Nicht nur die Menschen müssen ihre Passwörter ändern...
Geschrieben von am Noch keine Kommentare
...sondern auch die Anbieter Ihre Methoden.
Soeben sah ich bei Planetopia einen Beitrag zum "Passwortklau im Internet". Sehr seicht aufbereitet, aber es sollen ja auch möglichst viele Zuschauer verstehen, das ist schon ok. Es ist nur schade, dass nicht darauf eingegangen wurde, dass nicht nur die Internetnutzer ihre Passwörter mit Bedacht wählen und häufig ändern sollen (und natürlich auf jeder Seite ein anderes nach dem Schema "§"weHf.FeLvbc3rl12W!2v"&dg§2qs2dAcK"). Und das dann bitte für die weiteren 16 Webseiten, auf denen ich Accounts habe - Bullshit!
Ich plädiere für folgende Lösung, mit der sich so ziemlich jeder abfinden kann: man braucht im gesamten Internetverkehr 2 Passwörter (sorry, weniger sind echt dämlich). Eins für Communitywebseiten, bei denen man sich in der Sicherheit unklar ist (Foren, Datingseiten, Videoseiten, sonstiges Web 2.0), da es dort schonmal vorkommen kann, dass findige Cracker die Userdatenbank erhalten können. Andererseits noch ein besonders für Webseiten wie eBay, ClickAndBuy, PayPal, Amazon und alle anderen Seiten, auf denen man Geld oder Teile seiner Identität verlieren bzw. preisgeben kann und bei denen man einigermaßen hoffen kann, dass sie die Daten sicher sind (verlassen kann man sich da natürlich nicht drauf, aber ich rede von einer Minimallösung, nicht von der sichersten!).
Für die Webseiten, auf denen man richtig was einbüßen kann, sollte es dann auch kein Passwort wie "123456" sein, sondern man sollte kreativ sein, und es sich trotzdem merken können. Wenn man sonst "123456" verwendet, wie wärs dann mit "Eins23Vier5Sechs"? Das steht garantiert in keinem Wörterbuch und hat auch noch eine hervorragende Länge von 16 Zeichen (damals empfahl man 8, heute empfiehlt man 12, wer auf Nummer sicher gehen will, nimmt ab 16 ). OK, es fehlen Sonderzeichen, aber die kann man ja einbauen, z.B. macht man daraus "Eins2§Vier%Sechs" - man ersetzt manche Zahlen durch ihre Shift-Tasten-Entsprechung.
So, genug über sichere Passwörter geredet. Nun noch zu den Anbietern der Webseiten, denn die sehe ich ebenfalls in der Pflicht. Wenn man bei ClickAndBuy z.B. sein Passwort unendlich oft probieren kann ist es klar, dass Wörterbuchattacken wunderbar funktionieren. Man beschränkt das ganze auf 5 Versuche pro IP? Toll, dann verwendet der Angreifer Proxys (Umleitungen über andere Rechner, mit deren IP) oder, wenn er eine dynamische IP hat, trennt er seine Verbindung und verbindet erneut und hat dann eine andere (er wird das kaum von zu Hause aus machen, aber trotzdem besteht die Möglichkeit).
Die intelligenteste Lösung ist derzeit, finde ich, nur eine bestimmte Anzahl fehlgeschlagener Logins pro Stunde/Tag zuzulassen. Drei Versuche sind in meinen Augen zu wenig - auch ich brauche manchmal Zeit, mich an das richtige Passwort zu erinnern. Fünf sind optimal. Es ist so einfach, eine Beschränkung auf 5 fehlgeschlagene Logins an einem Tag einzubauen. Das macht wortlistenbasierte Attacken nicht nur zum Geduldsspiel, sondern unmöglich (insofern das gesuchte Passwort nicht irgendwo ganz vorn in einer solchen Liste steht, z.B. "123456"). Dann brauchen die User nur noch geklaute Datenbanken zu befürchten, und das hoffentlich nicht bei Amazon und Co.
Ach ja: das alles setzt natürlich voraus, dass man sich nicht durch Phishingmails aufs Glatteis führen lässt und keine Keylogger/Trojaner/andere Malware Daten auf dem PC ausspioniert. Dann nützt aber auch das sicherste Passwort nichts. Das ist ein anderes Blatt.
