SlideShare ist ein Scribd-Unternehmen logo

Wie sicher ist mein Passwort?

Als PPTX, PDF herunterladen
libertello GmbH
libertello GmbH

Wie sehen sichere Passwörter aus? Wie kann man sich sichere Passwörter merken? Was sind Passwort-Manager? Wie macht WordPress Passwörter sicher?

Internet
1 von 20
Wie sicher ist mein Passwort? Marc Nilius - @marcnilius - @WPSicherheit WordPress Meetup Köln
Wie sicher ist dein Passwort? Wieviele Zeichen? Welche Zeichen? Kleinbuchstaben? Großbuchstaben? Sonderzeichen?
Verschiedene Arten von Angriffen Social Engineering -> Passwörter ohne private Infos Keylogger / Ausspähen -> Virus auf lokalem Rechner -> Diebstahl von Zetteln Brute-Force-Angriff
Was ist ein Brute-Force-Angriff? Brute-Force-Angriff: Zugriff durch Ausprobieren aller Möglichkeiten mit „roher Gewalt“ Online: z.B. WordPress-Login, Zugriff über das Internet (langsam) Offline: Durch vorangegangenen Hack/Diebstahl Zugriff auf die Datenbank. Dann Durchprobieren der Passwörter auf lokalem Computer (schnell)
Wie lange dauert es, bis ein Passwort geknackt ist? Passwort, 8 Zeichen lang, bestehend aus: Großbuchstaben A-Z, Kleinbuchstaben a-z, Zahlen 0-9 HDMuMp9Y Online (1000 Versuche/Sekunde): 7000 Jahre Offline (großes Array): 2,22 Sekunden Mit Sonderzeichen: rJl=32aY Online (1000 Versuche/Sekunde): 213.000 Jahre Offline (großes Array): 1,12 Minuten
Wie lange dauert es, bis ein Passwort geknackt ist? Demo: https://www.grc.com/haystack.htm
Wie lange dauert es, bis ein Passwort geknackt ist?
Wie sieht ein sicheres Passwort aus?
Wie sieht ein sicheres Passwort aus?
Wie sieht ein sicheres Passwort aus? - mindestens 12 Zeichen lang - je länger, desto besser - keine Einzelwörter (wegen Wörterbuchattacken) - aber Passphrasen / ganze Sätze - keine Zitate - keine anderen Sätze, die sich in Büchern finden - Am besten mehrere Wörter ohne direkten Zusammenhang - wer ein klassisches Passwort verwenden möchte: - Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen
Wie sieht ein sicheres Passwort aus? Wer sich auf die Password Strength Bars verlässt, ist verlassen…
Wie bleibt mein Passwort sicher? - Passwort nicht wiederverwenden - Passwort alle 6 – 12 Monate bei allen Services ändern Beispiel: Basis-Passwort: 5aXGdeJYZwrG Für Ebay: ebay_5aXGdeJYZwrG nächstes PW: ebay_5aXGdeJYZwrG-02 Für Facebook: fb_5aXGdeJYZwrG nächstes PW: fb_5aXGdeJYZwrG-02 Für Google: goo_5aXGdeJYZwrG nächstes PW: goo_5aXGdeJYZwrG-02 Usw. Weitere Möglichkeit: Single-Sign-On mit Facebook, Google, Twitter o.ä. Nachteile: evil ;-)
Passwort-Manager - wie verwalte ich Passwörter? Mit Passwort-Managern kann man komfortabel alle notwendigen Passwörter verwalten und auch sichern Besser als das „Blatt Papier“ neben dem Rechner Nachteil: Wird der Rechner kompromittiert, sind alle Passwörter auf einmal unsicher Deswegen: Der Passwort-Manager muss besonders gut gesichert werden (sehr langes Passwort, 2-Faktor-Authentifizierung mit Smartphone, Key-Datei auf USB-Stick)
Passwort-Manager - wie verwalte ich Passwörter?
Passwort-Manager - wie verwalte ich Passwörter? Darauf sollte man bei der Auswahl achten: - keine Cloud-Lösung (auch wenn es praktisch erscheint) - Gute Verschlüsselung (AES256 oder besser) - Verschlüsselung nicht nur der Passwörter, sondern auch der Metadaten! - Zugriff mit Passwort, besser aber 2-Faktor-Authentifizierung oder Key-Datei - Open-Source bietet die Sicherheit, dass der Code intensiv geprüft wurde Ich nutze: KeePass (http://www.keepass.info)
WordPress: Wie stehts um die Passwörter? - WordPress generiert selbst starke Passwörter beim Anlegen eines Benutzers - Unsichere Passwörter sind durch den Benutzer möglich (aber nicht sinnvoll!)
WordPress: Wie stehts um die Passwörter? - Passwörter stehen nicht im Klartext in der Datenbank - Passwörter werden gehashed - WordPress benutzt leider die unsichere Hashingmethode MD5 - … mit Salt – macht es ein wenig besser - Hintergrund: Rückwärtskompatibilität von WordPress bis zu PHP 5.2 - Besser wäre bcrypt (ab PHP 5.5) - Beispielhaft mit diesem Plugin: https://github.com/roots/wp-password-bcrypt - … installieren als MU-Plugin
WordPress: Wie stehts um die Passwörter? Sicherheits-Suiten (Wordfence, iThemes Security, …) haben eine Einstellung, um starke Passwörter zu erzwingen Meine Empfehlung: Das Plugin WP Password Policy Manager (https://de.wordpress.org/plugins/wp-password-policy-manager/) Diverse Möglichkeiten für starke Passwörter: - Mindestlänge, bestimmte Zeichentypen müssen enthalten sein - regelmäßig neue Passwörter (werden beim Login eingegeben) - neues Passwort muss anders sein, als die letzten X Passwörter
WordPress: Wie stehts um die Passwörter? WP Password Policy
Mehr zum Thema WordPress-Sicherheit Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Twitter: @WPSicherheit und @marcnilius Facebook-Gruppe: “WordPress Sicherheit”

Empfohlen

"Was, SSH kann auch das?" @ Linuxwochen Wien 2013
"Was, SSH kann auch das?" @ Linuxwochen Wien 2013"Was, SSH kann auch das?" @ Linuxwochen Wien 2013
"Was, SSH kann auch das?" @ Linuxwochen Wien 2013Martin Leyrer
 
Remote training 2015
Remote training 2015Remote training 2015
Remote training 2015iheschool
 
Credit card offers in uae
Credit card offers in uaeCredit card offers in uae
Credit card offers in uaeshahena89
 
Passwort-Sicherheit - WEB.DE Studie 2012 (Convios Consulting GmbH)
Passwort-Sicherheit - WEB.DE Studie 2012 (Convios Consulting GmbH)Passwort-Sicherheit - WEB.DE Studie 2012 (Convios Consulting GmbH)
Passwort-Sicherheit - WEB.DE Studie 2012 (Convios Consulting GmbH)1&1
 
Insurance Claims for Hail on Slate Roofs
Insurance Claims for Hail on Slate Roofs Insurance Claims for Hail on Slate Roofs
Insurance Claims for Hail on Slate Roofs blackdiamondslate
 
We_Like
We_LikeWe_Like
We_LikeKishan Jalan
 
Abhijit patil cv
Abhijit patil cvAbhijit patil cv
Abhijit patil cvAbhijit Patil
 
Abhijit patil cv[1]
Abhijit patil cv[1]Abhijit patil cv[1]
Abhijit patil cv[1]Abhijit Patil
 

Empfohlen

"Was, SSH kann auch das?" @ Linuxwochen Wien 2013
"Was, SSH kann auch das?" @ Linuxwochen Wien 2013"Was, SSH kann auch das?" @ Linuxwochen Wien 2013
"Was, SSH kann auch das?" @ Linuxwochen Wien 2013Martin Leyrer
 
Remote training 2015
Remote training 2015Remote training 2015
Remote training 2015iheschool
 
Credit card offers in uae
Credit card offers in uaeCredit card offers in uae
Credit card offers in uaeshahena89
 
Passwort-Sicherheit - WEB.DE Studie 2012 (Convios Consulting GmbH)
Passwort-Sicherheit - WEB.DE Studie 2012 (Convios Consulting GmbH)Passwort-Sicherheit - WEB.DE Studie 2012 (Convios Consulting GmbH)
Passwort-Sicherheit - WEB.DE Studie 2012 (Convios Consulting GmbH)1&1
 
Insurance Claims for Hail on Slate Roofs
Insurance Claims for Hail on Slate Roofs Insurance Claims for Hail on Slate Roofs
Insurance Claims for Hail on Slate Roofs blackdiamondslate
 
We_Like
We_LikeWe_Like
We_LikeKishan Jalan
 
Abhijit patil cv
Abhijit patil cvAbhijit patil cv
Abhijit patil cvAbhijit Patil
 
Abhijit patil cv[1]
Abhijit patil cv[1]Abhijit patil cv[1]
Abhijit patil cv[1]Abhijit Patil
 
Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterGunther Pippèrr
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere PasswörterBjörn Wibben
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitArian Kriesch
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Securitystk_jj
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?OMM Solutions GmbH
 
Mehr sicherheit für private haushalte
Mehr sicherheit für private haushalteMehr sicherheit für private haushalte
Mehr sicherheit für private haushalteSebastian Harke
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkUdo Ornik
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside CryptopartyJohann-Peter Hartmann
 
Was ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeWas ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeFederico Elles
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitVirtual Forge
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 

Weitere ähnliche Inhalte

Ähnlich wie Wie sicher ist mein Passwort?

Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterGunther Pippèrr
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere PasswörterBjörn Wibben
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitArian Kriesch
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Securitystk_jj
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Mehr sicherheit für private haushalte
Mehr sicherheit für private haushalteMehr sicherheit für private haushalte
Mehr sicherheit für private haushalteSebastian Harke
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenMag.Natascha Ljubic
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkUdo Ornik
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Was ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeWas ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeFederico Elles
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointBernd Hoyer
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitVirtual Forge
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenMag.Natascha Ljubic
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 

Ähnlich wie Wie sicher ist mein Passwort? (20)

Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere Passwörter
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Security
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
 
Mehr sicherheit für private haushalte
Mehr sicherheit für private haushalteMehr sicherheit für private haushalte
Mehr sicherheit für private haushalte
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside Cryptoparty
 
Was ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeWas ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habe
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerce
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für Handelsagenten
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
 

Wie sicher ist mein Passwort?

