Cameron erfährt, wie man Passwörter wiederverwendet
„Fast Zeit zum Mittagessen", dachte Cameron, während sie ihre E-Mail durchblätterte. „Dokumentenprüfung … Dokumentenprüfung … Hinterlegung …" Sie war gern als Rechtsanwaltsfachangestellte tätig, wünschte sich aber, dass ihre Kanzlei mehr Leute einstellen würde, die ihr bei der Arbeit helfen würden.
Sie hielt einen Moment inne, um sich eine E-Mail von Tailwind Toys anzusehen, die am Tag zuvor angekommen war. Anscheinend gab es eine Sicherheitslücke, aber sie glauben nicht, dass die Angreifer an Zahlungsinformationen gekommen sind. „Großartig", dachte sie lachend. „Jetzt wissen sie, was die Lieblingsspielzeuge meines Sohnes sind."
Wenig später traf sie ihren Freund Akihito zum Mittagessen. Akihito zog seinen Stuhl heraus und ließ beiläufig seinen Schlüsselbund auf den Tisch fallen.
"Hey!" Cameron rief aus: „Woher hast du diesen tollen Puzzle-Würfel an deinem Schlüsselbund?!"
„Es macht ziemlich viel Spaß", antwortete Akihito. „Bei Tailwind Toys kostete es 5 Dollar."
„Ooh", sagte Cameron und erinnerte sich plötzlich an die E-Mail, die sie zuvor gesehen hatte. „Haben Sie gehört, dass sie gehackt wurden und eine Menge Kundeninformationen verloren haben?"
"Wirklich? Wow."
„Ja, ich bin sicher, sie freuen sich zu erfahren, dass Ethan blaue Blöcke mag." antwortete Cameron lachend.
„Ist das alles, was sie haben?"
„Oh, das übliche ‚Kundennamen, E-Mail-Adressen, Passwörter' Zeug auch. Aber offenbar keine Kreditkarten." Cameron antwortete.
„Hmmm...aber E-Mails und Passwörter?" Akihito sah besorgt aus.
„Ja, sie haben mein wirklich tolles Passwort. Wahrscheinlich nutzen sie es jetzt alle für sich! Es ist 23 Zeichen lang und sieht aus, als wäre es auf Klingonisch geschrieben. Ich benutze das Ding überall."
"Überall? Ist Ihre E-Mail-Adresse und dieses Passwort das Login für Ihre Bank oder Ihre sozialen Medien?"
„Nun… ja…", antwortete Cameron, „Aber das sind verschiedene Seiten."
„Spielt keine Rolle." Sagte Akihito. „Es gibt eine Art Angriff namens ‚Credential Stuffing'. Wenn die Betrüger Benutzernamen und Passwörter auf einer Site erhalten, gehen sie zu allen anderen Sites und probieren diese Kombinationen aus Benutzernamen und Passwörtern aus, um zu sehen, wie viele davon funktionieren. Wenn Sie überall dasselbe Passwort verwenden und sie wissen, dass es zu Ihrer E-Mail-Adresse gehört, können sie auf jedem System, das denselben Benutzernamen und dasselbe Passwort verwendet, auf Ihre Konten zugreifen."
Jetzt machte sich Cameron Sorgen. „Ich glaube, meine E-Mail-Adresse ist an vielen Orten mein Benutzername, auch am Arbeitsplatz. Was soll ich machen?"
„Haben Sie für diese Websites die zweistufige Verifizierung aktiviert?" fragte Akihito.
„Es scheint so mühsam zu sein, deshalb habe ich es nicht eingeschaltet." Sie gab zu.
"Oh. Dann würde ich keine Zeit verlieren und anfangen, diese Passwörter zu ändern, beginnend mit Ihrem Arbeitspasswort. Verwenden Sie für alles eindeutige Passwörter , und Sie sollten die Bestätigung in zwei Schritten wirklich überall aktivieren, wo Sie können. Der zweite Schritt stört Sie nicht sehr oft und es lohnt sich, Betrüger daran zu hindern, in Ihr Bankkonto oder Ihre Arbeit einzudringen."
„Ugh, ich hasse es einfach, mir all diese Passwörter merken zu müssen. Ich weiß nur, dass ich ständig auf „Passwort vergessen" klicken werde." Sie fühlte sich angesichts der vor ihr liegenden Aufgabe ein wenig überfordert.
„Besorgen Sie sich einen Passwort-Manager. Sie können sich Ihre Passwörter für Sie merken und Ihnen sogar neue sichere Passwörter vorschlagen ." Akihito schlug vor. „Dafür verwende ich den Microsoft Edge-Browser. Es macht mein Leben so viel einfacher und lässt sich sogar mit allen meinen Geräten synchronisieren." Sagte er und hielt sein Smartphone hoch.
„Okay, ich schätze, das könnte ich schaffen." Sie sagte.
„Du solltest es jetzt tun, ich hole mir das Mittagessen." Sagte er und griff nach seiner Brieftasche. „Miss … kann sie ihre Bestellung zum Mitnehmen haben?"
„Danke Kumpel, ich hole mir den nächsten." Sagte sie und ging zur Theke, um ihr Essen abzuholen.
Zusammenfassung
Die Wiederverwendung von Passwörtern ist äußerst gefährlich. Für Kriminelle ist es möglicherweise schwierig, in die Systeme Ihrer Bank einzudringen, aber es genügt eine Website mit schwacher Sicherheit, um einzudringen, und sie könnten an Ihren Benutzernamen und Ihr Passwort gelangen. Innerhalb weniger Stunden könnten sie diese Kombination aus Benutzername und Passwort auf Hunderten oder Tausenden von Websites im Internet ausprobieren. Die Chancen stehen gut, dass sie auf mindestens ein paar andere Websites stoßen, auf denen dieser Benutzername und dieses Passwort funktionieren.
Wenn Sie keinen zusätzlichen Schutz haben, wie z. B. die zweistufige Verifizierung (manchmal auch als Multi-Faktor-Authentifizierung bezeichnet), können sie in Ihren Konten vorhanden sein, bevor Sie überhaupt bemerken, dass die erste Website gehackt wurde.
Das ist ein Credential-Stuffing-Angriff.
Was hätte Cameron besser machen können?
Das Wichtigste ist, dass sie ihr Passwort nicht wiederverwendet, egal wie gut es war.
Sie hätte auch die zweistufige Verifizierung aktivieren können, wo immer diese verfügbar war. Selbst wenn die Bösewichte ihr Passwort hätten, wäre es für sie auf diese Weise viel schwieriger, auf ihre Konten zuzugreifen.
Was hat Cameron richtig gemacht?
Als sie die potenzielle Gefahr erkannte , änderte sie sofort ihre Passwörter , aktivierte die Passwortverwaltung in Microsoft Edge und begann mit der zweistufigen Verifizierung.
Weitere Informationen finden Sie unter https://support.microsoft.com/security.
Wenn Ihnen das gefallen hat ...
Wenn Sie in Kurzgeschichten wie dieser gerne etwas über Cybersicherheit erfahren, sollten Sie sich vielleicht auch „Eine Phish-Geschichte" ansehen. Es ist die Geschichte eines Kundenbetreuers, der am Arbeitsplatz eine erschütternde Begegnung mit einem Phishing-Angriff hat.
No comments:
Post a Comment