Ja, ich weiß, sichere Passwörter sind ein leidiges Thema. Auch wenn man sonst vor kreativen Einfällen nur so übersprudelt: Wenn es um ein Passwort geht, dann fällt den meisten Leuten nichts ein. Und dann sollen diese Dinger auch noch sicher sein! Es hat sich ja schon herumgesprochen, dass sichere Passwörter kompliziert sind. Aber komplizierte Passwörter lassen sich so schlecht merken...

Auch Dich als UnternehmerIn trifft diese Anforderung immer wieder. Klar, Du bist ja auch Nutzer von Diensten im Internet, die so eine Anmeldung erfordern. Aber als Webseitenbetreiber kommt auch noch die andere Seite hinzu: Spätestens wenn Du ein Forum, ein Gästebuch oder einen Shop betreibst, musst Du auch die Sicherheit der Passwörter deiner Benutzer im Auge behalten!

Wozu überhaupt Passwörter?

Diese Frage ist ja recht einfach zu beantworten:

Grundsätzlich ist es so, dass über die Kombination Benutzername – Passwort die Identität festgelegt ist und festgestellt wird: Ich bin Romana und hier ist mein Passwort, das bestätigt, dass ich auch diese Romana bin.

Ein Passwort ist also wie ein Ausweis, der anzeigt: Ja, ich darf das. Ich bin die Person, die eine Berechtigung dazu hat.

Mit der Kombination aus Benutzername und Passwort wird die Berechtigung für die verschiedensten Dienste im Internet bestimmt. Das können so einfache Dinge sein wie das Linkportal LinkedIn, es können Gästebücher oder Foren auf den verschiedensten Webseiten sein – darunter fallen für mich auch die ganzen sozialen Netzwerke wir Facebook, YouTube, Twitter, StudiVZ und was es der Netzwerke mehr gibt. Aber es fallen eben auch Dienste an, bei denen es um mein Geld geht: Ebay, Amazon, Paypal, Zugänge zu Shops und schließlich das Online-Banking.

Aber was ist denn ein sicheres Passwort?

Ein sicheres Passwort ist eine Kennung, das man nicht so schnell durch Probieren herausfinden kann. Je komplizierter ein Passwort ist, desto sicherer ist es. Das heißt, es sollte Buchstaben in Groß- und Kleinschreibung beinhalten, dazu Ziffern und nach Möglichkeit auch Sonderzeichen. Sonderzeichen sind leider nicht überall erlaubt, weil die Technik für den Transport oder die Auswertung des Passwortes möglicherweise diese Sonderzeichen benötigt oder einfach zu alt ist. Dann sollte das Passwort nicht zu kurz sein. Jede Stelle mehr im Passwort verlängert die Zeit, die ein Angreifer benötigt, um alle Kombinationen auszuprobieren. Und es sollte kein Wort sein, das man in einem Wörterbuch finden kann.

Wer mehr zu diesem Thema wissen will: Ich habe bei Heise Security diesen interessanten Artikel gefunden: Passwort-Schutz für jeden.

Wer ist für die Sicherheit der Passwörter zuständig?

Für die Sicherheit meiner Passwörter bin natürlich ich selbst verantwortlich. Wenn ich meine Passwörter zum Beispiel im Büro offen herumliegen lasse oder als Klartext auf dem PC speichere, dann brauche ich mich nicht wundern, wenn mir meine Identität geklaut wird. Wenn ich mein Passwort per Mail (= elektronische Postkarte) versende, dann könnte zumindest jeder „Briefträger“ meine Identität verwenden. Das ist übrigens auch ein Grund, warum bei vielen Diensten, die das erste Passwort vorgeben, das Passwort anschließend gleich geändert werden muss.

Andererseits – hier kommst Du als Webseitenbetreiber ins Spiel – muss auch der Betreiber des Dienstes für die Sicherheit meines Passwortes sorgen. Du musst die Kombination aus Benutzername und Passwort ja irgendwo speichern, damit Du (genauer: deine Web-Software) bei der Anmeldung nachsehen kannst, ob die verwendete Kombination passt. Wenn die Passwörter aber in einfacher Verschlüsselung ohne weitere Verschleierung oder gar im Klartext in der Datenbank liegen, dann hat ein elektronischer Einbrecher leichtes Spiel.

Wenn die Zugangsdaten für einen Spiele-Server geklaut werden, ist das kein echter Beinbruch. Wenn das aber mit den Daten von Amazon, Ebay, Paypal oder gar den Banking-Daten geschieht, kann man ein echtes Problem bekommen!

Auch wenn deine Zugangsdaten für die Mailkonten abhanden kommen, wie ich das erst kürzlich bei jemandem aus meinem Bekanntenkreis mitbekommen habe, ist das unter Umständen fatal. Denn diejenigen, die diese Daten ausgespäht haben, können dann in deinem Namen Spam verschicken. Und die tun das dann auch recht exzessiv! Mit der Folge, dass dein Konto gesperrt wird und Du selbst keine Mails mehr versenden kannst.

