|
Warum im
Internet surfen, wenn du darin tauchen kannst...
|
Eine vertiefte
Reise ins Internet und was damit zusammen hängt.
| |
INTERNET THEMA HEUTE:
Passworte |
---------------------------------------------------------------------------------------------------------
Hi All und weitere Grüsse vom Fusse des
Bözberges, aus Umiken, dem idyllischen Dorf am
Wasserschloss mitten im Aargau
---------------------------------------------------------------------------------------------------------
|
Passwort?
Wie war das doch gleich...? |
Heute
befassen wir uns mal mit der Sicherheit im
Internet (und nicht nur in diesem). Wenn wir uns
im Alltag bewegen, werden wir immer wieder mit
Sicherheitsaspekten konfrontiert. Sei es auf der
Bank, am Bancomat oder eben bei Zutrittssystem wie
dem PC oder dem Internet. Was bedeutet dies
eigentlich?
Eine Organisation, ein
Institut oder eine Firma stellt uns eine
Dienstleistung zur Verfügung. Beispielsweise die
Bank: Sie verwaltet - hoffentlich gewinnbringend -
unser Geld. Wenn wir einkaufen holen wir, für
kleinere Beträge wie zum Beispiel am Kiosk, am
Bancomat Geld oder, bei grösseren Geschäften oder
Beträgen, bezahlen wir gleich mit der Kreditkarte.
Wir wollen natürlich sicher sein, dass keine
unberechtigte Person Geld von unserem Konto
abhebt. Aus diesem Grunde stellt uns die Bank eine
Karte und eine sogenannte PIN (persönliche
Identifikations Nummer) zur Verfügung. Damit
weisen wir uns gegenüber einem Automaten und damit
gegenüber der Bank als diejenige Person aus,
welche wir zu sein behaupten.
Bei
Kreditkarten ist es sogar noch einfacher: Der
Name, wie er auf der Karte steht, die Kartennummer
und das Ablaufdatum genügen, um Einkäufe zu
tätigen. Ist sie deshalb nicht fürs Internet
geeignet?
Überlege dir folgendes Szenario:
Wenn du in einem verrufenen Restaurant mit laufend
wechselndem Personal mit deiner Kreditkarte
bezahlst, gehst du unter Umständen ein höheres
Risiko ein als beim Bezahlen im Internet - wobei
ich stillschweigend seröse, also bekannte Firmen
voraussetze. Der Kellner kann nämlich die Angaben
kopieren und von zu Hause aus Geschäfte tätigen.
Im Internet dagegen, seriöse Dienstleister wie
erwähnt vorausgesetzt, werden unsere Daten
verschlüsselt übertragen, damit keiner auf der
Übertragungsstrecke "mithören" kann. Sichtbar ist
eine solche sichere Übertragung an einer
entsprechenden Meldung, an einem geschlossenen
Schloss links unten im Netscape Browser Fenster
oder am sichtbaren Schloss halb rechts im Internet
Explorer von Microsoft oder an der Adresse, die
mit https:// beginnt. Wir sollten solche sensible
Daten nur nicht weitergeben und ebenfalls nicht
aufschreiben. Der Zettel unter der Tastatur ist
übrigens ein sehr schlechter Ort, ca. 80%
derjenigen Benutzer, welche ihre Passwörter
aufschreiben, benutzen dieses "Versteck".
Das A und O für sicheren Umgang heisst
also: keine Weitergabe dieser Daten. Somit sind
wir wieder beim PC. Wir identifizieren uns am PC
mit Benutzername und Passwort um Zugang zum
Rechner zu erhalten (ich gehe jetzt mal davon aus,
dass wir Windows 98 und Vorgänger hinter uns
lassen und von "richtigen", sprich sicheren
Betriebssystemen reden, also Windows NT4.0 Windows
2000 oder Windows XP). Eine unberechtigte Person
wird es also schwerer haben, unsere Daten auf dem
PC lesen, oder noch schlimmer, löschen oder
verändern zu können, wenn wir uns auf diese Weise
identifizieren müssen.
