WP Care –

I care for your WordPress!

Es gibt zahlre­iche Plu­g­ins, die helfen sollen, Word­Press sicher­er zu machen, und die auch vielfach einge­set­zt wer­den. Auf der anderen Seite wer­den aber oft die grundle­gend­sten Regeln zur Absicherung eines Word­Press-Blogs nicht beachtet. Dazu gehört ohne Frage auch die Wahl von sicheren Pass­wörtern. Stattdessen find­en sich auch bei Blogs, die son­st bis auf die Zähne bewaffnet sind, um Angreifer abzuwehren, Admin-Pass­wörter, die jed­er Beschrei­bung spot­ten. Ich möchte daher in diesem Beitrag dar­legen, wie Sie ein sicheres Pass­wort für Ihren Word­Press-Account find­en. Diese Ratschläge soll­ten Sie aber nicht nur bei selb­st gehosteten Word­Press-Blogs ernst nehmen, son­dern auch bei Blogs, die auf wordpress.com liegen, und bei allen anderen Pass­wörtern, die Sie im Netz ver­wen­den!

Was macht nun ein sicheres Pass­wort aus? Dafür gibt es einige Grun­dregeln, die man unbe­d­ingt beacht­en sollte.

  • Je kürz­er ein Pass­wort ist, umso schneller und leichter ist es durch sim­ples Rat­en, das man auch automa­tisieren kann, zu knack­en. Das Pass­wort sollte daher min­destens 8, bess­er 10 Zeichen lang sein. Ein län­geres Pass­wort ist dabei unter Umstän­den einem kom­plex­eren Pass­wort vorzuziehen!
  • Neben dem Rat­en von Pass­wörtern sind soge­nan­nte Wörter­buchat­tack­en ein häu­fig genutzter Ansatz, um ein Pass­wort her­auszufind­en. Ein Angreifer pro­biert dabei automa­tisiert Wörter aus Wörter­büch­ern als Pass­wort aus. Das Pass­wort darf daher kein Wort sein, das man in irgen­deinem Wörter­buch find­et.
  • Das Pass­wort darf aus densel­ben Grün­den kein Name sein.
  • Angreifer ver­suchen oft, an per­sön­liche Infor­ma­tio­nen des Account-Inhab­ers her­anzukom­men, um so auf ein Pass­wort schließen zu kön­nen. Das Pass­wort darf aus diesem Grund nicht aus dem sozialen Umfeld des Account-Inhab­ers erschließbar sein. Somit darf es auch kein Geburts­da­tum oder ähn­lich­es sein.
  • Das Pass­wort sollte aus ein­er Mis­chung aus Groß- und Klein­buch­staben sowie Zahlen und Son­derze­ichen zusam­menge­set­zt sein. Auch hier­bei gilt jedoch, dass Vere­in­fachun­gen wie Geburts­dat­en tabu sind! Aus diesen Erfordernisssen ergibt sich die let­zte zusam­men­fassende Regel:
  • Das Pass­wort muss für Außen­ste­hende zufäl­lig ausse­hen und darf für sie nicht errat­bar sein, muss aber für den Account-Inhab­er wiederum leicht zu merken oder wieder­herzustellen sein.

Ins­beson­dere der let­zte Punkt stellt bei der Erstel­lung eines sicheren Pass­worts ein Prob­lem dar. Denn ein Pass­wort wie R4)k71g§bN mag dur­chaus sich­er sein. Aber das kann sich kein Men­sch merken.

Wie erzeuge ich ein sicheres Passwort?

Wie kann man sich nun aber über­haupt ein hin­re­ichend sicheres Pass­wort gener­ieren, das man sich auch merken kann? Ich möchte in diesem Artikel eine prak­tis­che Meth­ode vorstellen, mit der jed­er auf ein­fache Art und Weise ein sicheres Pass­wort erzeu­gen kann. Dabei helfen soge­nan­nte Bil­dungsregeln. Will man ein Pass­wort erzeu­gen, über­legt man sich zunächst einen Satz, den man sich ruhig auf­schreiben darf, sowie eine Bil­dungsregel für das Pass­wort, das aus diesem Satz erzeugt wer­den soll. Nehmen wir an, der Satz, den wir uns aus­denken, heißt:

In den USA habe ich mir in der 4. Woche Schuhe von NIKE für 40 $ gekauft.

Aus diesem Satz wollen wir jet­zt ein Pass­wort bilden. Also brauchen wir eine Bil­dungsregel. Damit es jemand, der den Satz vielle­icht erfährt, nicht so ein­fach hat, das Pass­wort zu ermit­teln, leg­en wir fest, dass wir das Pass­wort aus dem zweit­en Zeichen des jew­eili­gen Wortes bilden wollen, wobei wir das $-Zeichen zusät­zlich ein­bauen. Wenn Sie eine Zufall­skom­po­nente ein­bauen wollen, kön­nen Sie die Num­mer des zu ver­wen­den­den Zeichens auch auswür­feln. Das Pass­wort würde dann fol­gen­der­maßen gebildet:

In den USA habe ich mir in der 4. Woche Schuhe von PIKI für 40 $ gekauft.

Die Zeichen, die nun das Pass­wort bilden sollen, sind hier fett markiert. Das Pass­wort sähe dann so aus:

neSacine.ocoIü0$e

Dieses Pass­wort erfüllt alle unsere Regeln: Es hat eine Länge von mehr als 10 Zeichen, enthält Klein- und Großbuch­staben, Zahlen und Son­derze­ichen gemis­cht, wirkt auf Außen­ste­hende zufäl­lig und ist somit für sie nicht zu erschließen, für uns aber aus unser­er Bil­dungsregel jed­erzeit wieder her­stell­bar.

Wie oben schon erwäh­nt, ist es in diesem Fall dur­chaus erlaubt, den Satz, aus dem das Pas­wort gebildet wird, aufzuschreiben, solange aus der Notiz nicht ersichtlich ist, dass es sich um einen Satz zur Bil­dung eines Pass­worts han­delt und Sie sich zudem die Bil­dungsregel merken. Wenn Sie es einem Angreifer noch schw­er­er machen wollen, kön­nen Sie sich natür­lich auch eine kom­plexere Bil­dungsregel aus­denken, beispiel­sweise indem Sie den ersten Buch­staben des ersten Wortes, den zweit­en Buch­staben des zweit­en Wortes usw. zur Erzeu­gung des Pass­worts wählen.

Last but not least ist bei der Gener­ierung des Pass­worts allerd­ings noch zu beacht­en, dass unter Umstän­den Son­derze­ichen ver­mieden wer­den soll­ten. Wenn Sie beispiel­sweise im Aus­land auf einen Account zugreifen müssen, kann es dur­chaus sein, dass Sie eine Tas­tatur zur Ver­fü­gung haben, die ein von Ihnen ver­wen­detes Son­derze­ichen, zu denen auch deutsche Umlaute zu zählen sind, nicht enthält. In diesem Fall soll­ten Sie bei der Erzeu­gung von Pass­wörtern auf Son­derze­ichen verzicht­en und eher ein etwas län­geres Pass­wort erzeu­gen.

Thomas Baek­dal schlägt in einem inter­es­san­ten Artikel eine ganz andere Meth­ode vor, näm­lich natür­lich­sprach­liche Sätze zur Bil­dung eines Pass­worts zu wählen. Denn im Gegen­satz zu einzel­nen Wörtern, die durch Wörter­buchat­tack­en in kürzester Zeit ermit­tel­bar sind, sind ganze Sätze, eventuell noch mit Satzze­ichen und Zahlen verse­hen, laut Baek­dal sehr sich­er und zudem extrem leicht zu merken. Baek­dal rät, min­destens drei Wörter und zudem ungewöhn­liche Wörter zu wählen, um Wörter­buchat­tack­en zu erschw­eren.

Zwar wird dieser Ansatz von anderen Autoren als unzulänglich kri­tisiert, weil die gener­ierten Pass­wörter nicht kom­plex und nicht zufäl­lig genug seien. Baek­dal zeigt jedoch, dass es bei entsprechend lan­gen Sätzen auch ohne zufäl­lige Zeichen sehr lange dauert, bis ein Pass­wort gek­nackt ist. Die größte Gefahr bei Baek­dals Meth­ode sehe ich in Social Engi­neer­ing. Es beste­ht die Möglichkeit, dass jemand durch geschick­tes Aus­fra­gen ein­er Per­son an die Pass­wort-Phrase kommt. Dem lässt sich meines Eracht­ens ent­ge­gen­wirken, indem man Sätze wählt, die nur schw­er errat­bar sind, und zwar vor allem auch dann, wenn man Sie ken­nt, die Sie sich selb­st aber leicht merken kön­nen. Dies ist zum Beispiel bei Sätzen der Fall, deren Bedeu­tung nur Sie ver­ste­hen. Haben Sie zum Beispiel einen Hund namens Bel­lo, so dürfte der Satz “Mein Hund heißt Bel­lo” keine gute Wahl sein, weil ein Angreifer, der davon weiß, diesen Satz aus­pro­bieren wird. Wenn aber nur Sie wis­sen, dass Bel­lo eine Spielzeug­puppe hat, die Lulu heißt, so ist der Satz “Bel­lo spielt mit Lulu” wesentlich sicher­er, weil er nicht errat­bar ist und “Lulu” zudem wahrschein­lich in keinem Stan­dard­wörter­buch vorkommt.

Unter Word­Press gibt es übri­gens Plu­g­ins, mit denen Sie Mit­be­nutzer Ihres Blogs dazu zwin­gen kön­nen, sichere Pass­wörter zu ver­wen­den. Ein Plu­g­in, das dies ermöglicht, ist das Plu­g­in Bet­ter WP Secu­ri­ty.

Weitere wichtige Hinweise

Das sich­er­ste Pass­wort ist natür­lich sinn­los, wenn andere leicht an das Pass­wort her­ankom­men. Beacht­en Sie daher zusät­zlich fol­gende Regeln im Umgang mit Pass­wörtern im Web:

  • Schreiben Sie das Pass­wort selb­st nicht auf, es sei denn, Sie kön­nen es ganz sich­er so ver­wahren, dass nie­mand anderes her­ankommt.
  • Spe­ich­ern Sie das Pass­wort nicht im Brows­er, es sei denn, Sie kön­nen es dort sich­er ver­schlüs­seln.
  • Geben Sie Ihr Pass­wort nur in ein For­mu­lar ein­er Web­seite ein, der Sie hun­dert­prozentig ver­trauen. Ins­beson­dere wenn Sie in ein­er Mail dazu aufge­fordert wer­den, ist Vor­sicht geboten. Klick­en Sie dann nicht auf einen evtl. angegebe­nen Link, son­dern geben Sie den Ihnen bekan­nten URL zu Ihrem Account von Hand ein und tip­pen Sie dann dort das Pass­wort ein.

Welche Meth­ode find­en Sie sicher­er? Ver­trauen Sie lieber auf zufäl­lig gener­ierte oder kom­plexere Pass­wörter nach der ersten erläuterten Meth­ode, die dafür aber schw­er­er zu merken sind, oder kön­nten Sie sich vorstellen, natür­lich­sprachige Sätze als Pass­wort zu ver­wen­den?

Bitte beachten Sie: Eine Angabe von Name und Mailadresse ist zum Kommentieren nicht erforderlich!

8 Antworten zu “Auch beim Bloggen nicht vergessen: Wählen Sie sichere Passwörter!”

  1. avatar Thomas Luzat sagt:

    Ab ein­er gewis­sen Anzahl von Pass­wörtern ist das Sys­tem unprak­tik­a­bel: Bei mir sind es ca. 400, aber selb­st bei weniger Pass­wörtern erliegen Nutzer zu schnell der Ver­suchung über­all das gle­iche Pass­wort zu benutzen oder zu ein­fache Pass­wörter zu wählen. Ich empfehle von daher ein Tool zur Pass­wortver­wal­tung wie KeeP­ass (Haupt­plat­tform Win­dows, es gibt allerd­ings Portierun­gen für alle möglichen Sys­teme inkl. mobil­er Geräte).

