Hallo ihr heftigen Hacker!
Cybersicherheit bzw. Datensicherheit ist ein Thema, was viel zu oft viel zu leichtsinnig genommen wird.
Und achtung...
Auch von mir! :D
Bis dann mal irgendwas passieren musste.
Das war meine Lektion in Sachen Internetsicherheit.
Ich hatte ein gemoddetes Programm gedownloadet. Ging ja bisher auch immer gut, hm?
Um das Ding zu installieren und zu patchen musste man den Windows Antivirus deaktivieren.
TATSÄCHLICH ist das nicht so ungewöhnlich. Denn Windows reagiert da auch bei legitim Manipulierten Programmen SEHR allergisch.
Aus gutem Grund - man weiss ja nie was da abgeht.
Hab ich also gemacht - ging die letzten 10 male doch auch gut?
Also Windows Defender gekillt - installiert - funktioniert alles, jawoll!
Und augeschneinlich ist auch nix passiert.
Naja. Bis ich nur paar Minuten nachm Ausmachen den Windows Defender wieder angemacht hatte. :D
Der dann direkt losgeschrien hat. Er hat einen PrivateLoaderMTB!RM gefunden.
WTF dachte ich mir was solln das sein? Windows hat das Ding direkt abgeschossen und ermordet.
Nochmal das System gescannt - alles sauber. (Hat mehrere Stunden gedauert ALLE Dateien zu scannen...)
Hm. Glück gehabt?
Schön wärs.
Dieser reudige "PrivateLoader" ist zwar weg, hatte aber paar Minuten zum Spaß haben.
Hab dann mal gegoogelt, was das überhaupt ist. Nun, das kann alles mögliche sein. Meistens ist es ein Trojaner, der andere böse Dinge runterlädt, wozu er bei mir ja den absoluten Freifahrtschein für 3 Minuten hatte xD
Aber es kann auch etwas sein, was Sitzungsdaten und Cookies aus Browsern kopiert und verschickt.
Und das letzte ist der Part, der eigentlich extrem besorgniserregend ist.
Wichtige Info: Euer Browser ist NICHT 100% sicher.
Es mag zwar stimmen, dass Webseiten undso nichtmehr einfach so eure Browserdaten wegnaschen können.
Programme die Zugriff auf dem PC selber haben aber schon!
All eure Browsercookies, der Verlauf und am schlimmsten: Eure Passwörter sind im Browser gespeichert. (Zumindest wenn euer Browser für euch Passwörter automatisch ausfüllt, was bei mir der Fall war)
DIe Passwörter sind zwar verschlüsselt, aber leider nicht besonders gut. Bei manchen Browsern sogar gar nicht.
Aber noch viel schlimmer sind die Cookies.
Warum müsst ihr euch nicht bei jedem YouTube, Boards of Legends, Amazon Besuch neu einloggen?
Weil sich der Browser eure Sitzung merkt. Und die ist in den Cookies.
Und genau diese Cookies kann man kopieren und klauen.
Noch viel schlimmer: Damit muss man nichtmal euer Passwort mehr eingeben. Und auch kein 2-Faktor Code.
Man fügt den Cookie im eigenen Browser ein und ist quasi einfach drin, die Zielseite hinterfragt das oft gar nicht.
Erstmal schien ich fein raus.
Erstmal. Bis mir dann auf Telegram ein Bot schrieb, dass mein Account keine Limitationen hat.
Diese Info hatte ich per Befehl angefordert. ....zumindest stand das da.
Hab ich nicht.
Schau ich also in meine aktiven Geräte - mein PC war gerade online.
Das kann aber überhaupt nicht sein. Mein PC war nichtmal an.
Wenige Minuten später erhalte ich eine Mail, das ich auf Google Ads gebannt wurde. Wegen Scamwerbung. Wie bitte?
Geh ich also hin - 2 Kampagnen die ich nie geschaltet hab.
Kriege noch eine Mail das ein Google Play Geschenkkartenkauf von mir abgelehnt und meine Zahlungsmittel gesperrt worden - weil verdächtig.
Spätestens jetzt war es nichtmehr schwer 1 und 1 zusammenzuzählen.
Aber so richtig konnte ich es nicht glauben. Ich bekam keine Anmeldebenachrichtigung, kein 2FA Code, gar nix. Neue Geräte waren auch in meinen Accounts nicht zu sehen.
Kann das wirklich sein?
Ja, kann es. Wenn Viren eure Sitzungen klauen können sie eure Accounts zumindest eine Weile Problemlos nutzen.
Ein weiteres großes Problem...
Passwortsicherheit
Ich hatte zwar ein paar lange und ziemlich komplexe Passwörter, die man definitiv nicht einfach mal so errät.
Aber ich hab halt viele davon MEHRMALS benutzt.
Das ist nicht gut, denn sollte der Virus tatsächlich auch meine Passwörter geklaut haben (wofür ich bis jetzt keine Beweise habe) können gleich mehrere meiner Accounts aufgesaugt werden.
Also Passwörter ändern. Und zwar ALLE. Uff....
Aber wieder dasselbe für alle? Keine gute Idee. Aber kann ich mir 50 Passwörter merken? Natürlich nicht!
