WordPress nicht so ganz sicher installieren

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

Martin Leyrer findet Unsicherheit in Georg Holzers Futurezone-Artikel „Wie man WordPress sicher installiert„. Folgt man nämlich Holzers Installationsanleitung, werden die Login-Daten unverschlüsselt vom Browser an den Server übertragen.

Schade, dass dem Video keine Anleitung zur Installation und Konfiguration von WordPress mit SSL folgt… aber was noch nicht ist, kann ja noch werden.

Passwörter verschlüsselt speichern? Sicher nicht!

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

Weiterlesen

Warum Passwörter immer leichter zu knacken sind #

Ein herrlich informativer, schrecklich beängstigender und den Glauben an selbst ausgedachte (aber dennoch „gute“) Passwörter auf ein Minimum reduzierender Artikel auf ars technica: Why passwords have never been weaker – and crackers have never been stronger.

Der detaillierte Artikel zusammengefasst: Je öfter Hacker durch Datenlecks und nicht genügend gesicherte Speichersysteme an tatsächlich verwendete Passwörter rankommen, desto besser werden die Algorithmen, um noch unbekannte Passwörter knacken zu können.

Der vielleicht wichtigste Hinweis im ganzen Artikel:

The most important attribute of any passcode is that it be unique to each site. (…) It’s also important that a password not already be a part of the corpus of the hundreds of millions of codes already compiled in crackers‘ word lists, that it be randomly generated by a computer, and that it have a minimum of nine characters to make brute-force cracks infeasible. Since it’s not uncommon for people to have dozens of accounts these days, the easiest way to put this advice into practice is to use program such as 1Password or PasswordSafe. Both apps allow users to create long, randomly generated passwords and to store them securely in a cryptographically protected file that’s unlocked with a single master password. Using a password manager to change passcodes regularly is also essential.

iPhone „Daten löschen“ bringt nichts #

Es macht keinen Sinn, seinen sicheren Passcode auf iPhone oder iPad gegen einen einfachen (zB: eine 4-stellige PIN) auszutauschen, dafür aber die Option „Daten löschen“ zu aktivieren, denn diese Option ist bei einem realen Angriff irrelevant:

The attack of the sort used by XRY gets beneath the software that would keep that count of attempts, so „Erase after N failed attempts“ does not protect against this kind of attack.

You are absolutely correct that if you do set „Erase after N failed attempts“ someone could maliciously or accidentally destroy the data on your phone.

Die im Zitat erwähnte Software „XRY“ ist allerdings nicht ganz so „erfolgreich“ wie hier suggeriert wird.

Gmail Paranoia #

Max Mansick über die Sicherheit von E-Mails per se als das eigentliche Problem.

There’s been some recent buzz about how it’s bad that Google is „reading“ the email of Gmail users. Google examines email algorithmically to power its targeted advertising in Gmail. This practice would be worth worrying about only if email was otherwise secure it’s not and if it was likely to hurt users it isn’t. Ironically, switching away from Gmail could reduce, not enhance, email security.

Dennoch heißt es im letzten Absatz:

With that said, I think it’s a bad idea to use a @gmail.com address (or any other domain name you don’t own). If Google – or your email service of choice – does turn evil or shuts down, at best you have to change your email address, and at worst they own a critical part of your online identity.

Doch richtig gehandelt!