  • 1. Wie sicher ist mein Passwort? Marc Nilius - @marcnilius - @WPSicherheit WordPress Meetup Köln
  • 2. Wie sicher ist dein Passwort? Wieviele Zeichen? Welche Zeichen? Kleinbuchstaben? Großbuchstaben? Sonderzeichen?
  • 3. Verschiedene Arten von Angriffen Social Engineering -> Passwörter ohne private Infos Keylogger / Ausspähen -> Virus auf lokalem Rechner -> Diebstahl von Zetteln Brute-Force-Angriff
  • 4. Was ist ein Brute-Force-Angriff? Brute-Force-Angriff: Zugriff durch Ausprobieren aller Möglichkeiten mit „roher Gewalt“ Online: z.B. WordPress-Login, Zugriff über das Internet (langsam) Offline: Durch vorangegangenen Hack/Diebstahl Zugriff auf die Datenbank. Dann Durchprobieren der Passwörter auf lokalem Computer (schnell)
  • 5. Wie lange dauert es, bis ein Passwort geknackt ist? Passwort, 8 Zeichen lang, bestehend aus: Großbuchstaben A-Z, Kleinbuchstaben a-z, Zahlen 0-9 HDMuMp9Y Online (1000 Versuche/Sekunde): 7000 Jahre Offline (großes Array): 2,22 Sekunden Mit Sonderzeichen: rJl=32aY Online (1000 Versuche/Sekunde): 213.000 Jahre Offline (großes Array): 1,12 Minuten
  • 6. Wie lange dauert es, bis ein Passwort geknackt ist? Demo: https://www.grc.com/haystack.htm
  • 7. Wie lange dauert es, bis ein Passwort geknackt ist?
  • 8. Wie sieht ein sicheres Passwort aus?
  • 9. Wie sieht ein sicheres Passwort aus?
  • 10. Wie sieht ein sicheres Passwort aus? - mindestens 12 Zeichen lang - je länger, desto besser - keine Einzelwörter (wegen Wörterbuchattacken) - aber Passphrasen / ganze Sätze - keine Zitate - keine anderen Sätze, die sich in Büchern finden - Am besten mehrere Wörter ohne direkten Zusammenhang - wer ein klassisches Passwort verwenden möchte: - Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen
  • 11. Wie sieht ein sicheres Passwort aus? Wer sich auf die Password Strength Bars verlässt, ist verlassen…
  • 12. Wie bleibt mein Passwort sicher? - Passwort nicht wiederverwenden - Passwort alle 6 – 12 Monate bei allen Services ändern Beispiel: Basis-Passwort: 5aXGdeJYZwrG Für Ebay: ebay_5aXGdeJYZwrG nächstes PW: ebay_5aXGdeJYZwrG-02 Für Facebook: fb_5aXGdeJYZwrG nächstes PW: fb_5aXGdeJYZwrG-02 Für Google: goo_5aXGdeJYZwrG nächstes PW: goo_5aXGdeJYZwrG-02 Usw. Weitere Möglichkeit: Single-Sign-On mit Facebook, Google, Twitter o.ä. Nachteile: evil ;-)
  • 13. Passwort-Manager - wie verwalte ich Passwörter? Mit Passwort-Managern kann man komfortabel alle notwendigen Passwörter verwalten und auch sichern Besser als das „Blatt Papier“ neben dem Rechner Nachteil: Wird der Rechner kompromittiert, sind alle Passwörter auf einmal unsicher Deswegen: Der Passwort-Manager muss besonders gut gesichert werden (sehr langes Passwort, 2-Faktor-Authentifizierung mit Smartphone, Key-Datei auf USB-Stick)
  • 14. Passwort-Manager - wie verwalte ich Passwörter?
  • 15. Passwort-Manager - wie verwalte ich Passwörter? Darauf sollte man bei der Auswahl achten: - keine Cloud-Lösung (auch wenn es praktisch erscheint) - Gute Verschlüsselung (AES256 oder besser) - Verschlüsselung nicht nur der Passwörter, sondern auch der Metadaten! - Zugriff mit Passwort, besser aber 2-Faktor-Authentifizierung oder Key-Datei - Open-Source bietet die Sicherheit, dass der Code intensiv geprüft wurde Ich nutze: KeePass (http://www.keepass.info)
  • 16. WordPress: Wie stehts um die Passwörter? - WordPress generiert selbst starke Passwörter beim Anlegen eines Benutzers - Unsichere Passwörter sind durch den Benutzer möglich (aber nicht sinnvoll!)
  • 17. WordPress: Wie stehts um die Passwörter? - Passwörter stehen nicht im Klartext in der Datenbank - Passwörter werden gehashed - WordPress benutzt leider die unsichere Hashingmethode MD5 - … mit Salt – macht es ein wenig besser - Hintergrund: Rückwärtskompatibilität von WordPress bis zu PHP 5.2 - Besser wäre bcrypt (ab PHP 5.5) - Beispielhaft mit diesem Plugin: https://github.com/roots/wp-password-bcrypt - … installieren als MU-Plugin
  • 18. WordPress: Wie stehts um die Passwörter? Sicherheits-Suiten (Wordfence, iThemes Security, …) haben eine Einstellung, um starke Passwörter zu erzwingen Meine Empfehlung: Das Plugin WP Password Policy Manager (https://de.wordpress.org/plugins/wp-password-policy-manager/) Diverse Möglichkeiten für starke Passwörter: - Mindestlänge, bestimmte Zeichentypen müssen enthalten sein - regelmäßig neue Passwörter (werden beim Login eingegeben) - neues Passwort muss anders sein, als die letzten X Passwörter
  • 19. WordPress: Wie stehts um die Passwörter? WP Password Policy
  • 20. Mehr zum Thema WordPress-Sicherheit Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Twitter: @WPSicherheit und @marcnilius Facebook-Gruppe: “WordPress Sicherheit”