please don't reuse your passwords 13. Mar 2010
Die meisten Menschen die ich kenne haben zwei bis drei Passwörter welche sie zufällig oder mit System in Kombination mit demselben Benutzernamen auf allen Websites verwenden. Manche dieser Passwörter sind vielleicht unsicher andere sind sicher. Das ist aber letztlich völlig egal, wenn der Betreiber einer gehackten Website keine gesalzenen Hashes verwendet hat sondern die Passwörter ungesalzen oder gar im Klartext abgespeichert hat. Jetzt kann man natürlich darauf spekulieren, dass es immer nur die anderen erwischt und man selbst mit seinem lausigen Passwortsystem davon kommt. Das mag vielleicht noch plausibel sein, wenn man nur eine handvoll Benutzerkonten bei Hochsicherheits-Websites hat, aber spätestens bei mehr als zwei dutzend Konten steigt die Wahrscheinlichkeit, dass einer der Dienste irgendwann mal gehackt wird stark an und im Falle eines Digital Natives mit seinen typischerweise mehreren hundert Benutzerkonten kann man mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass regelmäßig relevante Websites gehackt werden und diese darüber hinaus die Passwörter nicht sicher abspeichert haben. Oft werden diese Angriffe wahrscheinlich garnicht entdeckt. Ein veröffentlichter Angriff ist somit vermutlich nur als Spitze des Eisbergs anzusehen. Wieso mich das Thema gerade jetzt bewegt? Weil kürzlich mit Pauker eines der großen Wörterbucher im Netz gehackt worden ist. Die Passwörter waren - wie sollte es anders sein - im Klartext abgespeichert. Auch ich hatte dort ein Benutzerkonto, welches aber mit einem einzigartigen Passwort ausgestattet war, insofern hatte der Hack für mich keine nennenswerten Auswirkungen. Vielen anderen Benutzern wird sicherlich das kalte Grausen gekommen sein. Deswegen hier von meiner Seite nochmal der Appell unter keinen Umständen dasselbe Passwort für mehrere Benutzerkoten zu verwenden. Zur Verwaltung von Passwörtern gibt es mittlerweile auf allen Plattformen komfortable Passwortmanager. Auf dem Mac bieten sich beispielsweise 1Password, Wallet und AllSecure an. Wer Closed Source-Software prinzipiell für unsicher hält, für den gibt es unter anderem KeePassX.
Kommentare (1)