WordPress-Sicherheit

Auch beim Bloggen nicht vergessen: Wählen Sie sichere Passwörter!

Es gibt zahl­rei­che Plugins, die hel­fen sol­len, Wor­d­Press siche­rer zu machen, und die auch viel­fach ein­ge­setzt wer­den. Auch siche­re Pass­wör­ter sind dabei ein The­ma. Auf der ande­ren Sei­te wer­den aber oft die grund­le­gends­ten Regeln zur Absi­che­rung eines Wor­d­Press-Blogs nicht beach­tet. Dazu gehört ohne Fra­ge auch die Wahl von siche­ren Pass­wör­tern. Statt­des­sen fin­den sich auch bei Blogs, die sonst bis auf die Zäh­ne bewaff­net sind, um Angrei­fer abzu­weh­ren, Admin-Pass­wör­ter, die jeder Beschrei­bung spot­ten. Ich möch­te daher in die­sem Bei­trag dar­le­gen, wie Sie ein siche­res Pass­wort für Ihren Wor­d­Press-Account fin­den. Die­se Rat­schlä­ge soll­ten Sie aber nicht nur bei selbst gehos­te­ten Wor­d­Press-Blogs ernst neh­men, son­dern auch bei Blogs, die auf wordpress.com lie­gen, und bei allen ande­ren Pass­wör­tern, die Sie im Netz verwenden!

Was macht nun ein siche­res Pass­wort aus? Dafür gibt es eini­ge Grund­re­geln, die man unbe­dingt beach­ten sollte.

  • Je kür­zer ein Pass­wort ist, umso schnel­ler und leich­ter ist es durch simp­les Raten, das man auch auto­ma­ti­sie­ren kann, zu kna­cken. Das Pass­wort soll­te daher min­des­tens 8, bes­ser 10 Zei­chen lang sein. Ein län­ge­res Pass­wort ist dabei unter Umstän­den einem kom­ple­xe­ren Pass­wort vorzuziehen!
  • Neben dem Raten von Pass­wör­tern sind soge­nann­te Wör­ter­buch­at­ta­cken ein häu­fig genutz­ter Ansatz, um ein Pass­wort her­aus­zu­fin­den. Ein Angrei­fer pro­biert dabei auto­ma­ti­siert Wör­ter aus Wör­ter­bü­chern als Pass­wort aus. Das Pass­wort darf daher kein Wort sein, das man in irgend­ei­nem Wör­ter­buch findet.
  • Das Pass­wort darf aus den­sel­ben Grün­den kein Name sein.
  • Angrei­fer ver­su­chen oft, an per­sön­li­che Infor­ma­tio­nen des Account-Inha­bers her­an­zu­kom­men, um so auf ein Pass­wort schlie­ßen zu kön­nen. Das Pass­wort darf aus die­sem Grund nicht aus dem sozia­len Umfeld des Account-Inha­bers erschließ­bar sein. Somit darf es auch kein Geburts­da­tum oder ähn­li­ches sein.
  • Das Pass­wort soll­te aus einer Mischung aus Groß- und Klein­buch­sta­ben sowie Zah­len und Son­der­zei­chen zusam­men­ge­setzt sein. Auch hier­bei gilt jedoch, dass Ver­ein­fa­chun­gen wie Geburts­da­ten tabu sind! Aus die­sen Erfor­der­nis­ssen ergibt sich die letz­te zusam­men­fas­sen­de Regel:
  • Das Pass­wort muss für Außen­ste­hen­de zufäl­lig aus­se­hen und darf für sie nicht errat­bar sein, muss aber für den Account-Inha­ber wie­der­um leicht zu mer­ken oder wie­der­her­zu­stel­len sein.

Ins­be­son­de­re der letz­te Punkt stellt bei der Erstel­lung eines siche­ren Pass­worts ein Pro­blem dar. Denn ein Pass­wort wie R4)k71g§bN mag durch­aus sicher sein. Aber das kann sich kein Mensch merken.

Wie erzeuge ich ein sicheres Passwort?

