Security by Design

Gefühlt haben wir sie alle schon 1.000 Mal gelesen: ­Artikel, in ­denen die wichtigsten Sicherheitstipps im Umgang mit ­Computern, Internet und Apps aufgelistet sind. „Benutze ­möglichst lange und komplizierte Passwörter und zwar in ­jedem Account ein anderes. Klicke nicht auf Anhänge oder Links in E-Mails, die du nicht erwartet hast, selbst wenn du den Absender kennst.“ Obwohl seit Jahren bekannt, scheinen diese Ratschläge wenig zu bewirken. Auch im Jahr 2018 waren die drei beliebtesten Passwörter ­deutscher Anwender noch immer „123456“, „12345“ und „123456789“.

Unter Entwicklern ist eine Haltung verbreitet, die den ­Nutzern die alleinige Verantwortung dafür zuschiebt: Selbst schuld, wer ein schwaches Passwort verwendet. Das Problem sitzt halt vor dem Computer. Vielleicht bloggen sie noch den nächsten gut gemeinten Text mit Sicherheitstipps, der dann wieder nur von anderen Entwicklern gelesen wird, die sich für IT-Sicherheit interessieren. An einer großen Zahl von Nutzern, die vielleicht gar keinen Computer mehr hat, sondern nur noch ein Smartphone, und die sich im Alltag mit anderen Dingen beschäftigen muss, gehen solche Tipps vollständig vorbei. Während wohl alle schon mal von ihren Eltern gesagt bekommen haben, dass sie sich warm anziehen sollen, weil es draußen kalt ist, dürfte es Seltenheitswert haben, dass die Eltern fragen, ob das Passwort auch lang genug sei.

Weiterlesen im t3n-Magazin

Warum auch Zwei-Faktor-Authentifizierung keine absolute Sicherheit bietet

Als bekannt wurde, dass ein Doxer zahlreiche persönliche Daten von Prominenten geleakt hatte, hatten Artikel mit Sicherheitstipps einmal mehr Konjunktur. In denen stehen dann die üblichen Tipps: Klicke nicht auf Links und Anhänge in obskuren Mails, verwende starke, schwer zu knackende Passwörter. Oder schalte am besten überall Zwei-Faktor-Authentifizierung ein.

Dass letztere immer noch relativ selten eingesetzt wird, liegt sicherlich auch daran, dass sie unbequem ist. Und vielleicht auch daran, dass das Wort „Zwei-Faktor-Authentifizierung“ so unglaublich technisch und kompliziert klingt, dass viele Nicht-Informatiker sofort zum Browsertab mit den Katzenvideos wechseln.

Dabei ist Zwei-Faktor-Authentifizierung eigentlich ganz einfach: Statt nur Name und Passwort einzugeben, musst du zusätzlich noch eine Nummer eintippen, die bei jedem Login wechselt. Das kennen wir alle vom Online-Banking mit seinen Tan-Listen und ihren Nachfolgern I-Tan bis M-Tan. Diese Nummer kommt üblicherweise per SMS aufs Handy. Erbeutet ein Hacker dein Passwort, kommt er damit noch lange nicht in deinen Mail- oder Social-Media-Account, schließlich benötigt er zusätzlich dein Handy.

Einbrechen wird sehr viel schwerer – aber leider nicht unmöglich. Insbesondere SMS als Weg für die Zwei-Faktor-Authentifizierung hat sich als unsicher erwiesen, und das liegt am Mobilfunk-Netz.

Weiterlesen bei t3n