Phishing:Google warnt Nutzer bei Passwort-Klau

Lesezeit: 2 Min.

Sieht aus wie das Login für einen Google-Dienst, ist es aber nicht: Authentisch wirkendes Phishing hat eine Erfolgsquote von 45 Prozent. (Foto: Screenshot)
  • Google hat eine Erweiterung für den Chrome-Browser vorgestellt. Wer sie aktiviert, wird vor Passwort-Diebstahl gewarnt.
  • 45 Prozent der authentisch wirkenden Phishing-Angriffe sind erfolgreich.
  • Ein Passwort für mehrere Dienste ist zwar bequem, aber leichtsinnig.
  • Es gibt verschiedene Möglichkeiten, ein sicheres Passwort zu wählen.

Von Hakan Tanriverdi

Alarm bei Phishing

Google hat eine Browser-Erweiterung vorgestellt, mit der es möglich sein soll, Phishing-Versuche zu erkennen. Bei Phishing handelt es sich um eine E-Mail, die einem Internet-Nutzer sein Passwort entlocken soll. Oft werden dabei Seiten nachgebaut, die optisch sehr ähnlich aussehen wie das Original.

Nutzer, die das nicht erkennen und ihr Passwort eingeben, werden in Zukunft gewarnt. Sofern sie den Dienst Password-Alert (Passwort-Alarm) aktivieren, den Google nun in einem Blogpost vorgestellt hat.

So funktioniert der neue Dienst

Password Alert funktioniert nur im Chrome-Browser, der zu Google gehört. Sobald man die Erweiterung aktiviert, wird nach den Daten gefragt, mit denen sich ein Nutzer bei Google einloggt. Dieses Passwort wird lokal gespeichert, in verschlüsselter Form. Die Erweiterung funktioniert also nur auf diesem Rechner (für weitere Rechner muss die Erweiterung separat aktiviert werden). Gibt der Nutzer dasselbe Passwort auf einer Seite ein, die nicht zu Google gehört, zum Beispiel bei google-accounts.com, erkennt die Erweiterung das - und warnt den Nutzer, dass er auf einer Phishing-Seite gelandet ist.

Der Dienst funktioniert nur für Google-Dienste. Das heißt, falls ein Nutzer für mehrere Dienste ein einziges Passwort benutzt, erscheint die Phishing-Warnung. Nutzer können sich dann entscheiden, diese Warnung zu ignorieren.

Das ist die Gefahr, die von Phishing ausgeht

Google hat Ende vergangenen Jahres eine Studie zum Thema Phishing herausgegeben. Demnach haben besonders authentische wirkende E-Mails eine Erfolgsquote von 45 Prozent. Drew Hinz, zuständig für Sicherheit bei Google, sagte dem Wired-Magazin, dass die Alarm-Funktion mehrere Jahre intern benutzt worden sei. Phishing sei "eine Schwachstelle, die man nicht beheben könne". Anders gesagt: Menschen lassen sich leicht austricksen.

Neue Phishing-Welle
:Bloß nicht öffnen

Mahnende Post von der Deutschen Telekom, von einer Sparkasse oder von Paypal? Mitnichten. Kriminelle verschicken derzeit unzählige mit Viren verseuchte E-Mails. Was die Empfänger tun und lassen sollten.

Von Berrit Gräber

So sieht ein sicheres Passwort aus

Es ist zwar komfortabel, nur ein Passwort zu haben, es ist aber auch leichtsinnig. Hat ein Krimineller Ihr Amazon-Passwort, das auch Ihr Apple-, Facebook- und Google-Passwort ist, kann er auf alle Dienste auf einmal zugreifen. Sichere, leicht zu merkende und für jeden Dienst unterschiedliche Passwörter generieren zu können, ist aber gar nicht so schwer. Niemand kann sich zehn komplett unterschiedliche Passwörter für zehn Dienste merken. Daher ist der erste Trick: Die Passwörter sollten nach einem System aufgebaut sein. Es empfehlen sich grundsätzlich zwei Herangehensweisen:

Erstens: Sie bilden lange Sätze, die einen persönlichen Bezug zu Ihnen haben. Ein Beispiel: "Ich esse zwar Fleisch, finde das aber verwerflich." Das ist einfach zu merken. Im Gegensatz zu den meistgenutzten Passwörtern - 123456 und password - ist dieses hier mit 50 Zeichen (wenn man die Interpunktion beibehält) besonders lang. Dadurch erhöht sich die Rechenkapazität immens, die dafür notwendig ist, Passwörter zu knacken. Das wäre ein Passwort. Damit Sie es auf unterschiedlichen Seiten verwenden können, müssen Sie an einer Stelle ein unterschiedliches Element einfügen, zum Beispiel: "Ich esse zwar Fleisch, finde das aber verwerflich.FA" Der Satz ist unverändert, nach dem letzten Komma steht nun allerdings ein FA. Das sind die ersten zwei Buchstaben für Facebook. Für GMX wäre das Ende entsprechend GM.

Bitte verwenden Sie nicht diesen Satz, den Sie gerade gelesen haben. Da er nun im Internet steht, ist er nicht mehr sicher.

Viele Webseiten lassen Passwörter dieser Länge nicht zu. Daher empfiehlt sich eine zweite Variante. Wie sie funktioniert, lesen Sie in diesem Artikel.

Zusätzliche Sicherheit

Grundsätzlich empfiehlt es sich, eine sogenannte Zwei-Faktor-Authentifizierung einzusetzen. Dienste wie Google, Twitter und Facebook bieten diese Funktion an. Wird das Passwort eingegeben, schickt Google automatisch eine SMS mit temporärem Zugangscode. Selbst wenn das Passwort also in fremde Hände gerät, bleibt der Account sicher. Über die Funktion " Last Account activity" können Nutzer außerdem einsehen, von welchen Orten aus auf einen Dienst zugegriffen wurde. Sind Sie in München, aber die Seite zeigt an, dass ein Laptop aus Berlin Zugriff hatte, ist Ihr Passwort wohl in mehreren Händen.

© Süddeutsche.de/hatr - Rechte am Artikel können Sie hier erwerben.
Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: