Kommentar zum Yahoo-Hack
Einer der größten Hacks aller Zeiten
Freitag, 23. September 2016, 16:00 Uhr
Der Yahoo-Hack von 500 Millionen Konten zählt zum größten Cyberangriff aller Zeiten. Das Unternehmen gibt an, dass der Angriff möglicherweise von einem Staat unterstützt worden sei: Yahoo verstärkte erst vor Kurzem seine Sicherheitsmaßnahmen und führte eine hochmoderne Datenverschlüsselung für die Übertragung ins eigene Rechenzentrum ein...
Vor diesem Hintergrund und in Anbetracht des Umfangs und des hohen technologischen Niveaus des Hacks, ist ein Angriff durch eine Regierung sehr gut möglich. In solchen Fällen stehen typischerweise Russland, China, Iran und Nord-Korea ganz oben auf der Liste der Verdächtigen. Grundsätzlich kommt aber jede Regierung, die ein Interesse an der Überwachung ihrer Bürger hat, in Betracht. Vor allem Russland wird mit Argwohn betrachtet, weil die gehackten Yahoo-Daten im August von russischen Hackern im Dark Web zum Verkauf angeboten wurden.
Der Hack gefährdet möglicherweise auch den 4,8 Milliarden US-Dollar schweren Verkauf von Yahoos Kerngeschäft an den US-amerikanischen Telekommunikationskonzern Verizon. Der Verizon-Deal war ein Notverkauf, in dem Yahoo sein Kerngeschäft stark unter Wert angeboten hatte. Verizon sagt nun, man hätte dort erst vor ein paar Tagen von dem Hack erfahren.
Jetzt tauchen natürlich Fragen auf, warum Yahoo den Angriff, der bereits 2014 stattfand, erst jetzt bemerkte und weshalb der Freemail-Anbieter seine Kunden erst sechs Wochen nach dieser Entdeckung informierte. Denn dass im August Yahoo-Kundeninformationen im Dark Web zum Verkauf angeboten wurden, war öffentlich bekannt. Vermutlich würde niemand mehr sein Yahoo-Passwort verwetten, dass sich Verizon unter diesen Vorzeichen noch auf das Geschäft einlässt.
Yahoo und anderen E-Mail-Provider bieten eine Zwei-Faktoren-Authentifizierung an: Wenn von einem unbekannten Gerät auf Ihr E-Mail-Konto zugegriffen wird, werden Sie automatisch aufgefordert, sich auszuweisen. Versuchen Dritte auf Ihr E-Mail Konto zuzugreifen, kann der E-Mail-Provider diese aufgrund des fehlenden Identitätsnachweises zuverlässig als Kriminelle identifizieren.
Es ist kaum zu glauben, aber laut LeakedSource, einem kostenpflichtigen Dienst für die Suche nach gehackten Daten, sind die häufigsten Passwörter „123456“, „passwort“, „quertz“ sowie der Name des Portals bei dem man sich einloggt, also etwa „Yahoo“.
Ein Hacker gibt in der Regel seinem Entschlüsselungsprogramm die Anweisung, 100.000 Passwort-Kombinationen für eine festgelegte Anzahl von Zeichen zu testen. Wenn das nicht zum Erfolg führt, versucht er eine andere Zeichenfolge. Wenn das Passwort aus Kleinbuchstaben (z.B. hallo), einem Großbuchstaben am Anfang und sonst nur Kleinbuchstaben (z.B. Blümchen) besteht, kann es mit der Brute-Force-Methode sehr schnell geknackt werden. Das gleiche gilt für lauter Kleinbuchstaben mit einer Zahlenkombination am Ende (z.B. martin34).
Ideal ist ein acht bis zehn Zeichen langes Passwort, bestehend aus einer Mischung aus Groß- und Kleinbuchstaben, Symbolen und Nummern. Nach Berechnungen der Firma iFusion Labs, könnte ein sieben-Zeichen-Passwort, bestehend aus nur Kleinbuchstaben mit der oben genannten Methode, in zwei Stunden und zwanzig Minuten geknackt werden.
Ein gleichlanges Passwort bestehend aus Groß- und Kleinbuchstaben, Symbolen und Zahlen würde mehr als zwei Jahre in Anspruch nehmen. Bei acht Zeichen würde es mehr als zwei Jahrhunderte dauern. Absolut unknackbar – zumindest in einem Zeitraum von 1800 Jahren – sind zehn Zeichen lange Passwörter, wie zum Beispiel fimE £ = * 4Og oder $ *: 8A {€ M5T.