Es ist auch höchst unerfreulich, wenn dein Zugang für ein Forum, Gästebuch oder das soziale Netzwerk abhanden kommt. Dann kann der unfreundliche Mensch so richtig schön alles Mögliche in deinem Namen posten: Die Bundeskanzlerin beschimpfen, deinen Chef einen unfähigen Vorgesetzten nennen, zu Internet-Poker einladen, auf Pornoseiten einladen, ...

Wie werden Passwörter geknackt?

Der Einfallsreichtum der Leute, die Zugangsdaten in ihren Besitz bringen wollen, ist immens. Ich habe gar nicht die kriminelle Energie, da erschöpfend Auskunft zu geben. Aber einige der wichtigsten Angriffsszenarien kann ich schon beschreiben.

Server werden gehackt

Hier wird ganz einfach versucht, auf den Server des Betreibers zu gelangen, in die Datenbank zu sehen und die interessanten Daten herunterzuladen. Ich als Nutzer des Dienstes bekomme davon in der Regel erst etwas mit, wenn der Einbruch gelungen ist und meine Daten futsch sind. Nämlich dann, wenn ich vom Betreiber des Dienstes die Nachricht bekomme, mein Passwort zu ändern.

Auch wenn Du als Betreiber einer Webseite, auf der Zugangsdaten verwendet werden, gar nicht die Ahnung hast, was technisch alles möglich ist, solltest Du doch deinem Webmaster oder deiner Webagentur ein paar Fragen zu dem Thema stellen und auf bestmögliche Absicherung pochen.

Rohe Rechengewalt: Brute-Force

Auch das bekommt man als Nutzer normalerweise nicht mit. Bei diesem Verfahren wird die normale Anmeldemaske mit roher Rechengewalt „bearbeitet“. Es werden tausende von Versuchen gestartet, die richtige Kombination aus Benutzername und Passwort herauszufinden. Und weil das ein kleines Progrämmchen ist, das nicht erst lange lesen und verstehen muss, welche Eingabe hier erwartet wird, dann nicht erst Tasten auf der Tastatur drücken muss, sondern mit Schablonen und Wörterbüchern arbeitet, können pro Sekunde Hunderte oder gar Tausende Versuche erfolgen.

Selbst wenn die Eingabedaten nicht aus einem Wörterbuch stammen sondern alle möglichen Kombinationen aus Buchstaben, Zahlen und Sonderzeichen durchlaufen werden: So was geht sehr schnell, wenn das ein Robot macht. Weil aber die Anzahl der Kombinationen mit jedem zusätzlichen Zeichen exponentiell wächst, machen lange Passwörter Sinn.

Als Webseitenbetreiber kannst Du nun zum einen deinen Benutzern vorschreiben, dass ein Passwort mindestens eine bestimmte Anzahl an Zeichen haben muss und dass bestimmte Zeichen vorkommen müssen. Zum Beispiel muss mindestens ein Kleinbuchstabe, ein Großbuchstabe, eine Zahl und ein Sonderzeichen enthalten sein.

Du (dein Webmaster) kannst aber auch auf der Anmeldeseite etwas tun: Lege einfach fest, dass pro Sekunde nur ein Anmeldeversuch gemacht werden darf. Damit wird ein Burte-Force-Angriff sehr, sehr ineffektiv. Denn nun werden Millionen von Möglichkeiten nicht mehr in ein paar Minuten durchgespielt, das dauert dann Millionen von Sekunden. Nicht mehr wirklich interessant für Robots.

Pishing

Das ist etwas, das direkt darauf abzielt, dem Benutzer die Zugangsdaten „abzuschwatzen“. Da wird über Mails, bei hoch sensiblen Sachen aber auch telefonisch, der Eindruck erweckt, der Möchtegern-Zugangsdaten-Inhaber habe ein berechtigtes Interesse, von Dir die Daten zu erhalten. Vor Mails von angeblichen Bankmitarbeitern, die nach den Zugangs- oder Kreditkarten-Daten fragen, wird in den Medien ja immer wieder gewarnt.

Malware auf deinem Rechner/Tablet/Smartphone

Und schließlich (aber nicht endlich) können deine Zugangsdaten auch durch ein kleines Programm, das irgend ein Virus oder Trojaner eingeschleust hat, deine Tastatureingaben mitgeschrieben werden. Solche Programme nennt man Keylogger. Die telefonieren ja so gerne nach Hause, soll heißen: die schicken deine Tastatureingaben über Internet an den üblen Gesellen, der deine Daten haben will.

Viele verschiedene Passwörter sind ein Muss!

