Gute Passwörter sind essentiell wenn man online unterwegs ist. Es hilft aber auch das beste Passwort nicht wenn Seitenbetreiber damit falsch umgehen.
Welche Fehler können passieren:
Zu geringe Komplexität
Manche Seitenbetreiber reduzieren künstlich die Komplexität von Passwörtern. Bei Mitfahrzentrale.de darf das Passwort nicht länger als 10 Zeichen sein und keine Sonderzeichen enthalten.
An sich ist das schon ein Problem weil die Passwörter viel zu leicht geknackt werden können. Ein fähiger Admin würde so etwas auch nicht implementieren. Von Webseiten die die Komplexität von Passwörtern derart einschränken sollte man tunlichst die Finger lassen. Ist man gezwungen sich anzumelden dann nimmt man ein Passwort das im schlimmsten Fall geknackt werden kann und nicht auf anderen Seiten verwendet wird.
Passwort nicht verschlüsselt gespeichert
Auf Servern sollte ein Passwort nicht im Klartext liegen, damit sowohl die Admins als auch Angreifer das Passwort nicht abgreifen können. Um dennoch eine Authentifizierung der Nutzer zu gewährleisten greift man auf Hashes zurück. Diese lassen sich nicht zurückrechnen, sind aber angreifbar durch Rainbow Tables. Diesem Angriffsmuster kann man mit gesalzenen Hashes entgegenwirken. Aufgrund der Tatsache, dass immer wieder Zugangsdaten erbeutet werden sind diese Sicherheitsmaßnahmen unerlässlich. Die Medienmeldungen zu dem Thema sind oft falsch. Meistens werden nur die Hashes erbeutet und nicht die Passwörter.
Wie erkenne ich als Nutzer, das mein Passwort nicht verschlüsselt gespeichert wurde?
Das ist tatsächlich nicht so einfach. Es gibt aber ein paar Indizien:
- Passwort wird im Klartext per Mail verschickt (was sowieso keine gute Idee ist)
- Bei „Passwort vergessen“ bekomme ich mein altes Passwort im Klartext per Mail
Beim letzterem Punkt kann man sicher davon ausgehen, dass das Passwort unverschlüsselt gespeichert wurde. Bei ersterem nicht, es kann per Mail verschickt werden und dann verschlüsselt abgespeichert werden. Passwörter im Klartext per Mail zu verschicken ist aber immer eine dumme Idee: Auf der einen Seite verschlüsseln Webseitenbetreiber den Login mit SSL, auf der anderen Seite werden Passwörter im Klartext (und unverschlüsselt) über die Leitung geschickt. Auch in dem Fall gilt: Konto löschen oder ein Passwort verwenden, dass keinen Zugriff auf andere Konten bietet.
Tipp
Wer sich jetzt überfordert fühlt weil Passwörter so komplex sein müssen und man am besten auch noch verschiedene Passwörter verwenden soll dem sei zu KeePass geraten.
Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.
If you accept this notice, your choice will be saved and the page will refresh.
Weiterführende Informationen:
http://www.secorvo.de/publikationen/passwortsicherheit-fox-schaefer-2009.pdf