blog >

Passwörter

Passwörter, Sicherheit und der Standard

von Jakob Reissig 29. August 2012, 08:00 Uhr

Passwörter sollten allgemein Sicher sein. Das ist allen klar, aber was heißt Sicher?

Sicherheit wird bei den meisten Seiten damit verbunden, Passwörter mit besonderen Sonderzeichen zu versehen, oder eine Länge zwischen 10 bis 20 Zeichen zu haben. Merken kann man sich solche Kombinationen jedoch sehr schwer, berechnen kann sie ein Computer jedoch relativ einfach. Ein sicher jedem bekanntes Verfahren ist das “Sture Probieren” aka. Brute Force

Warum bin ich auf dieses Thema gekommen?
Am 13. Februar 2012 schrieb ich an den Support des Web-Standard (http://www.derstandard.at) folgendes:
###############################################################

Sehr geehrtes Standart-info-Team,

Ich hoffe das die Passwörter in Ihrem System nicht unverschlüsselt abgelegt wurde und möche Sie darauf hinweisen das, falls dem so ist, Sie dies bitte allen aktiven und künftigen Mitgliedern mitteilen sollten.

Mfg Jakob Reissig

###############################################################

Kurz darauf bekam ich auch eine Antwort:

###############################################################

Sehr geehrter Herr Reissig,

vielen Dank für Ihre Nachricht!

Wir sind uns bewusst, dass wir betreffend Passwort-Sicherheit Aufholbedarf haben und sind gerade dabei u.a. genau diesen Teil unseres Systems neu zu schreiben, sodass nach der Umstellung, die einige Sicherheits- aber auch Komfortverbesserungen bringen wird, auch diese Lücke geschlossen ist.

In der Zwischenzeit halten wir es für besser diesen Umstand nicht an die große Glocke zu hängen, um nicht gewisse Leute zu Missbrauch zu motivieren. Bitte um Verständnis!

Mit freundlichen Grüßen

Ihr Team von derStandard.at

###############################################################

Bis Heute hat sich jedoch nichts geändert, dh. klickt man auf Passwort vergessen erhält man sein Passwort per Mail. Sicherlich könnte es theoretisch mit einem entschlüsselbaren Algorithmus abgelegt sein und Entschlüsslt werden beim versenden, aber das ergibt kaum einen Sinn, da jeder Angreifer auch entschlüsseln kann.

Man sollte meinen es ist nicht kompliziert so etwas zu ändern, für alle die wissen wollen wie:

###############################################################

Sicherheitshalber wird der Login und die Registrierung deaktiviert

Man verschlüsselt alle Passwörter in der Datenbank mit einem sicheren Verfahren (SHA); das benötigt einen einfachen, einzeiligen SQL-Befehl

In der Datenbank ein neues Element einfügen um vergessene Passwörter überschreiben zu können und die neue Seite zum überschreiben online stellen.

Man ändere die Funktion an der Stelle der Regierung so ab, dass das Passwort nun verschlüsselt abgespeichert wird

Falls nötig wird die Überprüfung des Passworts angepasst

Reaktivierung des Logins und der Registrierung

###############################################################

Diesen Beitrag hier sehe ich nicht als Aufforderung das System zu Missbrauchen, da man so oder so den Zugriff zu dem Benutzer-zugehörigen Mailaccount benötigt.

 

Wo sehe ich Persönlich ein Problem?

Sollte sich jemand Zugriff auf die Datenbank verschaffen, so erhält er alle gespeicherten Daten (Mailadresse, Passwort, Nutzername…). Viele Menschen tendieren dazu Passwörter mehrmals zu verwenden, und da ist die Vermutung nicht weit weg, das auch das dort verwendete Passwort im Mailaccount gleich ist!

 

Was kann ich somit allen Lesern die bis hier gekommen sind mitgeben?

Erstellt einfache Passwörter, nicht zwanghaft sinnlose, lange unmerkbare oder Personenbezogene, sondern einfach Merkbare. Ein Beispiel: Foren Seite der Uni => passwort: UniForumSeitenPasswortvonMir, Verbessern kann man alles mit Leetspeak: L->1; E->3; T->7; usw.

 

Falls man mit Passwörtern arbeitet: Hash erstellen, nicht Passwort speichern und immer wieder googeln ob der verwendete Algorithmus noch Sicher ist!

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *