WP Care –

I care for your WordPress!

Es gibt zahlreiche Plugins, die helfen sollen, WordPress sicherer zu machen, und die auch vielfach eingesetzt werden. Auf der anderen Seite werden aber oft die grundlegendsten Regeln zur Absicherung eines WordPress-Blogs nicht beachtet. Dazu gehört ohne Frage auch die Wahl von sicheren Passwörtern. Stattdessen finden sich auch bei Blogs, die sonst bis auf die Zähne bewaffnet sind, um Angreifer abzuwehren, Admin-Passwörter, die jeder Beschreibung spotten. Ich möchte daher in diesem Beitrag darlegen, wie Sie ein sicheres Passwort für Ihren WordPress-Account finden. Diese Ratschläge sollten Sie aber nicht nur bei selbst gehosteten WordPress-Blogs ernst nehmen, sondern auch bei Blogs, die auf wordpress.com liegen, und bei allen anderen Passwörtern, die Sie im Netz verwenden!

Was macht nun ein sicheres Passwort aus? Dafür gibt es einige Grundregeln, die man unbedingt beachten sollte.

  • Je kürzer ein Passwort ist, umso schneller und leichter ist es durch simples Raten, das man auch automatisieren kann, zu knacken. Das Passwort sollte daher mindestens 8, besser 10 Zeichen lang sein. Ein längeres Passwort ist dabei unter Umständen einem komplexeren Passwort vorzuziehen!
  • Neben dem Raten von Passwörtern sind sogenannte Wörterbuchattacken ein häufig genutzter Ansatz, um ein Passwort herauszufinden. Ein Angreifer probiert dabei automatisiert Wörter aus Wörterbüchern als Passwort aus. Das Passwort darf daher kein Wort sein, das man in irgendeinem Wörterbuch findet.
  • Das Passwort darf aus denselben Gründen kein Name sein.
  • Angreifer versuchen oft, an persönliche Informationen des Account-Inhabers heranzukommen, um so auf ein Passwort schließen zu können. Das Passwort darf aus diesem Grund nicht aus dem sozialen Umfeld des Account-Inhabers erschließbar sein. Somit darf es auch kein Geburtsdatum oder ähnliches sein.
  • Das Passwort sollte aus einer Mischung aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen zusammengesetzt sein. Auch hierbei gilt jedoch, dass Vereinfachungen wie Geburtsdaten tabu sind! Aus diesen Erfordernisssen ergibt sich die letzte zusammenfassende Regel:
  • Das Passwort muss für Außenstehende zufällig aussehen und darf für sie nicht erratbar sein, muss aber für den Account-Inhaber wiederum leicht zu merken oder wiederherzustellen sein.

Insbesondere der letzte Punkt stellt bei der Erstellung eines sicheren Passworts ein Problem dar. Denn ein Passwort wie R4)k71g§bN mag durchaus sicher sein. Aber das kann sich kein Mensch merken.

Wie erzeuge ich ein sicheres Passwort?

Wie kann man sich nun aber überhaupt ein hinreichend sicheres Passwort generieren, das man sich auch merken kann? Ich möchte in diesem Artikel eine praktische Methode vorstellen, mit der jeder auf einfache Art und Weise ein sicheres Passwort erzeugen kann. Dabei helfen sogenannte Bildungsregeln. Will man ein Passwort erzeugen, überlegt man sich zunächst einen Satz, den man sich ruhig aufschreiben darf, sowie eine Bildungsregel für das Passwort, das aus diesem Satz erzeugt werden soll. Nehmen wir an, der Satz, den wir uns ausdenken, heißt:

In den USA habe ich mir in der 4. Woche Schuhe von NIKE für 40 $ gekauft.

Aus diesem Satz wollen wir jetzt ein Passwort bilden. Also brauchen wir eine Bildungsregel. Damit es jemand, der den Satz vielleicht erfährt, nicht so einfach hat, das Passwort zu ermitteln, legen wir fest, dass wir das Passwort aus dem zweiten Zeichen des jeweiligen Wortes bilden wollen, wobei wir das $-Zeichen zusätzlich einbauen. Wenn Sie eine Zufallskomponente einbauen wollen, können Sie die Nummer des zu verwendenden Zeichens auch auswürfeln. Das Passwort würde dann folgendermaßen gebildet:

In den USA habe ich mir in der 4. Woche Schuhe von PIKI für 40 $ gekauft.

Die Zeichen, die nun das Passwort bilden sollen, sind hier fett markiert. Das Passwort sähe dann so aus:

neSacine.ocoIü0$e

Dieses Passwort erfüllt alle unsere Regeln: Es hat eine Länge von mehr als 10 Zeichen, enthält Klein- und Großbuchstaben, Zahlen und Sonderzeichen gemischt, wirkt auf Außenstehende zufällig und ist somit für sie nicht zu erschließen, für uns aber aus unserer Bildungsregel jederzeit wieder herstellbar.

Wie oben schon erwähnt, ist es in diesem Fall durchaus erlaubt, den Satz, aus dem das Paswort gebildet wird, aufzuschreiben, solange aus der Notiz nicht ersichtlich ist, dass es sich um einen Satz zur Bildung eines Passworts handelt und Sie sich zudem die Bildungsregel merken. Wenn Sie es einem Angreifer noch schwerer machen wollen, können Sie sich natürlich auch eine komplexere Bildungsregel ausdenken, beispielsweise indem Sie den ersten Buchstaben des ersten Wortes, den zweiten Buchstaben des zweiten Wortes usw. zur Erzeugung des Passworts wählen.

Last but not least ist bei der Generierung des Passworts allerdings noch zu beachten, dass unter Umständen Sonderzeichen vermieden werden sollten. Wenn Sie beispielsweise im Ausland auf einen Account zugreifen müssen, kann es durchaus sein, dass Sie eine Tastatur zur Verfügung haben, die ein von Ihnen verwendetes Sonderzeichen, zu denen auch deutsche Umlaute zu zählen sind, nicht enthält. In diesem Fall sollten Sie bei der Erzeugung von Passwörtern auf Sonderzeichen verzichten und eher ein etwas längeres Passwort erzeugen.

Thomas Baekdal schlägt in einem interessanten Artikel eine ganz andere Methode vor, nämlich natürlichsprachliche Sätze zur Bildung eines Passworts zu wählen. Denn im Gegensatz zu einzelnen Wörtern, die durch Wörterbuchattacken in kürzester Zeit ermittelbar sind, sind ganze Sätze, eventuell noch mit Satzzeichen und Zahlen versehen, laut Baekdal sehr sicher und zudem extrem leicht zu merken. Baekdal rät, mindestens drei Wörter und zudem ungewöhnliche Wörter zu wählen, um Wörterbuchattacken zu erschweren.

Zwar wird dieser Ansatz von anderen Autoren als unzulänglich kritisiert, weil die generierten Passwörter nicht komplex und nicht zufällig genug seien. Baekdal zeigt jedoch, dass es bei entsprechend langen Sätzen auch ohne zufällige Zeichen sehr lange dauert, bis ein Passwort geknackt ist. Die größte Gefahr bei Baekdals Methode sehe ich in Social Engineering. Es besteht die Möglichkeit, dass jemand durch geschicktes Ausfragen einer Person an die Passwort-Phrase kommt. Dem lässt sich meines Erachtens entgegenwirken, indem man Sätze wählt, die nur schwer erratbar sind, und zwar vor allem auch dann, wenn man Sie kennt, die Sie sich selbst aber leicht merken können. Dies ist zum Beispiel bei Sätzen der Fall, deren Bedeutung nur Sie verstehen. Haben Sie zum Beispiel einen Hund namens Bello, so dürfte der Satz „Mein Hund heißt Bello“ keine gute Wahl sein, weil ein Angreifer, der davon weiß, diesen Satz ausprobieren wird. Wenn aber nur Sie wissen, dass Bello eine Spielzeugpuppe hat, die Lulu heißt, so ist der Satz „Bello spielt mit Lulu“ wesentlich sicherer, weil er nicht erratbar ist und „Lulu“ zudem wahrscheinlich in keinem Standardwörterbuch vorkommt.

Unter WordPress gibt es übrigens Plugins, mit denen Sie Mitbenutzer Ihres Blogs dazu zwingen können, sichere Passwörter zu verwenden. Ein Plugin, das dies ermöglicht, ist das Plugin Better WP Security.

