Warum registrieren? Nur als registriertes Mitglied vom ABAKUS Forum hast Du vollen Zugriff auf alle Funktionen unserer Website.

Welche Passwörter sollten sicher sein? (WP, DB, FTP ,...)

Forum rund um das Thema Hardware für Webmaster.
Content2019
PostRank 1
PostRank 1
Beiträge: 13
Registriert: 03.01.2019, 20:02

Beitrag von Content2019 » 31.03.2019, 08:17

Hallo,

ich bin gerade etwas verloren bei dem Thema Passwörter. Klar soweit ist natürlich, dass ich keine echten Wörter nutze, sondern eine Kombination von Zeichen mit Groß- und Kleinschreibung, Sonderzeichen und Zahlen.

Für mein zweites Projekt habe ich mich auch gleich bei einem anderen Hosting-Anbieter registriert, weil dieser vermeintlich besser ist lt. diverser Internet-Reviews. Langfristig soll dann das erste Projekt auch zu diesem Hosting-Provider, im Moment läuft alles noch parallel.

An Nutzernamen und Passwörtern hat man also mindestens:
- Nutzername / Passwort beim Hosting-Anbieter
- Nutzername / Passwort Wordpress
- Nutzername / Password Datenbank für Wordpress
- Nutzername / Passwort FTP
- evtl. noch weitere Sachen wie phpmyadmin, Web-FTP etc.

Jetzt frage ich mich, welche Passwörter gleich sein dürfen und welche nicht? Security alles schön und gut, aber wenn ich mich irgendwann mal komplett von meiner Seite ausschließe, habe ich auch nichts gekonnt.

Andererseits, welche Passwörter dürfen keinesfalls gleich sein? Welche Passwörter sind sogar quasi öffentlich, mehr oder weniger?

Zum Beispiel das Passwort der Datenbank für Wordpress steht ja in der WP-Config im Klartext. Dort sollte ich vermutlich kein Passwort nutzen, was anderweitig wichtig ist. Und jeder mit Zugriff auf FTP hat auch ganz ohne Hacking etc. Zugriff auf das DB-Passwort demzufolge.

Ich kann ja dort dann auch keine semi-abgewandeltes Passwort nutzen. Beispiel was ja oft gemacht wird, es wird ein sehr sicheres Passwort genommen und dort durch Suffix, Präfix etc. immer für jeden Dienst ein individuelles, sicheres Passwort generiert. Aber wenn dort jemand an dieses im Klartext gespeicherte DB-Passwort kommt, dann sieht er ja evtl. den Präffix/Suffix etc. pp.

Die Frage wäre ja auch, wo überhaupt gehackt wird? Wordpress-Login klar, der wird selbst auf kleinen Seiten täglich dutzendfach angegriffen. Aber versuchen Leute auch FTP-Hacking? Damit bekommt man dann ja auch Vollzugriff auf Wordpress, im Prinzip?

[btk]tobi
PostRank 8
PostRank 8
Beiträge: 890
Registriert: 11.10.2004, 06:02
Wohnort: Stuttgart
Kontaktdaten:

Beitrag von [btk]tobi » 31.03.2019, 09:19

Oh man ernsthaft?

- Nutzername / Passwort beim Hosting-Anbieter
Solltest du dir merken können falls du dich mal aussperrst, wobei die meisten Provider wohl eine PW vergessen Funktion haben.

- Nutzername / Passwort Wordpress
Kann irgendwas sein und im Browser gespeichert werden. Zur Not kann man es über die DB neu setzen. Ein sicheres PW lohnt sich natürlich nur wenn man SSL verwendet, sonst reicht auch einfach "passwort".

- Nutzername / Password Datenbank für Wordpress
Brauchst du selber ja eigentlich nie außer du verwendest hier das selbe das du auch verwendest wenn du deine DB per phpmyadmin kaputt optimierst.

- Nutzername / Passwort FTP
Wer heute noch FTP benutzt muss sich um Sicherheit keine Sorgen machen. Das ist so Unsicher da kann man auch direkt überall "passwort" als Passwort benutzen. Verbindungen zum Server macht man per SSH und am besten mit Zertifikat, dann braucht man auch kein Passwort.

Gruß Tobi

PostRank 4
PostRank 4
Beiträge: 115
Registriert: 09.10.2010, 09:55

Beitrag von » 31.03.2019, 09:54

[btk]tobi hat geschrieben:Oh man ernsthaft?
Das klingt mir in der Tat nach einer ernsthaft gemeinten Frage.

