Hallo,

Das alte Passwort war unsicher. Es bestand nur aus Zahlen und war nicht einmal lang...
Also gelernt: Passwörter immer schön komplex halten

ja, wähle ein Passwort immer so, dass auch jemand aus deinem unmittelbaren Umfeld, der dich gut kennt, dieses Passwort nicht in ein paar Versuchen erraten kann. Der Vorname oder das Geburtsdatum der Freundin ist also alles andere als geeignet für diesen Zweck. ;-)

Immer wieder gern genommen: Denk dir einen Satz aus, den du dir gut merken kannst und der möglichst auch Zahlenangaben enthält. Nimm dann die Anfangsbuchstaben der Wörter, die Ziffern und die Satz- und Sonderzeichen hintereinander als Passwort, behalte Groß- und Kleinschreibung bei. So hast du ein hinreichend komplexes Passwort, und kannst es dir dennoch gut merken.

Beispiel:  Im Sommer 96 war ich 2 Tage in Boston/Massachusetts.
ergibt:    IS96wi2TiB/M

Informiere aber trotzdem deinen Webhoster - er kann an der Zahl der Meldungen sehen, ob das bei dir ein Einzelfall war (dann war vielleicht wirklich "nur" dein FTP-Account durch das schwache Passwort das Problem) oder ob das bei anderen Kunden auch vorkam (dann hat er selbst dringend eine Baustelle in Ordnung zu bringen).

Ciao,
 Martin

Moin Moin!

ich habe mein Passwort geändert. Es besteht nun auch Zahlen, Buchstaben und Zeichen. Das alte Passwort war unsicher. Es bestand nur aus Zahlen und war nicht einmal lang...

Also gelernt: Passwörter immer schön komplex halten

Es wäre natürlich noch viel schöner, wenn man endlich mal von Telnet und FTP weg käme und stattdessen SSH mit Zertifikaten verwenden würde. *träum*

So lange kann man sich mit irgendeinem merkbaren, langen Zitat helfen. Ich nehm als Beispiel mal den ollen Schiller-Klassiker, der ab sofort bitte NICHT mehr für diese Methode benutzt wird:

"Fest gemauert in der Erden steht die Form, aus Lehm gebrannt."

Variante 1: Anfangsbuchstaben

fgidesdfalg -- zu einfach

Variante 2: Anfangsbuchtsaben mit Groß- und Kleinschreibung

FgidEsdFaLg -- schon besser

Variante 3: Satzzeichen mitnehmen

FgidEsdF,aLg. -- langsam wird es gut

Variante 4: etwas Leet Speek dazu:

F91d3$dF,aLg. -- gut genug für viele Fälle

Weitere Variationen:

* Letzer statt erster Buchstabe
* Rückwärts
* Erster und letzter Buchstabe (gerade bei kurzen Zitaten wie "Da werden Sie geholfen!", das jetzt auch "verbrannt" ist)
* Abwechselnd erster und letzer Buchstabe
* Erster Buchstabe vom ersten Wort, zweiter vom zweiten Wort, dritter vom dritten Wort, usw.
* Zahlwörter als Ziffern (ein, eine, eines, einer => 1)

Anfangs braucht man für solche Passworte etwas länger als für "qwertz", "geheim", "abc123", aber nach etwas Übung gehen die genauso schnell von der Hand.

Wenn eine Applikation das Passwort (sicher) speichert, kann man auch die maximal mögliche Passwort-Länge ausreizen und die halbe "Glocke" auf diese Art zu einem elendig langen Passwort verwursten.

Alexander

Moin!

Ändere unbedingt dein FTP-Passwort.

Das wird ihm vermutlich nichts bringen.

Doch. Denn wie Marco bereits gesagt hat, war sein altes Passwort viel zu kurz und bestand nur aus Ziffern. Sowas kann man mit Leichtigkeit durch Ausprobieren erraten, da muss niemand irgendwas sniffen.

Du bist innerhalb von relativ kurzer Zeit der dritte oder vierte Webspace-Inhaber, der sich hier im Forum mit einer infizierten Website meldet. Das kann nicht alles aufgrund von irgendwelchen Sicherheitslücken in verwendeten PHP-Skripten passieren, sondern dürfte eher an mangelnder Passwortsicherheit liegen.

Unsinn, wage ich zu behaupten. Nicht, weil es niemanden gäbe, der so dumm ist und etwas à la „passwort“ als Passwort verwenden täte, sondern weil es Schadprogramme, die den Netzwerkverkehr mitlesen und abgefangene Zugangsdaten weiterleiten, seit weit über 10 Jahren gibt.

