Heise berichtet in 2 Artikeln über den Klau von Passwörtern bei LinkedIn, eHarmony und Riot Games auf Grund mangelhafter Absicherung. User der beteiligten Systeme sollten möglichst schnell Ihre Passwörter ändern!
So, wie Heise schreibt: LinkedIn hat dabei besonders viel Sicherheit von den Usern abverlangt, wie z.B. lange Passwörter zu wählen, mit vielen Unterschieden und Sonderzeichen etc. und dann selbst die eigene Technik nicht auf den neuesten Stand gebracht, im Gegenteil, es wurden Algorithmen ohne Salt eingesetzt.
Ein Salt ist ein Schlüsselwort, daß bei der Verschlüsselung verwendet wird und ebenfalls bei der Entschlüsselung benötigt wird.Ohne Einsatz eines Salts beim Verschlüsseln, wird ein Salt auch nicht beim Entschlüsseln benötigt!
Ohne diesen Salt, hätten die Programmierer die Passwörter auch in Klartext speichern können!
Über eine andere gefährliche Entwicklung wird jedoch meist nie geschrieben:
Es ist Tatsache, daß die Internet-User zu immer mehr verschiedenen Passwörtern gezwungen werden, die sich dann keiner mehr merken kann. Daraus resultierend, werden die Anwender förmlich gezwungen Passwörter auf einem Papier zu notieren oder in einer Datei zu speichern!
Man mag es nicht glauben, es gibt sogar heute noch Programme und Anwendungen, bei denen der User nur eine maximal Anzahl von Zeichen verwenden darf! Aber auch Irrsinn ist, wie z.B. bei iTunes, daß einfach das alte Passwort blockiert und dann der User gezwungen wird, ein neues einzurichten, bei diesem neuen muß dann aber das erste Zeichen ein Großbuchstabe sein!
Also jeder normale Mensch, möchte seine Passwörter, die er oft benötigt, auch im Kopf behalten können. Wenn er klug ist, verwendet er ein System, über das sich die Paßwörter aus bestimmten Kombinationen ergeben. Wichtig ist nur, ein Passwort in einem Programm/Seite, darf nicht gleich sein, mit dem Passwort in einem anderen System!
Über irrsinnige Anforderungen bei der Passwort-Vergabe, wird jedes System des Anwenders gebrochen und der Anwender zum Notieren oder Speichern bewegt, was eben eigentlich nicht erwünscht ist!
Die Programmierer müssen auch mal die Realität sehen! Klar sollen die Passwörter für MySQL von Joomla aus (PHP-Programm) möglichst cryptisch sein, denn in der Regel erfolgt kein Fernzugriff auf MySQL, sondern MySQL wird nur von php – Programmen bedient und das Passwort in nur einer Config-Datei gespeichert. Da sich in einem solchen Fall der User nicht das Passwort merken braucht und eigentlich auch nicht notieren muß, kann es möglichst cryptisch sein!
Bei Mail-Passwörtern dagegen, cryptische Passwörter abzufordern, ist völliger Unsinn! Wie soll sich der User ein solches Passwort merken und an einem anderen Ort verwenden können?
Aus einer bestimmten Länge und Änderung von Zeichen, Zahlen, Groß und Kleinbuchstaben, sollte ein Index gebildet werden, der erreicht werden muß. Völliger Programmierer-Unsinn dagegen ist, an der erster Stelle einen Großbuchstabe abzuverlangen oder daß ein Passwort max. nur so und so lange sein darf (also weniger als 20 Zeichen)! Heute wird mit den Speicherplätzen so rumgeaast, daß es keine Rolle spielt, Kennwörter auch bis zu 255 Zeichen lang, zuzulassen!
