Schlagwort-Archive: Username

Sicherheit von Passwörtern (auf Anbieterseite)

In diesem Artikel soll es nicht um die Sicherheit von Passwörtern im Sinne ihres eigentlichen Wertes gehen. Sondern vielmehr über die Sicherheit von Passwörtern durch den Umgang mit ihnen durch Onlineportale.

Ich persönlich nutze aktiv mehrere Passwörter die sich in ihrer Sicherheitsstufe und dementsprechend ihrem syntaktischen Aufbau unterscheiden. Notwendig ist das für mich unter anderem deshalb, weil Onlinedienste teilweise drastisch nachlässig bezüglich Security sind.

Warum? Hackerangriffe mit Diebstahl von Userdaten mit teilweise unverschlüsselt gespeicherten Passwörtern sind hierbei nur das offensichtlichste Problem. Hat jemand z.B. im Webshop X meine Anmeldedaten geklaut, möchte ich nicht, dass er sich anschließend mit denselben Daten auch noch in mein E-Mailpostfach einloggen kann.

Daher liste ich jetzt einfach mal ein paar Indikatoren auf, die darauf hinweisen, dass das Passwort bei dem entsprechenden Anbieter vielleicht nicht besonders gut aufgehoben ist.

Sicherheit 0: Passwort wird unverschlüsselt auf dem Server gespeichert. Meistens bekommt man davon leider nichts mit. Allerdings handeln manche Anbieter wenigstens konsequent blöd und senden einem nach der Registrierung auch noch eine Bestätigungsemail mit dem Passwort im Klartext zu. Finger weg von solchen Portalen oder individualisierte Passwörter jeweils nur für ein derartiges Angebot verwenden!

Fahrlässiger kann Umgang mit Passwörtern fast nicht sein.

Fahrlässiger kann Umgang mit Passwörtern fast nicht sein.

Sicherheit 1: Bei der Registrierung müssen „Sicherheitsfragen“ beantwortet werden, damit im Notfall das Passwort zurückgesetzt werden kann. Nur leider wissen einige Personen, wie mein Haustier heißt oder was meine erste Wohnadresse war. Angreifer aus dem persönlichen Umfeld haben es hier leicht.

Andere Fragen ermöglichen es aber selbst unbekannten dritten den Account zu hacken: die Farbe meines ersten Autos beschränkt sich auf eine Handvoll Möglichkeiten und die Wahrscheinlichkeit das der Mädchennamen meiner Mutter Müller oder Maier ist, ist hoch.

Sicherheit 2: Beim Anmeldevorgang werden Benutzername und Passwort einzeln geprüft. Wenn ein Angreifer einen Account hacken möchte und die Meldung „Falsches Passwort“ erhält, weiß er zumindest schonmal, dass der Username korrekt ist. Die Wahrscheinlichkeit einer Accountübernahme ist nun erheblich höher, da nun „nur noch“ das Passwort herausgefunden werden muss.

Total bescheuert (sorry) vorne mit dabei ist hier Facebook, die dann zusätzlich sogar meinen echten Namen und mein Profilbild anzeigen. Geniales Feature (ich weiß nur nicht für was).

Nett: potentielle Hacker sehen gleich mein Profilbild und Klarnamen.

Nett: potentielle Hacker sehen gleich mein Profilbild und Klarnamen.

Sicherheit 3: Hier kann selbst ich einigermaßen Vertrauen dem Betreiber entgegenbringen: nach einem fehlerhaften Versuch erhält man lediglich die Meldung „Falsche Anmeldedaten“. Der Angreifer weiß nun nicht, ob der Account überhaupt existiert.

Google macht es mal wieder vor, wie es richtig wäre.

Google macht es mal wieder vor, wie es richtig wäre.

Wie man sieht, nützt selbst das beste Passwort nichts, wenn die Gegenseite grob fahrlässig damit umgeht. Bisher bin ich mit meinem System ganz gut gefahren. Zweimal wurden Accountdaten von mir geklaut (wordpress.com und Adobe) – und zweimal hatte ich keinen Stress dabei, da ich diese Passwörter nicht bzw. nur sehr begrenzt wiederverwendet hatte.