AW: Amazon: Ältere Passwörter nicht sicher genug
Mhhhh ... ne, ist auch ne zufällige Zeichenkombination - und ja, ZEICHEN, hatte mich vertippt und "Zeilen" geschrieben, das wäre echt heftig ..... xD
70 Zufallszeichen ohne jegliches System auswendig
Ich hab schon mit 8 stelligen gar-nicht-so-systemlosen Kombinationen ein Problem, wenn ich die nicht min. wöchentlich anwende.
Was soll man da schon mit machen.... wenn ich irgendwo nicht mehr rein komme lasse ich das Passwort ändern.
Wie lässt man bitte nochmal das Passwort von einem account ändern, der eine fremde e-Mailadresse eingetragen hat?
Und das mit dem Zuschicken ist auch so eine Sache: Amazon bietet Downloadinhalte, d.h. es ist nicht mehr ohne weiteres nachvollziehbar, an wen die Ware geliefert wurde.
Allerdings muss ich zustimmen, dass das Passwort wohl das kleinste Problem ist. Die meisten Angreifer versuchen ja mitlerweile eher, einem dieses direkt zu entlocken. Man darf dabei ja auch nicht den Aufwand vergessen:
Was nützt einem ein Listenbasierter Angriff, der einen Account mit mangelhaft zufälligem Passwort nach "nur" 1000 Versuchen (ggf. mit einer Stunde warten alle 10 Versuche) knackt? Jeder Serverbetreiber, der auch nur rudimentäre Mechanismen gegen DoS implementiert, hat den Angreifer da schon lange geblockt.
Und was kann der Angreifer gewinnen? Eine Liste von in der Vergangenheit gekauften Produkten? Einen Blick auf einen Kontostand? Mod-Rechte im PCGH-Forum? Die wenigstens Shops speichern Konto- oder Kreditkarteninformationen in einer wiederverwendbaren Form (und wer einigermaßen sicher sein will, der bestellt eh per Nachnahme oder Überweisung), die meisten Plattformen (inkl. E-Mail) ermöglichen es maximal, denn Accountinhaber lächerlich zu machen. Das ist für den getroffenen sehr unangenehm und kostet ggf. viel Zeit zur Wiederherstellung, aber es bringt dem Angreifer rein gar nichts. In den meisten Fällen wird er froh sein, wenn ein paar hundert Addressdaten zusammenträgt.
Mit einem gefakten Gewinnspiel könnte er wesentlich bequemer an zehntausende kommen (und auch noch selektiv von Leuten, die einem alles glauben
).
Fazit:
Gucken, wo im Internet man was preisgibt - i.d.R. hat man ein ""sicheres"" Passwort nicht nötig und ist selbst das größte Risikoelement.
Und überhaupt: 00000000 ist bekanntermaßen sicher genug für jedes noch so hohe Gefahrenpotential.