Steve Bell, Security Experte bei BullGuard
Autor: redVor diesem Hintergrund und in Anbetracht des Umfangs und des hohen technologischen Niveaus des Hacks, ist ein Angriff durch eine Regierung sehr gut möglich. In solchen Fällen stehen typischerweise Russland, China, Iran und Nord-Korea ganz oben auf der Liste der Verdächtigen. Grundsätzlich kommt aber jede Regierung, die ein Interesse an der Überwachung ihrer Bürger hat, in Betracht. Vor allem Russland wird mit Argwohn betrachtet, weil die gehackten Yahoo-Daten im August von russischen Hackern im Dark Web zum Verkauf angeboten wurden.
Der Hack gefährdet möglicherweise auch den 4,8 Milliarden US-Dollar schweren Verkauf von Yahoos Kerngeschäft an den US-amerikanischen Telekommunikationskonzern Verizon. Der Verizon-Deal war ein Notverkauf, in dem Yahoo sein Kerngeschäft stark unter Wert angeboten hatte. Verizon sagt nun, man hätte dort erst vor ein paar Tagen von dem Hack erfahren.
Jetzt tauchen natürlich Fragen auf, warum Yahoo den Angriff, der bereits 2014 stattfand, erst jetzt bemerkte und weshalb der Freemail-Anbieter seine Kunden erst sechs Wochen nach dieser Entdeckung informierte. Denn dass im August Yahoo-Kundeninformationen im Dark Web zum Verkauf angeboten wurden, war öffentlich bekannt. Vermutlich würde niemand mehr sein Yahoo-Passwort verwetten, dass sich Verizon unter diesen Vorzeichen noch auf das Geschäft einlässt.
Einrichtung eines sicheren Passworts
Wenn Sie ein Yahoo-Konto haben, sollten Sie schnellstmöglich Ihr Passwort ändern und die Zwei-Faktoren-Authentifizierung verwenden, die der Freemail-Dienst anbietet.Yahoo und anderen E-Mail-Provider bieten eine Zwei-Faktoren-Authentifizierung an: Wenn von einem unbekannten Gerät auf Ihr E-Mail-Konto zugegriffen wird, werden Sie automatisch aufgefordert, sich auszuweisen. Versuchen Dritte auf Ihr E-Mail Konto zuzugreifen, kann der E-Mail-Provider diese aufgrund des fehlenden Identitätsnachweises zuverlässig als Kriminelle identifizieren.
Vorsicht unsichere Passwörter
Hacker verwenden in der Regel spezielle Programme, genannt „Brute-Force“, um Passwörter zu knacken. Ihr Passwort muss daher stark und komplex sein, damit es schwer zu entschlüsseln ist.Es ist kaum zu glauben, aber laut LeakedSource, einem kostenpflichtigen Dienst für die Suche nach gehackten Daten, sind die häufigsten Passwörter „123456“, „passwort“, „quertz“ sowie der Name des Portals bei dem man sich einloggt, also etwa „Yahoo“.
Ein Hacker gibt in der Regel seinem Entschlüsselungsprogramm die Anweisung, 100.000 Passwort-Kombinationen für eine festgelegte Anzahl von Zeichen zu testen. Wenn das nicht zum Erfolg führt, versucht er eine andere Zeichenfolge. Wenn das Passwort aus Kleinbuchstaben (z.B. hallo), einem Großbuchstaben am Anfang und sonst nur Kleinbuchstaben (z.B. Blümchen) besteht, kann es mit der Brute-Force-Methode sehr schnell geknackt werden. Das gleiche gilt für lauter Kleinbuchstaben mit einer Zahlenkombination am Ende (z.B. martin34).
Ideal ist ein acht bis zehn Zeichen langes Passwort, bestehend aus einer Mischung aus Groß- und Kleinbuchstaben, Symbolen und Nummern. Nach Berechnungen der Firma iFusion Labs, könnte ein sieben-Zeichen-Passwort, bestehend aus nur Kleinbuchstaben mit der oben genannten Methode, in zwei Stunden und zwanzig Minuten geknackt werden.
Ein gleichlanges Passwort bestehend aus Groß- und Kleinbuchstaben, Symbolen und Zahlen würde mehr als zwei Jahre in Anspruch nehmen. Bei acht Zeichen würde es mehr als zwei Jahrhunderte dauern. Absolut unknackbar – zumindest in einem Zeitraum von 1800 Jahren – sind zehn Zeichen lange Passwörter, wie zum Beispiel fimE £ = * 4Og oder $ *: 8A {€ M5T.
Steve Bell, Security Experte bei BullGuard