Weitere wichtige Hinweise

Das sicherste Passwort ist natürlich sinnlos, wenn andere leicht an das Passwort herankommen. Beachten Sie daher zusätzlich folgende Regeln im Umgang mit Passwörtern im Web:

  • Schreiben Sie das Passwort selbst nicht auf, es sei denn, Sie können es ganz sicher so verwahren, dass niemand anderes herankommt.
  • Speichern Sie das Passwort nicht im Browser, es sei denn, Sie können es dort sicher verschlüsseln.
  • Geben Sie Ihr Passwort nur in ein Formular einer Webseite ein, der Sie hundertprozentig vertrauen. Insbesondere wenn Sie in einer Mail dazu aufgefordert werden, ist Vorsicht geboten. Klicken Sie dann nicht auf einen evtl. angegebenen Link, sondern geben Sie den Ihnen bekannten URL zu Ihrem Account von Hand ein und tippen Sie dann dort das Passwort ein.

Welche Methode finden Sie sicherer? Vertrauen Sie lieber auf zufällig generierte oder komplexere Passwörter nach der ersten erläuterten Methode, die dafür aber schwerer zu merken sind, oder könnten Sie sich vorstellen, natürlichsprachige Sätze als Passwort zu verwenden?

Bitte beachten Sie: Eine Angabe von Name und Mailadresse ist zum Kommentieren nicht erforderlich!

6 Antworten zu “Auch beim Bloggen nicht vergessen: Wählen Sie sichere Passwörter!”

  1. avatar Thomas Luzat sagt:

    Ab einer gewissen Anzahl von Passwörtern ist das System unpraktikabel: Bei mir sind es ca. 400, aber selbst bei weniger Passwörtern erliegen Nutzer zu schnell der Versuchung überall das gleiche Passwort zu benutzen oder zu einfache Passwörter zu wählen. Ich empfehle von daher ein Tool zur Passwortverwaltung wie KeePass (Hauptplattform Windows, es gibt allerdings Portierungen für alle möglichen Systeme inkl. mobiler Geräte).

    Damit lassen sich einfach sichere Passwörter speichern und es reicht sich wenige Passwörter zu merken. Auch die Funktion zum Speichern der Passwörter im Browser würde ich tendenziell empfehlen, gerade wenn man diese ebenfalls mit einem Passwort sichert.

    Für Passwörter, die ich öfter von Hand eingeben muss, nehme ich gerne ganze unsinnige Sätze (wie bspw. „Der rote BMW 123i ist grau-blau.“) statt nur Teile derselbigen. Die Sicherheit wird so erhöht und als 10-Finger-Schreiber geht das häufig schneller als hier nur einzelne Buchstaben der Wörter korrekt zu tippen. Mittlerweile hat auch immer weniger Software ein Problem mit langen Passwörtern.

    KeePass ist dabei eine komfortable OpenSource-Lösung, womit ich auch andere Dateien sichern kann (bspw. X.509-Zertifikate, SSH- und GPG-Schlüssel), aber es gibt natürlich auch Konkurrenzprodukte.

    • avatar WP Care sagt:

      Klar, eine Passwortverwaltung ist für den Fall, dass man mit vielen Passwörtern zu tun hat, unabdingbar. Wichtig ist dabei halt die sichere Verschlüsselung des Master-Passwortes und dass das System, auf dem die Software liegt, sauber gehalten wird. Aber ich kenne jetzt niemanden außer dir, der mit 400 Passwörtern rumhantiert. 😉

      • avatar Thomas Luzat sagt:

        Empfehlen würde ich die auch bei wenigen Passwörtern, gerade wenn die nur 1x eingegeben und dann gespeichert werden: Support für vergessene Passwörter musste ich schon öfter leisten und sonst findet man doch fast überall das gleiche Passwort, was teils noch schlimmer als einfache Passwörter ist.

        Einige hundert kommen schnell zusammen. Lokal für mehrere Computer, VMs, Datenbanken, Dienste, Zertifikate. Remote für Webentwicklung (jeweils Datenbank, Frontend, Backend, ISP, FTP, teils SSH), viele Webseiten, Dienste (soziale Netzwerke, GitHub, …). Aber natürlich ist das nicht der Normal fall 😉

  2. […] Admi­nis­tra­tor aus­pro­biert. Natür­lich ist der beste Schutz gegen sol­che Angriffe ein star­kes Pass­wort. Einen gewis­sen zusätz­li­chen Schutz bie­tet aber auch ein unge­wöhn­li­cher […]

  3. avatar danny danny sagt:

    Möchte das mein Konto wieder frei ist

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Zum Menue Zum Inhalt

Impressum

last modified: 04/14/2013 by WP Care