Soeben sah ich bei Planetopia einen Beitrag zum "Passwortklau im Internet". Sehr seicht aufbereitet, aber es sollen ja auch möglichst viele Zuschauer verstehen, das ist schon ok. Es ist nur schade, dass nicht darauf eingegangen wurde, dass nicht nur die Internetnutzer ihre Passwörter mit Bedacht wählen und häufig ändern sollen (und natürlich auf jeder Seite ein anderes nach dem Schema "§"weHf.FeLvbc3rl12W!2v"&dg§2qs2dAcK"). Und das dann bitte für die weiteren 16 Webseiten, auf denen ich Accounts habe - Bullshit!
Ich plädiere für folgende Lösung, mit der sich so ziemlich jeder abfinden kann: man braucht im gesamten Internetverkehr 2 Passwörter (sorry, weniger sind echt dämlich). Eins für Communitywebseiten, bei denen man sich in der Sicherheit unklar ist (Foren, Datingseiten, Videoseiten, sonstiges Web 2.0), da es dort schonmal vorkommen kann, dass findige Cracker die Userdatenbank erhalten können. Andererseits noch ein besonders für Webseiten wie eBay, ClickAndBuy, PayPal, Amazon und alle anderen Seiten, auf denen man Geld oder Teile seiner Identität verlieren bzw. preisgeben kann und bei denen man einigermaßen hoffen kann, dass sie die Daten sicher sind (verlassen kann man sich da natürlich nicht drauf, aber ich rede von einer Minimallösung, nicht von der sichersten!).
Für die Webseiten, auf denen man richtig was einbüßen kann, sollte es dann auch kein Passwort wie "123456" sein, sondern man sollte kreativ sein, und es sich trotzdem merken können. Wenn man sonst "123456" verwendet, wie wärs dann mit "Eins23Vier5Sechs"? Das steht garantiert in keinem Wörterbuch und hat auch noch eine hervorragende Länge von 16 Zeichen (damals empfahl man 8, heute empfiehlt man 12, wer auf Nummer sicher gehen will, nimmt ab 16 ). OK, es fehlen Sonderzeichen, aber die kann man ja einbauen, z.B. macht man daraus "Eins2§Vier%Sechs" - man ersetzt manche Zahlen durch ihre Shift-Tasten-Entsprechung.
So, genug über sichere Passwörter geredet. Nun noch zu den Anbietern der Webseiten, denn die sehe ich ebenfalls in der Pflicht. Wenn man bei ClickAndBuy z.B. sein Passwort unendlich oft probieren kann ist es klar, dass Wörterbuchattacken wunderbar funktionieren. Man beschränkt das ganze auf 5 Versuche pro IP? Toll, dann verwendet der Angreifer Proxys (Umleitungen über andere Rechner, mit deren IP) oder, wenn er eine dynamische IP hat, trennt er seine Verbindung und verbindet erneut und hat dann eine andere (er wird das kaum von zu Hause aus machen, aber trotzdem besteht die Möglichkeit).
Die intelligenteste Lösung ist derzeit, finde ich, nur eine bestimmte Anzahl fehlgeschlagener Logins pro Stunde/Tag zuzulassen. Drei Versuche sind in meinen Augen zu wenig - auch ich brauche manchmal Zeit, mich an das richtige Passwort zu erinnern. Fünf sind optimal. Es ist so einfach, eine Beschränkung auf 5 fehlgeschlagene Logins an einem Tag einzubauen. Das macht wortlistenbasierte Attacken nicht nur zum Geduldsspiel, sondern unmöglich (insofern das gesuchte Passwort nicht irgendwo ganz vorn in einer solchen Liste steht, z.B. "123456"). Dann brauchen die User nur noch geklaute Datenbanken zu befürchten, und das hoffentlich nicht bei Amazon und Co.
Ach ja: das alles setzt natürlich voraus, dass man sich nicht durch Phishingmails aufs Glatteis führen lässt und keine Keylogger/Trojaner/andere Malware Daten auf dem PC ausspioniert. Dann nützt aber auch das sicherste Passwort nichts. Das ist ein anderes Blatt.
Noch keine Kommentare