Sicherer Umgang mit sicheren Passwörtern

Navigation

zurück zur Übersicht
vorheriger Beitrag
nächster Beitrag

Über diesen Beitrag

Der Beitrag wurde am Dienstag, dem 5. Februar 2008 um 12:42 Uhr veröffentlicht und wurde unter Ich war ein Posting, Wirres Zeug abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.

Tags dieses Beitrags

, , , , ,

Beiträge ähnlichen Themas

Social Bookmarking

  • Technorati
  • Digg
  • del.icio.us
  • MisterWong
  • Facebook
  • Reddit
  • Spurl
  • BlinkList
  • blogmarks
  • BlogMemes
  • Fark
  • Furl
  • Ma.gnolia
  • Simpy
  • Smarking
  • blinkbits
  • Slashdot
  • StumbleUpon
  • YahooMyWeb
  • MyShare
  • Google
  • Live
  • Sphinn
  • TwitThis
  • Wikio
  • description
  • eKudos
  • feedmelinks
  • Gwar
  • Haohao
  • Internetmedia
  • NewsVine
  • Taggly
  • Wists
  • Yigg
  • Faves
  • Meneame
  • MySpace
  • Yahoo! Buzz

Wie heise berichtet hat jemand, oder eine Gruppe, es geschafft, mehrere große Boards zu infiltrieren, und die Daten auszulesen. Betroffen sind laut heise-Meldung bisher die deutschen Support-Foren von phpBB und Woltlab. Die Daten werden auf einem „Hackerboard“ zum verkauf angeboten.

Dies will ich mal zum Anlass nehmen, einen kleinen Artikel darüber zu verfassen, wie man („du“, im Sinne von „du, der Administrator“, als generische Person verstanden) in seinem Forum, Board, Blog, etc. für etwas mehr Sicherheit sorgen kann.

Lege einen administrativen Account an (dies ist oft der erste Account, der bei der Installation angelegt wird), und benutze diesen auch tatsächlich nur zur Administration. Wenn du aktiv am Boardgeschehen teilnehmen willst – und das willst du als Betreiber ja oft *g* – dann lege dir einen User-Account an, wie alle anderen User auch.

Wie bei Betriebssystemen ist es auch bei Foren- Blog- CM- und sonstigen System unnötig und unnötig gefährlich, dauerhaft mit dem administrativen Account unterwegs zu sein. Wenn es dir ein Bedürfnis ist, statte deinen „Alltagsaccount“ mit Moderatoren-Rechten aus, um einfache Administrative aufgaben auszuführen.

Wenn schon nicht für deinen Alltagsaccount, dann wähle zumindest für deinen Administrativen Account ein Passwort, dass nicht zu erraten ist, und auch auf keinem „errechenbaren Schema“ basiert (später mehr). Lasse zum Beispiel deine Katze auf der Tastatur rumlaufen, oder lasse einen Tennisball drauf fallen (auf die Tastatur, nicht auf die Katze *g*) um ein Passwort zu generieren. Wiederhole das so lange, bis die maximal zulässige Länge des Passwortes für das System erreicht ist.

Um dir dieses Passwort zu „merken“, benutze den vom Betriebssystem angebotenen Passwort-Safe, eine versteckte Datei in deinem home-Verzeichnis oder die Passwortspeicherfunktion deines Browsers (inklusive Masterpasswort). Wenn du jetzt niemanden an dein Account des Computers lässt, ist dein Passwort recht sicher, und wenn doch mal ein Eindringling da ist, wirst du eh ganz andere Sorgen als dein Forenpasswort haben …

Besser ist natürlich, du lernst dein Passwort auswendig, oder benutzt ein Merksystem (allerdings nicht für den Administrativen Account). Das System solltest du dann aber für dich behalten. Nimm einen Satz, den du dir leicht merken kannst, dein Lieblingszitat eignet sich jedoch schlecht, wenn du es oft anbringst.

Nehmen wir mal „‚Lorem Ipsum …‘ eignet sich als Blindtext schlecht, weil bei der Beurteilung des Schriftbildes auch bekannte Wörter entscheidend sind.“. Abgesehen davon, dass das stimmt, kann man sich das auch leichter merken als das, was wir daraus machen werden. Zuerst entfernst du aus diesem Satz alles, außer der Satzzeichen und dem ersten und letzten Buchstaben eines Wortes.

'LmIm ...'etshasBtst,wlbidrBgdsSsahbeWredsd.

Und ja, vor „…“ ist ein Leerzeichen, weil “ …“ ein eigenständiges Satzzeichen ist (Auslassungspunkte). Um das Ganze jetzt noch zu verschärfen, wendest du folgenden Ersetzungsschlüssel an: „e=3, t=7, a=4″

'LmIm ...'37sh4sB7s7,wlbidrBgdsSs4hb3Wr3dsd.

Fertig ist ein Passwort, das leicht zu merken (schließlich brauchst du nur den Satz und den Ersetzungsschlüssel), und sehr sicher ist, sowie Groß- und Kleinbuchstaben, und Sonderzeichen sowie Zahlen enthält. Und nach dem zehnten, zwanzigsten Mal manuell generieren kannst du es auch komplett auswendig.

Eben so wichtig, wenn du ein Blog, Forum, etc. betreibst, ist, dass du dein Passwort auf gar keinen Fall an IRGEND-jemanden weiter gibst. Sei es dein bester Kumpel, der in den Ferien, wenn du am Strand liegst, aufpassen soll, deine Freundin, die dir beim Bugfixing helfen soll, oder sonst irgendjemand. Du lässt ja auch niemanden mit deinem Account am Computer arbeiten (hoffe ich!).

Jedes bessere System bietet die Möglichkeit, weitere Benutzer anzulegen und mit administrativen Rechten auszustatten. Die Rechte musst du dabei so wählen, dass der „Zweitadmin“ nicht alle Administrativen rechte hat, sonst könnte er ohne weiteres die Datenbank auslesen und die Daten verkaufen, oder sonstwas damit anstellen, zum Beispiel dein Passwort ändern und mit deinem Account die User beleidigen, um mal einen der Harmloseren Fälle zu nennen.

Kurz: Vertraue niemandem, egal, wie viel du im vertraust.

Externe Links in diesem Beitrag

  1. http://www.heise.de/s...om/blog.schlunzen.org
  2. http://de.wikipedia.o...iki/Auslassungspunkte
  3. http://www.heise.de/newsticker/meldung/102993

Einen Kommentar hinterlassen

XHTML: Du kannst die folgenden Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="">

Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: