Sicherheit erhöhen: Empfehlungen zum Umgang mit Logindaten
Sensible und vertrauliche Daten erfordern einen höchstmöglichen Schutz.
Auf Server- und Webserver-Ebene kommen für diesen Schutz vielfältige und hochkomplexe Sicherheitsmechanismen im Rechenzentrum und dessen Umgebung zum Einsatz. Hierzu gehören auf Kundenseite die Wahl eines sicheren Passwortes, welches in gebührenden Abständen erneuert werden sollte.
Sichere Passwörter zum Hostingpaket
Alle Zugriffsmöglichkeiten auf den
Speicherplatz Ihres Servers bzw. Hostingpaketes sollten Sie mit sicheren
Login-Daten versehen. Dies gilt in erster Linie für den Zugang zum Kundenmenü / Controlcenter, wie auch für Datenbanken, FTP, sFTP, SSH und andere Login-Möglichkeiten.
Für diese wichtigen Zugriffe ist es unabdinglich, sowohl den
Benutzernamen und vor allem das Passwort so zu wählen, dass es
potentiellen Angreifern / Hackern praktisch unmöglich wird, diese Daten
zu knacken! Gehen Sie gerade mit diesen Daten äusserst achtsam um und
geben Sie diese nur an vertrauenswürdige Personen weiter. Nach Abschluss
von Arbeiten durch Dritte sollten Sie die preisgegebenen Login-Daten
umgehend wieder löschen bzw. ändern. Ansonsten sollte das Intervall zum
Ändern des Passwortes in kurzen Abständen erfolgen.
Vermeiden Sie es
zudem, ein Haupt-Login, das z.B. auch für das Kundenmenü verwendet wird, gleichzeitig als FTP-Login zu verwenden.
FTP / sFTP / SSH:
Nutzen Sie als Verbindungstyp im
FTP-Programm sFTP (over SSH), da beim FTP-Protokoll die Login-Daten
unverschlüsselt (im Klartext) versendet werden! Löschen Sie Protokolle
über FTP/SFTP/SSH-Sitzungen unmittelbar nach einer abgeschlossenen
Sitzung.
Unsere Empfehlung zu FTP-/SSH-Programmen ist WinSCP, FlashFXP oder
FileZilla, siehe weiterführende Links unten! In den jeweiligen
FTP-Clients sollten Sie eingetragene FTP-Login Daten nur dann
(dauerhaft) abspeichern, wenn das FTP-Programm diese Daten verschlüsselt auf dem Rechner speichert. Dies kann z.B. bei FlashFXP und WinSCP über ein Masterpasswort vorgenommen werden.
Sofern
Login-Daten unverschlüsselt (im Klartext) auf einem Rechner abgelegt
werden, besteht die Gefahr, dass diese bei einem Angriff bzw.
Fremdzugriff auf den Rechner ausspioniert und missbraucht werden!
Sichere Passwörter für E-Mail Postfächer
Wählen Sie für die Mailboxen Ihrer E-Mail Adressen ein sicheres Passwort und ändern Sie dieses von Zeit zu Zeit. Das Änderungsintervall hängt von individuellen Faktoren ab, wobei eine Änderung in mindestens jährlichem Intervall meist zu empfehlen ist.
Bedenken Sie bei der Änderung von Mailbox-Passwörtern, die Personen zu informieren, welche die Mailbox-Daten in E-Mail Clients und ggf. auch in Webanwendungen verwenden (z.B. für den Einsatz eines SMTP-Servers für Formular- und Newsletterversand)!
Sichere Passwörter für Contentmanagement-Systeme (CMS)
Wählen Sie für das von Ihnen eingesetzte CMS bzw. sonstige Webanwendungen ein sicheres Passwort und ändern Sie dieses von Zeit zu Zeit. Das Änderungsintervall hängt von individuellen Faktoren ab, wobei eine Änderung in mindestens jährlichem Intervall meist zu empfehlen ist.
Allgemeines / Links
Sensibilisieren Sie auch Ihre Mitarbeiter, Kunden und Partner für dieses Thema, um die Zahl der Angriffe und Hacks so weit als möglich eingrenzen zu können!
- Setzen Sie auch in
Testumgebungen, Entwicklungsumgebungen, Demoumgebungen, etc. ein
sicheres Passwort - gerade für einen Administrator! Als Benutzer vom Typ
Administrator hat man alle Rechte und auch jederzeit die Möglichkeit, beliebig PHP-Code auszuführen. Je nach Hostingumgebung kann so auch Schaden auf andere Kunden bezogen angestellt werden!
Ein Angreifer kann zudem Schadcode einbringen, der andere Seitenbesucher mit Viren, Trojanern, etc. schädigt bzw. ausspioniert, womit Sie als Seitenbetreiber ggf. auf Schadensersatz verklagt werden können!
Eine Arbeit am Projekt - auch beim Aufbau einer Webseite - kann bei unberechtigtem Einstieg in das System sehr schnell zunichte sein!