Wie man erkennt, ob eine Site Passwörter als Klartext speichert (und was zu tun ist)

Werbung

Wenn Sie sich auf einer Website registrieren, vertrauen Sie diesen Ihre persönlichen Daten an. Sie haben zumindest Zugriff auf Ihre E-Mail-Adresse und wahrscheinlich noch viel mehr - natürlich auch auf Ihr Passwort.

Aber wie können Sie feststellen, ob die Website Ihre privaten Daten ordnungsgemäß verwaltet? Warum ist es ein Problem, wenn Websites Kontodetails im Klartext speichern? Und was können Sie dagegen tun?

Was ist Klartext? Warum ist das ein Problem?

Klartext ist genau das, wonach es sich anhört: Ihr Passwort wird genau so gespeichert, wie Sie es aufschreiben.

Angenommen, eine von Ihnen verwendete Website wurde gehackt. Der Hacker hat Zugriff auf eine Liste von Konten mit notierten Passwörtern. Nehmen wir an, Ihr Passwort lautet "Pa $$ w0rd" (und wir hoffen wirklich, dass dies nicht der Fall ist). Der Cyberkriminelle kann die Liste durchsuchen, Ihre E-Mail-Adresse finden und leicht lesen, dass Ihr "sicheres" Login "Pa $$ w0rd" lautet.

Das große Problem ist, dass es keine Rolle spielt, wie dunkel und unklar Ihr Passwort ist. Denn jeder, der Zugriff auf Ihr Konto hat, kann es so einfach lesen, wie Sie es lesen.

Noch besorgniserregender ist es, wenn Sie auf zahlreichen Plattformen dasselbe Kennwort verwenden. MakeUseOf rät aus diesem Grund davon ab, genau wie alle Sicherheitsexperten. Wir verstehen jedoch die Versuchung, sich an ein Passwort zu halten, das leicht zu merken ist.

Wenn Sie dies jedoch tun, riskieren Sie, dass Hacker durchgesickerte Klartextquellen verwenden, um auf Ihre Online-Banking-Konten, Ihr Facebook und was auch immer Sie das Passwort duplizieren, zu gelangen.

Schätzungsweise 30 Prozent der E-Commerce-Websites speichern ihre Passwörter im Klartext. Dies können wir nicht leicht übersehen.

Es ist auch nicht auf kleine, unabhängige Websites beschränkt. Einige große Unternehmen wurden herausgeholt, darunter NHL, Match.com, LinkedIn, National Trust und Vodafone. Glücklicherweise haben sie seitdem sicherere Speichermethoden implementiert.

Wie können Passwörter sicher gespeichert werden?

Was ist die Alternative zu Klartext? Eigentlich gibt es einige Optionen zum Speichern von Passwörtern, aber nicht alle sind so sicher, wie es zunächst klingen mag.

Viele Websites verwenden eine Hash-Funktion, die Ihr Passwort in einen anderen Ziffernsatz umwandelt. Wenn ein Hacker reinkommt, kann er nur diese zufälligen Zeichen sehen. Es handelt sich jedoch um einen fehlerhaften Algorithmus, da bei jeder Eingabe Ihres Kennworts derselbe Hash generiert wird. Das System stellt dann sicher, dass diese Ziffern korrelieren, um Ihnen Zugriff auf Ihr Konto zu gewähren.

Und ja, sie können geknackt werden, insbesondere durch Brute-Force-Angriffe.

Wenn Sie jedoch eine E-Commerce-Website betreiben, sollten Sie stattdessen gesalzene Hashes verwenden. Diese basieren auf demselben Prinzip, aber zusätzliche Ziffern buchen Ihr Passwort, bevor es in den Hash-Algorithmus eingeht.

Langsame Hashes sind sogar noch besser - sie begrenzen die Häufigkeit, mit der ein Hacker den Datensatz pro Sekunde angreifen kann. Wenn ein Cyberkrimineller weiß, dass das Knacken eines Passworts länger dauert, ist es weniger wahrscheinlich, dass er auf das Konto abzielt.

Wie man erkennt, ob eine Site Passwörter als Klartext speichert

Es ist schwer zu sagen, wenn Sie nicht für das betreffende Unternehmen arbeiten. In diesem Fall müssen Sie Ihr technisches Team darauf hinweisen, dass das Speichern privater Daten im Klartext unethisch ist.

Trotzdem gibt es einen guten Indikator, an dem Sie vorbeigehen können. Wenn Sie ein Konto einrichten und die Website Ihnen eine E-Mail sendet, in der Ihr Passwort aufgeführt ist, wird es wahrscheinlich im Klartext gespeichert.

Sie sind sicherlich unsicher, wenn Sie auf "Passwort vergessen" klicken und sie senden es Ihnen per E-Mail. Wenn es verschlüsselt worden wäre, könnten sie dies nicht tun. Stattdessen müssen Sie überprüfen, ob es sich um Ihr Konto handelt, und dann Ihr Passwort vollständig zurücksetzen.

E-Mails sind sowieso nicht sicher. Sie sind anfällig für Hacking. Selbst wenn die Website Ihre Informationen nicht als Klartext speichert, ist das Senden einer detaillierten Nachricht nicht sicher.

