Passwortklau verhindernWurmstichig

Der Name der Freundin oder des Haustiers ist ein schlechtes Passwort. Auch ein einfaches Passwort wie 1234 ist in Kürze herausgefunden. Sogar wenn Sie sich ein gutes Kennwort ausdenken, kann Ihr Mail- oder ein anderes Onlinekonto geknackt werden. Eine oft missbrauchte Schwachstelle ist die "Passwort vergessen"-Funktion. Wird diese angeklickt, muss der Benutzer eine oder zwei Geheimfragen beantworten, deren Lösung er beim Einrichten des Kontos hinterlegt hat. Nicht selten werden Antworten verwendet, die man verhältnismäßig leicht herausfinden kann, wie beispielsweise das Geburtsdatum, den Lieblingsfußballclub oder die Namen von Freunden und Haustieren.

Das bietet Schutz: Ändern Sie Ihre Passwörter regelmäßig und – noch wichtiger – nehmen Sie für jeden Onlinedienst ein anderes. Verwenden Sie für die Geheimfragen keine allzu trivialen Begriffe. Einige Dienste senden beim Klick auf die "Passwort vergessen"-Funktion einen Bestätigungs-Link an eine zweite Mailadresse, die der Nutzer in seinem Konto angegeben hat.

Ein Angreifer fand zum Beispiel letztes Jahr beim Knackversuch eines Google-Kontos von einer Twitter-Mitarbeiterin heraus, dass deren Zweitadresse bei Hotmail.com wegen Nichtbenutzen deaktiviert war. Er registrierte flugs diese Adresse für sich selbst, konnte die Mail mit dem Bestätigungs-Link in Empfang nehmen und sich des Google-Kontos bemächtigen. Prüfen Sie darum regelmäßig die Einstellungen aller Ihrer Konten. Falls Sie eine Mailadresse stilllegen, darf diese in keinem anderen Konto als Zweitadresse angegeben sein.

Zugänge zu Onlinekonten fallen nicht nur durch Phishing in die Hände von Angreifern, sondern auch durch Schädlinge. Der Schädling Koobface sucht zum Beispiel nach den Cookies sozialer Netzwerke wie Facebook und Twitter. So gelingt es ihm, sich in die Konten von Anwendern einzuloggen und darüber automatisch Nachrichten an deren Freundesliste zu verschicken oder sogar online zu publizieren.

Die Nachrichten enthalten meist einen Link zu einer Webseite mit angeblich interessantem Inhalt (zum Beispiel Gratis-Software oder ein spannendes Video). Wer draufklickt, dem jubelt die verlinkte Webseite einen Schädling unter. Das kann durch eine Browsersicherheitslücke geschehen. Noch häufiger fordert die Webseite den Nutzer auf, sich einen Codec oder eine spezielle Version des Adobe Flash Players zu installieren. Was auf dem PC landet, ist der Schädling selbst. Das bietet Schutz: Seien Sie skeptisch, wenn Ihre Bekannten Ihnen Meldungen mit Links senden. Laden Sie Codecs und Programme immer nur von seriösen Webseiten herunter, zum Beispiel den Flash Player direkt bei Adobe.

Tipp für Firefox-Nutzer: Oft werden solche Links mittels Webadressen-Kürzungdiensten wie Bit.ly, Tinyurl.com etc. verschleiert. Es lässt sich nicht von Auge erkennen, welche richtige Adresse hinter einem Internet-Link wie http://bit.ly/uJt3a steckt. Installieren Sie deshalb die Erweiterung LongURL Mobile Expander von https://addons.mozilla.org/en-US/firefox/addon/8636. Wenn Sie künftig mit dem Mauszeiger über dem Link eines Kürzungsdienstes verharren, zeigt Ihnen Firefox die richtige Adresse an.