Daten von 500 Millionen Yahoo-Nutzern gehackt

Und wieder geht ein großer Hack durch die Schlagzeilen. Diesmal hat es Yahoo getroffen. Im Beitrag steht, was Nutzer jetzt tun sollten.

Geschätzte Lesezeit für diesen Artikel: 2 Minuten

Hackerangriffe auf große Internetfirmen sind in den letzten Jahren zur Regel geworden (erfahre mehr). Diesmal hat es den ohnehin angeschlagenen Konzern Yahoo getroffen: Nach Medienberichten wurden bei einem Angriff Ende 2014 die Daten von über 500 Millionen Nutzern gestohlen: Passwort-Hashes, aber auch sonstige Daten wie Handynummern und Sicherheitsfragen inklusive der passenden Antworten.

Wie immer in solchen Fällen sind jetzt auch die Nutzer gefragt. Was ist zu tun?

  1. Ändere umgehend das Yahoo-Passwort.
  2. Aktiviere die Zwei-Schritt-Authentifizierung.
  3. Deaktiviere die Sicherheitsfragen.
  4. Falls Du das alte Yahoo-Passwort auch für andere Dienste verwendet hast: Ändere auch dort umgehend das Passwort.

An dieser Stelle sei noch einmal an die zwei wichtigsten Grundregeln zum Umgang mit Passwörtern erinnert:

  • Verwende Passphrases anstelle von Passwörtern.
  • Verwende für jeden Online-Dienst eine andere Passphrase.

Wenn Du wissen willst, wie man das umsetzen kann, ohne vorher eine Ausbildung zum Gedächtniskünstler absolvieren zu müssen, solltest Du hier weiterlesen. Das beschriebene Verfahren sorgt nicht nur für extrem sichere Passphrases. Es ist zudem so konzipiert, dass Du Dir nur noch eine einzige (Master-)Passphrase einprägen musst.

Wie schützt Du Deine Online-Konten? Hinterlass einen Kommentar!

Findest Du diesen Beitrag interessant?
→ Teile ihn mit Deinen Freunden (klicke unten auf einen der Buttons)
→ Folge dem Autor auf Twitter (@JochenPlikat) oder abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)
→ Unterstütze diese Seite mit einer Spende (klicke oben rechts auf „Donate”)

Daten von 500 Millionen Yahoo-Nutzern gehackt by Jochen Plikat is licensed under CC BY-NC-ND 4.0
Bildnachweis: Monster Blue by geralt is licensed under CC0 Public Domain

7 Gedanken zu “Daten von 500 Millionen Yahoo-Nutzern gehackt

  1. Diese tollen Tips sind völlig sinnfrei, solange der Diensteanbieter meine Passwörter unter Hackern verteilt. Vor allem wenn man mal mehr als zehn Logins zu verwalten hat. Bei mir sind im Laufe von zwanzig Jahren über 300 zusammengekommen, die auch genutzt werden.

    Dann sind unterschiedliche Umfänge bei den Zeichensätzen für Passwörter vorhanden, Minimal- und Maximallängen, erlaubte Zeichen beim Benutzernamen, und so weiter. Die Hölle auf der Arbeit beginnt mit “Da wurde wieder ein Server von einem Diensteanbieter gehackt, änderst du mal eben die Passwörter?”.

    1. Hallo Wolfgang, Danke für Deinen Kommentar. Hast Du schon die verlinkte Seite gelesen? Dort steht, wie Du auch 300 verschiedene Zugangsdaten mühelos verwalten kannst. Und dann geht in Fällen wie dem Yahoo- oder dem LinkedIn-Hack eben nicht die Hölle los, sondern Du erzeugst einfach mit dem Passwort-Manager ein neues langes Passwort, passt es ggf. noch manuell an die Vorgaben des Anbieters an, änderst es dort in Deinem Account, und die Sache ist für Dich erledigt. Habe ich heute morgen bei Yahoo genau so gemacht, hat ca. 2 Minuten gedauert.

      1. Das nützt dir genau deswegen nichts, weil der Anbieter *irgendwann* kompromittiert wurde, und ein danach übernommener Account bereits geplündert ist. Du klebst immer nur einen Flicken auf den anderen, aber beseitigst nicht die Ursachen der Löcher. Ob das klug ist?

