Jeder weiß, das es am sichersten ist, wenn man zur Registrierung auf einer Webseite ein möglichst kompliziertes Passwort auswählt. Da man sich diese viele unterschiedlichen und schwierigen Passwörter leider nicht immer merken kann und in dieser Hinsicht bequem ist, benutzt man dann letztendlich den selben Benutzernamen und Passwort.
Kommen nun Betrüger in den Besitz des Passworts, können sie dieses auch bei anderen Diensten verwenden, dazu werden einfach die bekanntesten kommerziellen Webseiten abgeklappert.
Ein sicheres Passwort sollte Sonderzeichen enthalten und sich in der Groß- und Kleinschreibung unterscheiden. Eine gute Möglichkeit ist, die Anfangsbuchstaben der Wörter eines längeren Satzes zu nutzen, z.B. «Der Wolf und die sieben jungen Geislein» ergibt das Passwort «DWud7jG».
Eine weitere Möglichkeit bietet das Tool namens PwdHash , welches für jede Website ein spezifisches Passwort kreiert. Es verwendet dazu den Domain-Namen der besuchten Seites sowie das eingegebene Passwort, um bei der Eingabe automatisch mittels Hash-Funktion eine Zeichenfolge für die entsprechende Website zu erstellen. Erst das wird dann für die Anmeldung auf der Seite benutzt. Phishing – Seiten haben so keine Chance mehr, an die Kennwörter zu gelangen.
Dieses Tool kann online genutzt werden oder als Erweiterung im Firefox Browser installiert werden.
Wie funktioniert PwdHash nun?
Nach der Installation der Erweiterung im Firefox begibt man sich auf die gewünschte Webseite, wo der neue Account angelegt werden soll.
Bei der Aufforderung ein Passwort einzugeben, drückt man zuerst die 
oder gibt die Zeichenfolge 
ein, und erst danach wird das eigentliche Passwort gesetzt, z.B 123456.
Durch diese Eingabe wird dem PlugIn vermittelt, dass das eingegebene Kennwort als Hash übermittelt werden soll. Daraufhin wird aus der Domain und dem eingegebenen Passwort ein absolut einmaliges Passwort generiert und übermittelt.
Beim Einloggen auf der Internetseite muss nicht das kompliziert-generierte Passwort eingegeben werden, sondern man drückt vor der Eingabe des Passwortes wieder oder die Zeichenfolge und anschließend das eigentliche (einfache) Passwort. PwdHash rechnet es dann wieder in das echte, nur auf dieser Seite passende Kennwort um, und man kann sich wie gewohnt anmelden.
Auf diese Weise kann man auch bei bestehenden Accounts sein Passwort ändern.
Befindet man sich an einem fremden Rechner, ohne die Erweiterung PwdHash, kann man auf der Seite PwdHash aus dem Pseudo Kennwort das echte ermitteln lassen. Einfach dort die gewünschte Domain und das dazugehörige allgemeine Passwort – ohne oder eingeben und den HashCode generieren lassen. Mit diesem Passwort kann man sich jetzt auf der gewünschten Webseite auch ohne die Erweiterung PwdHash anmelden. Dabei wird weder das allgemeine noch das echte Kennwort übers Internet übertragen, so dass man auch hier nicht ausspioniert werden kann.
 |
|
Solche Verfahren lassen sich nur dann einsetzen, wenn der Anwender das Passwort frei wählen kann, was beim PIN/TAN-Verfahren fürs Online-Banking meist nicht der Fall ist. |
|
|
|
Mit der PwdHash-Erweiterung muss man sich nur das als Grundlage für die Hash-Codes verwendete Passwort merken und generiert trotzdem für jede Webseite ein eigenes Passwort, ohne dass das Höchstmaß an Sicherheit dabei verloren geht, denn Passwörter wie MPm8kRYQvmGg sind nur durch extreme Gewalt (sprich Rechenzeit) zu knacken. Ein weiterer Vorteil besteht darin, dass für jede Webseite ein eigenes Passwort generiert wird. Weiterer Vorteil: Landet der Nutzer auf einer gefälschten Website, können Betrüger mit dem eingegebenen Passwort nichts anfangen. Da die falsche Seite nicht auf der gleichen Domain liegt, wird eine andere Zeichenfolge generiert. |
|
|
|
Danke für diesen sehr guten, informativen, kurz und knapp gehaltenen Artikel.
Ich habe für die Benutzer unseres Portals einen Backlink hierher gesetzt.