Skip to content

Alle Default-Passwörter geändert?

Vielleicht habt ihr es mitbekommen: am letzten Wochenende waren große Websites wie Paypal oder Twitter längere Zeit unbenutzbar. Das lag an einer sogenannten DDoS-Attacke (Distributed Denial of Service).

Einfach ausgedrückt bedeutet das, das man so viele Anfragen an einen Webserver schickt, bis er durch Überlastung zusammenbricht. Bei einer kleinen Webseite, die über ein Billigangebot betrieben wird, kommt sowas öfter mal vor, wenn von einer »großen« Webseite darauf verlinkt wird. Passiert regelmäßig, wenn zum Beispiel Fefe von blog.fefe.de aus einen Link setzt.

Für Paypal ist gute Erreichbarkeit überlebenswichtig, deshalb haben die die schnellsten Datenleitungen, unzählige Rechenzentren und richtig viel Kapazität für alles. Eigentlich unvorstellbar, dass man die überlasten könnte.

Und doch ist es passiert. Das geht nicht mit einem einzelnen Rechner; dazu braucht es ein gewaltiges Netzwerk. Früher haben Hacker dazu schlecht gesicherte Computer übernommen und zu sogenannten Botnetzen verbunden. Für die aktuellen Attacken hätte das aber nicht gereicht.

Das geht anscheinend nur über die unzähligen miserabel geschützten Dinge, die mittlerweile zu Millionen im Internet hängen: Stichwort »Internet of Things« (IoT) oder einfacher ausgedrückt Überwachungskameras, Router, Videorecorder(!), Drucker – aller Kram, der eine Internetverbindung hat.

Üblicherweise haben die alle ein sogenanntes Default-Passwort, das man gleich nach Inbetriebnahme ändern soll. Weil Menschen bequem oder unwissend sind, wird das oft nicht gemacht. Mal ehrlich, habt ihr das Passwort für euren Router / Fritzbox / Wasauchimmer geändert? Wirklich? Und auch auf ein gutes Passwort und nicht auf einen der unglaublicherweise immer noch die Passworthitlisten anführenden Favoriten »12345«, »Passwort« oder »asdf«?

Also los. Jetzt kontrollieren und ändern. Wie man das macht verrät eine Googlesuche. Dabei wird sicher auch das Defaultpasswort mitgeliefert. Aber Achtung: die jahrelang bewährte Praxis, dass ein 8-10 stelliges Passwort aus Buchstaben, Zahlen und Sonderzeichen eine gute Wahl sei, gilt nicht mehr! Dank schneller Internetverbindungen und gestiegener Rechnerleistung wird sowas mittlerweile in Sekunden geknackt. Zumindest wenn das Gerät nicht nach einer Handvoll Falscheingaben gesperrt wird (nur deshalb kann man Bankkarten noch mit 4stelligen Pins benutzen). Je länger desto besser.

Weil man sich sowas schlecht merken kann, gibt es unterschiedliche Empfehlungen: entweder die Nutzung eines Passwortmanagers, der Zugangsdaten verschlüsselt speichert. Oder das gute alte Notizbuch. Solange man es nicht verliert oder neben der Tastatur liegen lässt. Wobei das zu Hause so eine Sache ist: wenn die bösen Jungs neben der Tastatur stehen, hat man ganz andere Probleme am Hals.

Weiterführenden (englischsprachigen) Lesestoff zum Thema liefert Experte Brian Krebs:

Auf Deutsch informiert Heise Security:

Nachtrag

Heute Abend das Router-Passwort überprüft. Natürlich viel zu kurz. Beim Ändern festgestellt, dass nur max. 14 Zeichen erlaubt sind. Und das können nur Zahlen und Buchstaben sein. Umlaute geht schon nicht. ARGH. Allerdings kann auch der Username 14 Zeichen lang sein (evil grin) Außerdem läuft das Ding nur, wenn auch der PC an ist. Naja.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Textile-Formatierung erlaubt
Formular-Optionen