Ist nun der schlimme Fall eingetreten, dass – auf welche Weise auch immer – die Zugangsdaten beispielsweise für Facebook in falsche Hände geraten sind, dann ist das für diesen einen Zugang vielleicht folgenreich, aber wenigstens dein Banking ist noch sicher, weil Du ja ein anderes Passwort verwendet hast.

Was? Hast Du nicht? Dann aber schnellstens ändern! Denn auch wenn das Banking vielleicht einen anderen Benutzernamen hat: Ein gefundenes Passwort ist Gold wert! Immerhin wissen ja auch die unfreundlichen Menschen, dass ein Passwort gerne mehrfach verwendet wird. Wenn Du dich dann möglicherweise auch noch in Facebook über deine Bank ausgelassen hast, braucht der Angreifer nicht einmal mehr alle Banken durchprobieren, bei denen Du ein Konto haben könntest.

Benutzernamen – auch nicht ohne!

Nun habe ich noch etwas, was nicht genau zum Thema sichere Passwörter passt, aber doch immerhin zu sicheren Zugangsdaten:

Die Absicherung eines Dienstes im Internet funktioniert immer über die Kombination Benutzername – Passwort. Das bedeutet aber auch, dass ein Angriff auch einen Benutzernamen braucht. Wenn der Benutzername aber ausgefallen ist und vielleicht auch in keinem Wörterbuch auftaucht, wird Angreifern wieder ein ganzes Stück Boden entzogen.

In gut besuchten Netzwerken kommen ungewöhnliche Benutzernamen schon alleine dadurch zustande, dass hier vielleicht 20 verschiedene Thomas einen Account haben wollen.

Ganz wichtig finde ich aber, dass für das System, mit dem Du deine Webseite betreibst, auch gerade für die Verwaltung mit einem ungewöhnlichen Benutzernamen absicherst. Üblicherweise gibt es einen Standardnamen für den Administrator, der vom System vorgegeben wird. Bei Windows ist das der Administrator, bei Linux root, bei Joomla ist das der admin. Wenn man diese vorgegebenen Namen weiter verwendet, macht man es den Angreifern umso leichter, Zugang zum System zu bekommen. Die vielen gekaperten Rechner, die weltweit vorhanden sind und für Angriffe missbraucht werden, ohne dass dessen Besitzer auch nur etwas ahnt, sprechen Bände.

Für den Administrationszugang zur Webseite ist das noch mal gefährlicher, denn dort kommt man ja an die ganz sensiblen Benutzerdaten heran – viele davon im Klartext! Klar, der Administrator muss ja die meisten Daten lesen können.

Nicht nur den PC sichern

Manchmal sitzt man nicht vor seinem gut abgesicherten heimischen PC, wenn man etwas an seiner Webseite ändert. Oder seine Banksachen erledigt. Von unterwegs lassen sich diese Dienste mittlerweile auch locker über Smartphone oder Tablet bedienen. Doch – oh Graus – hier ist die Sicherheitslage noch ziemlich besch...eiden.

Manch ein User mag denken: Wenn ich das Ding nicht normal mit Tastatur bediene (bedienen kann), dann sind solche Dinge wie Virenscanner oder Firewall auch nicht unbedingt nötig. Aber gerade das haben die Kriminellen schon lange erkannt. Dann kommt hinzu, dass diese Teile vom Handling her nicht unbedingt wie ein PC funktionieren, also Neuland für den Benutzer sind. Es hat ja immerhin auch Jahrzehnte gedauert, bis es Allgemeingut wurde, eine Sicherheitssoftware auf seinem PC zu haben. Doch so lange freut sich jeder Datendieb.

Newsletter-Anmeldung

Hinweis: Ihre eingegebenen Daten werden von mir nur für die Registrierung zum und den Versand des Newsletters verwendet. Diese Daten werden von mir verarbeitet und gespeichert. Weitere Informationen erhalten Sie in meiner Datenschutzerklärung.

Ihre Mailingliste:

BwPostman
Infos rund um Joomla!-Erweiterungen von Boldt Webservice, insbesondere BwPostman. Der Newsletter wird nur versendet, wenn es etwas neues gibt.

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

() Pflichtfelder

Information

×

Freiwilliges Honorar

Wenn Sie Boldt Webservice gut finden, freue ich mich über ihre Unterstützung:
  • Empfehlen Sie Boldt Webservice weiter
  • oder lassen Sie mir ein freiwilliges Honorar zukommen, wenn Ihnen die Tipps auf dieser Seite oder die Erweiterungen für Joomla eine Hilfe waren. Die Abwicklung erfolgt über Paypal.

Sie unterstützen mit ihrem freiwilligen Honorar auch die Neu- und Weiterentwicklung freier Software und Erweiterungen für das CMS Joomla.

Geben Sie einfach unten den Betrag ein, den Sie mir zukommen lassen möchten und klicken auf den Button freiwilliges Honorar: