Einfache Passwörter wie z. B. „sonne“ oder „hallo123“ reichen nicht aus, um Benutzerkonten effektiv vor Hackern zu schützen. Solche Passwörter können viel zu einfach erraten, oder durch verschiedene Formen von Wörterbuch-Attacken in Erfahrung gebracht werden.
Komplizierte Passwörter mit groß- und klein geschrieben Buchstaben, Zahlen und Sonderzeichen sind sehr sicher, jedoch für Benutzer nicht besonders einfach zu merken. Wählen Benutzer also ein einfaches Passwort, kann von Entwicklerseite dennoch einiges getan werden, damit Hackerangriffe auf Benutzerkonten nicht von Erfolg gekrönt sind:
Bei der Entwicklung sollte schon darauf geachtet werden, die Passworteingabe durch Sicherheitsmaßnamen wie z. B. die Passworteingaben auf max. 3 Eingaben pro Minute (Verzögerungen) zu reduzieren. Auch sollte eine Zeitstrafe von ca. 1 h eingesetzt werden, wenn z. B. ein Passwort zehnmal hintereinander falsch eingegeben wurde.
Weiter Informationen unter: The Usability of Passwords
Bei Zeitstrafen man immer gucken das man die richtige Person trifft.
Man sollte z.B. die Herkunftsadresse, nicht aber den Usernamen blockieren.
Warum?
Setzt sich ein böser Angreifer hin und „probiert“ mal eben 10 Passwörter aus darf der reguläre User 1 Stunde nicht arbeiten – das trifft nicht immer auf Verständnis.
Ein guter Weg sich ein sicheres Passwort zu suchen: Man nehme einen Satz, ersetze ggf einzelne Teile und nimmt dann nur Anfangsbuchstaben und Satzzeichen.
Bespiel:
Ich habe drei Hunde, Knut, Ruth und Alf.
Dann nimmt man als Passwort:
[I]ch [h]abe [d]rei [H]unde[,] [K]nut[,] [R]uth [u]nd [A]lf[.]
Also hat man: IhdH,K,RuA.
Bei Wunsch ersetzt man das d der drei durch die Zahl 3 (oder das I durch 1) und schon hat man ein sicheres und vor allem merkbares Passwort.
(nein dieser Satz ist jetzt verbrannt und sollte nichtmehr genutzt werden)
Gruß
Jan