Kompakte Notebooks Kompakte Notebooks - Wuala

Weitere Magazine

Empfehlungen

Info

Praxis | Sicherheit: Passwörter Christiane Rütten Schön kompliziert Passwörter mit Köpfchen Die Liste der Dienste und Accounts, die mit einem Passwort gesichert werden wollen, wird länger und länger. Wer nicht gerade ein Elefantengedächtnis hat, bekommt schnell Probleme – wer überall dasselbe Passwort verwendet, erst recht. Doch mit einem guten Passwortsystem und dem richtigen Umgang mit Passwörtern fährt man sowohl sicher als auch bequem. Die Kombination von Benutzername und Passwort ist nach wie vor die wichtigste Methode, sich am PC und für einen Internet-Dienst zu authentifizieren. Weil der Benutzername oft öffentlich einsehbar ist – etwa bei einer Internet-Auktion – oder sich aus vorhersehbaren Personenmerkmalen wie Pseudonymen, Namen oder Mitgliedsnummern ergibt, hängt die Sicherheit dieses Systems hauptsächlich von der Wahl eines guten Passworts ab. Die gängige Faustformel lautet, dass ein gutes Passwort mindestens zehn Zeichen lang und aus einer möglichst zufälligen Mischung aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen bestehen soll. Solche Passwörter kann man sich aber kaum merken und die Zahl von Diensten und Zugängen, für die ein Passwort nötig ist, wird immer größer: PC-Log-in daheim und auf der Arbeit, Notebook, das private Blog, die vier E-Mail- Konten, für ICQ, MSN und Jabber, das Forum für Kochrezepte, das Forum fürˇ… und so weiter. Die Konsequenz ist, dass viele Anwender leicht zu merkende Trivialpasswörter verwenden oder für alle Dienste dasselbe Passwort nehmen. Mit einem guten Passwortschema kann man sich beliebig viele einprägsame Passwörter für hohe Sicherheitsansprüche generieren: die Ergänzung eines immer gleichen Grundpassworts mit einer dienstspezifischen Erweiterung. Denn die beiden wichtigsten Methoden, der Erinnerung auf die Sprünge zu helfen, sind ein Bezug zum Anwendungsfall sowie regelmäßige Wiederholung durch möglichst häufige Verwendung. Beide für sich genommen sind höchst problematisch, doch die geschickte Kombination bringt den entscheidenden Dreh. Wichtig ist, dass das Grundpasswort für sich genommen ein gutes Passwort ist und Angriffen mit Wortlisten, Brute- Force und gezieltem Raten standhalten kann. Da man diesen Teil recht häufig eintippen muss – nämlich bei jedem nach diesem Schema generierten Passwort –, brennt sich durch die Wiederholung selbst eine lange und komplizierte Zeichenfolge wie „kL/ngS,4=!BIa#vb“ schnell ins Gedächtnis. Ganz so lang und kompliziert muss das Grundpasswort in der Praxis nicht sein, da es nie alleinstehend verwendet werden darf; acht Buchstaben mit Sonderzeichen sollten mehr als genug sein. Es sollte außerdem keine Anführungszeichen oder Kaufmanns-Unds (&) enthalten, weil sie viele Formulare ablehnen. Je nach Tastaturbelegung können auch Umlaute Probleme machen. Wichtig ist außerdem, dass dieser Passwortteil keinen Bezug zum Nutzer enthält, um gezieltes Raten zu verhindern. Kurzfassung Gelegentlich kommt man in die Situation, dass man einem Anbieter nicht so recht traut – sei es, weil er die Zugangsdaten im Klartext überträgt oder er keinen guten Ruf genießt – oder dass einem der Schutz des Accounts nicht besonders wichtig ist. Für solche Fälle sollte man sich eine vereinfachte Variante des Grundpasswortes überlegen, indem man beispielsweise alle Sonderzeichen auslässt und alles klein schreibt. So ist sichergestellt, dass ein Angreifer keinen Zugriff auf Dienstteil Laptop mailkonto1 auktionen Blog Grundpasswort :9,V7a-s9BB+ :9,V7a-s9BB+ :9,V7a-s9BB+ :9,V7a-s9BB+ Mit dem richtigen Passwortschema lassen sich beliebig viele einprägsame und trotzdem sichere Passwörter generieren. Mythos: „Die Länge macht’s!“ Analysen von Passwortlisten haben ergeben, dass sich die häufigsten Passwörter aus einem Wort und einer angehängten oder vorangestellten Zahl zusammensetzen. Dies wissen auch die Schreiber von Knackprogrammen, weshalb Passwörter wie „passwort1“ oder „daniel76“ keinen nennenswert besseren Schutz bieten als die Wörter ohne Zahl. Solche Kennwörter kann man sich zwar gut merken, doch sie halten keinem Wörterbuchangriff stand. Eine ebenfalls weit verbreitete, aber schlechte Zutat für Passwörter sind Namen und Geburtsjahre. Man kann davon ausgehen, dass die meisten Internetnutzer den 50 Jahrgängen vor 2000 angehören. Betrachtet man nun die Kombination aus Vorname mit rund sechs Zeichen und Jahreszahl mit zwei oder vier Ziffern, so ergeben sich rund neun Zeichen lange Passwörter. Das klingt erst einmal viel, heißt es doch vielerorts, acht Zeichen seien meist genug. Aus neun Kleinbuchstaben und Zahlen ergeben sich immerhin rund 100 Billionen (36 9 ) mögliche Passwörter, die man per Brute- Force durchprobieren müsste. Doch wenn man bedenkt, dass eine Liste der 1000 häufigsten Vornamen das Gros der Anwender hierzulande abdeckt, ergeben sich zusammen mit den 50 Jahrgängen gerade einmal 50ˇ000 verschiedene Passwörter, die unter Umständen sehr schnell durchprobiert sind. Abgesehen davon wissen Daniels Bekannte und Leser seiner Website aber auch wahrscheinlich, dass er 1976 geboren wurde, er sich für Skateboardfahren interessiert, in Berlin wohnt und so weiter. Die Länge eines Passwortes ist somit kein hinreichend aussagekräftiges Maß für seine Qualität. Mindestens ebenso wichtig ist, aus welchen Komponenten es besteht, wie viele mögliche Zustände diese einnehmen können und wie leicht es ist, sie aus den bekannten Daten zu einer Person abzuleiten und sie so gezielt zu erraten. Auch Antworten auf Sicherheitsfragen sollten nicht vernachlässigt, sondern mit Köpfchen beantwortet werden. Der E-Mail- Account der US-Vizepräsidentschaftskandidatin Sarah Palin konnte beispielsweise geknackt werden, weil sich die Antworten auf die Sicherheitsfragen der Passwort-Rücksetzung nach einer kurzen Internet-Recherche aus der Vita der Gouverneurin herleiten ließen. 86 c’t 2009, Heft 2 © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.
Praxis | Sicherheit: Passwörter wichtigere Dienste erlangen könnte, selbst wenn ihm das vereinfachte Grundpasswort in die Hände fällt und er das Passwortsystem durchschauen kann. Ein solcher Einbruch von Konto zu Konto nennt sich Klassenbruch (class break) und ist auch der Grund dafür, dass man grundsätzlich nicht überall dasselbe Passwort verwenden sollte. Sicher unterwegs Selbst das beste Passwort nützt nichts, wenn man es unverschlüsselt durch die Gegend schickt und es beispielsweise beim WLAN-Surfen im Café alle Leute in Reichweite mitlauschen (sniffen) können. Bei Web-Diensten, die sich per Browser bedienen lassen, gibt es leider kein verlässliches Anzeichen dafür, dass die Anmeldedaten verschlüsselt zum Server wandern. Einigermaßen sicher kann man sich dessen sein, wenn sowohl die Adresse der Eingabeseite als auch der Folgeseite nach der Anmeldung mit https:// beginnt. Gelegentlich ist aber auch ausschließlich die Passwortübertragung verschlüsselt. Manche Provider bieten dafür eine spezielle Option, die man vor der Eingabe anklicken muss. Im Zweifel hilft nur, beim Support des Anbieters nachzufragen oder in die Online- Doku zu schauen. Wenn es keine Verschlüsselung gibt, sollte man zu der einfachen Variante des konstanten Passwortteils greifen. Auch sollte man solche Dienste nicht über ein unverschlüsseltes WLAN verwenden. Auch die meisten Spezialprogramme für E-Mail wie Outlook Express und Thunderbird sowie eine Reihe von Chat-Programmen unterstützen Verbindungsverschlüsselung. Allerdings ist sie in der Regel nicht standardmäßig aktiviert. Die zugehörige Option findet sich üblicherweise in den Verbindungs- oder Server-Einstellungen. In Outlook Express klicken Sie dazu im Menü „Extras“ auf „Konten“, wählen die Kontobezeichnung aus der Liste und klicken auf „Einstellungen“. Die Verschlüsselungsoptionen finden Sie auf dem Reiter „Erweitert“. Bedenken Sie, dass Sie sowohl die Einstellungen für den Eingangs- als auch Ausgangs- Server anpassen müssen. Bei Thunderbird findet sich die Liste Sowohl Outlook Express (oben rechts) als auch Thunderbird (rechts und oben) unterstützen eine verschlüsselte Verbindung zum E-Mail-Server, mit der sich Zugangsdaten sicher übertragen lassen. der Postausgangs-Server am Ende der Kontenliste, die über Extras/Konten erreichbar ist. Leider werden die Bezeichnungen SSL und TLS nicht einheitlich verwendet. Eigentlich ist TLS lediglich der neue Name für SSL seit der Version 3.1. In Thunderbird etwa bezeichnen sie aber unterschiedliche Methoden des