Wenn wir uns ins
Internet einloggen identifizieren wir uns
gegenüber dem Internet Service Provider (ISP)
wiederum mit Benutzername und Passwort. Es ist
wahrscheinlich nicht in unserem Interesse, dass
jemand unsere e-Mails lesen kann. Wenn wir dann
noch Einkäufe tätigen, werden wir uns genau wie
oben am Beispiel der Bank beschrieben gegenüber
dem Anbieter identifizieren.
Du siehst
also: Es gibt überall Hürden, die aber unserer
Sicherheit dienen. Nun kommt aber genau das
Problem. Einerseits verlangen wir Sicherheit, auf
der andern Seite kann ich mir so viele Passwörter
gar nicht merken. Die Lösung: Alle Passworte
aufschreiben und an den Bildschirm heften? So
sicher nicht, aber wie denn?
Ich kenne aus
meiner früheren Tätigkeit im Helpdesk viele
Benutzer die einfach zu erratende Passworte
wählen: den eigenen Vornamen, den Namen der
Freundin, des Hundes oder die eigene Autonummer.
Die Benutzer haben mir übrigens die Passworte, die
sie glaubten zu benutzen, jeweils freiwillig
mitgeteilt, auch ein Administrator kann Windows
Passworte nicht ohne weiteres lesen, sondern nur
auf einen Vorgabewert zurücksetzen. Also sollten
wir nicht leicht zu merkende oder mit unserer
Person in Verbindung zu bringende Passworte
wählen. Auch lexikalische Begriffe sind
ungeeignet. Mit entsprechenden Programmen ist es
ein leichtes, ganze Wörterbücher in Sekunden
durchzuprobieren. Ein Angreifer wäre binnen
kürzester Zeit erfolgreich.
Eine
Möglichkeit wäre zum Beispiel, wenn schon einen
Namen verwenden, diesen zu verfälschen. Beispiel:
ein Bergliebhaber wählt "Jungfrau" (den Berg!). Er
kann dann diesen verändern zu beispielsweise
"juNgFrrau", also Gross-/Kleinschreibweise ändern
und ein oder mehrere Buchstaben verdoppeln. Noch
besser wäre Sonderzeichen zufügen wie zum Beispiel
"juNg!Frrau@".
Eine andere Möglichkeit:
Man nimmt einen beliebigen Satz, den man sich
merken kann, wie für unseren Bergliebhaber: "Meine
Ferien verbringe ich dieses Jahr auf der
Jungfrau". Man wählt aus diesem Satz jeweils den
ersten Buchstaben, das Passwort lautet demnach
"MFvidJadJ". Dieses Passwort ist nicht einfach zu
erraten. Anmerkung nebenbei: ein gutes Passwort
besteht aus mindestens acht Zeichen.
So
nun haben wir "gute" Passwörter. Was aber mit der
Menge, soll ich überall dasselbe Passwort
benutzen, es ist ja kaum knackbar? Du weisst die
Antwort sicher bereits: NEIN! Meine Empfehlung:
Teile deine Gebiete, wo du Login Informationen
eingeben musst, in Risiko Kategorien ein. Zum
Beispiel: Mein PC (Kat.1), mein ISP für e-Mails
(Kat.2), Kostenpflichtige Einkäufe (Kat.3) und
Kat.4 für diejenigen Webseiten, wo ich mich
registrieren muss ansonsten aber keine Bedeutung
haben (die möglichen Junk Mails wie in einem
früheren Newsletter beschrieben).
Unser
Bergliebhaber würde also für jede Kategorie einen
andern Berg wählen. Für mehrere Dienstleister in
Kat.3 könnte er, um es noch ein wenig sicherer zu
machen, das Passwort irgendwo noch zusätzlich mit
einer Zahl oder einem Zeichen versehen damit es
sich von amazon.de und cede.ch unterscheidet.
Ich hoffe, ich habe dich ein wenig von der
Sicherheit im Internet überzeugen können und
wünsche dir viel Freude im Umgang mit sicherem
Arbeiten im Internet.
|
| |
| |