Sicherheit erhöhen: Empfehlungen zum Umgang mit Logindaten

Sensible und vertrauliche Daten erfordern einen höchstmöglichen Schutz.
Auf Server- und Webserver-Ebene kommen für diesen Schutz vielfältige und hochkomplexe Sicherheitsmechanismen im Rechenzentrum und dessen Umgebung zum Einsatz. Hierzu gehören auf Kundenseite die Wahl eines sicheren Passwortes, welches in gebührenden Abständen erneuert werden sollte.

Sichere Passwörter zum Hostingpaket

Alle Zugriffsmöglichkeiten auf den Speicherplatz Ihres Servers bzw. Hostingpaketes sollten Sie mit sicheren Login-Daten versehen. Dies gilt in erster Linie für den Zugang zum Kundenmenü / Controlcenter, wie auch für Datenbanken, FTP, sFTP, SSH und andere Login-Möglichkeiten.

Für diese wichtigen Zugriffe ist es unabdinglich, sowohl den Benutzernamen und vor allem das Passwort so zu wählen, dass es potentiellen Angreifern / Hackern praktisch unmöglich wird, diese Daten zu knacken! Gehen Sie gerade mit diesen Daten äusserst achtsam um und geben Sie diese nur an vertrauenswürdige Personen weiter. Nach Abschluss von Arbeiten durch Dritte sollten Sie die preisgegebenen Login-Daten umgehend wieder löschen bzw. ändern. Ansonsten sollte das Intervall zum Ändern des Passwortes in kurzen Abständen erfolgen.
Vermeiden Sie es zudem, ein Haupt-Login, das z.B. auch für das Kundenmenü verwendet wird, gleichzeitig als FTP-Login zu verwenden.

FTP / sFTP / SSH:
Nutzen Sie als Verbindungstyp im FTP-Programm sFTP (over SSH), da beim FTP-Protokoll die Login-Daten unverschlüsselt (im Klartext) versendet werden! Löschen Sie Protokolle über FTP/SFTP/SSH-Sitzungen unmittelbar nach einer abgeschlossenen Sitzung.

Unsere Empfehlung zu FTP-/SSH-Programmen ist WinSCP, FlashFXP oder FileZilla, siehe weiterführende Links unten! In den jeweiligen FTP-Clients sollten Sie eingetragene FTP-Login Daten nur dann (dauerhaft) abspeichern, wenn das FTP-Programm diese Daten verschlüsselt auf dem Rechner speichert. Dies kann z.B. bei FlashFXP und WinSCP über ein Masterpasswort vorgenommen werden.
Sofern Login-Daten unverschlüsselt (im Klartext) auf einem Rechner abgelegt werden, besteht die Gefahr, dass diese bei einem Angriff bzw. Fremdzugriff auf den Rechner ausspioniert und missbraucht werden!

Sichere Passwörter für E-Mail Postfächer

Wählen Sie für die Mailboxen Ihrer E-Mail Adressen ein sicheres Passwort und ändern Sie dieses von Zeit zu Zeit. Das Änderungsintervall hängt von individuellen Faktoren ab, wobei eine Änderung in mindestens jährlichem Intervall meist zu empfehlen ist.

Bedenken Sie bei der Änderung von Mailbox-Passwörtern, die Personen zu informieren, welche die Mailbox-Daten in E-Mail Clients und ggf. auch in Webanwendungen verwenden (z.B. für den Einsatz eines SMTP-Servers für Formular- und Newsletterversand)!

Sichere Passwörter für Contentmanagement-Systeme (CMS)

Wählen Sie für das von Ihnen eingesetzte CMS bzw. sonstige Webanwendungen ein sicheres Passwort und ändern Sie dieses von Zeit zu Zeit. Das Änderungsintervall hängt von individuellen Faktoren ab, wobei eine Änderung in mindestens jährlichem Intervall meist zu empfehlen ist.

Allgemeines / Links

Sensibilisieren Sie auch Ihre Mitarbeiter, Kunden und Partner für dieses Thema, um die Zahl der Angriffe und Hacks so weit als möglich eingrenzen zu können!

  • Setzen Sie auch in Testumgebungen, Entwicklungsumgebungen, Demoumgebungen, etc. ein sicheres Passwort - gerade für einen Administrator! Als Benutzer vom Typ Administrator hat man alle Rechte und auch jederzeit die Möglichkeit, beliebig PHP-Code auszuführen. Je nach Hostingumgebung kann so auch Schaden auf andere Kunden bezogen angestellt werden!
    Ein Angreifer kann zudem Schadcode einbringen, der andere Seitenbesucher mit Viren, Trojanern, etc. schädigt bzw. ausspioniert, womit Sie als Seitenbetreiber ggf. auf Schadensersatz verklagt werden können!
    Eine Arbeit am Projekt - auch beim Aufbau einer Webseite - kann bei unberechtigtem Einstieg in das System sehr schnell zunichte sein!