Auf Golem.de gibt es gerade einen sehr schönen Artikel über eine Studie, die die Passwortsicherheit auf Webseiten untersucht hat:
- „Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.“
Dabei scheinen größere Webseiten prinzipiell besser zu sein als kleine und Webseiten mit Zahlungsfunktion besser als sonstige.
Ich persönlich sehe das größte Risiko ja immer noch darin, dass die Nutzer auf allen Webseiten das gleiche Passwort verwenden. Wenn dann eine Webseite kompromittiert wird und die Kombination aus Login/Passwort/E-Mail einem Angreifer bekannt geworden ist, kann sich der Angreifer oft direkt auf vielen verschiedenen anderen Seiten anmelden.
Aber das ist nichts neues. Ich empfehle mal wieder die OSCON 2005 Keynote von Dick Hardt. Schade, dass es immer noch keine vertrauenswürdige und verlässliche Identity 2.0 gibt.
Um zu verhindern das man auf jeder Seite das gleiche PWD nimmt kann ich dir folgendes empfehlen:
https://www.pwdhash.com/
Dafür gibt es auch etliche Browser-plugins.
Das funktioniert so dann auf jeder Seite mit einem Master-Pwd ein indivudeller Hash als Passwort für die Seite genommen wird.
Comment by Lufthansen — 10. Juni 2010 @ 08:55
Das Problem das ich mit so komplexen Passwörtern und Tools dafür habe ist, dass mir das nicht mehr weiterhilft wenn ich mich von einem anderen Gerät auf so einer Webseite anmelden muß/mochte oder von mobilen Geräten unterwegs bin.
Ich vergebe eh schon für alle möglichen Webseiten verschiedene Passwörter und Loginnamen und speichere die Passwörter halt in einem KeePass-Safe. Aber für einige Seiten muß ich die einfach im Kopf haben, dafür brauche ich die zu oft auch auf Fremdrechnern. Sowas: „i4SmAwSk“ ist ja schön, kann ich mir für 10 verschiedene Webseiten aber nicht merken.
Comment by Christian — 10. Juni 2010 @ 10:46
naja mann kann sich die pwdhash.com ja speichern, oder man geht via dem Browser des Handys auf die Seite und geniert sich eben das Pwd.
Ist sicherlich ein Schritt mehr, aber den KeePass Safe habe ich ja auch nicht immer dabei und bedeutet auch mehr aufwand.
Comment by lufthansen — 10. Juni 2010 @ 11:01
Nee, eben. Den KeePass hab ich auch nicht immer dabei. Darum muß für die wichtigsten Webseiten halt doch wieder ein relativ schwaches (weil merkbares) Passwort her. Ich will ein brauchbares Identitätsmanagement bei dem ich mich sicher mit einem komplexen Passwort anmelden kann und dann bei 100erten Webseiten direkt authentisiert bin.
Comment by Christian — 10. Juni 2010 @ 11:33
Man kann das Problem von „Weak Passwords“ oder dass der User auf allen Webseiten das gleiche Passwort verwenden mit starker Zweifach-Authentifizierung begegnen.
Heute gibt es von RSA oder auch andere Hersteller super Zweifach-Authentifizierung Systeme.
Beispiel RSA SecureID (sollte keine Werbung sein).
Dann ist auch das Problem mit dem mobilen Geräten kein Problem mehr -sofern man den Token nicht vergisst 😉
Comment by PowerShell — 10. Juni 2010 @ 11:44
Nuja, nur was kostet RSA SecurID? Und nach drei Jahren gleich wieder …
Wir hatten einen Kunden, der RSA SecurID für seinen Webshop eingesetzt hat. Da ging jede Bestellung gleich über mehrere 100.000,- Euro da wird man dann bissi sensibel. Irgendwann wurde dem Kunden RSA jedoch einfach zu teuer. Und selbst wenn es um Millionen Euro geht, schaffen es die meisten Seiten nicht, Zweifaktorauthentisierung zu implementieren. Siehe Emissionshandel.
Comment by Christian — 10. Juni 2010 @ 12:36
Ich halte es nach dem Prinzip das ich mir ein recht komplexes Passwort aus eigentlich zwei Teilen zusammen baue: einer der zwei Teile ist eine Kombination wie „i4SmAwSk“ evtl. noch mit dem einen oder anderen @(oder Sonderzeichen). Der andere Teil ist ein Wort oder ein Begriff den ich mit der Seite oder mit dem Programm in Zusammenhang bringen kann. Beispiel wäre mitternachts@i4SmAwSk . oder anderes.. forumxy@i4SmAwSk also baue ich mir ein sicheres Passwort aus zwei Teilen. den einen lerne ich auswendig. den anderen hohle ich aus dem Zusammenhang. Damit erschlägt man gleich mehrere Probleme finde ich. Einwände?
