Sicherheit von Datenbanken (Seite 2)

Hi Roman,
ja, sehr aufschlußreich
Das Backup läuft automatisch über Strato, ich mache zusätzlich noch selber Backups. Also von der Seite bin ich eigentlich schonmal gut dabei.
Mit den Passwörtern werde ich mir was einfallen lassen Daran habe ich auch schon gedacht, es ist halt so das man es immer wieder hört, aber immer die selben Strickmuster an Passwörter hat ;-(

Aber ich habe jetzt meine FTP Zugänge deaktiviert, und schon kann ich weder über den WEB-FTP, noch über Frontpage Daten hochspielen. So viel ändere nicht, so muss ich es halt immer wieder aktivieren, aber der Sicherheit wegen....

Aber es jetzt nicht falsch, wenn ich sage, wenn ich keine FTP-Zugänge zulasse kann auch kein anderer was hochfahren auf meinen Webspace? Oder sehe ich das falsch?

Error-Logfiles ist 00, also keine Probleme derzeit.

Masterpasswort für die FTP-Zugänge sind geändert, mal schaun ob ich Blondie mir das komplizierte Ding merken kann lol

Also Strato ist schon recht sicher und da stehen auch einige Firewalls. Um zu überprüfen, ob sie auch aktiv sind, würde ich tatsächlich eine BF-A testen.

Den Vorgang mit den FTP-Zugang, dass Du sie erst aktivieren musst, bevor Du sie nutzen kannst, ist zwar ein Umweg, aber den halte ich für sicher. Gute Idee.

Wenn Du nun das Master-PW in regelmässigen Abständen änderst, sollte die Wahrscheinlichkeit für das Erlangen des PW\'s über eine BF-A in Richtung NULL laufen.

Super Heiko. Dann lasse ich das jetzt so und ändere das Masterpassword regelmäßig.

Ich habe leider nichts zu gefunden, was ist der BF-A Test? Wenn ich den bestehe wäre ich durch, aber wie geht der?

Eine Bekannte ist bei Strato gehackt worden. Ihr ganzer Onlineshop auf eine Virusseite umgeleitet worden, deshalb kam ich drauf, hatte mir bis dato zwar schon Gedanken gemacht, aber wie dat halt so iss.... lol

Hehe, sorry BF-A steht für BruteForce-Attack. Du ballerst so lange mit Passwörtern auf den Server, bis das richtige gefunden wurde. Da der Dienst aber deaktiviert ist, hast Du den Test soeben bestanden.
Halt!!, noch nicht ganz, denn eine Lücke gibt es noch. Das Master-Zugang über das MAster-PW.

Zu dem Thema Passwort-Sicherheit eine Frage:
gibt es ein Tool, einen Passwort-Safe oder so etwas, mit dem ich meine Passwörter sicher aufbewahren kann?
Roman hat unter anderem geschrieben, dass ich Passwörter eh mit einem Tool wie ethereal auslesen kann. Aber dazu müsste doch erst mal jemand in mein LAN eindringen. Ist euch eine Möglichkeit bekannt, zwischen Hausanschluss und Hoster einen Sniffer zu schalten?

Hallo Lutz,

da gibt es jede Menge Programme dafür, bei Chip ist oft eine kostenlose Version auf der Heft CD, oder hier:

www.chip.de/downloads/Password-Safe_17477253.html

Das beste PW ist im Kopf beinhaltet, hat nur das Problem, was tun, wenn ich es vergesse?
Darum ein einfacheres Master-PW merken und in einem unabhängigen System (iPhone) wird eine Datei(mit geschütztem Master-PW) hinterlegt, welche die anderen Passwörter beinhaltet.

Eine Textdatei könnte so aussehen:

dehgfksjndvalrg34534nmn4523rnmfnqke#
e#wr2348&/(§jknm(=?Inmbjgkjhv,nb,jh/"?=
üpm nsebfgtuzg&§534 ,.0998nmn,asdffkan
.Akudejfhnabvjhfguzr781ß8u2z512njabwelf
s$+´305i2o3jlkmwd,fmnbgleknh,mc bmnk1
A_sdvgstdvxetvcnhfmf,gk,,hjn56hhgnrbfgb ?
+?smnv,myxcv .jfdbvskcnxv .skdjfbnskdjfökj
äBölaskdfölkn78z023%"$%§/%$ghcfjgxjfdu

Nimmt man nun jedes 2tes Zeichen einer Reihe(das weiß man nur selber) bekommt man: e#pA$_?B <-- recht sicheres Passwort, finde ich, nun könnte man auch jedes 2tes und 7tes Zeichen nehmen und verdoppelt so recht einfach die PW-Länge. Mit der Liste kann sonst niemand etwas anfangen.

Bei Schulungen für Ältere gebe ich diesen Hinweis, für die PIN\'s für Handy und EC-Karten. Sie sollen sich einen Zahlenkombination ausdenken und in 20 Reihen niederschreiben.
Nur für sie lesbar sind nun jeweils die einzelnen PIN\'s.

Hier ging es ja richtig zur Sache.
Ja Lutz, da müsste jemand sich jemand einklinken. Was über Wlan recht oft möglich ist. Es ging mir eigentlich darum, ethereal selbst laufen zu lassen. So kann man sehen was im Klartext übertragen wird.
Mit dem Passwort-Safe ist das ne ordentliche Angelegenheit.

Idee: Wir erstellen ein Strategiepapier (auch für die verschiedenen CMS). Bei usern die sich unsicher sind und ein wenig mehr Sicherheit oder Gewissheit haben wollen könnte man so einen Test machen.

Wenn ein Anderer mal schaut ob alles in Ordnung ist kann das hilfreich sein. Ja|Nein|vielleicht

Hallo Roman,
das Strategiepapier halte ich für eine glänzende Idee.
Wie du sicher bemerkt hast, beschäftige ich mich gerade intensiv mit dem Thema Sicherheit.
Mir wäre es sehr recht, wenn ein Hacker meines Vertrauens meine Bemühungen testen würde.
Also ich bin dabei, wenn ich auch noch keinen Plan habe, was zu tun ist.

Guten Morgen,
@ Lutz:
Ich benutze den Chipdrive Passwort Key, und fühle mich damit relativ sicher.
24k Hardwareverschlüsselung und nach drei fehlerhaften Eingaben des Masterpasswords zerstört sich der Chip selbst. (Angeblich. Kann man ja schlecht ausprobieren...) Zusätzlich läuft der Stick auch nur da, wo die Software installiert wurde. Ansonsten wird er erst mal garnicht als Gerät erkannt.
Meine Passwörter sehen wie von Heiko beschrieben aus. Z.B. "Va11$ch!rm" (Fallschirm).
Natürlich wechsle ich regelmäßig die Passwörter. Und ab und zu ein Vaterunser...

Einen hackfreien Sonntag

Andreas