Dass man nicht bei allen seinen Accounts dasselbe Passwort verwenden sollte, hört man oft genug. Aber mal Hand aufs Herz: Beherzigen Sie das immer? Schließlich meldet man sich heutzutage an so vielen Stellen im Internet an, dass man die Passwörter unmöglich alle im Kopf behalten kann.
Ein Beispiel, wie unangenehm Bequemlichkeit werden kann, liefert heute das
Forum zu phpBB.
Wie sollte man also handeln?
Fakt ist: eigentlich jede Internetseite, auf der man sich registriert hat, kann gehackt werden, auch oder gerade wenn es sich um einen großen und professionellen Auftritt handelt. Denn Sicherheitslücken können sich überall ergeben; Programmierer - selbst die besten - sind eben auch nur Menschen.
Nebenbei sei erwähnt, dass es sich nach Aussagen der Betreiber nicht um eine Sicherheitslücke der beliebten Forensoftware phpBB selbst handelt.
Große Portale sind natürlich immer gern ein Ziel für solche Crack-Versuche.
Benutzerdaten sind grundsätzlich in Datenbanken auf einem Server gespeichert. Wenn jemand es schafft, diesen zu knacken und die Datenbank auszulesen, hat er alle Daten - inklusive der Benutzernamen, der E-Mail-Adressen und der verschlüsselten Passwörter.
Aber die Passwörter sind doch verschlüsselt? Ja, aber ganz sicher ist leider auch das nicht. Meistens wird das Passwort nämlich per MD5-Hash verschlüsselt. Dabei kann man zwar das Passwort nicht mehr aus dem MD5-Hash errechnen. Aber wer Böses im Schilde führt, dem ist kein Aufwand zu gering. Man generiere ganz viele potenzielle Passwörter und lasse die dazugehörigen MD5-Hashes errechnen. Das Ganze kommt in eine Tabelle bzw. Datenbank (oft in Form einer
Rainbow Table), und schon kann man sich zu ganz vielen verschlüsselt gespeicherten Passwörtern das eigentliche Passwort bestimmen lassen. Das Ganze ist dann zwar etwas rechenintensiver, aber wer Böses im Schilde führt ...
Etwas sicherer lebt man auf jeden Fall, wenn man keine 08/15-Passwörter oder Begriffe, die im Wörterbuch zu finden sind, verwendet.
Schutz bietet ein so genanntes
Salt, wenn der Seitenbetreiber so etwas denn in seine Verschlüsselungsroutine einbaut.
Kommen wir aber nun wieder zur eigentlichen Problematik: im Falle von phpBB hat es einige Benutzer
kalt erwischt. Und so manch einer beschwert sich nun - obwohl er selbst den “Fehler” gemacht hat. Immerhin haben die Betreiber umgehend eine Mail an alle potenziell Betroffenen verschickt und ihnen somit die Chance zum schnellen Handeln (= ggf. Ändern ihrer Passwörter -
auf anderen Seiten) gegeben.
Wieviel Vorsicht ist aber nun angebracht? Die ellenlange Passwort-Liste an der heimischen Pinnwand dürfte den Einbrecher oder Gast natürlich auch entzücken. Eventuell hilft ein Passwort-Manager.
Wer aber lieber faul ist, der sollte doch immerhin eins beherzigen: zumindest für alle Dienste, bei denen es unangenehme Folgen geben kann und bei denen ja ohnehin irgendwie fast jeder einen Account hat, auf jeden Fall immer ein eigenes Passwort und am besten auch einen anderen Benutzernamen (ist ohnehin besser für den Schutz Ihrer persönlichen Daten) verwenden! Dazu gehören beliebte Online-Auktionshäuder und -Buchhändler sowie alles andere, was in irgendeiner Form mit Bezahlung verbunden sein könnte, selbst wenn man bislang nichts bestellt hat oder einen Kostenlos-Account hatte. Auf keinen Fall dasselbe Passwort wie für den E-Mail-Account verwenden! Gleiches gilt auch für alle Dienste, bei denen man seine persönlichen Daten für andere zugänglich macht - wenn wir z.B. mal die üblichen sozialen Netzwerke nehmen. Oder möchten Sie, dass jemand Ihr Xing-Profil verunstaltet?
Kurz: alles ausschließen, womit grober Missbrauch betrieben werden könnte.
Inwieweit Sie immerhin für all Ihre Foren-Accounts dasselbe Passwort nehmen möchten, müssen Sie abwägen. Im worst case postet jemand unter Ihrem Namen etwas, für das Sie haftbar gemacht werden. Dies dürfte aber nicht die oberste Priorität bei den Hackern besitzen. Es sei denn - auch das ist denkbar - sie verkaufen die Daten an Spammer weiter.
Und natürlich gilt: nach einer solchen Meldung immerhin auf dem betroffenen Account das Passwort ändern - natürlich in eines, das Sie sonst noch nirgendwo verwenden!