Verbindungsaufbaus. In diesem Fall ist SSL vorzuziehen, wenn es der Server unterstützt. Probieren Sie daher der Reihe nach die Verschlüsselungsoptionen SSL, TLS und „ohne“ durch, bis Sie eine finden, mit der es klappt. Keinesfalls sollten Sie jedoch eine Option wie „TLS, wenn möglich“ wählen. Schlimmstenfalls arbeiten die Programme damit komplett unverschlüsselt, ohne eine Warnung anzuzeigen. Bei manchen Anbietern ist SSL/ TLS-Verschlüsselung nur mit separaten Servern möglich. Entsprechende Anleitungen sollten sich in der Dokumentation des Providers befinden. Fazit Das Passwortschema mit Grundpasswort und dienstspezifischer Erweiterung löst gleich eine ganze Reihe von Problemen. Die konkrete Umsetzung lässt sich leicht individuell – etwa Grundpasswort vorne oder in der Mitte statt hinten – variieren und den persönlichen Bedürfnissen anpassen. Sein Vorteil gegenüber einem Passwortmanager ist, dass es rechnerunabhängig arbeitet Mythos: „Ich bin doch uninteressant!“ Standardrechtfertigungen für Nachlässigkeit bei Passwörtern sind „Wer sollte schon ausgerechnet meine E-Mails lesen wollen?“ und „Auf meinem PC sind eh keine spannenden Sachen, da kann ruhig jeder reingucken“. Wer so handelt, als seien Angriffe stets auf bestimmte Personen gerichtet, handelt sich und anderen leicht eine Menge Ärger ein. Spammer auf Streifzügen nach schlecht gesicherten E-Mail- Accounts und Botnetzbetreiber auf der Jagd nach dem nächsten Rekruten der Zombie-PC- Armee wollen sich hauptsächlich hinter den E-Mail- und IP-Adressen anderer Netzbewohner verstecken und deren Bandbreite nutzen. Es handelt sich dabei zwar durchaus um eine Form des Identitätsdiebstahls, doch den Angreifern ist in der Regel herzlich egal, wessen Account sie knacken und was sie sonst noch dort finden könnten. Wer es darauf abgesehen hat, unbefugt auf möglichst viele und die abgespeicherten Passwortdatenbank nicht durch Software angreifbar ist. Allerdings hilft das beste Passwort nichts, wenn es mit einem Keylogger abgehört wird oder der Anwender es auf einer Phishing-Seite eintippt. Richtig kritisch wird es, wenn einem Angreifer gleich mehrere Klartextpasswörter nach einem solchen Schema in die Hand fallen. Wenn er das System durchschaut, kann er sich im schlimmsten Fall bei beliebigen Diensten anmelden. Auch wenn es in solch einem Fall genügen würde, lediglich das Grundpasswort zu ändern, befreit auch ein Schema mit Grundpasswort und Dienstteil nicht von der üblichen Sorgfalt im Umgang mit Passwörtern. (cr) Accounts und Rechner zuzugreifen, verwendet andere Strategien als bei Angriffen auf bestimmte Personen oder Nutzerkonten. Da persönliche Attacken die Ausnahme sind, sollten Anwender ihre Schutzstrategien auch auf die großflächigen Angriffe ausrichten. Daher ist es wichtig, alle Accounts mit ausreichend sicheren Passwörtern auszustatten. Schwache Passwörter – insbesondere Default- Passwörter etwa von WLAN- Routern – bieten keinerlei nennenswerten Schutz. c c’t 2009, Heft 2 © Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags. 87
Seite 1 und 2:
Mit Stellenmarkt magazin für compu
Seite 3 und 4:
Im Wald allein Manchmal liegt es au
Seite 5 und 6:
© Copyright by Heise Zeitschriften
Seite 7 und 8:
Schöner hören Tausende Musiktitel
Seite 9 und 10:
Seite 11 und 12:
Leserforum | Briefe, E-Mail, Hotlin
Seite 13 und 14:
Seite 15 und 16:
c’t | Schlagseite c’t 2009, Hef
Seite 17 und 18:
aktuell | Hardware ∫ Hardware-Not
Seite 19 und 20:
aktuell | Notebooks Netbooks mit UM
Seite 21 und 22:
Seite 23 und 24:
aktuell | Peripherie Blickwinkelsta
Seite 25 und 26:
aktuell | Audio/Video Multimedia-Pl
Seite 27 und 28:
aktuell | Anwendungen Diashows für
Seite 29 und 30:
Seite 31 und 32:
aktuell | Linux Andrea Müller Fris
Seite 33 und 34:
Seite 35 und 36: aktuell | Online-Durchsuchungen men
Seite 37 und 38: aktuell | Ausbildung, Netzwerke Ast
Seite 39 und 40: © Copyright by Heise Zeitschriften
Seite 41 und 42: kurz vorgestellt | A3-Tintendrucker
Seite 43 und 44: kurz vorgestellt | DVD-Player mit U
Seite 45 und 46: kurz vorgestellt | Gitarrenverstär
Seite 53 und 54: Report | Microsoft Auto mit Eco:Dri
Seite 55 und 56: Prüfstand | 4-TByte-Platte Vorsich
Seite 57 und 58: Prüfstand | Zeichen-Software Fläc
Seite 59 und 60: Report | Service & Support ihm 1&1.