Gruß
Gonzo
Comment by Gonzo — 10. Juni 2010 @ 14:23
Wenn die Systematik so einfach ist wie im Beispiel, dann habe ich Einwände, ja. Weil der Angreifer mit ganz klein bissi Hirn in der Lage ist, die Systematik zu durchschauen. Und Du mußt heute einfach damit rechnen, dass der Angreifer die Passwörter im Klartext bekommt. Entweder, weil die Passwörter schon im Klartext in der Datenbank stehen oder weil nicht gesaltete Hashes verwendet werden oder weil der Angreifer die PHP-Anmeldemaske modifiziert und die Passwörter bei der Eingabe abgreift. Aha, denke ich mir: mitternachts@i4SmAwSk ist mir klar, probiere ich im Forum XY halt mal …
Ansonsten, nimm ne Systematik die nicht (sehr schwer) durchschaubar ist und ich bin damit einverstanden.
Comment by Christian — 10. Juni 2010 @ 14:41
Gut. Wenn du davon ausgehst das die Passwörter eh zugänglich sind ist das Verfahren sogar kontra Produktiv. Klar das man daraus mehr als schnell Rückschlüsse ziehen kann.
Comment by Gonzo — 10. Juni 2010 @ 15:01
Naja, was ist denn wenn eine typische Webseite kompromittiert ist? Der Angreifer modifiziert den PHP-Code um entweder Schadprogramme auf die Clients zu schleusen (z.B. Zeus beim UBA oder das russische MPack) oder Passwörter abzugreifen (wie bei der Apache Software Foundation passiert ).
Deshalb MUSS ich davon ausgehen, dass ein Angreifer mein Passwort bekommt wenn er eine Webseite kompromittiert. Sogar wenn die Webapplikation die Passwörter nur als salted Hash in der Datenbank speichert muß ich damit rechnen.
Comment by Christian — 10. Juni 2010 @ 16:07
Und nur weil ich paranoid bin heißt das nicht, dass sie nicht hinter mir her sind (zugeschrieben u.a. Henry Kissinger, Kurt Cobain (Polly) und Terry Pratchett (Strata)). Ich halte es da gerne mit Intel-Gründer Andy Grove.
Comment by Christian — 10. Juni 2010 @ 16:14
hehe, etwas paranoia schadet nie !!! *umschau* sie sind überall…!
Comment by Gonzo — 10. Juni 2010 @ 16:48
Bist du zufällig aus Bielefeld?
Comment by Christian — 10. Juni 2010 @ 16:56
Bielefeld gibt es nicht !!
http://de.wikipedia.org/wiki/Bielefeldverschw%C3%B6rung
nicht ganz, ist ca 45min von hier.
Comment by Gonzo — 10. Juni 2010 @ 17:15
Ui. Und das war frei geraten 🙂
Comment by Christian — 10. Juni 2010 @ 19:22
@Gonzo
Was ist mit SafeWord 2008 Two-factor Authentication?
Was kosten anbelangt ist, es viel güstiger…
@Christian
Ja klar ich habe auch selber selten den Keepass mit dabei. Der läuft ja nur auf dem PC/Notebook…
Aber was ist mit „KeePass for Smart Devices“???
„KeePass for Smart Devices“ for gibt es für versch. Plattformen.
Gruss
PowerShell 😎
Comment by PowerShell — 13. Juni 2010 @ 15:08
KeePass for Smart Devices läuft auch nur auf Windows Mobile und nicht auf Android oder Symbian. Insofern ist das eh ein Widersprich, „Smart Devices“ und „Windows Mobile“ 😀
(Ja, es gibt einen Port auf Android, KeePassDroid. Aber der ist unofficial und ich hab weder Zeit noch Lust, den Source Code zu kontrollieren)
Comment by Christian — 13. Juni 2010 @ 16:37
So so… was hast du denn gegen WM???
Also ganz erhlich der WindowsMobile ist viel viel beseer als der iPhone „OS 4.x“ 😆
Nein, Spass bei Seite… aber ich kenne halt WM sehr gut und das Teil lässt sich super Exchange und co. synchronisieren.
Und die neuen HTC Geräte sind mittlerweile besser als der iPhone. Beispielweise der HTC Touch Pro2 😎
Comment by PowerShell — 14. Juni 2010 @ 09:58
Was habe ich gegen Windows Mobile? Soll ich aufzählen? Diverse Schadprogramme, einen Vorschlaghammer, eine Schrottpressem, …
Meine Freundin hat ein Windows Mobile Mobiltelefon (irgendsoeinen T-Mobile MDA) und die ist nicht besonders glücklich damit …
Comment by Christian — 14. Juni 2010 @ 12:26
Kommentare gesperrt wegen Spam
Comment by Christian — 16. Juli 2010 @ 11:27