Verwenden Sie nie für mehrere Webspaces z.B. das gleiche Password, auch nicht für Mail-Accounts. Erzeugen Sie Ihr eigenes System und bauen Sie sich eine Brücke. Nachfolgend ein paar Beispiele:
MeinHausistp1schwarz – p1 in der Mitte, für Postfach 1
MeinErstesTier – für Webspace 1
MeinZweitesTier – für Webspace 2
MeinAutofährt10 – für Webspace 10
IchLiebeDich5 – für FTP 5
Manchen Sie es komplizierter:
Ergänzen Sie Ihr System um eine Kontroll-Prüfung, z.B. immer mal 15
15MeinErstesTier
30MeinZweitesTier
Komplizieren Sie weiter, wie z.B. mal 7 / 3 möglich oder durch 2 möglich oder nur durch 1 und entscheiden Sie, wo ein Sonderzeichen eingesetzt werden soll:
Webspace 1: 1*7=7 ist durch 3 teilbar nein, ist durch 2 teilbar nein, also Sonderzeichen vor dem dritten Wort
MeinErstes;Tier
Webspace 2: 2*7=14 ist durch 3 teilbar nein, ist durch 2 teilbar ja, also Sonderzeichen vor dem zweiten Wort:
Mein;ZweitesTier
Also selbst wenn nun eine Person, in die Hände des ersten Passwortes gekommen ist, kann diese Person nicht ermitteln, wie das zweite Passwort aussehen müsste!
Nehmen Sie unsere Vorgaben nur als Ansatz und machen Sie es noch komplizierter, aber so, daß Sie jederzeit Ihr Password aus dem Gedächtnis heraus, errechnen können! Sie brauchen dann viele der Passwörter nicht mehr notieren oder speichern!
Wenn Sie notieren/speichern müssen, verwenden Sie Ihre Notiz als eine Maske:
Sparkasse Hamburg: 9..4 – Sie wissen an Hand der ersten und der letzten Ziffer, was gemeint ist. Der jenige, der Ihren Zettel oder die Datei ließt, sollte daraus nicht erkennen können, wie die mittleren Zahlen lauten, z.B. weil Sie Ihr eigenes Geburtsdatum verwendet haben, wie 9.1.14 !
PayPal-Konto: Urs…76…..9 – Sie können über diesen kleinen Hinweis, schnell daß Passwort herstellen, für einen Dritten soll es nicht erratbar sein, wie z.B. Ursula und Geburtstag von Ursula!
Der nächste wichtige Punkt ist:
Wurde ein Passwort für einen neuen Account erzeugt und Ihnen zu gesendet, kann dieses auf der gesamten Strecke des Mailversandes und später jederzeit in Ihrem Postfach ausgelesen, solange es nicht vollständig gelöscht wurde (ACHTUNG: und wirklich gelöscht, sind Daten oft erst nach vielen Tagen oder Wochen), denn technisch bedingt, sind Ihre Dateien, Mails noch in diversen Backups vorhanden!
Ändern Sie Ihr Password in dem neuen System und vergeben Sie nach Ihrem System, ein neues Password! Damit wird das Password, daß evtl. ein Dritter hätte auslesen können oder es bereits ausgelesen hat, ungültig!
Achten Sie darauf, daß Ihnen bei der Password-Eingabe, keiner zuschaut und wenn doch, ändern Sie Ihr Password danach!
Wenn Sie fremde Computer verwenden, können Sie nie sicher sein, ob hier irgendwas mitgeschrieben wird. Dies ist auch in einem Internetcafe möglich! Selbst bei https-Seiten, also verschlüsselten Seiten, können Ihre Eingaben, die Sie per Tastatur machen, mit geschrieben werden! Ändern Sie spätestens zu Hause wieder Ihre Passwörter, wenn Sie die Passwörter in einem unbekannten Internetcafe verwendet haben!
Ändern Sie regelmäßig und in gewissen Zeitabständen, Ihre Passwörter!
Bitte beteiligen Sie sich an diesem Artikel und senden Sie uns Ihre Kommentare!
Damit Sie über weitere Informationen zu diesem Artikel informiert werden, klicken Sie auf einen der nachfolgenden Links!