Passwortklau auf eBay und Co.

Mit neuen Methoden verschaffen sich Passwortklauer Zugang zu Benutzerkonten im Internet. Einfach gestrickte Passwörter und der leichte Zugriff auf unzählige Benutzernamen helfen Angreifern, unter fremden Namen jede Menge Schaden anzurichten, so das Ergebnis einer Untersuchung für die aktuelle c't-Ausgabe 15/04. Nicht immer geht es darum, ein bestimmtes Benutzerkonto mit Brute-Force- oder Wörterbuch-Attacken zu knacken. Ist es das Ziel, einen beliebigen Account zu nutzen, so bedienen sich Angreifer auch anderer Methoden    und können damit sogar die Schutzmaßnahmen vor üblichen Angriffen umgehen.

Viele Internetnutzer neigen aber dazu, ihre Passwörter möglichst simpel zu gestalten. Einfache Vornamen ohne Sonderzeichen oder Zahlenkombinationen sind besonders beliebt. Mit einer Liste von nur 220 weiblichen Vornamen hat der Sicherheitdienstleister it.sec für die c't innerhalb von 48 Stunden fast 2600 eBay-Accounts überprüft und war 27 mal erfolgreich. "eBay versucht zwar, solche Angriffe abzuwehren, aber die getroffenen Maßnahmen lassen sich mit ein paar Tricks leicht aushebeln.", so das Fazit von Holger Heimann, Geschäftsführer von it.sec.

eBay steht aber nur stellvertretend für eine Vielzahl anderer Anbieter. Obwohl Passwortangriffe eigentlich ein alter Hut sind, stellen keiner besondere Komplexitätsanforderungen an die Wortkombination. Einige erlauben sogar Passwörter, die genau so lauten wie der Benutzername. Sonderzeichen, Großbuchstaben oder Zahlen im Kennwort, die das Erraten schwerer machen, sind selten Pflicht, aber äußerst sinnvoll.

Weitere Einzelheiten zum Passwortklau und wie der Anwender sich auch ohne Hilfe der Anbieter davor schützen kann, bringt c't in der aktuellen Ausgabe (ab Montag, den 12. Juli im Handel): (dab)

• Ohne Gewalt, Passwortangriffe auf eBay & Co, c't 15/04, Seite 214