        Genau in dieser Hinsicht erwarte ich eigentlich schon jahrelang eine sinnvoll nutzbare Lösung, aber mir scheint, es interessiert keinen Internetnutzer so richtig. Ich stelle mir da sowas wie die Sicherheitskarte von Paypal vor, wo offline ein Sicherheitscode erzeugt wird.

        Das ist so ähnlich wie mit dem Aufladen der Geldkarte zuhause vom Bankkonto über das Internet, um dann offline und anonym damit die Kohle ausgeben zu können. Tolle Idee, die Banken ignorieren es und jetzt ist die Geldkarte seit Jahren tot.

    2. Das stimmt so nicht. Anbieter speichern nicht die Passwörter der Nutzer auf ihren Servern, sondern nur die so genannten Hash-Werte der Passwörter. Wenn Du beim Login Dein Passwort eingibst, wird daraus jedes mal neu der passende Hash-Wert errechnet und mit dem auf dem Server gespeicherten Wert verglichen. Du kannst Dich nur dann einloggen, wenn beide Werte übereinstimmen.
      Bei Angriffen auf die Server der Anbieter werden aus diesem Grund auch nicht die Passwörter erbeutet, sondern eben nur die Hash-Werte. Vom Passwort zum Hash-Wert geht die Berechnung sehr schnell, in umgekehrter Richtung – vom Hash-Wert zum Passwort – ist die Berechnung aber sehr aufwändig (Einwegfunktion). Je nach Hash-Verfahren und eingesetzter Rechenpower dauert das von wenigen Minuten oder Stunden bis hin zu mehreren Monaten oder Jahren. Es kommt aber noch ein weiterer Faktor hinzu: Die Länge und Beschaffenheit des Passworts. Je stärker das Hash-Verfahren und je stärker die Passwörter sind, umso länger brauchen die Angreifer, um aus einem erbeuteten Hash-Werten ein Passwort zu errechnen. Und erst dann haben sie Zugang auf einen Account. Das Hashen von Passwörtern verschafft also den Anbietern und den Nutzern ein Zeitfenster, um auf Angriffe zu reagieren.
      Wir müssen uns nach einem Angriff als Nutzer also immer fragen, ob wir die seit Jahren hinlänglich bekannten Empfehlungen zum Umgang mit Passwörtern beachtet haben. Und die Anbieter müssen sich nach einem Angriff immer die Frage gefallen lassen, ob sie ein ausreichend starkes Hash-Verfahren eingesetzt haben – und natürlich ob sie die Öffentlichkeit möglichst schnell über das Ausmaß eines Angriffs informiert haben. Das war z. B. beim LinkedIn-Hack 2012 nicht der Fall, und aus diesem Grund hatten die Angreifer ca. 4 Jahre Zeit, um aus den Hash-Werten die zugehörigen Passwörter zu ermitteln. Sie dürften in dieser Zeit ca. 98% der Passwörter geknackt haben. (Mehr dazu hier: http://arstechnica.com/security/2016/06/how-linkedins-password-sloppiness-hurts-us-all/ )
      Angriffe wie den jetzt bekannt gewordenen Yahoo-Hack wird es immer wieder geben. Firmen sollten alles tun, um sie zu verhindern und um im schlimmsten Fall den Schaden so gering wie möglich zu halten. Als Nutzer können und sollten wir aber auch unseren Beitrag leisten, wenn uns unsere Daten lieb sind. Auch wenn das natürlich schön wäre: Wir können die Verantwortung für die Sicherheit unserer Konten nie zu 100% auf die Anbieter abwälzen.
      Was eine Sicherheitskarte angeht: Das ist ja keine neue Idee. Wird meines Wissens oft in Firmen eingesetzt. Für den Privatnutzer dürfte das aber in der Praxis nicht umsetzbar sein (Vielzahl verschiedener Hard- und Softwareumgebungen, etc.). Auch biometrische Verfahren sind problematisch und teilweise schlicht unsicher. Ich finde die Kombination aus Passphrase und Zwei-Faktor-Authentifizierung eigentlich einen ziemlich guten Kompromiss aus Sicherheit und Nutzerfreundlichkeit. Aber das funktioniert eben nur dann, wenn man bereit ist einen Passwort-Manager zu verwenden.

  2. Pingback: Die Mitleser |

Schreibe einen Kommentar zu Jochen Plikat Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert