Passwortsicherheit im Internet

Gute Passwörter sind essentiell wenn man online unterwegs ist. Es hilft aber auch das beste Passwort nicht wenn Seitenbetreiber damit falsch umgehen.

Welche Fehler können passieren:

Zu geringe Komplexität

MitfahrgelegenheitManche Seitenbetreiber reduzieren künstlich die Komplexität von Passwörtern. Bei Mitfahrzentrale.de darf das Passwort nicht länger als 10 Zeichen sein und keine Sonderzeichen enthalten.

An sich ist das schon ein Problem weil die Passwörter viel zu leicht geknackt werden können. Ein fähiger Admin würde so etwas auch nicht implementieren. Von Webseiten die die Komplexität von Passwörtern derart einschränken sollte man tunlichst die Finger lassen. Ist man gezwungen sich anzumelden dann nimmt man ein Passwort das im schlimmsten Fall geknackt werden kann und nicht auf anderen Seiten verwendet wird.

Passwort nicht verschlüsselt gespeichert

Auf Servern sollte ein Passwort nicht im Klartext liegen, damit sowohl die Admins als auch Angreifer das Passwort nicht abgreifen können. Um dennoch eine Authentifizierung der Nutzer zu gewährleisten greift man auf Hashes zurück. Diese lassen sich nicht zurückrechnen, sind aber angreifbar durch Rainbow Tables. Diesem Angriffsmuster kann man mit gesalzenen Hashes entgegenwirken. Aufgrund der Tatsache, dass immer wieder Zugangsdaten erbeutet werden sind diese Sicherheitsmaßnahmen unerlässlich. Die Medienmeldungen zu dem Thema sind oft falsch. Meistens werden nur die Hashes erbeutet und nicht die Passwörter.

Wie erkenne ich als Nutzer, das mein Passwort nicht verschlüsselt gespeichert wurde?

Das ist tatsächlich nicht so einfach. Es gibt aber ein paar Indizien:

  • Passwort wird im Klartext per Mail verschickt (was sowieso keine gute Idee ist)
  • Bei „Passwort vergessen“ bekomme ich mein altes Passwort im Klartext per Mail

Beim letzterem Punkt kann man sicher davon ausgehen, dass das Passwort unverschlüsselt gespeichert wurde. Bei ersterem nicht, es kann per Mail verschickt werden und dann verschlüsselt abgespeichert werden. Passwörter im Klartext per Mail zu verschicken ist aber immer eine dumme Idee: Auf der einen Seite verschlüsseln Webseitenbetreiber den Login mit SSL, auf der anderen Seite werden Passwörter im Klartext (und unverschlüsselt) über die Leitung geschickt. Auch in dem Fall gilt: Konto löschen oder ein Passwort verwenden, dass keinen Zugriff auf andere Konten bietet.

 

Tipp

Wer sich jetzt überfordert fühlt weil Passwörter so komplex sein müssen und man am besten auch noch verschiedene Passwörter verwenden soll dem sei zu KeePass geraten.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

 

Weiterführende Informationen:

http://www.secorvo.de/publikationen/passwortsicherheit-fox-schaefer-2009.pdf

 

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Nach oben scrollen