Ich nutze für alles je kryptische Passwörter, die ich mir nicht merken kann. Auch meine WP-Nutzernamen sind "kryptisch" bzw. entsprechen nicht dem angezeigten Namen auf der jeweiligen Seite (z. B. in den Kommentaren). Seit Jahren nutze ich einen Passwortmanager auf meinen verschiedenen Geräten. Hier ist die Passwort-Datei (ebenfalls seltsamer Dateiname, komische Dateiendung) nebst Schlüsseldatei natürlich sehr wichtig. Die darf keinesfalls verloren gehen. Daher ist hier ein Backup Pflicht.

Aber was ist mit den gespeicherten Passwörtern im Browser, FTP-Programm? Wird der Laptop gestohlen, hat man auch gleich Zugriff auf meine Seiten. Daher befinden sich die Profilordner dieser Programme bei mir in einem "Truecrypt-Container". Der wird dann zu einer virtuellen Partition, die zunächst durch ein Master-Passwort eingehangen werden muss. Erst dann kann der Browser, das FTP-Programm gestartet werden. Auf dieser Partition befinden sich dann natürlich noch alle anderen privaten Daten.

[btk]tobi
PostRank 8
PostRank 8
Beiträge: 890
Registriert: 11.10.2004, 06:02
Wohnort: Stuttgart
Kontaktdaten:

Beitrag von [btk]tobi » 31.03.2019, 09:58

Wenn du FTP nutzt muss ich nicht deinen Laptop stehlen um Zugriff auf deine Webseite zu bekommen. Da reicht es wenn ich das gleiche W-LAN wie du benutze. Alles was du per FTP überträgst geht in Klartext durch das Netz und kann problemlos mitgelesen werden. Das gilt auch für Passwörter.

Gruß Tobi

Content2019
PostRank 1
PostRank 1
Beiträge: 13
Registriert: 03.01.2019, 20:02

Beitrag von Content2019 » 01.04.2019, 00:02

Gilt letzteres auch für SFTP? Das ist ja zumindest heute Standard.

Laptop stehlen finde ich wieder rum kein realistisches Szenario. Der Dieb wird alles formatieren und verkaufen. Müsste ja eh dann erst mal das Windows-Passwort "hacken". Die WP-Hacker sind doch irgendwelche Leute aus sonstwo, aber nicht Hinz und Kunz von nebenan.

Alles kryptisch machen und sichern wäre eine Option, klar (also z.B. auch offline in einem Ordner - wie auch beim Laptop-Fall halte ich es nicht für eine realistische Angriffsstrategie, in eine Wohnung einzubrechen, dort nach Passwort-Dokumenten zu suchen und dann damit auf WP zuzugreifen um damit dann was zu machen? Für 3 Tage bis der Hack entdeckt ist eigene Werbung zu schalten?).

Nochmal oben zum Argument: Verwendet man ja eigentlich nie selbst. Tja, das ist die Falle. Passwörter, die du nie eingeben musst, sind ja diese, welche du vergisst. Mein Windows-Passwort werde ich nie vergessen, gebe ich täglich ein. GMail-Passwort vor kurzem geändert und dann fragt man sich erstmal, wie es war. Wenn es dann pseudo-kryptisch ist, keine Chance...

staticweb
PostRank 9
PostRank 9
Beiträge: 1162
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 01.04.2019, 08:59

Doppelt verwendete E-Mail- / Passwort-Kombinationen sollten grundsätzlich vermieden werden.

Denke dir ein sicheres SSH/SFTP Passwort aus und nutze FTP nie unverschlüsselt, dann sind auch deine Hosting-Daten (realtiv) sicher.

Rem
PostRank 10
PostRank 10
Beiträge: 3809
Registriert: 08.12.2005, 18:45

Beitrag von Rem » 01.04.2019, 17:21

Kann irgendwas sein und im Browser gespeichert werden.
Nein. Ja nie. Genug grausame Erfahrungen mit gespeicherten Passworten gemacht. Höchstwahrscheinlich Trojaner eingefangen, der die PW-Datei auslas. Allerdings vor Jahren...
Dann schon eher auf einem Stück Papier aufschreiben, wenn man es sich nicht merken kann und das Papier verstecken.

