Thema: IT-Sicherheit und Passwörter?

Hi,

ich bin gerade dabei Joomla! für einen Verein zu installieren. Dafür muss ich auch ein paar Leute auf den gleichen Stand bringen. Beginnen muss ich ganz unten, nutzt ja nix, wenn das schönste Haus auf einem morschen Fundament steht.

Dieser nachfolgender Text ist ein Abfallprodukt, vielleicht kann man es hier ja aufbereiten.

--- Beginn Vorschlag für HowTo IT-Sicherheit, Passwörter, Grundlagen ---

Thema: Wie ich meinem Freund versuche zu erklären, warum ich wie was mit Passwörtern mache.. (Hoffentlich bleibt er mein Freund.. )

Hi,

jetzt kommt ein langer Text. Aber er ist wichtig, ich versuche mich so kurz wie möglich und verständlich zu halten.

Also: Anschnallen, Helm auf.. Los gehts:

Als Einleitung, die muss trocken sein!

Jeder "Benutzer" hat einen "Status".
Der Name des Benutzers ist frei wählbar, und jedem kann dann ein "Status" zugewiesen werden.
Der Status definiert dann genau die Rechte, die man mit dem jeweiligen Status hat.
Jeder Benutzer kann nur einen Status haben. Die Rechte vererben sich nach unten weiter. Der LKW Fahrer mit großem Führerschein darf auch einen kleinen LKW fahren.

BigBoss ist bei Joomla! der Status "Superadministrator". Als einziger Benutzer hatte bisher der "Administrator" den Status "Superadministrator"

So.. Jetzt kommt das Spannende:

Ich habe den Benutzer "Administrator" mit dem Status "SuperAdmin" deaktiviert.

Du wirst fragen: Hä? Warum datt denn? Dann haben wir doch keinen Superadministrator mehr?

Es gibt jetzt dafür 2 neue Benutzer, die den Status "Superadministrator" haben.

Benutzer 1: SuperAdmin Hans
Status: SuperAdministrator
Passwort: YDm+Jn&K

Benutzer 2: SuperAdmin Wolfgang
Status: SuperAdministrator
Passwort: Hf?#mY&M

Einer weg (oder sagen wir mal unbefristet beurlaubt), dafür zwei neue aufstrebende Talente eingestellt.

So kann man erstens unterscheiden, wer was gemacht hat (Änderungen etc.), d.h. wir teilen uns kein Benutzerkonto. Wir teilen uns ja auch nicht die gleiche Frau oder noch schlimmer: Die gleiche Zahnbürste.

Und zweitens hat niemand die Möglichkeit durch ausprobieren der Passwörter unseren Admin Bereich zu hacken, weil er den Benutzer "Admin" oder "Administrator" als BigBoss vermutet.

Viele vergeben keine vernünftigen Adminpasswörter und lassen die im schlimmsten Fall leer. Wer also durch simples Ausprobieren von Dingen wie Geburtsdatum etc. versucht in einen Adminbereich zu kommen, hat oft Glück..
Da nutzt auch keine Firewall oder ähnliches!

Meine Radikalaussage:
Wer einen sensiblen Bereich hat (den haben wir ja alle ) und jeder kann versuchen sich einzuloggen, der MUSS ein starkes Passwort verwenden. Wer das nicht macht hat sich nicht mit IT Sicherheit auch nur ansatzweise beschäftigt. Wer meint, das ist nicht nötig ist ein Ignorant und Idiot.

Was ist ein starkes Passwort?
Wie wäre es mit: 8 Zylindermotor.. Das ist schon ziemlich stark oder? Passwörter werden in schwach, brauchbar und stark eingeteilt. Starke Passwörter sind sehr schwer oder unknackbar. Unknackbar, weil man nicht genug Zeit hat, darauf durch ausprobieren zu kommen. Dazu später mehr.

Bei uns kann jeder Mensch auf der ganzen Welt versuchen sich als Admin einzuloggen. Logisch, die Seite steht ja auch im World Wide Web. Aber wir haben jetzt 2 Hürden. Einmal den Verzeichnisschutz an sich.. (... Hier kommt ein Link oder eine Erklärung zu .htaccess für den Adminbreich)
Unsere zweite Schutzstufe ist dann der Login als Benutzer mit Passwort. Hier gibt es den Administrator nicht mehr.. D.h. es gibt schon mal keinen Standardbenutzernamen der volle Rechte hat. Unsere (Super-)Administratoren heissen jetzt "SuperAdmin Hans" und "SuperAdmin Wolfgang" und beide haben starke Passwörter. Eigentlich sind die mit 8 Zeichen zwar schon stark, aber so stark auch nicht. Eigentlich sollten die noch länger sein. Es kommt halt auf die Komplexität an.

Warum soviel Aufwand?

Hierzu der schlaue Spruch des Tages:

Die wahre Macht eines Herrschers besteht nicht so sehr in der Leichtigkeit, mit der er erobern kann, als vielmehr in der Schwierigkeit, ihn anzugreifen, und, wenn ich so sagen darf, in der Unantastbarkeit seiner Stellung.
Charles de Montesquieu (1689-1755)

Puhh, das war es eigentlich schon. Fast.

Denn: Rechte und Macht zu haben ist schön und auch eine Ehre.. Manche brüsten sich damit.
Also habe ich noch zwei Sprüche:

Entscheidend ist nicht die Frage, ob man Macht hat, entscheidend ist die Frage, wie man mit ihr umgeht.
Alfred Herrhausen (1930-89)

Der Mensch ist dessen nicht mächtig, worüber er verfügt.
Helmut Thielicke (1908-86)

Das sind also die Grundregeln für den sicheren Umgang mit IT, Computern etc.
Wenn ich die Macht nicht brauche, dann logge ich mich auch nicht als Superadmin ein. Dies mache ich nur, wenn ich ganz genau weiss, was ich tun möchte und wie es funktioniert. Und es sollten sowieso nur Leute den Status SuperAdministrator haben, die auch wissen was sie tun. Es ist keine Auszeichnung. Dann kann man lieber einen Sonderstatus wie "Ehrenmitglied", "SuperHeld" etc. erschaffen, aber ohne Rechte das ganze Projekt kaputtmachen zu können.

Also für die normalen Dinge des täglichen Joomla! Alltags "Hans2, bzw. "Wolfgang" als Benutzernamen wählen. Für tiefgreifende Änderungen "SuperAdmin Hans", "SuperAdmin Wolfgang".
Hans und Wolfgang sollten dann auch nur den Status haben, den sie wirklich ständig brauchen. Im Zweifelsfall nur "Publisher" oder weniger.

---- Ende Teil 1 ----

30-11-05 19:27
Rechtschreibfehler versucht zu korrigieren
Grammatikfehler versucht zu koorigieren

--- Beginn Teil 2 ---

Kann sich der normale Benutzer ein Passwort auswählen, dann nimmt er mit an Sicherheit grenzender Wahrscheinlichkeit eins, das er sich leicht merken kann. Wie "Uschi". Weil seine Freundin so heisst, das kann man verstehen, er mag die Uschi. Nur ist "Uschi" nicht sehr stark. Zumindest nicht als Passwort. Warum das so ist, erfährst Du gleich nach diesem kurzen Werbeblock. Klar könnte man die Leute dazu bringen starke Passwörter verwenden zu müssen. Nur würde dann keiner mehr auf die Seite gehen, weil sie sich die Passwörter nicht merken können. "Uschi" ist ja einfacher. Aber die wenigen Leute, die in den Adminbreich kommen, sollen zwingend starke Passwörter haben.

Wie erstelle ich also ein starkes Passwort, ich muss es mir ja auch noch merken können..
QnR=F&&_ könnte ich mir ja noch merken, aber gleich 3 davon? Für jeden Anwendungszweck eins?

Ich mache es mit Eselsbrücken:
Zum Beispiel ein Satz: Ich fahre einen Mercedes 500 SE mit Stern. (Ich jetzt selbst ja nicht, aber ich hätte gerne einen fürs tägliche Einkaufen. Da haben wir unseren 8 Zylinder auch wieder.)
Daraus wird: IfeM500SEm* (Das Schema ist einfach. Ich nehme einfach den Anfangsbuchstaben jeden Wortes)
Zu wenig Sonderzeichen?
Ok, wie sieht es denn mit dem S aus? Das könnte doch auch ein $ sein?
Also:
IfeM500$Em*

Ein Passwort, welches 11 Zeichen hat, dabei Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. Das soll jetzt besser sein?

Das Schlimme ist ja, dass es Programme gibt, die innerhalb von Sekunden hunderte/tausende Passwörter ausprobieren. So kann man z.B. geschützte PDF Dokumente entschlüsseln. Musste ich auch schon machen.. Das Passwort war glaube ich "beta".. Das hat ganze 2 Minuten gedauert und ich hatte für ein Uniprojekt die eigentlich geschützte Datei von *** mit den Geschäftsberichtsdaten, die ich so dringend brauchte.. Mit einem aktuellen Rechner würde das auch schneller gehen, ich musste aber gerade eh zur Toilette.