    Damit lassen sich ein­fach sichere Pass­wörter spe­ich­ern und es reicht sich wenige Pass­wörter zu merken. Auch die Funk­tion zum Spe­ich­ern der Pass­wörter im Brows­er würde ich ten­den­ziell empfehlen, ger­ade wenn man diese eben­falls mit einem Pass­wort sichert.

    Für Pass­wörter, die ich öfter von Hand eingeben muss, nehme ich gerne ganze unsin­nige Sätze (wie bspw. “Der rote BMW 123i ist grau-blau.”) statt nur Teile der­sel­bi­gen. Die Sicher­heit wird so erhöht und als 10-Fin­ger-Schreiber geht das häu­fig schneller als hier nur einzelne Buch­staben der Wörter kor­rekt zu tip­pen. Mit­tler­weile hat auch immer weniger Soft­ware ein Prob­lem mit lan­gen Pass­wörtern.

    KeeP­ass ist dabei eine kom­fort­able Open­Source-Lösung, wom­it ich auch andere Dateien sich­ern kann (bspw. X.509-Zertifikate, SSH- und GPG-Schlüs­sel), aber es gibt natür­lich auch Konkur­ren­zpro­duk­te.

    • avatar WP Care sagt:

      Klar, eine Pass­wortver­wal­tung ist für den Fall, dass man mit vie­len Pass­wörtern zu tun hat, unab­d­ing­bar. Wichtig ist dabei halt die sichere Ver­schlüs­selung des Mas­ter-Pass­wortes und dass das Sys­tem, auf dem die Soft­ware liegt, sauber gehal­ten wird. Aber ich kenne jet­zt nie­man­den außer dir, der mit 400 Pass­wörtern rumhantiert. 😉

      • avatar Thomas Luzat sagt:

        Empfehlen würde ich die auch bei weni­gen Pass­wörtern, ger­ade wenn die nur 1x eingegeben und dann gespe­ichert wer­den: Sup­port für vergessene Pass­wörter musste ich schon öfter leis­ten und son­st find­et man doch fast über­all das gle­iche Pass­wort, was teils noch schlim­mer als ein­fache Pass­wörter ist.

        Einige hun­dert kom­men schnell zusam­men. Lokal für mehrere Com­put­er, VMs, Daten­banken, Dien­ste, Zer­ti­fikate. Remote für Weben­twick­lung (jew­eils Daten­bank, Fron­tend, Back­end, ISP, FTP, teils SSH), viele Web­seit­en, Dien­ste (soziale Net­zw­erke, GitHub, …). Aber natür­lich ist das nicht der Nor­mal fall 😉

        • avatar Anonymous sagt:

          Hal­lo ich bin Sari cirik ich habe lei­der ein Prob­lem ich komme nicht mehr in mein E-Mail Account rein und mein Tele­fon­num­mer hat sich geän­dert wie kön­nte ich noch irgend­wie mein Kon­to Zugriff bekom­men kön­nte ich vielle­icht mein Pass­wort oder mein Dat­en zugeschickt bekom­men wäre das möglich dass ist mein neuen E-Mail Account xxx@xxx.xxx

          • avatar WP Care sagt:

            Ähm, das hier ist nicht der Sup­port von gmail, son­dern ein Blog über Word­Press. Bitte wende dich an den gmail-Sup­port. Deine Mailadresse habe ich mal aus Daten­schutz­grün­den anonymisiert.

  2. […] Admi­nis­tra­tor aus­pro­biert. Natür­lich ist der beste Schutz gegen sol­che Angriffe ein star­kes Pass­wort. Einen gewis­sen zusätz­li­chen Schutz bie­tet aber auch ein unge­wöhn­li­cher […]

  3. avatar danny danny sagt:

    Möchte das mein Kon­to wieder frei ist

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Zum Menue Zum Inhalt

Impressum

last modified: 04/14/2013 by WP Care