Es muss doch eine Lösung geben?
Ich habe erstmal bei meinen Accounts alle Geräte außer mein Handy gekickt. Sofern die Passwörter nicht geklaut wurden, würde das dem Spuk schon ein Ende setzen, weil es die Sitzungen ungültig macht.
Aber noch eine Sicherheitsebene muss her.
Passwort Manager
Ja gibt es.
Und eigentlich wollte ich das längst schonmal gemacht haben, war aber immer zu faul. Na toll.
Passwortmanager speichern all eure Accounts und Passwörter hinter einem Masterpasswort.
Das Masterpasswort legt ihr fest, um in den Tresor zu gelangen für all eure Restlichen Accounts.
Der Passwortmanager ist dabei extrem sicher.
Das Passwort sollte sehr lang und komplex sein. Es ist das EINZIGE, was man sich dann noch merken muss, also sollte das schon gehen.
Dann kann man den Manager noch mit 2FA schützen. Nach dem Passwort müsst ihr auf nem neuen Gerät also noch extra einen Code vom Handy eingeben. Und dann müsst ihr das neue Gerät ZUSÄTZLICH NOCH von einem anderen Gerät (zb. Handy) aus freigeben.
Die Sitzungen des Managers können nicht geklaut werden. Sie laufen super schnell ab und sind nach strengen Prüfverfahren limitiert.
Die Passwörter im Tresor können auch nicht geklaut werden. Sie sind extrem komplex verschlüsselt. Der Schlüssel zum Entschlüsseln ist das Master Passwort (was nur du kennst), die Account ID (Was nur der Manager kennt) und noch einige andere Faktoren. Ohne diese ist der Tresorinhalt unlesbarer Datenmüll.
Dann hat der Manager noch Session und Tresor Kill-Switches.
Er ist also wirklich extrem sicher, solange das Masterpasswort gut ist. Selbst wenn man sich dann nochmal einen Virus einfängt.
Da ich jetzt also den Manager hab, kann ich für jeden Account ein eigenes Passwort nehmen. Und da er diese sowieso sicher speichert, können diese ruhig auch extrem komplex sein!
Man kann Accountdaten dann übrigens auch per Tastenkombi einfügen lassen, wenn man sich wo einloggen will. (Natürlich muss dafür der Tresor entsperrt werden)
Zusätzlich kann der Manager auchnoch Passwörter für einen generieren.
Und jetzt bin ich hier. Alle Passwörter sind komplett random, extrem lang und machen GAR KEINEN SINN.
Ich könnte mir niemals auch nur eins davon merken.
So sieht eins zum Beispiel aus:
W$pfTG@i3W
9&nS$WGd!*mSSwSg69EkMTQ!P#TPxp
ftj%zMjVGNmqKVjX6Ewxu&$4$4H!VV3^Mv3LZ2!ZoEAtsUYRTFE8az3ujFk6TxHCC@FkgKsSs^jD8a@Gj*3mCLmMx6%k%fuAB#&dUxaCMh^w$KsM@FS^DLY6inZf^S&T
Btw, keines davon ist ein Passwort von mir, schuldigung! :D
Bei sogenannten Brute Force attacken, versuchen Programme Accounts zu knacken, indem sie das Passwort extrem schnell durchprobieren. Mithilfe von Datenbanken, Wörterbüchern und anderen.
Mein "sicher" Beispiel würde für so ein Programm schon Jahre dauern. "Extrem sicher" würde länger dauern, als unsere Sonne noch lebt. Und das letzte wird in diesem Universum nicht mehr erraten. Ihr könnt darauf wetten, dass selbst "Extrem sicher" bisher niemals von irgendwem anders generiert wurde.
Keiner kann sich diese Passwörter merken. Erraten erst recht nicht.
Das ist aber völlig egal! :D
Es kann natürlich nervig sein, den Tresor entsperren zu müssen immer wenn man sich wo einloggt.
Aber die ENORME SIcherheitssteigerung ist es eigentlich echt Wert.
Der Passwortmanager meiner Wahl ist übrigens "Bitwarden".
-Schick und simpel mit DARK MODE *-*
-Praktisch und Effizient
-Kein Geräte-Limit / Kein Account-Limit
-Alles was man so braucht ist im dauerhaft Kostenlosen Free Plan enthalten!
-Synchronisiert sich - meldet es auf euren Geräten an und ihr habt eure Accounts überall.
Was lernen wir daraus?
-Macht den Antivirus nicht aus.
-Verwendet lange und Komplexe Passwörter
-Verwendet keine Passwörer mehrmals!!! (Nein ernsthaft. Das macht euch im Ernstfall so viel mehr Stress!)
-Nutzt einen Passwortmanager für extremen Schutz und trotzdem Komfort
-Nutzt dann aber ein wirklich gutes Masterpasswort. Schreibt das NIRGENDWO Zugänglich auf!
-Richtet euch überall wo es geht 2FA ein. Glaubt mir, den extra Code eingeben ist die 15 Sekunden aufwand Wert, vorallem weil es oft pro Gerät nur EINMAL nötig ist.
Hackende Grüße,
-Pichu