Nur so nebenbei: Man kann auch testen, ob PWs bereits vorhanden sind (also gecracked wurden):
https://haveibeenpwned.com/Passwords
Ich gebe mal keine Gewähr, dass der Typ die PWs nicht selbst sammelt. Ist aber interessant, einfache Dinge zu testen, um zu sehen, was irgendwelche anderen Leute so nutzen. peter123 ... oder ähnlich...

vielleicht kannst Du für alle Dienste
'082kjlöj+logfiöl+"Dienstnamen" nutzen. Wenn es dann einfacher ist.
Zuletzt geändert von Rem am 01.04.2019, 17:32, insgesamt 1-mal geändert.
Kostengünstige Fremdwährungstransfers und Umtausch (EUR, USD, GBP, CHF etc), eigene Konti in den USA, UK, AU und in UK. Ich empfehle Transferwise . Neu mit nahezu kostenloser Multiwährungs-Debit-Kreditkarte.

staticweb
PostRank 9
PostRank 9
Beiträge: 1162
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 01.04.2019, 17:30

> Ich gebe mal keine Gewähr, dass der Typ die PWs nicht selbst sammelt.

Deshalb besser hier testen:

https://sec.hpi.de/ilc/search

Rem
PostRank 10
PostRank 10
Beiträge: 3809
Registriert: 08.12.2005, 18:45

Beitrag von Rem » 01.04.2019, 17:42

https://sec.hpi.de/ilc/statistics
PolniyPizdec110211 auf Platz 992? Das Passwort macht für mich einen sicheren Eindruck.
Vermutlich sollte man PWs noch in Google Translate checken, weil man aus versehen ja Polnische Namen eintippen könnte. LOL
Kostengünstige Fremdwährungstransfers und Umtausch (EUR, USD, GBP, CHF etc), eigene Konti in den USA, UK, AU und in UK. Ich empfehle Transferwise . Neu mit nahezu kostenloser Multiwährungs-Debit-Kreditkarte.

staticweb
PostRank 9
PostRank 9
Beiträge: 1162
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 01.04.2019, 17:45

> PolniyPizdec110211 auf Platz 992? Das Passwort macht für mich einen sicheren Eindruck.

Da fehlen Sonderzeichen. Außerdem zu viele Wiederholungen.

arnego2
PostRank 9
PostRank 9
Beiträge: 1455
Registriert: 23.02.2016, 13:55
Kontaktdaten:

Beitrag von arnego2 » 01.04.2019, 18:22

Kurz gegen Lang.
https://whatisapassphrase.com/

Kurz war IMHO schwerer zu knacken als lange PSW.
Arnego2 <VideoContent>

staticweb
PostRank 9
PostRank 9
Beiträge: 1162
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 01.04.2019, 18:32

Passphrases sind auch mein Favorit. Die haben den Vorteil, dass man sie nicht aufschreiben/speichern muss und können trotzdem sicher sein.

nerd
PostRank 10
PostRank 10
Beiträge: 4037
Registriert: 15.02.2005, 04:02

Beitrag von nerd » 01.04.2019, 22:13

Warum benutzt hier keiner einen vernuenftigen password manager...?!
RoboForm legt alle passwoerter verschluesselt im user directory ab, kann damit leicht mit anderen computern im netzwerk syncronisiert werden und hat browser extentions.

Ein einziges, gutes und kompliziertes passwort ist trotzdem fuer die katz sobald es einmal irgendwo gelekt ist.
Meine passwoerter sind alle zufaellige buchstaben und zahlenkombinationen. Wenn eine seite mein passwort verliert, hat der angreifer zugriff auf den einen account; aber nicht auf alle meine anderen accounts und online dienste.

staticweb
PostRank 9
PostRank 9
Beiträge: 1162
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 01.04.2019, 22:21

> Warum benutzt hier keiner einen vernuenftigen password manager...?!

Würde ich niemals verwenden. Browser sind von Haus aus unsicher.

> Ein einziges, gutes und kompliziertes passwort ist trotzdem fuer die katz sobald es einmal irgendwo gelekt ist.

Deswegen sollte man eine modifizierbare Passphrase verwenden.

Rem
PostRank 10
PostRank 10
Beiträge: 3809
Registriert: 08.12.2005, 18:45

Beitrag von Rem » 01.04.2019, 23:00

5-6 PWs kann man sich merken. Ich habe für recht unbekannte Dienste (regionales, nichts mit Geld) durchaus das selbe PW ... ist halt Müll...
Ein einziges, gutes und kompliziertes passwort ist trotzdem fuer die katz sobald es einmal irgendwo gelekt ist.
Womit wir wieder hier wären:
https://haveibeenpwned.com/Passwords

Ich sollte mal für AWS 2-Faktor-Authentifizierung installieren, FB hat mich übrigens letzthin tatsächlich nach einer Mobil-Nummer gefragt...
Kostengünstige Fremdwährungstransfers und Umtausch (EUR, USD, GBP, CHF etc), eigene Konti in den USA, UK, AU und in UK. Ich empfehle Transferwise . Neu mit nahezu kostenloser Multiwährungs-Debit-Kreditkarte.

Antworten