Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Haben Sie ein vernünftiges Passwort?


Man kann es ja gar nicht oft genug sagen: Ein brauchbares Passwort kann gar nicht lang genug sein. Das ist natürlich lästig, hilft aber gegen Angriffe. Und weil diese "Angriffe" immer so wenig konkret im Raum stehen, hier mal ein kleines Beispiel, wie sowas aussieht.

Das hier läuft gerade auf unserem Mailserver: Seit irgendwann gestern Abend gibt es einen Angriff, bei dem die Zugangsdaten für Mail-Accounts auf unserem Server herausgefunden werden sollen. Der Angreifer macht dabei alles richtig:

  • Unser Server erkennt "zu viele" Fehlversuche beim anmelden in einer gewissen Zeit und würde einen betroffenen Account einfrieren. Darum erfolgt das ganze vorsichtig, mit im Schnitt etwa 80 Versuchen über alle Accounts verteilt pro Stunde.
  • Unser Mailserver erkennt "komische" Verbindungsmuster von komischen Stellen – und der Angreifer verwendet ein weltweit verteiltes Botnetz. Jeder Bot macht nur 1 bis 2 Versuche pro Stunde.
  • Unser Mailserver blockiert IP-Adressen mit zu vielen Fehlerversuchen => Ein weltweit verteiltes Botnetz hilft da.

Und das ganze läuft und läuft und läuft… Dabei werden einfach die "gängigen" und "kurzen" Passworte durchprobiert. Ich gehe davon aus, das der gleiche Vorgang noch bei vielen hundert wenn nicht tausenden von anderen Mailservern abläuft – und die "einfachen" Passworte werden dann dabei schon rauskommen.

Als normaler Mensch bekommt man solche Einbruchsversuche gar nicht mit: Ich weiss davon, weil ich mich um unseren Mailserver kümmere und die Sache so eingerichtet ist, das ich entsprechende Hinweise per Mail erhalte. Das sieht dann z.B. so aus:

image

Ich kann also die IP-Adresse und den zugehörigen Ort sehen. Ebenso, wann der Anmeldeversuch fehlgeschlagen ist, und welche Account betroffen war. Damit kann man sich schon eine ganze Menge zusammenreimen.

Also: Stellen Sie sicher, dass Sie ein vernünftiges Passwort verwenden. Je länger desto besser. Am besten so lang, das Sie es sich nicht mehr merken können. Zum merken verwenden Sie dann sowas wie 1Password. Und, wenn es irgend möglich ist und das angeboten wird: Verwenden Sie auch Mehrfaktor-Authentifizierung. Oft gibt es die als 2-Faktor Geschmacksrichtung, bei der Sie zusätzlich  zum wissen über das Passwort auch noch Ihr Handy griffbereit haben müssen. Ihren Microsoft-Account (den Sie bei Windows 10 recht sicher haben) können Sie mit zweistufiger Überprüfung sichern. Ebenso: Jeder Google-Account.

Genau wie Ihr Sicherheitsgurt im Auto ist das ist kein technisches Spielzeug. Verwenden Sie es. Ernsthaft!