Seite 61 und 62: Report | Ortung kennen und feststel
Seite 63 und 64: Report | Ortung Firmen wie der GPSa
Seite 65 und 66: Report | Ortung Schnüffeln ist str
Seite 67 und 68: Report | Quantenkryptografie nenpaa
Seite 69 und 70: Report | Quantenkryptografie Positi
Seite 71 und 72: Report | Quantenkryptografie gelten
Seite 75 und 76: Prüfstand | Sicherheit: Antiviren-
Seite 83 und 84: Praxis | Sicherheit: Windows abscho
Seite 85: © Copyright by Heise Zeitschriften
Seite 89 und 90: Prüfstand | ADSL-WLAN-Router hand
Seite 91 und 92: Prüfstand | ADSL-WLAN-Router Mit d
Seite 93 und 94: Prüfstand | ADSL-WLAN-Router Belki
Seite 95 und 96: Prüfstand | ADSL-WLAN-Router T-Hom
Seite 97 und 98: Prüfstand | ADSL-WLAN-Router ADSL-
Seite 99 und 100: Prüfstand | ADSL2+-Router Die QoS-
Seite 103 und 104: Prüfstand | Displays tionelle Back
Seite 105 und 106: Prüfstand | Displays Einblickwinke
Seite 107 und 108: Prüfstand | Displays AL2216WL bd V
Seite 111 und 112: Prüfstand | 13,3-Zoll-Notebooks Vi
Seite 113 und 114: Prüfstand | 13,3-Zoll-Notebooks Fu
Seite 115 und 116: Prüfstand | 13,3-Zoll-Notebooks Sc
Seite 117 und 118: Prüfstand | 13,3-Zoll-Notebooks ne
Seite 119 und 120: Prüfstand | 13,3-Zoll-Notebooks Fa
Seite 121 und 122: Prüfstand | Satelliten-Internet Vo
Seite 125 und 126: Prüfstand | Grafikkarten Nvidias Q
Seite 127 und 128: c’t 2009, Heft 2 © Copyright by
Seite 129 und 130: Prüfstand | Grafikkarten Der Test
Seite 131 und 132: Prüfstand | Grafikkarten chen. AMD
Seite 133 und 134: Report | DSL-Sharing beispielsweise
Seite 137 und 138:
Recht | Privacy lichen Einsatzzweck
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Report | Musiksammlung de luxe ten.
Seite 145 und 146:
Praxis | Musiksammlung de luxe: Kom
Seite 147 und 148:
Praxis | Musiksammlung de luxe: MP3
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Report | CD-Digitalisierungsdienst
Seite 155 und 156:
Seite 157 und 158:
Praxis | Hotline det sich der exter
Seite 159 und 160:
Praxis | Hotline Manchmal verhinder
Seite 161 und 162:
Seite 163 und 164:
Praxis | Windows Vista gruppiert we
Seite 165 und 166:
Praxis | Gimp-Skripte Solche Blumen
Seite 167 und 168:
Praxis | Gimp-Skripte Ein mit der F
Seite 169 und 170:
Praxis | Software-RAIDs unter Linux
Seite 171 und 172:
Seite 173 und 174:
Know-how | Zufallszahlen Aber Vorsi
Seite 175 und 176:
c’t 2009, Heft 2 © Copyright by
Seite 177 und 178:
Know-how | Zufallszahlen Statistisc
Seite 179 und 180:
Know-how | Zufallszahlen gewinnen G
Seite 181 und 182:
Know-how | NFSv4 NFSv3 mangelt es b
Seite 183 und 184:
Praxis | NFSv4 unter Linux Reiko Ka
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Buchkritik | Mac-Programmierung Aar
Seite 191 und 192:
Spiele | Wirtschaftssimulation Zwis
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Illustrationen: Michael Thiele, Dor
Seite 199 und 200:
„Woher hatten die Boten die Chips
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Alle anzeigen

Kompakte Notebooks Kompakte Notebooks - Wuala

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?