Schnell noch überprüfen ob das wirklich gut ist, die Antwort steht ja noch aus:

https://passwortcheck.datenschutz.ch/check.php

Ergebnis kannst Du ja mal ausprobieren/testen..

Ich schreibe es hier mal hin:
Anzahl benötigte Versuche: 9'481'889'932'050'238'478'460
Ungefähre Zeit für Suche: 601'337'515 Jahr(e) (bei 500'000 Tests/Sekunde)
Da kann der Kaffee schon mal kalt werden.

Wie schaut es denn mit der Uschi aus?
Anzahl benötigte Versuche: 207'339
Ungefähre Zeit für Suche: 0 Sekunde(n) (bei 500'000 Tests/Sekunde)
Ich habe nicht mal eine Sekunde gebraucht, um sie rumzubekommen. D.h. Uschi ist und bleibt heiss. Nix mit kühler Blondine.. Aber sie ist nicht nur heiss, sie ist brandgefährlich!

Wir halten also fest, ein solider 8 Zylinder kann stärker sein als eine schlanke Blondine. q.e.d.

Schön sind auch Kennbuchstaben von Motoren, Technische Daten von Felgen, das Kennzeichen vom Lieblingsauto (USC-HI 696) um sich solche Passwörter selbst zu erstellen.

Und die Programme sind auch intelligent. D.h. die probieren erstmal Wörterbücher aus. Also komplett existierende Wörter. Wer ein Passwort wie Hund, Katze, Maus hat, der hat schon ein Problem. Danach kommen dann Ziffern, dann kommen solche Test wie z.B. das S gegen $ austauschen etc. Hast Du also das Passwort Mercede$ ist das relativ einfach. Also für einen Adminbereich völlig untauglich. Zusätzlich kann man spezielle Wörter eingeben, die dem Profil des Nutzers entsprechen. Also bei Dir würde ich meine Passworthackprogramm noch mit Infos füttern wie: Name der Mutter, Name der Freundin (Uschi), Autokennzeichen, Geburtsort Deiner Tante..

Da kann man auf tausende Dinge kommen. Je mehr Mühe man sich damit macht, desto schwächer mache ich damit Dein Passwort.

Solche starken Passwörter sollten auch niemals aus Bequemlichkeit abgespeichert werden. Nun wirst Du sagen: Ja, aber auf meinem Rechner, da geht ja niemand dran.. Tjaha.. Du hast einen Windowsrechner.. Trotz Firewall, Virenscanner und Firefox.. Passwörter sollten nach Möglichkeit nicht gespeichert werden. Der Apfel hier, mit dem ich arbeite hat ein FileVault System. D.h. alle Daten werden in nahezu Echtzeit verschlüsselt und entschlüsselt. Wenn jemand versucht den Rechner zu benutzen, ohne mein Passwort zu kennen, der hat keine Möglichkeit auf die Dateien der Festplatte zuzugreifen, die im FileVault liegen. Auch nicht, wenn er die Festplatte ausbaut. Wenn Du sowas nicht sicherstellen kannst, sollte man sich was anderes einfallen lassen. z.B. ein Programm, in dem Passwörter gespeichert werden, aber halt verschlüsselt und Du hast ein Masterpasswort um darauf zugreifen zu können. Dieses Masterpasswort sollte, wie alle anderen Passwörter regelmässig geändert werden, stark sein und nicht aufgeschrieben sein. Für irgendwas ist das zwischen den beiden Ohren ja auch gut.

Ich habe ganz konkrete und berechtigte Angst. Wenn unser Joomla! gehackt werden sollte und die Inhalte verändert oder gelöscht werden. Desweiteren haben dann die Hacker auch Zugriff auf unsere Datenbank mit den Benutzern. Ich erspare mir jetzt die Definitionen von Hackern und Crackern.. Ich nenne sie jetzt einfach nur noch Cyberterroristen, das gibt dem Ganzen eine noch größerer Bedrohlichkeit. Und ich will ja auch sensibilisieren. D.h. die können dann die Passwörter der Benutzer auslesen. Inkl. der E-Mailadressen. D.h. die Cyberterroristen klauen von unserer Joomla! Datenbank die E-Mailadressen der Benutzer und deren selbstgewählte Passwörter. Wie gut diese sind, steht ja schon weiter oben. Natürlich nutzt der Standardbenutzer sein Passwort "Uschi" nicht nur bei unserer Joomla! Seite, sondern auch bei Ebay, Amazon, ****oshop, was auch immer. Die Gefahr die sich daraus ergibt ist offensichtlich. Daher sollte man, auch wenn man ein starkes Passwort hat, auf jeder Seite ein neues, starkes Passwort verwenden. Dasselbe starkes Passwort für alle Anwendungen und Seiten ist keine gute Idee. Denn wird auf eine der 100 Seiten, auf der man dieses Passwort benutzt ein erfolgreicher Terrorakt verübt (normalerweise hätte ich jetzt irgendwas mit hacken geschrieben), dann verliert es für die 99 weiteren Seiten seine Wirkung. Damit hat man den Cyberterroristen seinen Generalschlüssel und die jeweiligen Generalschlüssel von hunderten, tausenden, millionen weiteren Benutzern gegeben. Dann wäre man ein schlechter Hausmeister.

Dazu noch einen aktuellen Bericht? Gerne:
http://www.spiegel.de/netzwelt/netzk...387394,00.html

Drahtlose Netzwerke.. Nicht vergebene Passwörter, offene Netze.. Eine Einladung über die fremde IP, die ja dann geloggt wird, illegale Sachen zu machen. Tauschbörsen, Kinder****os, alles möglich.. Weil man Uschi als Passwort gesetzt hat. Oder noch schlimmer keine Uschi hat.

So.. Jetzt schreib ich und schreib ich.. Ist doch länger geworden. Aber es ist wirklich wichtig.

Sicherheitsrelevante Passwörter müssen immer stark sein!
Passwörter sind unsere besten Freunde! Man verrät sie niemals! Auch nicht seiner (Schwieger)Mama.
Der Adminbereich von Joomla! ist ein hochsensibler Bereich und sollte auch wie ein solcher behandelt werden.

Hier würde jetzt noch die ausführliche Beschreibung folgen, wie man sich als Verantwortlicher fühlt, wenn seine Joomla! Seite erfolgreich angegriffen worden sein sollte und wieviel Zeit und Geld dafür draufgehen kann. Aber das erspare ich mir. Dafür noch einen klugen Spruch zum Schluss:
Es gibt drei Arten der Intelligenz: die eine versteht alles von selber, die zweite vermag zu begreifen, was andere erkennen, und die dritte begreift weder von selber noch mit Hilfe anderer." (Niccolò Machiavelli 1469-1527)

So.. Ende der Werbung..

Beste Grüße

Rob

--- Ende .----

So das wars....
Ich bin kein ausgewiesener IT Experte, ich erhebe keinen Anspruch auf Richtigkeit und Vollständigkeit. Und die Lobhudelei auf meinen Apfel möge man mir verzeihen..

Was haltet Ihr davon als Einstiegsbericht für den Umgang mit Passwörtern? Jegliche (konstruktive) Kritik ist gewünscht!

Beste Grüße

Rob

P.S.
Rechtschreibfehler sind mit Sicherheit vorhanden und pure Absicht..

30-11-05 20:16
Umfangreiche Änderungen am zweiten Teil
30-11-05 20:54
Leichte Korrekturen, Rechtschreibung, Grammatik

zum thema passwort:

einige bauen sich eselsbrücken, was aber bei vielen und langen passwörtern auf die "gedächtnisleistung" geht. man erspart sich aber das dr. sowieso gehirnjogging.

ich nehme "keepass". ein nettes open-source tool, welches auch noch passwörter generiert und man muss sich nur ein master passwort merken.

sehr empfehlenswert.

Hi,

gelesen und aufgenommen, wird das hier in den meisten Fällen wohl erst wenns schon gekracht hat.
Sogar ich habe das mit dem "admin" vernachlässigt, obwohl ich eigentlich kein Beginner mehr bin. Was passiert dann erst dem "ungeschulten" User?

Ich finde, man kann gar nicht genug darauf aufmerksam machen.
Vielen Dank

hallo

danke viel mal den ärger nach einem ungebetenen besuch möchte ich mir auch ersparen

der liebe admin existiert nun auch nicht mehr und das passwort ist nun auch stark
Ungefähre Zeit für Suche: 80'024'412 Jahr(e) (bei 1'000'000 Tests/Sekunde)

danke für den beitrag