Neulich berichtete ich von einem Hackerangriff auf unsere Webseite Fairlangen.org, sie dient zum Informationsaustausch zu fair gehandelten Produkten in Erlangen und Umgebung. Bisher konnten wir nicht klären, wie der Angreifer an das Passwort kam. Daher steht zu vermuten, dass es entweder über eine Lücke von unserem Provider abgesaugt wurde (hier werden die Passwörter nicht nur als Hash gespeichert) oder über den Rechner eines der Admins. Da es keine Anzeichen für einen massenweisen Hack der Webseiten unseres Providers All-inkl.com gibt, müssen wir wohl von letzterer Möglichkeit ausgehen.
Daher machten wir uns auf die Suche nach Stellen an denen die Passwörter leicht lesbar gespeichert werden. Hilfreich war hier der Artikel Sesam, öffne Dich nicht – Sicherheit von Passwörtern in Theorie und Praxis. (Für Nicht-Abonnenten kostet der Download €1,50. Das lohnt sich auf jeden Fall. Wem das zu viel ist, kann in der örtlichen Bibliothek in der Zeitschrift ct, Heft 2/2011, Seite 150, nachlesen. )
Die Idee der Passwortmethodik gefällt mir sehr gut und wird von mir zukünftig eingesetzt. Natürlich nicht die dort Beschriebene… 😉 Eine gute Alternative finde ich einen Passwort-Safe, z.B. leistet mir Keepass seit Jahren gute Dienste.
Passwörter im Browser verschlüsselt speichern
Außerdem habe ich sofort ein Master-Passwort für meinen Browser vergeben, damit die gespeicherten Passwörter nicht mehr im Klartext ausgelesen werden können…
- Bei Firefox geht das ganz leicht über Einstellungen -> Sicherheit: Haken bei "Master-Passwort verwenden". Jetzt werden die Passwörter nur noch verschlüsselt gespeichert und können nicht mehr einfach ausgespäht werden…
- Bei Opera ist das etwas komplizierter: Preferences -> Advanced -> Security: "Set Master Password" und dann einen Haken bei "Use master password to protect saved passwords"
- Beim Internet Explorer 9 gelang es mir nicht die gespeicherten Passwörter irgendwie zu schützen. Hier kann man nur löschen und danach nichts mehr speichern: Extras–>Internetoptionen–>Inhalte–>Autovervollständigen–>Einstellungen–>Verlauf von Autovervollständigen löschen (man wird gefragt, was alles gelöscht werden soll).
Immer wenn ich herausfinde, wie es um FTP-Programme oder dergleichen steht, dann stelle ich die Info dazu ebenfalls online.