Wie kann man sich nun aber über­haupt ein hin­rei­chend siche­res Pass­wort gene­rie­ren, das man sich auch mer­ken kann? Ich möch­te in die­sem Arti­kel eine prak­ti­sche Metho­de vor­stel­len, mit der jeder auf ein­fa­che Art und Wei­se ein siche­res Pass­wort erzeu­gen kann. Dabei hel­fen soge­nann­te Bil­dungs­re­geln. Will man ein Pass­wort erzeu­gen, über­legt man sich zunächst einen Satz, den man sich ruhig auf­schrei­ben darf, sowie eine Bil­dungs­re­gel für das Pass­wort, das aus die­sem Satz erzeugt wer­den soll. Neh­men wir an, der Satz, den wir uns aus­den­ken, heißt:

In den USA habe ich mir in der 4. Woche Schu­he von NIKE für 40 $ gekauft.

Aus die­sem Satz wol­len wir jetzt ein Pass­wort bil­den. Also brau­chen wir eine Bil­dungs­re­gel. Damit es jemand, der den Satz viel­leicht erfährt, nicht so ein­fach hat, das Pass­wort zu ermit­teln, legen wir fest, dass wir das Pass­wort aus dem zwei­ten Zei­chen des jewei­li­gen Wor­tes bil­den wol­len, wobei wir das $-Zei­chen zusätz­lich ein­bau­en. Wenn Sie eine Zufalls­kom­po­nen­te ein­bau­en wol­len, kön­nen Sie die Num­mer des zu ver­wen­den­den Zei­chens auch aus­wür­feln. Das Pass­wort wür­de dann fol­gen­der­ma­ßen gebildet:

In den USA habe ich mir in der 4. Woche Schuhe von PIKI für 40 $ gekauft.

Die Zei­chen, die nun das Pass­wort bil­den sol­len, sind hier fett mar­kiert. Das Pass­wort sähe dann so aus:

neSacine.ocoIü0$e

Die­ses Pass­wort erfüllt alle unse­re Regeln: Es hat eine Län­ge von mehr als 10 Zei­chen, ent­hält Klein- und Groß­buch­sta­ben, Zah­len und Son­der­zei­chen gemischt, wirkt auf Außen­ste­hen­de zufäl­lig und ist somit für sie nicht zu erschlie­ßen, für uns aber aus unse­rer Bil­dungs­re­gel jeder­zeit wie­der herstellbar.

Wie oben schon erwähnt, ist es in die­sem Fall durch­aus erlaubt, den Satz, aus dem das Pas­wort gebil­det wird, auf­zu­schrei­ben, solan­ge aus der Notiz nicht ersicht­lich ist, dass es sich um einen Satz zur Bil­dung eines Pass­worts han­delt und Sie sich zudem die Bil­dungs­re­gel mer­ken. Wenn Sie es einem Angrei­fer noch schwe­rer machen wol­len, kön­nen Sie sich natür­lich auch eine kom­ple­xe­re Bil­dungs­re­gel aus­den­ken, bei­spiels­wei­se indem Sie den ers­ten Buch­sta­ben des ers­ten Wor­tes, den zwei­ten Buch­sta­ben des zwei­ten Wor­tes usw. zur Erzeu­gung des Pass­worts wählen.

Last but not least ist bei der Gene­rie­rung des Pass­worts aller­dings noch zu beach­ten, dass unter Umstän­den Son­der­zei­chen ver­mie­den wer­den soll­ten. Wenn Sie bei­spiels­wei­se im Aus­land auf einen Account zugrei­fen müs­sen, kann es durch­aus sein, dass Sie eine Tas­ta­tur zur Ver­fü­gung haben, die ein von Ihnen ver­wen­de­tes Son­der­zei­chen, zu denen auch deut­sche Umlau­te zu zäh­len sind, nicht ent­hält. In die­sem Fall soll­ten Sie bei der Erzeu­gung von Pass­wör­tern auf Son­der­zei­chen ver­zich­ten und eher ein etwas län­ge­res Pass­wort erzeugen.

Tho­mas Baek­dal schlägt in einem inter­es­san­ten Arti­kel eine ganz ande­re Metho­de vor, näm­lich natür­lich­sprach­li­che Sät­ze zur Bil­dung eines Pass­worts zu wäh­len. Denn im Gegen­satz zu ein­zel­nen Wör­tern, die durch Wör­ter­buch­at­ta­cken in kür­zes­ter Zeit ermit­tel­bar sind, sind gan­ze Sät­ze, even­tu­ell noch mit Satz­zei­chen und Zah­len ver­se­hen, laut Baek­dal sehr sicher und zudem extrem leicht zu mer­ken. Baek­dal rät, min­des­tens drei Wör­ter und zudem unge­wöhn­li­che Wör­ter zu wäh­len, um Wör­ter­buch­at­ta­cken zu erschweren. 

