Passwörter

in #deutsch6 years ago

Nelson “Big Head” Bighetti aus der Serie Silicon Valley:

Big Head: “My username is password and my password is password”
Richard: “Your username is password?”
Big Head: “It was just easier”


Die Sicherung unserer digitalen Assets ist zweifellos von Bedeutung, viele Systeme nutzen gegenwärtig bereits Multifaktor Authentifizierung, zumindest der Berechtigungsnachweis Passwort ist jedoch obligatorisch.
Dass Passwörter wie “123456” oder “password” dem Sicherheitsbedürfnis nicht gerecht werden, sollte sich bereits herumgesprochen haben, dennoch gibt es in diesem Bereich noch viel zu vermitteln, wie in jedem anderen Bereich führt auch hier Verständnis zu besserer bzw. richtiger Handhabung, daher möchte ich mich in diesem Artikel des Themas annehmen.

Wie werden Passwörter eigentlich gestohlen?

  • Erraten: Der Hacker informiert sich über die Zielperson und beginnt zu raten: Name der Katze, Geburtsdaten, Telefonnummer, Namen von Angehörigen, …

Gegenmaßnahme: Persönliche Daten bei der Passwortauswahl vermeiden

  • Wörterbücher: Der Hacker iteriert durch ein Wörterbuch und versucht alle Wörter, es existieren natürlich auch spezielle Wörterbücher, die aus belieben Passwörtern bestehen und somit auch diverse alphanumerische Kombinationen enthalten

Gegenmaßnahme: Einzelne Wörter vermeiden

  • Brute-Force Angriff: Es werden ganz einfach alle Möglichkeiten versucht, diese Methode ist entsprechend zeitintensiv führt allerdings irgendwann zum Ziel

Gegenmaßnahme: Langes, komplexes Passwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen

  • Phishing: Die Zielperson wird durch eine Manipulation dazu gebracht, das Passwort “freiwillig” preiszugeben. Auf Steemit versuchen Bots beispielsweise, Benutzer zum Betätigen eines bösartigen Links zu bewegen, dieser Link führt zu einer gefakten Seite, die den Benutzer zum Eingeben seines Owner Passwortes verleiten soll ...

Gegenmaßnahme: Gesunder Menschenverstand, es gibt keinen Grund einen privaten Schlüssel weiterzugeben

  • “Blick über die Schulter”: Das Ziel wird beim Eingeben des Passwortes beobachtet (Blick über die Schulter, Fernglas, Kamera)

Gegenmaßnahme: Darauf achten, nicht beobachtet zu werden: Tastenfeld beim Bankomaten mit zweiter Hand abdecken, virtuelle Tastatur verwenden um Keylogger auszuschalten, ...

Passwort kreieren

Die folgenden Tipps sind als meine persönlichen Minimalanforderungen zu verstehen, wenn ich eine Mindestlänge von 10 Zeichen beschreibe, darf diese Definition nicht als Alibi verwendet werden, ein längeres Passwort wäre besser, viele Sicherheitsexperten empfehlen wesentlich längere Passwörter.

  • Ein Passwort sollte zumindest aus 10 alphanumerischen Zeichen bestehen, ein längeres Passwort wäre natürlich besser
  • Sonderzeichen sollten verwendet werden, dabei ist natürlich zu beachten, ob dies überhaupt möglich ist, ist leider nicht überall möglich, Substitutionen durch Sonderzeichen erhöhen die Sicherheit und sind relativ einfach zu merken, beispielsweiße $ statt S
  • Ein Satz kann des Merken des Passwortes erheblich vereinfachen, “Ich gehe Samstags für gewöhnlich um 23 Uhr zu Bett!” wird zu “Ig$fgu23UzB”
  • Das Passwort sollte regelmäßig geändert werden, zumindest alle 6 Monate, bei heiklen Assets zumindest alle 30 Tage, je öfter desto besser: Gestohlene Passwörter werden oft gesammelt und in Paketen weiterverkauft, diese Vorgänge können einige Zeit in Anspruch nehmen, wird das Passwort in dieser Zeitspanne gewechselt, so wird das gestohlene Passwort wertlos
  • Für jedes Konto sollte ein eigenes Passwort verwendet werden, somit ist im Ernstfall “nur” ein Konto betroffen
  • Bereits verwendete Passwörter sollten nicht wiederverwendet werden
  • Tritt bei einem Konto eine “Merkwürdigkeit” auf, sollte das Passwort sofort geändert werden
  • Passwortmanager können die Sicherheit erheblich aufwerten
  • Multifaktor Authentifizierung aktivieren (wenn möglich)

Wichtige Handhabungshinweise

  • Niemals ein Passwort an Dritte weitergeben, niemals, es gibt keinen Grund
  • Passwörter nur an eigenen Geräten verwenden (niemals im Internet Cafe)
  • Das Gerät selbst muss sicher sein (ansonsten kann das beste Passwort wertlos sein)
  • Vor der Eingabe muss explizit geprüft werden, ob es sich um die richtige Webseite handelt (HTTPS Verbindung, Identitätsprüfung anhand des Zertifikats)

Kein Passwort ist vertrauenswürdig, jedes kann geknackt werden, es ist lediglich eine Frage von Zeit und Aufwand

Sort:  

Ach ja, wie war das noch gleich? 123456 ist eines der meist genutzten schlechten Passwörtern.

Neben der HTTPS Verbindung und der Identitätsprüfung wäre es auch sinnvoll zu überprüfen, ob überhaupt die Domain stimmt.

Ob das eigene Gerät sicher ist, ist natürlich schwer zu beurteilen, da man ja nicht weiss, ob man einen Keylogger hat. Die Dinger sind ja so programmiert, dass sie nicht auffallen. Virenscanner und co. sind da wichtige Hilfsmittel. Aber leider erkennen die auch nicht alles.

Danke für die Ergänzungen, das Prüfen der Domain ist in der Tat enorm wichtig!

Gerätesicherheit wären einige weitere Artikel ...

Congratulations @realtom! You have received a personal award!

1 Year on Steemit
Click on the badge to view your Board of Honor.

Do you like SteemitBoard's project? Then Vote for its witness and get one more award!

Congratulations @realtom! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :

You made more than 1750 upvotes. Your next target is to reach 2000 upvotes.

Click here to view your Board of Honor
If you no longer want to receive notifications, reply to this comment with the word STOP

Do not miss the last post from @steemitboard:

SteemFest³ - SteemitBoard Contest Teaser
The new Steemfest³ Award is ready!

Support SteemitBoard's project! Vote for its witness and get one more award!

Congratulations @realtom! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :

You got more than 200 replies. Your next target is to reach 300 replies.

Click here to view your Board of Honor
If you no longer want to receive notifications, reply to this comment with the word STOP

Do not miss the last post from @steemitboard:

SteemFest3 and SteemitBoard - Meet the Steemians Contest

Support SteemitBoard's project! Vote for its witness and get one more award!


Congratulations @realtom!
You raised your level and are now a Minnow!

Do not miss the last post from @steemitboard:

Saint Nicholas challenge for good boys and girls

Support SteemitBoard's project! Vote for its witness and get one more award!