Happiness is a Warm Gun for Twitter

Ansonsten ist heute passiert:

# Der sogenannter „A-Blogger“ Robert Basic entscheidet sich, sein super geranktes Weblog basicthinking.de auf ebay zu versteigern und hofft auf einigermassen okay viel Geld (Link zur Verkaufsentscheidung). Mir ist das eigentlich egal, weil ich das nie spannend fand, was er da treibt und es für mich keine Kunst darstellt irgendwelche Heise-Forum-Trolls als Fan-Boys zu rekrutieren. Viel bedenkenswerter finde ich, dass der deutsche Blogger mit der grössten Reichweite, offenbar die Medialität „Weblog“ in all den Jahren nicht kapiert hat. Aber vielleicht lehrt einem das doch was: Das Internet ist und bleibt für weltfremde Geeks, die nur spielen wollen, aber in echt nicht zubeissen können. Ich hatte eigentlich vor, mich noch durch die Meinungen dazu bei rivva zu klicken, komm da jetzt aber nicht mehr zu, ist mir jetzt auch schon wieder egal. Ist eigentlich keine Meldung wert.

# Die Sache mit den gehakten Twitter-Accounts seit dem neuen Jahr ist am besten beim WIRED Blog nachzulesen. Unfassbar, dass eine Firma, die dabei ist einen weiteren infrastrukturellen Grundstein für das Internet zu etablieren, so schlecht organisiert ist, dass eine Mitarbeiterin das leicht zu knackende Passwort „happiness“ verwendet und damit einem 18-Jährigen Zugang zur Admin-Oberfläche von Twitter ermöglicht.

# Aber HALT!!! Wie sieht es denn mit Deinen Passwörtern im Internet aus? Ich gebe es zu, ich muss mir da wohl auch mal was Komplexeres ausdenken. Die Wikipedia zur Frage „Wahl von sicheren Kennworten“ kann da als Start nicht schaden:
Moderne Verschlüsselungsverfahren sind technisch so weit fortgeschritten, dass sie in der Praxis außer durch das Austesten aller möglichen Schlüssel – der sogenannten Brute-Force-Methode – meist nur durch einen Wörterbuchangriff geknackt werden können. Die Schwachstelle ist bei beiden Angriffen das vom Benutzer gewählte Kennwort. Damit ein Kennwort nicht unsicherer ist als die eigentliche Verschlüsselung (112 bis 128-Bit-Schlüssel bei gängigen Verfahren), ist für dieses theoretisch eine Folge von etwa 20 zufälligen Zeichen erforderlich. Falls das Kennwort nicht aus zufälligen Zeichen besteht, sind sogar deutlich längere Zeichenfolgen nötig, um die gleiche Sicherheit zu erreichen.

Da die Länge der Kennwörter, die zur Verschlüsselung verwendet werden können, softwareseitig oft begrenzt ist (zum Beispiel bringen Kennwörter mit mehr als 32 Zeichen bei AES keinerlei Sicherheitsgewinn), sollte man immer Zeichenkombinationen wählen, die aus seltenen Wörtern und Wortstellungen, Phantasiewörtern oder fremdsprachigen Wörtern, Anfangsbuchstaben eines Satzes, Zahlen und/oder Sonderzeichen oder noch besser Kombinationen davon bestehen. Deren Bestandteile sollten für einen gut über die Person und ihre Interessen informierten Angreifer nicht vorhersehbar sein. Eine Alternative ist es, einen Kennwortgenerator zu benutzen und sich das Kennwort entweder gut einzuprägen oder an einem geheimen Ort zu notieren.

Ein recht sicheres Kennwort könnte sein: 0aJ/4%(hGs$df“Y! (16 Zeichen). Die Problematik solcher Zufallszeichenfolgen ist jedoch, dass sie schwer zu merken sind und deshalb irgendwo notiert werden. Eine leichter zu merkende Alternative ist ein einstudierter, zeichenweise veränderter Satz wie „dIE bANANNE*3 durch 1/4 nIKOTIN.“ (32 Zeichen), wichtig ist hier das Einstreuen von genügend Zufallszeichen. Gut geeignet ist die Verwendung der Anfangsbuchstaben eines Satzes („Hd7B%sd7Z“ gebildet aus den fett hervorgehobenen Zeichen von „Hinter den 7 Bergen % sind die 7 Zwerge“, mit eingestreutem Sonderzeichen).

Die Verwendung von Sonderzeichen kann zwar einen Sicherheitsgewinn bringen, da ein Kennwort dadurch komplexer wird, dennoch ist davon abzuraten, wenn mit der Möglichkeit zu rechnen ist, dass das Kennwort auch im Ausland verwendet werden muss, weil nicht auf allen Tastaturen die gleichen Sonderzeichen vorhanden sind.

Filmzitate, berühmte Aussprüche, Aneinanderreihungen von einfachen Wörtern, Geburtsdaten, Geburtsnamen, Haustiernamen, etc. sind als Kennwörter zu vermeiden, da sie mittels des Wörterbuchangriffes oder durch einen informierten Angreifer leicht geknackt werden können.

Nimm es ernst! Denn wenn Du es heute mit deiner Sicherheit im Netz ernst nimmst, wird dann auch in vielleicht 12 Jahren der Dödel-Admin, der am Hebel sitzt im Amt für die echte Sicherheit deiner Daten sorgen.

Kommentare sind geschlossen.

%d Bloggern gefällt das: