dyingeyes weblog: das persönliche Weblog von Boris Stumpf aus Frankfurt am Main

Ausgehend von einem lesenswerten (englischsprachigen) Artikel ›WordPress Username Enumeration‹ in BlogSecurity ein paar kurze Anmerkungen zu Verwendung von Benutzernamen in WordPress – wobei diese Ratschläge auch für andere Blogsysteme oder CMS geeignet sein sollten.

Die Aufgabenstellung besteht grundsätzlich darin, es einem potenziellen Angreifer, der sich mit einer sogenannten Brute-Force-Methode oder mit Hilfe von Wörterbuchattacken Zugang zu einem solchen System verschaffen will, so schwer wie möglich zu machen, die hierfür notwendigen Elemente (Benutzernamen und Passwörter) zu ermitteln.
(more…)

Wer aus Performancegründen seinen Virenscanner (egal, ob permanenter Wächter oder manuell gestarteter Scanner) nur auf ausführbare Dateien loslässt, geht offensichtlich ein großes Risiko ein. Er läuft Gefahr, sich Schädlinge einzufangen, die möglicherweise mal eben schnell den Virenscanner und andere Sicherheitstools »abklemmen«, um ungestört ihrer kriminellen Arbeit nachgehen zu können.

Ich habe meine Software gestern auch wieder entsprechend »global« eingestellt.

Das wird um so wichtiger, weil sich neben den üblichen Verdächtigen inzwischen auch noch gefährlich enthemmte »Verfassungsorgane« per hinterhältigem Eindringen mittels trojanischen Pferden Zugang zu privaten Computern und den darauf befindlichen Daten verschaffen wollen.

Wenn der Firefox mal ein ernstes Sicherheitsproblem mit dem eingebauten Passwortmanager aufwirft und man diesen daraufhin abschaltet, merkt man wieder einmal, wie viele Userzugänge mit Passwort sich so im Lauf der Zeit angesammelt haben. Und wo man überall Mitglied ist.

Ab einer gewissen Menge an User-Zugängen greife man also besser auf einen kleinen externen Passwort-Safe zurück, der den Merk-Job zuverlässig und mit verschlüsselter Ablage erledigt.

Die mitgeteilten Erkenntnisse plus Diskussion des Problems unter den Entwicklern verfolge man bei Bedarf einfach vor Ort.