Wenn Sie Ihre Online-Aktivitäten gründlich angehen möchten, verwenden Sie bei der Registrierung in einem Online-Shop ein Platzhalter-Passwort. Klicken Sie dann auf "Mein Passwort verloren" (oder eine Variation davon) und überprüfen Sie Ihre E-Mails. Wenn die einzige Möglichkeit darin besteht, es zurückzusetzen, tun Sie dies.

Andernfalls ist dies ein besorgniserregendes Zeichen, wenn Sie Ihr Platzhalterkennwort in Ihrem Posteingang deutlich sehen können.

Sie können auch auschecken Klartext-Straftäter, eine Website, auf der Unternehmen hervorgehoben werden, die Ihre Sicherheit nicht ernst genug nehmen.

Was können Sie dagegen tun?

Wenn Sie den Verdacht haben, dass eine Site Ihr Passwort im Klartext speichert, senden Sie sie per E-Mail. Bitten Sie sie, auf Ihre Bedenken einzugehen.

Sie sollten eine Antwort von ihnen erhalten. In diesem Fall werden sie Ihnen wahrscheinlich versichern, dass sie Verschlüsselung verwenden, um Ihre Daten zu sichern. Aber lassen Sie sich davon nicht abbringen. Glaube dem Mythos nicht Verschlüsselung ist narrensicher Glauben Sie diesen 5 Mythen über Verschlüsselung nicht!Die Verschlüsselung klingt komplex, ist aber weitaus einfacher als die meisten denken. Trotzdem fühlen Sie sich möglicherweise etwas zu dunkel, um die Verschlüsselung nutzen zu können. Lassen Sie uns also einige Verschlüsselungsmythen zerstören! Weiterlesen .

Ansonsten müssen wir über Schadensbegrenzung sprechen. Verwenden Sie nicht für alle dieselben Anmeldeinformationen. Wir wissen, dass es verlockend ist und Sie glauben wahrscheinlich, dass es keinen wirklichen Schaden gibt. Aber du liegst falsch. Wir sind sicher, dass eine Firma, die Sie in der Vergangenheit verwendet haben, bereits gehackt wurde. Das könnte MySpace sein Ihr vergessenes MySpace-Konto verliert alle Ihre GeheimnisseErinnerst du dich an MySpace? Das soziale Netzwerk, mit dem Sie sich Jahre vor Facebook angemeldet haben... Oh, du hast es vergessen? Nun, MySpace hat dich nicht vergessen. Und es könnte all Ihre privaten Informationen verloren haben. Weiterlesen , Tumblr, Dropbox... oder eine ganze Reihe von Websites.

Überprüfen Sie dies, indem Sie Ihre E-Mail-Adresse eingeben Bin ich pwned worden?.

Sichern Passwortmanager Klartext?

Passwort-Manager sind eine gute Möglichkeit, Ihre Anmeldeinformationen zu schützen, ohne sich an alle erinnern zu müssen. Sie verwenden ein sicheres Kennwort, um auf den Manager zuzugreifen, der den Rest für Sie kennt.

Sie helfen jedoch nicht dabei, Websites mit Klartext zu bekämpfen. Der Manager ist ein Speichersystem für Ihre Sicherheit, nicht das der Site. Ihre privaten Daten sind weiterhin lesbar, wenn jemand in Ihr Konto gelangt.

Sie sind jedoch eindeutig daran interessiert, Ihre privaten Daten für sich zu behalten Vorteile der Verwendung von Passwort-Managern 7 Clever Password Manager-Superkräfte, mit denen Sie beginnen müssenPasswort-Manager bieten viele großartige Funktionen, aber wussten Sie davon? Hier sind sieben Aspekte eines Passwort-Managers, die Sie nutzen sollten. Weiterlesen .

Klartext-Passwörter sind nicht sicher!

Klartext bedeutet nur, dass Ihr Passwort genau so gespeichert wird, wie Sie es schreiben. Und das ist ein Problem, da Hacker es leicht lesen können. Lesen Sie unbedingt weiter Dumping von Anmeldeinformationen und wie Sie sich schützen können Was ist Dumping von Anmeldeinformationen? Schützen Sie sich mit diesen 4 TippsHacker haben eine neue Waffe: das Dumping von Anmeldeinformationen. Was ist es? Wie können Sie verhindern, dass Ihre Konten kompromittiert werden? Weiterlesen .

Nach der Registrierung auf einer Website sollte in allen Begrüßungs-E-Mails, die Sie erhalten haben, Ihr Passwort nicht enthalten sein. Wenn dies der Fall ist, weist dies auf ein Konto hin, das Klartext verwendet. Wenn Sie auf "Passwort vergessen" klicken und das tatsächliche Passwort per E-Mail an Sie gesendet wird, ist dies ein eindeutiges Zeichen dafür, dass Ihre persönlichen Daten nicht sicher gespeichert sind.

Betroffen, dass eine Website dies nicht sicher tut? Mailen Sie sie über Ihre Sorgen. Sie können Ihnen versichern, dass sie Verschlüsselung verwenden, aber nichts ist unzerbrechlich. Wenn nicht, finden Sie es heraus wie seriöse Websites Passwörter speichern sollen Wie schützen Websites Ihre Passwörter?Da regelmäßig Online-Sicherheitsverletzungen gemeldet werden, sind Sie zweifellos besorgt darüber, wie Websites Ihr Passwort pflegen. In der Tat ist dies zur Beruhigung etwas, das jeder wissen muss ... Weiterlesen und sag es ihnen.