Im März 2019 geriet das Versprechen einer DSGVO-Revolution ins Schleudern. Diesmal war es die Stimme von Facebooks Vizepräsident für Sicherheit und Datenschutz, die das Ereignis markierte. In einer öffentlichen Erklärung informierte Pedro Canahuti Milliarden von Facebook-, Instagram- und WhatsApp-Nutzer darüber, dass Millionen ihrer Passwörter im Klartext gespeichert worden waren. Die Passwörter konnten von jedem der 40.000 Angestellten des Unternehmens eingesehen werden. Da es sich um den größten Sicherheitsverstoß aller Zeiten handelt, werden wir uns mit den Gefahren von Klartext befassen – angefangen mit der ersten Frage:
Inhalt
Was ist Klartext?
Klartext bedeutet einfach normale, alltägliche Sprache. Wenn dein Passwort im Klartext gespeichert ist, wird es in Datenbanken, die möglicherweise nicht sicher sind, sichtbar belassen. In der Kryptografie bezeichnet es eine Nachricht vor der Verschlüsselung.
Wenn eine Klartext-Nachricht verschlüsselt wird, werden die Zeichen verwürfelt und unverständlich. Der verschlüsselte Text wird dann als „Geheimtext“ bezeichnet. Normalerweise ist der Geheimtext mit einem Verschlüsselungscode verbunden, mit dem der Besitzer des Schlüssels die verschlüsselten Daten entschlüsseln und in lesbare Informationen zurückverwandeln kann (in anderen Worten: entschlüsseln). Wenn wir über die Verschlüsselung von Passwörtern sprechen, bezeichnen wir den gesamten Prozess als „Passwort-Hashing“.
Die Verschlüsselung wird in der Regel aus folgenden Gründen vorgenommen:
Geheimhaltung und vertrauliche Kommunikation – Die Verschlüsselung schützt Informationen vor Unbefugten und ist daher ideal für staatliche Dokumente, Geschäftsgeheimnisse und Finanztransaktionen.
Authentifizierung – Wird regelmäßig beim Online-Banking und jedem anderen Online-Konto verwendet, einschließlich NordVPN und NordPass.
Die Klartext-Verschlüsselung, auch Chiffriertext genannt, ist im Grunde eine digitale Geheimsprache – ein Prinzip, das sich bis ins Jahr 1900 vor Christus zurückverfolgen lässt. Von der „Cäsar-Chiffre“ im klassischen Rom bis zur Sense im alten Griechenland war die Geheimschrift schon immer die beliebteste Methode der Menschheit, um Geheimnisse zu schützen. Doch obwohl die Grundlage der Verschlüsselung dieselbe ist, hat sich seit Papyrus und Taubenträgern viel verändert. In der Tat ist mit unserem aktuellen Geheimcode vieles im Argen – vor allem, dass die Unternehmen ihn nicht richtig nutzen.
Was ist also das Problem mit Klartext?
Trotz der vielen Verschlüsselungsmethoden, die es gibt, speichern einige Unternehmen die Passwörter ihrer Kunden immer noch im Klartext (in einem lesbaren Format). Somit kann jeder, der Zugang dazu hat, all deine hochsensiblen Daten wie dein Passwort, dein Geburtsdatum und deine Bankkartennummern lesen. Wenn dein Passwort im Klartext gespeichert wird, kannst du es genauso gut auf einen Notizblock kritzeln und im Wartesaal der Öffentlichkeit zugänglich machen. Stell dir vor, wie sehr sich ein Hacker freuen würde, wenn er unweigerlich daran vorbeikommt.
So erkennst du, ob eine Website Passwörter im Klartext speichert
Die gute Nachricht ist, dass wir dir zeigen können, wie du dich schützen kannst. So musst du dir nie wieder Sorgen machen, dass dein Passwort öffentlich zugänglich ist und gestohlen werden könnte.
Hier sind zwei rote Flaggen:
Wenn du nach der Erstellung eines Kontos eine E-Mail mit deinem Benutzernamen und deinem Passwort erhältst, könnte das bedeuten, dass die von der Website verwendete Verschlüsselung reversibel ist. Das bedeutet, dass einige Mitarbeiter des Unternehmens wissen, wie man sie entschlüsselt und liest.
Wenn du eine Website im Verdacht hast, klicke auf „Passwort vergessen“, um zu sehen, ob sie dir deinen Benutzernamen und dein Passwort in einer E-Mail zusenden. Wenn du jedoch einen Link zum Zurücksetzen deines Passworts erhältst, ist dein Passwort wahrscheinlich sicher und wurde gehasht.
Können Passwörter sicher gespeichert werden?
Es gibt keine eindeutige Methode, um festzustellen, ob deine Passwörter sicher gespeichert sind. Die oben genannten Anzeichen sind in der Regel der beste Weg, um das herauszufinden. Du kannst zwar nicht kontrollieren, wie andere mit ihren Passwörtern umgehen, aber du kannst deine eigenen überprüfen. Deshalb möchten wir dich an unsere zwei goldenen Regeln für Passwörter erinnern:
Verwende für jede von dir genutzte Website ein anderes Passwort.
Wenn du dasselbe Passwort für mehrere Websites verwendest und es auf einer der Websites im Klartext gespeichert ist, dauert es nicht lange, bis jemand Zugang zu deinen Bankkartendaten oder deiner Adresse hat. Anstatt die Websites zu durchwühlen und Detektiv zu spielen, ist es einfacher, anzunehmen, dass dein Passwort nicht gehasht oder gesalzt wurde.
Erstelle schwierige, zufällige Passwörter, die mindestens 6 Zeichen lang sind. Achte darauf, dass sie Groß- und Kleinbuchstaben, Sonderzeichen und ein Sternchen für größtmögliche Sicherheit enthalten.
Klicke hier, um jetzt generate a strong password. Aber bevor du das tust, solltest du bedenken, dass zufällige Passwörter unmöglich zu merken sind. Deshalb benötigst du einen guten Passwortmanager. Falls du das noch nicht getan hast, wirf einen Blick auf NordPass – einen Passwortmanager, der XChaCha20-Verschlüsselung in einem Zero-Knowledge-Verfahren verwendet, damit deine Passwörter kugelsicher sind und du sie trotzdem immer dabei hast.