Accountsicherheit

Verschlüsselte Verbindung

Wenn ihr eingeloggt seid (also wahrscheinlich immer, wenn ihr euch auf der Seite bewegt), werden eure Authentifizierungsdaten bei jedem einzelnen Seitenzugriff übers Internet übetragen. Prinzipiell kann das jeder mitlesen. Als Gegenmaßnahme könnt (und solltet) ihr verschlüsselt mit dem Server kommunizieren. Hierzu müsst ihr nur anstatt http:// einfach https:// als Protokoll in der Adresszeile des Browsers angeben.

Passwortsicherheit

Passwörter verschlüsselt zu übertragen (siehe erster Punkt) ist sehr gut, bringt aber nichts, wenn man sie einfach erraten kann. Selbst normale Computer können heutzutage ganze Wörterbücher innerhalb kürzester Zeit als Passwörter einfach durchprobieren. Dies wird vielfach auch völlig automatisch gemacht.
Ein gutes Passwort steht deshalb nicht in einem Wörterbuch. Es sollte also kein existierendes Wort sein. Ganz schlecht sind so Sachen wie "Passwort", der eigene Name, der Name der Freundin oder des Haustieres und ähnliche Geschichten - das sind die Sachen, die Angreifer als erstes ausprobieren.
Gut sind dagegen möglichst zufällig zusammengestellte Zeichenkombinationen. Hierbei solltet ihr euch auch nicht einzig und allein auf Kleinbuchstaben beschränken. Ein gesunder Mix aus Klein- und Großbuchstaben sowie Zahlen und auch ruhig Sonderzeichen bringt deutlich mehr.
Darüber hinaus sollte ein Passwort eine gewisse Länge haben. Es ist vielleicht einsehbar, dass man ein Passwort, das nur aus drei Zeichen besteht, relativ schnell durch Ausprobieren erraten kann. Acht Zeichen sollten es minimal schon sein. Jedes weitere bringt größere Sicherheit.
Ein kleiner Tipp, wie man sich relativ sichere Passwörter trotzdem gut merken kann: Denkt euch irgendeinen Merksatz aus und benutzt jeweils die Anfangsbuchstaben. Beispiel: "Mein Vater erklärt mir jeden Sonntag unsere 9 Planeten." Passwort: "MVemjSu9P." Offensichtlich solltet ihr genau das natürlich jetzt nicht nehmen. ;)

Accountzugang

Offensichtlich sollte sein, dass ihr eure Passwörter niemals an andere Personen herausgeben dürft. Auch nicht "nur für einmal". Braucht irgendjemand aus welchen Gründen auch immer zwischendurch mal zusätzliche Rechte oder "schnell mal einen Zugang", ist es immer möglich, dem Account dieser Person temporär eben diese Rechte einzuräumen. Keinesfalls solltet ihr jemals irgendjemand anderen euren Account bedienen lassen!
Das betrifft auch Computer, die von mehreren Personen genutzt werden. Benutzt ihr beispielsweise einen Computer gemeinsam mit Familienmitgliedern und loggt ihr euch mittels des gleichen Benutzeraccounts bei eurem Betriebssystem ein (das gilt auch für Windowsbenutzer, die sich "gar nicht" einloggen beim Computerstart - das ist umso schlimmer), haben diese anderen Leute Zugriff auf euren Account hier, wenn ihr eure Logindaten per Cookie gespeichert habt ("merken" beim Login).

Ein paar andere Sachen, die man bedenken sollte...

...es gilt in der IT-Security das Prinzip des schwächsten Glieds in der Kette. Die tollste Verschlüsselung der Serverkommunikation und das längste, komplizierteste Passwort hier hilft nichts, wenn euer E-Mailaccount per "123" abzurufen ist. Warum? Ein Angreifer fordert einfach für euren hiesigen Account ein neues Passwort an, öffnet euren E-Mailaccount und liest das neue Passwort bequem ab.
Auch sehr beliebt: Session-Hijacking. Wenn ihr irgendwo Seiten verlinkt, streicht bitte vorher die Session-ID aus der URL. Die Session-ID ist der Teil &s=57v8034vnh34pv63p34i. Sie erscheint nur in der URL, wenn ihr Cookies deaktiviert habt. Wenn das der Fall ist, und ihr trotzdem verlinken wollt: Einfach die URL aus der Adresszeile des Browsers kopieren und diesen Teil abschneiden. Der Link geht auch ohne die und euer Account ist wieder ein Stück sicherer.
Das sollen nur Beispiele sein. Es gibt jede Menge möglicher "indirekter" Angriffe in diesem Stil.
Letztendlich bestätigt sich jedoch immer wieder: Die meisten erfolgreichen Angriffe auf IT-Anlagen sind nicht technischer Natur (wie das meiste hier beschriebene), sondern gehen auf "social engineering" zurück. Also Leute, die einen überzeugen, dass man ihnen sein Passwort geben muss. Oder Leute, die einen solange vollschwatzen, bis man ihnen weitere Rechte gibt, die sie dann ausnutzen. Usw. usf.
Diese Seite wurde bislang 2313-mal angesehen.
Zuletzt bearbeitet: 29.03.2014 11:49:02