Auch im Corona- und Homeofficejahr 2020 ist die Zahlenkombination 123456 das beliebteste Passwort der Deutschen.
Das veröffentlichte das Hasso-Plattner-Institut – wie jedes Jahr – in einer Pressemeldung. Auf Platz 2 kommt 123456789, den dritten Platz erreicht passwort. Der erste Name taucht mit michael auf Platz 12 auf, michelle folgt bald dahinter auf 14.
Was in dieser Meldung erst einmal ganz witzig klingt, hat in der Tat einen ernsten Hintergrund. Hauptursache für erfolgreiche Cyberangriffe sind immer noch unsichere Passwörter. Dazu gehören solche Passwörter, wie sie oben genannt wurden, also zu kurze oder gut zu erratene Passwörter oder auch für mehrere Dienste verwendete Passwörter.
Ja, es ist anstrengend, sich für viele Accounts verschiedene und komplizierte Passwörter merken zu müssen (welche Passwörter sicher sind, wird übrigens in der oben zitierten PM noch einmal ausgeführt). Einige Dienste akzeptieren auch nur noch sichere Passwörter, z. B. Wordpress. Meiner Meinung sind das aber immer noch viel zu wenige.
Um die Passwörter zu verwalten, gibt es Hilfen: Masterpasswörter oder Passwortmanager wie z. B. KeePass. Außerdem sollte man zumindest wichtige Dienste mit der Zwei-Faktor-Authentifizierung absichern, d. h. es werden aus den drei Kategorien Wissen (z. B. Passwort), Biometrie (z. B. Fingerabdruck) und Besitz (z.B. Handy) zwei Faktoren gewählt und abgefragt. Das macht es Cyberkriminellen ungemein schwerer, den Zugang zu hacken und die Zugangsdaten zu stehlen. Übrigens sollte man auch solche voreingestellten Benutzernamen wie admin (in Wordpress z. B.), administrator, user, benutzer o. ä. ändern, um es potentiellen Hackern etwas schwerer zu machen.
Zum Thema gibt es auf der Lernplattform des HPI openHPI übrigens einen Kurs zum Selbststudium: Digitale Identitäten - Wer bin ich im Netz?
Wer mal testen möchte, ob seine Wordpress-Seite mit sogenannten Brute-Force-Attacken angegriffen wird, kann sich in WP ein Plugin wie Limit Login Attempts Reloaded installieren. Dabei sieht man dann u. U. hunderte von Angriffen pro Tag. Bei diesen Brute-Force-Angriffen versuchen Hacker mit Hilfe entsprechender Software durch einfaches Ausprobieren, die Kombination Benutzername-Passwort zu entschlüsseln. Nebenbei werden mit dem Plugin IP-Adressen nach mehrmaligen Fehlversuchen ausgesperrt, also eine Methode, gegen diese Brute-Force-Angriffe vorzugehen.
Vielleicht kann man sich zum neuen Jahr mal vornehmen, seine Passwörter zu überprüfen und neu einzurichten!
In letzter Zeit gibt es viele Spam-Kommentare, deswegen habe ich die Kommentarfunktion erst einmal abgeschaltet.
Einen Kommentar schreiben
Kommentar von Thomas |
Hallo, guter Tipp, genau das habe ich gerade gesucht. Beste Grüße, Thomas
Kommentar von Kristina |
Sehr genialer Tipp. Das brauchte ich! Vielen lieben Dank!
Kommentar von Alex |
DANKE! Ich hab auch eben danach gesucht und es klappt bestens.
Kommentar von Emanuel P. |
Bin gespannt, Backend ist leicht aber Frontend sind viele am Grübeln wegen des 401 Fehlers und es existiert leider keine gute Anleitung wi man 2FA fürs Frontend richtig konfiguriert (speziell Template Anpassung und security.yml)
Antwort von Anika Strobach
Danke für den Kommentar. Ich hoffe, ich habe bald die Zeit dazu!
Kommentar von Gerhard Hirt |
Guten Tag
Was kann ich tun, wenn z.B. bei der 7. Pos. die Meldung Zeitüberschreitung kommt?
Was ist der vermutliche Grund für diese Zeitüberschreitung.
Danke für eine kurze Antwort
Gerhard
Antwort von Anika Strobach
Vielen Dank für den Kommentar.
Die Zeitüberschreitung liegt normalerweise daran, dass die Internetverbindung zu langsam oder gestört ist, entweder bei Ihnen selber oder bei dem Server, auf dem Ihre Webseite liegt. Oft klappt es zu einem anderen Zeitpunkt.
Mehr kann ich leider aus der Ferne und mit den wenigen Infos nicht sagen.
Kommentar von Karsten |
Hallo,
ich habe das plugin installiert und aktiviert.
In einem Beitrag per code -> php-> pass = XXXX eingetragen
Es erfolgt keine Abfrage!
Codeschnipsel als weißes Feld!
Was mache ich falsch?
Der Beitrag ist einfach nur ein Link, den man nach Eingabe des richtigen Passwortes sehen soll.
Kommentar von Marion |
Hallo Anika,
danke für die hilfreiche Anleitung!
Weißt Du, ob man die 2FA problemlos wieder rückgängig machen kann?
Viele Grüße
Marion
Kommentar von Matthias Hechler |
Muss die DENIC denn nicht auch den Provider herausgeben?
Kommentar von Gottfried |
Hallo, 2FA ist ne super Sache, aber nun ist das Handy weg und ich habe noch eine Sicherung der Backup Codes. Muss ich den Codeblock nun ganz in des Feld eingeben?
Kommentar von Comichaot |
Hatte die letzten Tage vermehret Brutforce angriffe aber dank Limit Login Attempts Reloaded ist alles gut!
Kommentar von Michael Conrad |
Danke für den super Tipp! Das war genau das Steinchen, was mir auf den Weg zur Suche nach dem Webserver gefehlt hat.
Sie müssen sich anmelden, um Kommentare hinzuzufügen.