Zwar wird die­ser Ansatz von ande­ren Autoren als unzu­läng­lich kri­ti­siert, weil die gene­rier­ten Pass­wör­ter nicht kom­plex und nicht zufäl­lig genug sei­en. Baek­dal zeigt jedoch, dass es bei ent­spre­chend lan­gen Sät­zen auch ohne zufäl­li­ge Zei­chen sehr lan­ge dau­ert, bis ein Pass­wort geknackt ist. Die größ­te Gefahr bei Baek­dals Metho­de sehe ich in Social Engi­nee­ring. Es besteht die Mög­lich­keit, dass jemand durch geschick­tes Aus­fra­gen einer Per­son an die Pass­wort-Phra­se kommt. Dem lässt sich mei­nes Erach­tens ent­ge­gen­wir­ken, indem man Sät­ze wählt, die nur schwer errat­bar sind, und zwar vor allem auch dann, wenn man Sie kennt, die Sie sich selbst aber leicht mer­ken kön­nen. Dies ist zum Bei­spiel bei Sät­zen der Fall, deren Bedeu­tung nur Sie ver­ste­hen. Haben Sie zum Bei­spiel einen Hund namens Bel­lo, so dürf­te der Satz „Mein Hund heißt Bel­lo” kei­ne gute Wahl sein, weil ein Angrei­fer, der davon weiß, die­sen Satz aus­pro­bie­ren wird. Wenn aber nur Sie wis­sen, dass Bel­lo eine Spiel­zeug­pup­pe hat, die Lulu heißt, so ist der Satz „Bel­lo spielt mit Lulu” wesent­lich siche­rer, weil er nicht errat­bar ist und „Lulu” zudem wahr­schein­lich in kei­nem Stan­dard­wör­ter­buch vorkommt. 

Unter Wor­d­Press gibt es übri­gens Plugins, mit denen Sie Mit­be­nut­zer Ihres Blogs dazu zwin­gen kön­nen, siche­re Pass­wör­ter zu ver­wen­den. Ein Plugin, das dies ermög­licht, ist das Plugin Bet­ter WP Security.

Weitere wichtige Hinweise

Das sichers­te Pass­wort ist natür­lich sinn­los, wenn ande­re leicht an das Pass­wort her­an­kom­men. Beach­ten Sie daher zusätz­lich fol­gen­de Regeln im Umgang mit Pass­wör­tern im Web:

  • Schrei­ben Sie das Pass­wort selbst nicht auf, es sei denn, Sie kön­nen es ganz sicher so ver­wah­ren, dass nie­mand ande­res herankommt.
  • Spei­chern Sie das Pass­wort nicht im Brow­ser, es sei denn, Sie kön­nen es dort sicher verschlüsseln.
  • Geben Sie Ihr Pass­wort nur in ein For­mu­lar einer Web­sei­te ein, der Sie hun­dert­pro­zen­tig ver­trau­en. Ins­be­son­de­re wenn Sie in einer Mail dazu auf­ge­for­dert wer­den, ist Vor­sicht gebo­ten. Kli­cken Sie dann nicht auf einen evtl. ange­ge­be­nen Link, son­dern geben Sie den Ihnen bekann­ten URL zu Ihrem Account von Hand ein und tip­pen Sie dann dort das Pass­wort ein.

Wel­che Metho­de fin­den Sie siche­rer? Ver­trau­en Sie lie­ber auf zufäl­lig gene­rier­te oder kom­ple­xe­re Pass­wör­ter nach der ers­ten erläu­ter­ten Metho­de, die dafür aber schwe­rer zu mer­ken sind, oder könn­ten Sie sich vor­stel­len, natür­lich­spra­chi­ge Sät­ze als Pass­wort zu verwenden?

Published by

8 thoughts on “Auch beim Bloggen nicht vergessen: Wählen Sie sichere Passwörter!

  1. Ab einer gewis­sen Anzahl von Pass­wör­tern ist das Sys­tem unprak­ti­ka­bel: Bei mir sind es ca. 400, aber selbst bei weni­ger Pass­wör­tern erlie­gen Nut­zer zu schnell der Ver­su­chung über­all das glei­che Pass­wort zu benut­zen oder zu ein­fa­che Pass­wör­ter zu wäh­len. Ich emp­feh­le von daher ein Tool zur Pass­wort­ver­wal­tung wie Kee­Pass (Haupt­platt­form Win­dows, es gibt aller­dings Por­tie­run­gen für alle mög­li­chen Sys­te­me inkl. mobi­ler Geräte).

    Damit las­sen sich ein­fach siche­re Pass­wör­ter spei­chern und es reicht sich weni­ge Pass­wör­ter zu mer­ken. Auch die Funk­ti­on zum Spei­chern der Pass­wör­ter im Brow­ser wür­de ich ten­den­zi­ell emp­feh­len, gera­de wenn man die­se eben­falls mit einem Pass­wort sichert.

    Für Pass­wör­ter, die ich öfter von Hand ein­ge­ben muss, neh­me ich ger­ne gan­ze unsin­ni­ge Sät­ze (wie bspw. „Der rote BMW 123i ist grau-blau.”) statt nur Tei­le der­sel­bi­gen. Die Sicher­heit wird so erhöht und als 10-Fin­ger-Schrei­ber geht das häu­fig schnel­ler als hier nur ein­zel­ne Buch­sta­ben der Wör­ter kor­rekt zu tip­pen. Mitt­ler­wei­le hat auch immer weni­ger Soft­ware ein Pro­blem mit lan­gen Passwörtern.

    Kee­Pass ist dabei eine kom­for­ta­ble Open­So­ur­ce-Lösung, womit ich auch ande­re Datei­en sichern kann (bspw. X.509-Zertifikate, SSH- und GPG-Schlüs­sel), aber es gibt natür­lich auch Konkurrenzprodukte.

    1. Klar, eine Pass­wort­ver­wal­tung ist für den Fall, dass man mit vie­len Pass­wör­tern zu tun hat, unab­ding­bar. Wich­tig ist dabei halt die siche­re Ver­schlüs­se­lung des Mas­ter-Pass­wor­tes und dass das Sys­tem, auf dem die Soft­ware liegt, sau­ber gehal­ten wird. Aber ich ken­ne jetzt nie­man­den außer dir, der mit 400 Pass­wör­tern rumhantiert. 😉

      1. Emp­feh­len wür­de ich die auch bei weni­gen Pass­wör­tern, gera­de wenn die nur 1x ein­ge­ge­ben und dann gespei­chert wer­den: Sup­port für ver­ges­se­ne Pass­wör­ter muss­te ich schon öfter leis­ten und sonst fin­det man doch fast über­all das glei­che Pass­wort, was teils noch schlim­mer als ein­fa­che Pass­wör­ter ist.

        Eini­ge hun­dert kom­men schnell zusam­men. Lokal für meh­re­re Com­pu­ter, VMs, Daten­ban­ken, Diens­te, Zer­ti­fi­ka­te. Remo­te für Web­ent­wick­lung (jeweils Daten­bank, Front­end, Backend, ISP, FTP, teils SSH), vie­le Web­sei­ten, Diens­te (sozia­le Netz­wer­ke, Git­Hub, …). Aber natür­lich ist das nicht der Nor­mal fall 😉

        1. Hal­lo ich bin Sari cirik ich habe lei­der ein Pro­blem ich kom­me nicht mehr in mein E‑Mail Account rein und mein Tele­fon­num­mer hat sich geän­dert wie könn­te ich noch irgend­wie mein Kon­to Zugriff bekom­men könn­te ich viel­leicht mein Pass­wort oder mein Daten zuge­schickt bekom­men wäre das mög­lich dass ist mein neu­en E‑Mail Account xxx@xxx.xxx

          1. Ähm, das hier ist nicht der Sup­port von gmail, son­dern ein Blog über Wor­d­Press. Bit­te wen­de dich an den gmail-Sup­port. Dei­ne Mail­adres­se habe ich mal aus Daten­schutz­grün­den anonymisiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.