Sicherheit erhöhen: Empfehlungen zur Passwortwahl

Die Wahl des Passwortes hängt entscheidend mit der Sicherheit eines Portales im Internet und auch Intranet zusammen.

Verwenden Sie für Login-Daten in frei zugänglichen Portalen  immer ein sicheres Passwort! Mit einer Aussage wie "... mich greift doch niemand an ..." handelt man nicht nur unverantwortlich gegenüber sich selber sondern auch gegenüber den Seitenbesuchern! Nicht selten nutzen Angreifer Portale zum Verbreiten von Viren und Trojanern bzw. um auf dubiose Seiten weiterzuleiten. Der Schaden wegen Bereinigung infizierter Webseiten wie auch der Image-Schaden und ggf. Schadensansprüche von Seitenbesuchern kann immens sein!

Allgemeine Empfehlungen

Für die Wahl des Passwortes sollten Sie u.a. folgende Punkte beachten:

  • Verwenden Sie ein sicheres Passwort (siehe auch weiterführende Links unten)
  • Notieren Sie Ihr Passwort entweder überhaupt nicht oder an einem sicheren Ort
  • Ändern Sie Ihr Passwort in regelmässigen Abständen
  • Verwenden Sie für unterschiedliche Portale unterschiedliche Passwörter
  • Verlassen Sie sich nicht ausschliesslich auf die Login-Funktion (Paßwort speichern) Ihres Browsers
  • Melden Sie sich nach der Sitzung wieder ab

In den weiterführenden Links unten finden Sie entsprechende Artikel, die diese Punkte detaillierter ausführen. Dort finden Sie auch einen Artikel zur Umsetzung einer Passwort Policy in Weblication®.

Sichere Passwörter in Weblication®

Weblication® CMS liefert Ihnen bei Bearbeitung eines Benutzers zum angegebenen Passwort eine Anzeige der Passwort Qualität.. Dies gibt Ihnen bereits einen allgemeinen Aufschluss über die Sicherheit des gewählten Passwortes.

Zusätzlich haben Sie ab Version 7.x die Möglichkeit, einen Gültigkeitszeitraum für das Passwort zu setzen. Dies kann optional auch für ein bestimmtes Intervall definiert werden, um den Benutzer ständig an ein Ändern des Passwortes zu erinnern. Über eigene Skripte können Sie zudem individuell auf Ihr Portal zugeschnitten die Handhabung der Passwortverwaltung steuern.

Ab Version 10.x können Sie in den Systemeinstellungen Passwortregeln festlegen, auf welche sich auch diverse Weblics® (Passwort ändern, Benutzerregistrierung, etc.) beziehen können.

Sichere Passwörter im Hostingpaket

Alle Zugriffsmöglichkeiten auf den Speicherplatz Ihres Servers bzw. Hostingpaketes sollten Sie mit sicheren Login-Daten versehen. Meist steht hierfür zumindest ein FTP-Login zur Verfügung, bzw. sogar ein sFTP- bzw. SSH-Login.

Für diese wichtigen Zugriffe ist es unabdinglich, sowohl den Benutzernamen und vor allem das Passwort so zu wählen, dass es potentiellen Angreifern / Hackern praktisch unmöglich wird, diese Daten zu knacken! Gehen Sie gerade mit diesen Daten äusserst achtsam um und geben Sie diese nur an vertrauenswürdige Personen weiter. Nach Abschluss von Arbeiten durch Dritte sollten Sie die preisgegebenen Login-Daten umgehend wieder löschen bzw. ändern. Ansonsten sollte das Intervall zum Ändern des Passwortes in kurzen Abständen erfolgen.
Vermeiden Sie es zudem, ein Haupt-Login, das z.B. auch für das Kundenmenü beim Provider verwendet wird, gleichzeitig als FTP-Login zu verwenden.

Wichtig:
Nutzen Sie als Verbindungstyp im FTP-Programm sFTP (over SSH), da beim FTP-Protokoll die Login-Daten unverschlüsselt (im Klartext) versendet werden! Löschen Sie Protokolle über FTP/SFTP/SSH-Sitzungen unmittelbar nach einer abgeschlossenen Sitzung.

Unsere Empfehlung zu FTP-/SSH-Programmen ist WinSCP, FlashFXP oder FileZilla, siehe weiterführende Links unten! In den jeweiligen FTP-Clients sollten Sie eingetragene FTP-Login Daten nur dann (dauerhaft) abspeichern, wenn das FTP-Programm diese Daten verschlüsselt auf dem Rechner speichert. Dies kann z.B. bei FlashFXP und WinSCP über ein Masterpasswort vorgenommen werden.
Sofern Login-Daten unverschlüsselt (im Klartext) auf einem Rechner abgelegt werden, besteht die Gefahr, dass diese bei einem Angriff bzw. Fremdzugriff auf den Rechner ausspioniert und missbraucht werden!

Wichtige Hinweise

  • Sensibilisieren Sie auch Ihre Kunden und Partner für dieses Thema, um die Zahl der Angriffe und Hacks so weit als möglich eingrenzen zu können!
  • Setzen Sie auch in Testumgebungen, Entwicklungsumgebungen, Demoumgebungen, etc. ein sicheres Passwort - gerade für einen Administrator! Als Benutzer vom Typ Administrator hat man alle Rechte und auch jederzeit die Möglichkeit, beliebig PHP-Code auszuführen. Je nach Hostingumgebung kann so auch Schaden auf andere Kunden bezogen angestellt werden!
    Ein Angreifer kann zudem Schadcode einbringen, der andere Seitenbesucher mit Viren, Trojanern, etc. schädigt bzw. ausspioniert, womit Sie als Seitenbetreiber ggf. auf Schadensersatz verklagt werden können!
    Eine Arbeit am Projekt - auch beim Aufbau einer Webseite - kann bei unberechtigtem Einstieg in das System sehr schnell zunichte sein!