Passwortschutz - eines der wichtigsten Themen im Online Bereich

Die Betreuung von Webseiten nimmt zu, bei unzähligen Projekten werden Admin Zugänge angelegt. Sehr schnell kann man den Überblick über die verwendeten Zugänge verlieren.

Vor einigen Jahren habe ich in einem Blog bereits über diesen Thema geschrieben, da es den Blog leider nicht mehr gibt, war es an der Zeit diesen wichtigen Beitrag nochmals zu veröffentlichen. Der Beitrag wurde nun etwas aktualisiert und erweitert.

Viele tun sich bei der Wahl der richtigen Passwörter extrem schwer. Da kommt es nicht selten vor, das jemand ein einziges Passwort für alle Systeme und Zugänge hat. Den Hackern wird es dadurch mit ihren vollautomatischen Werkzeugen sehr leicht gemacht es zu knacken. Um dies zu verhindern, sollten Passwörter bestimmte Qualitätsanforderungen erfüllen.

    

Wahl des Passwortes:
Bei der Wahl des Passwortes sollen keine persönliche Daten vorkommen, auch keine Kombinationen daraus. Falls diese Daten dem Angreifer nicht schon bekannt sind, können diese sehr leicht herausgefunden werden. Das beste und längste Passwort bringt natürlich nichts, wenn es auf einem Notizzettel aufgeschrieben wird, oder gar auf dem Bildschirm haftet. Außerdem soll ein Passwort in regelmäßigen Abständen (mind. alle 90 Tage) geändert werden. Hoffentlich auf eines, welches noch nie verwendet wurde.

Wer sich schwer tut für alle Systeme ein eigenes Passwort zu merken, hat die Möglichkeit einen digitalen Passwort-Manager einzusetzen. Wie z.B.: "Keepass" keepass.info oder "Password Safe" www.passwordsafe.de. Mit diesen Programmen können sie eine Vielzahl an Passwörter generieren lassen. Der Vorteil daran ist, ihr müsst euch somit nur mehr ein Passwort merken, ein so genantes Masterpasswort. Allerdings bringt es nichts wenn ihr hierfür dann test123 verwendet.

   

Ein gutes Passwort:
- hat mindestens 13 Zeichen
- soll aus Groß -und Kleinbuchstaben sowie
- Sonderzeichen und Ziffern bestehen
- sollte wenn möglich nicht in Wörterbücher vorkommen
- hat ein Ablaufdatum und soll nach einer bestimmten Zeit gegen ein anderes ersetzt werden

    

Ein gutes Passwort sollte nicht:
- notiert werden
- aus Namen von Familienmitgliedern, Haustiere oder einem Geburtsdatum bestehen
- kein Tasterturmuster enthalten (z.B.: asdf)
- unverschlüsselt am PC herum liegen

   

Typo3 SICHER machen
Von Zeit zu Zeit wird von gehackten Typo3 Instanzen berichtet - wo sich Angreifer Zugang zum Backend verschafften. Damit kann dieser die Website komplett verändern bis hin zu Schadcode integrieren. Noch schlimmer wäre wenn der Angreifer die FTP oder SSH-Zugangssdaten herausfindet. Was dies bedeutet ist hoffentlich jedem klar - kompletter Zugriff. Dabei würde es den Angreifern viel schwerer gemacht werden, wenn nur die oben genanmten Hinweise beachtet werden.

Worauf sollte bei Typo3 geachtet werden? Bei jeder Neu-Installationen besteht das Backend-Login aus den Benutzernamen "admin" und dem Passwort "password". Nach der Installation nur das Passwort zu ändern hilft nichts. Zusätzlich sollte entweder der Benutzername durch einen anderen ersetzt werden, oder diesen generell entfernen. Im Innstall Tool ist ebenfalls gleich das Passwort zu ändern. Wer auf zusätzliche Sicherheit setzen möchte, kann sichere Backend-Passwörter über eine Extension erzwingen (be_secure_pw).

   

Absolut sicherer Passwortschutz
Das absolut sichere Passwort wird es vermutlich nie geben. Mit den oben genannten Hinweise kann es den Angreifern jedoch erheblich erschwert werden. Wer glaubt mit seiner unbekannten und kleinen Website nicht im Visier der Hacker zu stehen, irrt. Den wenigsten interessiert es bekannte Websites zu hacken, meist laufen solche Angriffe automatisch ab. Daher sollte bei jedem Projekt wo Zugangsdaten benötigt werden, ein paar Minuten in die Sicherheit investiert werden. Hat erst einmal ein Schaden statt gefunden, entsteht ein viel höherer Zeit und Kostenaufwand diesen zu beseitigen.

   

up to date
Damit eure Typo3 Website auch sicher bleibt sollte auf die Aktualität der Typo3 Version geachtet werden. Ebenfalls zu beachten ist die Aktualität der installierten Extensions in Typo3. Nicht mehr benötigte Extensions sollte nicht einfach nur deaktiviert werden sondern aus dem System entfernt werden. Es muss nicht nicht immer gleich die aktuellste Version eingesetzt werden, jedoch die Security updates unbedingt einspielen.

   

Es gibt mehrere Gründe für eine regelmäßige Wartung und Pflege Ihrer Website. Technische Updates bringen nicht nur neue Funktionen und Verbesserungen sondern schließen auch mögliche Sicherheitslücken und gewährleisten eine reibungslose Erreichbarkeit Ihrer Website. Durch Regelmäßige Updates, Backups, Daten­bank­sicherungen, inhaltliche Pflege und Link-Kontrolle können Fehler vermieden werden.

   

Bei allen Kunden von DerMacher IT & Web Solution wird eine jährliche Servicepauschale verrechnet, damit die Systeme und ihre Plugins immer aktuell gehalten werden können.

 

 

Christian Hager

Christian Hager ist leidenschaftlicher Web-Designer. DerMacher hat seinen Sitz in Marchtrenk und ist ein fairer Partner für alle Themen Ihres Internetauftritts. Hauptzielgruppe sind KMU, Freiberufler, NeugründerInnen und Vereine. Sie haben noch keinen Internetauftritt oder sind an einer mobilen Optimierung (Responsive Webdesign) Ihres Internetauftritts interessiert? Dann kontaktieren Sie mich noch heute, ich berate Sie gerne.

GET NOTIFICATIONS