Immer wieder werden Webseiten Ziel von Hackerangriffen. Ende Dezember 2017 gab es enorm viele Angriffe, sogenannte „Brute Force Attacken“ auf WordPress-Installationen.

Was passiert bei einer Brute Force Attacke? Hacker versuchen mittels eines Programms Benutzername und Passwort eines Accounts zu entschlüsseln. Das Programm probiert eine Vielzahl von Kombinationen aus. Werden hier einfache und kurze Passwörter verwendet, dann ist das Programm schnell erfolgreich.

Ein zusätzlicher Schwachpunkt, besonders bei WordPress-Installationen, ist der oft verwendete Benutzername "admin" beim Administratorzugang. In Verbindung mit einem schwachen Passwort steht einer Brut Force Attacke nichts mehr im Weg. Auch bei anderen Content-Management-Systemen (CMS) wie Contao, Joomla oder Typo 3 sind solche Benutzernamen nicht zu empfehlen.

Webdesigner oder Administratoren sollten bei der Einrichtung der Benutzerverwaltung eines CMS darauf achten, dass auch für Redakteure, Benutzerkonten oder Mitgliederaccounts starke Passwörter bei der Anmeldung erzwungen werden.

Wie sieht ein sicheres Passwort aus?

Hochzeitstage oder Geburtstage, die Namen von Kindern, Enkeln und Haustieren, seien sie noch so ausgefallen, eignen sich definitv nicht als Passwort. Auch beliebte Zahlenfolgen wie "123456" oder das einfache "qwertz" sind tabu. Wer dann als Passwort auch noch das Wort "Passwort" wählt, der braucht eigentlich keines mehr ;-).

Sichere Passwörter sollten mindestens 8 Zeichen enthalten, besser 12, 16 oder noch mehr Zeichen, sofern die Möglichkeit besteht ein längeres Passwort zu verwenden. Sie sollten aus Buchstaben, Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen bestehen. Natürlich sind lange und komplexe Passwörter schwerer zu merken, aber sie sind auch sicherer.

Es gibt Tricks Passwörter zu erstellen, die man sich auch merken kann. So kann man sich einen Satz überlegen und von jedem Wort jeweils den ersten Buchstaben nehmen. Schon hat man ein Passwort. Kombiniert man dieses mit Sonderzeichen wird es noch sicherer. Aber das ist anstrengend auch damit gerät man schnell an seine Grenzen, da im Alltag doch viele Passwörter benötigt werden. Was also tun?

Passwortmanager

Niemand kann sich alle Passwörter merken. Abhilfe schaffen hier Passwortmanager. Sie verwalten Ihre Passwörter. Außerdem habe viele Passwortmanager einen Passwortgenerator integriert, so sind keine kreativen Gedankensprünge bei der Erstellung eines Passwortes notwendig. Der Vorteil: Sie müssen nur ein Masterpasswort im Kopf behalten, welches Sie aber auf keinen Fall vergessen dürfen.

Grundsätzlich sollten Sie überlegen, ob Sie eine lokale Lösung bevorzugen oder ob Sie Ihre Passwörter in einer Cloud und/oder bei dem jeweiligen Anbieter speichern wollen. Hier geht es natürlich um die Sicherheit Ihrer Daten, aber auch darum, ob Sie von unterwegs auf Ihre Passwörter zugreifen müssen.

Wichtig ist auch eine hohe Verschlüsselung mit AES-256-Bit und eine Zwei-Faktor-Authentifizierung. Bei der Zwei- Faktor-Authentifizierung ist zusätzlich zum Passwort ein zweiter Sicherheitscode notwendig, um sich eindeutig zu identifizieren. Sie kennen das vielleicht von Google, wenn Sie sich mit einem neuen Gerät bei Ihrem Google-Konto anmelden wollen. Dann wird eine zusätzliche Identifizierung per Sicherheitscode verlangt.

Zwei bekannte Passwortmanager sind Dashlane und LastPass. Beide Anbieter bieten einen kostenlosen Tarif an. Wer lieber einen deutschen Anbieter bevorzugt wird bei Steganos fündig. Steganos bietet einen Passwortmanager mit großem Funktionsumfang, AES-256-Bit-Verschlüsselung und 2-Faktor-Authentifizierung. Mein Favorit, schon allein aus Sicherheitsgründen, da die Software in Deutschland entwickelt wird.

Zusammengefasst – Was Sie beachten sollten:

• Nutzen Sie ein Passwort niemals für mehrere Accounts, auch nicht, wenn es verändert wurde z. B. von „hallo“ auf „hallo123“
• Nehmen Sie keine Zahlenfolgen wie „123456“ oder simple Buchstabenfolgen wie „qwertz“
• Wählen Sie keine Standardbenutzernamen wie z. B. „admin“, „administrator“ oder „root“
• Namen, Geburtstage, Wörter sowie Phrasen oder Sprichwörter sind leicht zu entschlüsseln und daher nicht sicher
• Sichere Passwörter sollten mindestens 8 Zeichen enthalten, besser 12 oder 16 und aus Buchstaben, Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen bestehen
• Websitebetreiber sollten „starke“ Passwörter auch für Benutzerkonten oder Mitgliederaccounts erzwingen
• Speichern Sie keine Passwörter im Browser

Nutzen Sie Contao?

Prima - denn Nutzer von Contao haben einen Vorteil. Das CMS ist durch seine Architektur besser gegen Angriffe geschützt. Außerdem bietet Contao von Hause aus einen Schutz vor Brute Force Attacken. Nach drei erfolglosen Loginversuchen wird der Account für 5 Minuten gesperrt. Auch hier gelten dennoch die o. g. Regeln für sichere Passwörter und Benutzernamen.

Und natürlich – halten Sie Ihr CMS (Content-Management-System) immer aktuell. Mehr dazu in meinen Beitrag: Einfach mehr Sicherheit für Ihre Webseite.

Fazit

Passwörter sind für die meisten Menschen ein notwendiges Übel. Immer mehr Passwörter, für immer mehr Dienste, welche sich niemand merken kann. Hier helfen Passwortmanager. Mit ihrer Hilfe erstellen und verwalten Sie alle Passwörter. Es sei denn, Sie bevorzugen die lokalste aller Lösungen und setzen auf eine Zettelsammlung. Die hat den Vorteil, dass sie nicht gehackt werden kann. Aber wehe, wenn sie verloren geht… :-).

Nun ist Ihre Meinung gefragt! Welche Tricks haben Sie um sich Passwörter zu merken oder nutzen Sie bereits einen Passwortmanager? Haben Sie ein eigenes System um Passwörter zu erstellen oder gehören Sie auch zu denjenigen, die einfache Zahlenfolgen oder Wörter bevorzugen?