sichere Passwörter
Passwörter sollten nie im Klartext gespeichert werden, sondern nur verschlüsselt oder als Hash an einem Ort, der nicht jedem zugänglich ist. Die Passwörter, wenn es geht mit passenden Software, regelmäßig testen lassen und dem Benutzer Bescheid geben, wenn es als "Unsicher" eingestuft wurde. Den Benutzern die Möglichkeit geben auf einen Passwortgenerator zurückzugreifen. Wenn die Benutzer nicht allzu sehr bei der Passwortwahl eingeschränkt werden sollen, könnte man das Benutzerpasswort um einen geheimen Teil erweitern, so dass sich das Passwort aus 2 Teilen zusammensetzt.
Wenn das eingehalten wird und zusätzlich die Vorkehrungen bei der Anmeldung (siehe Anmeldeverfahren) berücksichtig werden, können "aktive" Angriffe gut abgewendet werden.
Angriffe können "aktiv" oder "passiv" passieren. Bei einem aktiven Angriff versucht eine Person (Skript, Programm) z.B. über das Loginformular hereinzukommen, während bei passiven Angriffen z.B. versucht wird die Verbindungsdaten mitzuschneiden um auf Benutzernamen und Passwörter zuschließen. Aktive Angriffe können relativ leicht in einen Protokoll festgehalten werden, passive leider nicht.
Nachdem ein Angreifer ein Passwort erraten hat und Zugang zu dem System bekommt, könnte er mit Hilfe eines lokal laufenden Programms versuchen weitere Passwörter zubekommen. Dabei ist sicherzustellen, dass er keinen Zugriff auf die verschlüsselten bzw. gehashten Passwörter bekommt. Er könnte dann per Vergleich auf den Verschlüsselungs- bzw. Hashalgorithmus schließen.
Wenn das eingehalten wird und zusätzlich die Vorkehrungen bei der Anmeldung (siehe Anmeldeverfahren) berücksichtig werden, können "aktive" Angriffe gut abgewendet werden.
Angriffe können "aktiv" oder "passiv" passieren. Bei einem aktiven Angriff versucht eine Person (Skript, Programm) z.B. über das Loginformular hereinzukommen, während bei passiven Angriffen z.B. versucht wird die Verbindungsdaten mitzuschneiden um auf Benutzernamen und Passwörter zuschließen. Aktive Angriffe können relativ leicht in einen Protokoll festgehalten werden, passive leider nicht.
Nachdem ein Angreifer ein Passwort erraten hat und Zugang zu dem System bekommt, könnte er mit Hilfe eines lokal laufenden Programms versuchen weitere Passwörter zubekommen. Dabei ist sicherzustellen, dass er keinen Zugriff auf die verschlüsselten bzw. gehashten Passwörter bekommt. Er könnte dann per Vergleich auf den Verschlüsselungs- bzw. Hashalgorithmus schließen.