Gerät nicht nach einer Handvoll Falscheingaben gesperrt wird (nur deshalb kann man Bankkarten noch mit 4stelligen Pins benutzen). Je länger desto besser.

Weil man sich sowas schlecht merken kann, gibt es unterschiedliche Empfehlungen: entweder die Nutzung eines Passwortmanagers, der Zugangsdaten verschlüsselt speichert. Oder das gute alte Notizbuch. Solange man es nicht verliert oder neben der Tastatur liegen lässt. Wobei das zu Hause so eine Sache ist: wenn die bösen Jungs neben der Tastatur stehen, hat man ganz andere Probleme am Hals.

Weiterführenden (englischsprachigen) Lesestoff zum Thema liefert Experte Brian Krebs:

Auf Deutsch informiert Heise Security:

Nachtrag

Heute Abend das Router-Passwort überprüft. Natürlich viel zu kurz. Beim Ändern festgestellt, dass nur max. 14 Zeichen erlaubt sind. Und das können nur Zahlen und Buchstaben sein. Umlaute geht schon nicht. ARGH. Allerdings kann auch der Username 14 Zeichen lang sein (evil grin) Außerdem läuft das Ding nur, wenn auch der PC an ist. Naja.

Wohin mit Scheckkarten?

Meine Spaßkasse informiert mich, dass mit meiner EC-Karte demnächst kontaktlos bezahlt werden kann. GiroGo. Zahlen ohne Pin oder Unterschrift. Ah ja.

Mittlerweile kann man mit jedem aktuellen Smartphone die Daten teilweise (?) auslesen. Stichwort NFC (Near Field Communication). Je nach Antenne scheint das auch über größere Entfernungen zu gehen. Also gehe ich davon aus, dass die bösen Buben gleich alles auslesen können. Oder demnächst können werden.

Deshalb wollte ich sicherheitshalber einen mechanischen Schutz für meine Karte. Klar könnte man das auch irgenwie selber basteln, aber wer will schon eine Aluminiumkarte in den Geldbeutel stecken? Sogenannte RFID-Schutzhüllen für den neuen Personalausweis gibt es schon lange beim FoeBuD, der sich jetzt Digital Courage nennt. Und von der Firma secrid.

Zufällig habe ich schon vor einer Zeit entdeckt, dass diese schicken Etuis auch bei Schad Pelz und Leder verkauft werden. Also bin ich dorthin gedackelt, habe von Frau Schad eine gute ausführliche Beratung erhalten (das gibts beim Amazonas ;) nie!) und bin jetzt stolzer Besitzer eines netten kleinen Etuis. Hat Platz für die wichtigen Karten und für einen Notgroschen. Klein, handlich, praktisch. Und einfacher Zugriff auf die Karten durch den Schieberegler unten.

Foto Foto Foto Foto

2FA

Fast wöchentlich liest man Meldungen über gestohlene Passwortdatenbanken oder gehackte Accounts. Nicht so schlimm? Naja, bei den Dutzenden Anwendungen benutzen viele die gleichen Passwörter für mehrere Konten ...

Ein besserer Schutz ist die sogenannte 2-Faktor-Authentifizierung (2FA). Nie gehört? Benutzt aber jeder. Beim Geldautomaten. Man hat seine EC-Karte und dazu einen Zahlencode. Das eine ist ohne das andere nutzlos. Im Internet gibt es verschiedene Möglichkeiten.

Ein Verfahren: Man gibt sein Passwort ein, worauf ein Code generiert wird, der als SMS an das eigene Mobiltelefon geschickt wird. Kennt man als mTan-Verfahren. Auch nicht kugelsicher, wie man bei Wikibanking: mtTAN-Verfahren nachlesen kann. Legt die Messlatte für einen Angreifer aber schon viel höher.

Wie immer erkauft man sich höhere Sicherheit durch weniger Komfort. Aber wer möchte schon, dass irgend ein Hacker über Amazon und die hinterlegte Bankverbindung Großeinkäufe macht?

Amazon bietet seit Monaten 2FA an, allerdings noch nicht in den deutschsprachigen Benutzereinstellungen. Dazu muss man einen Umweg über amazon.com machen und braucht ein Mobiltelefon. Heise Security hat dazu eine Bild-für-Bild-Anleitung.

Eine englischsprachige Übersicht von Online-Diensten und den angebotenen Authentifizierungsmöglichkeiten bietet Two Factor Auth List. Tipp: nicht lange über die Kategorien klicken, gleich die Suchfunktion benuten ;-)

Und ja, Du willst JETZT Deinen Amazon-Zugriff auf 2FA umstellen. Gehe nicht über Los, gehe direkt zur Anleitung bei Heise Security