So, vielleicht haben einige es mitbekommen: Diese Woche gab es einen recht spektakulären Einbruch bei phpbb.de und woltlab.de
http://www.heise.de/newsticker/meldung/102993
Der Grund waren nicht Schwachstellen, sondern schlichtwegs der Mensch - übrigens der meiste Grund für jegliche News-Meldungen ;) Aus diesem Grund möcht ich aber euch ein wenig sensibilisieren, wie man mit Passwörtern im Internet umgehen sollte.
Nehmen wir ein Beispiel an: Mich nervt Bertls MySpace Seite und ich möcht ihm einen Streich spielen (alles hypothetisch). Jetzt hat der Bertl - vergesslich wie er ist (auch hypothetisch) - natürlich für alle Webseiten immer dasselbe Passwort genommen. Ich als böser Foren-Admin (auch hypthetisch) hab aber ja sein Passwort in der Datenbank. Zwar verschlüsselt, aber das ist schnell dekodiert. Also, hab ich alles was ich brauche: Die MySpace Adresse (seine Signatur), sein Usernamen und sein Passwort. Und schon kann ich mit Bertls MySpace Seite machen, was ich will.
Was ich damit sagen will: Wenn ihr im Internet irgendwo ein Passwort angeben müsst, so habt ihr keine Garantie, dass der Betreiber der jeweiligen Seite nicht damit Schindluder treibt. Es ist zwar heute üblich, dass die meisten Systeme die Passwörter in der Datenbank verschlüsseln (wie wir), aber
a) hat der Seiten-Betreiber ja alle Zeit der Welt die zu knacken und
b) kann er diese Verschlüsselung ja auch abschalten oder ganz ausbauen und kriegt das Passwort frei Haus.
Und es gibt da draussen viele Admins, die recht wenig Skrupel haben, eure Daten zu ihren Gunsten zu verwenden.
Nun ist man aber ja heutzutage in mehreren dutzend Seiten irgendwie mit Passwort angemeldet. Was kann man also tun?
1. Gedächtnis
a) Man hat ein Wahnsinns-Gedächtnis und macht für jede Seite ein eigenes Passwort (unpraktisch).
2. Passwort Safe
Man holt sich einen Passwort-Safe z.b. KeePass Password Safe wo man jedes eigene Passwort drin speichert (blöd, wenn man mehrere Rechner hat oder unterwegs ist)
3. Schadenbegrenzung
Man wählt sich irgendwelche 10 Passwörter aus (das kann man sich knapp merken) und teilt halt nach belieben diese zu. Damit beschränkt man den "Schaden", falls mal jemand an eines der 10 Passwörter kommt. Natürlich sollten sensible Accounts ein eigenständiges haben.
4. Passwort-System
Man macht sich ein Passwort-System, dass garantiert, dass man bei jeder Seite ein eigenes Passwort hat, aber trotzdem leicht zu merken ist.
Ein Beispiel: Nehmen wir mal ein Grundpasswort "beatles74" an. Jetzt könnte man einfach für jede entsprechende Seite die ersten 2 Buchstaben und die letzten 2 Buchstaben der Domain an dieses Passwort dranhängen. Sprich würd das so aussehen:
parkrocker.net --> beatles74paet
ringrocker.com --> beatles74riom
myspace.com --> beatles74myom
etc.
Schlussendlich: Es zwingt euch niemand dazu, das anzuwenden. Aber ich empfehl euch eine der obigen Varianten wirklich anzuwenden und ja nicht überall dasselbe Passwort zu verwenden. Ausser ihr seid mal scharf drauf von mir den Sprich "ich habs dir ja gesagt" zu hören
http://www.heise.de/newsticker/meldung/102993
Der Grund waren nicht Schwachstellen, sondern schlichtwegs der Mensch - übrigens der meiste Grund für jegliche News-Meldungen ;) Aus diesem Grund möcht ich aber euch ein wenig sensibilisieren, wie man mit Passwörtern im Internet umgehen sollte.
Nehmen wir ein Beispiel an: Mich nervt Bertls MySpace Seite und ich möcht ihm einen Streich spielen (alles hypothetisch). Jetzt hat der Bertl - vergesslich wie er ist (auch hypothetisch) - natürlich für alle Webseiten immer dasselbe Passwort genommen. Ich als böser Foren-Admin (auch hypthetisch) hab aber ja sein Passwort in der Datenbank. Zwar verschlüsselt, aber das ist schnell dekodiert. Also, hab ich alles was ich brauche: Die MySpace Adresse (seine Signatur), sein Usernamen und sein Passwort. Und schon kann ich mit Bertls MySpace Seite machen, was ich will.
Was ich damit sagen will: Wenn ihr im Internet irgendwo ein Passwort angeben müsst, so habt ihr keine Garantie, dass der Betreiber der jeweiligen Seite nicht damit Schindluder treibt. Es ist zwar heute üblich, dass die meisten Systeme die Passwörter in der Datenbank verschlüsseln (wie wir), aber
a) hat der Seiten-Betreiber ja alle Zeit der Welt die zu knacken und
b) kann er diese Verschlüsselung ja auch abschalten oder ganz ausbauen und kriegt das Passwort frei Haus.
Und es gibt da draussen viele Admins, die recht wenig Skrupel haben, eure Daten zu ihren Gunsten zu verwenden.
Nun ist man aber ja heutzutage in mehreren dutzend Seiten irgendwie mit Passwort angemeldet. Was kann man also tun?
1. Gedächtnis
a) Man hat ein Wahnsinns-Gedächtnis und macht für jede Seite ein eigenes Passwort (unpraktisch).
2. Passwort Safe
Man holt sich einen Passwort-Safe z.b. KeePass Password Safe wo man jedes eigene Passwort drin speichert (blöd, wenn man mehrere Rechner hat oder unterwegs ist)
3. Schadenbegrenzung
Man wählt sich irgendwelche 10 Passwörter aus (das kann man sich knapp merken) und teilt halt nach belieben diese zu. Damit beschränkt man den "Schaden", falls mal jemand an eines der 10 Passwörter kommt. Natürlich sollten sensible Accounts ein eigenständiges haben.
4. Passwort-System
Man macht sich ein Passwort-System, dass garantiert, dass man bei jeder Seite ein eigenes Passwort hat, aber trotzdem leicht zu merken ist.
Ein Beispiel: Nehmen wir mal ein Grundpasswort "beatles74" an. Jetzt könnte man einfach für jede entsprechende Seite die ersten 2 Buchstaben und die letzten 2 Buchstaben der Domain an dieses Passwort dranhängen. Sprich würd das so aussehen:
parkrocker.net --> beatles74paet
ringrocker.com --> beatles74riom
myspace.com --> beatles74myom
etc.
Schlussendlich: Es zwingt euch niemand dazu, das anzuwenden. Aber ich empfehl euch eine der obigen Varianten wirklich anzuwenden und ja nicht überall dasselbe Passwort zu verwenden. Ausser ihr seid mal scharf drauf von mir den Sprich "ich habs dir ja gesagt" zu hören
Zuletzt bearbeitet: