Computersicherheit Bonner Universität hilft Online-Nutzern
Bonn · Ist das Passwort für meinen Computer schon einmal geknackt worden? Und das fürs Smartphone oder den E-Mail-Account? Wer unsicher ist, dem hilft ein neues Werkzeug, das Informatiker der Universität Bonn zur Verfügung stellen.
Wenn irgendwo kostbare Dinge drinstecken, braucht es ein gutes Schloss. In unseren Online-Accounts stecken persönliche Daten, private Auskünfte – und nicht selten auch unser Geld. Der Schlüssel dazu ist das jeweilige Passwort. Zum „Check your Password Day“ am Montag und dem „Safer Internet Day“ am 9. Februar präsentiert ein Informatik-Team der Uni Bonn mit seinem „Leak-Checker“ jetzt ein hilfreiches Werkzeug, um die Sicherheit von Passwörtern zu überprüfen – indem es herausfindet, ob Daten des Anfragenden bereits illegal in Umlauf sind.
Hinter dem Projekt stehen die drei Informatiker Timo Malderle, Pascua Theus und Professor Michael Meier. Ihr „Leak-Checker“ durchforstet große Mengen von Daten, die durch weltweite IT-Sicherheitsuntersuchungen bereits als „geleakt“ bekannt sind und zum Beispiel im Internet oder im Darknet kursieren. Die Hochschule legt dabei Wert auf die Feststellung, dass sie nur „öffentlich zugängliche Identitätsdaten-Leaks“ nutzt und „keine Leaks von Kriminellen kauft“.
Suche in den Datenmengen
In diesen komplexen Datenmengen sucht der „Leak-Checker“ danach, ob sich Daten des Anfragenden irgendwo verbergen – ein Hinweis, dass eins oder mehrere seiner Online-Konten geknackt wurden. Der Datenschutz ist gewährleistet: Wer eine Anfrage stellt, bekommt die Antwort nach Hause, nicht auf den Bildschirm (wo jeder jede Mail-Adresse abfragen könnte, auch eine, die ihm gar nicht gehört).
„Der Nutzer bekommt nicht nur einen Hinweis auf den Anbieter, bei dem er einen Account hat (zum Beispiel Twitter oder Myspace), sondern auch Bruchstücke des eigenen geleakten Passworts angezeigt“, erklärt Malderle. So könne der Nutzer sich erinnern, wie das Passwort in Gänze lautet, wo er es verwendet hat und dann gegebenenfalls direkt ändern, sollte es noch aktuell sein.
Beim Einlesen verschlüsselt
Bei dem Bonner Verfahren werden die Daten schon beim Einlesen pseudonymisiert und verschlüsselt. Alles läuft automatisch ab: „Persönlich bekommen wir nicht mit, welcher Nutzer eine Anfrage an den Leak-Checker stellt“, sagt Malderle. Etwa 25 Milliarden Datensätze konnten bislang mit der neuen Software analysiert werden.
Wie kann man sich vor dem Diebstahl persönlicher Daten im Internet schützen? Vor allem muss das E-Mail-Konto geschützt sein (denn wer da unbefugt rankommt, kommt über die „Passwort vergessen“-Funktion der Online-Anbieter auch ganz schnell an die Passwörter). Malderle empfiehlt, dass ein sicheres Passwort aus mindestens zwölf, besser 16 Zeichen bestehen solle. Passwörter nie aufschreiben – schon gar nicht im Computer oder Handy. Außerdem gilt: Nie für verschiedene Accounts dasselbe Passwort verwenden. Das ist wie mit einem Generalschlüssel: Wenn ein Dieb den klaut, steht ihm das ganze Haus offen.
https://leakchecker.uni-bonn.de/