Du meinst also, mangelnde Passwortsicherheit ist ein Hirngespinst? Sonst würdest du meine Aussage ja nicht als Unsinn bezeichnen.

Ich habe es schon selbst erlebt, wie sich "Admins" schnell mal einen User-Account mit Passwort angelegt haben, und dessen Zugangsdaten dann innerhalb von 24 Stunden durch Ausprobieren gefunden und innerhalb von 5 Minuten nach dem ersten Login-Erfolg des Bots von dem unautorisierten Eindringling ausprobiert und für seine Zwecke eingesetzt wurden. In einem konkreten Fall wurde dieser Einbruch eher zufällig entdeckt, weil der installierte IRC-Server plötzlich 100% eines CPU-Kerns belegt hat, was im Monitoring dann doch aufgefallen ist.

Passwortraterei macht man vielleicht da, wo Passworte verschlüsselt übertragen und nur einzelne Zugänge angegriffen werden sollen, aber doch nicht im Falle von FTP (wo gewissermaßen jeder mitlesen kann) und der Manipulation von Webseiten auf zweifelsohne unzähligen Domains (was mit Passwortraterei Jahrhunderte dauern würde).

Du hast keine Ahnung, was man als Server-Betreiber so abwehren muss. Passwort-Scanning ist absolut normaler Standard, meine Logfiles vom SSH-Server sind voll davon (FTP natürlich nicht, weil unverschlüsselt). Sniffen ist wesentlich schwieriger, als Scannen, und weil die bösen Buben reichlich Dronen in ihren IRC-Botnetzen haben, die auf Kommando ganze IP-Bereiche mit Standard-Usernamen und -Passworten scannen, und es immer irgendwelche Treffer gibt, ist das "Raten" von Passworten heutzutage einfach der einfachste Standardfall, auf den man trifft, wenn irgendwas "gehackt" wurde. Denn es wurde nicht "gehackt", es wurde die Blödheit des Account-Inhabers beim Passwortgenerieren ausgenutzt.

Gerade erst vor einigen Monaten gab's einigen Tumult wegen massenhaft verbreiteter PDF-Dokumente, die eine der Sicherheitslücken in Adobes PDF-Reader ausnutzen (und die Unbedarfheit aller, die ein Windows-Administratorenkonto fürs tägliche Allerlei einsetzen), um einen Netzwerksniffer zu installieren, der seinerseits FTP-Zugangsdaten abfängt und weiterleitet. Aufgefallen ist das alles wie? Durch auf „mysteriöse Weise“ immer wieder an die Webseiten angehängten Javascript-Code.

Klar, wäre möglich. Das wäre dann aber die nächste Erklärungsstufe, wenn Marco tatsächlich ein sicheres Passwort verwendet hätte.

Denn dein Szenario würde bedeuten, dass deutlich komplexere Dinge hätten ablaufen müssen:

• Marco hättet so ein PDF bekommen müssen
• es hätte durch den Spam-Filter durchgehen müssen [*]
• es hätte den Virenscanner passieren müssen [*]
• er hätte es öffnen müssen, ohne vorher mißtrauisch zu werden
• mit einem anfälligen Adobe-Reader
• auf einem angreifbaren Betriebssystem
• danach hätte der Sniffer erfolgreich installiert werden müssen
• und dann das Passwort abgreifen können
• welches zufällig schwach ist, weil kurz und nur aus Ziffern bestehend

[*] optional

Mein Szenario:

• Der Angreifer scannt den FTP-Zugang
• und hat mit seinen Account- und Passwortlisten Erfolg
• weil das tatsächliche Passwort nur Ziffern enthielt und kurz war

Welches Szenario ist wahrscheinlicher?

Kurzum:
5. Hoster suchen, der ein sichereres Protokoll als FTP unterstützt (was zugegebenermaßen schon für sich nicht ganz einfach ist und möglicherweise andere Probleme mit sich bringt, weil dann zwar die Übertragung sicher ist, aber das Angebot des Hosters gleichzeitig Dinge zulässt, von denen Unerfahrene besser die Finger lassen).

1&1 beispielsweise bietet zwar in allen ihren Dokumentationen FTP als Zugang an, aber mit denselben Zugangsdaten kann man auch SFTP machen. Einfach im Upload-Programm umstellen, und geht (vorausgesetzt, das Programm kann sowas - ich empfehle WinSCP, aber Filezilla kanns z.B. auch).

- Sven Rautenberg