Um zu verhindern, dass Ihre Passwörter durch Social Engineering, Brute-Force- oder Wörterbuchangriffsmethoden gehackt werden, und um Ihre Online-Konten sicher zu halten, sollten Sie Folgendes beachten:
1. Verwenden Sie nicht dasselbe Passwort, dieselbe Sicherheitsfrage und dieselbe Antwort für mehrere wichtige Konten.
2. Verwenden Sie ein Passwort mit mindestens 16 Zeichen, verwenden Sie mindestens eine Zahl, einen Großbuchstaben, einen Kleinbuchstaben und ein Sonderzeichen.
3. Verwenden Sie in Ihren Passwörtern nicht die Namen Ihrer Familie, Freunde oder Haustiere.
4. Verwenden Sie keine Postleitzahlen, Hausnummern, Telefonnummern, Geburtsdaten, Personalausweisnummern, Sozialversicherungsnummern usw. in Ihren Passwörtern.
5. Verwenden Sie keine Wörter aus dem Wörterbuch in Ihren Passwörtern.
Beispiele für starke Passwörter: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ.
Beispiele für schwache Passwörter: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.
6. Verwenden Sie nicht zwei oder mehr ähnliche Passwörter, deren Zeichen größtenteils gleich sind, z. B. ilovefreshflowersMac, ilovefreshflowersDropBox, denn wenn eines dieser Passwörter gestohlen wird, bedeutet dies, dass alle diese Passwörter gestohlen sind.
7. Verwenden Sie keine Passwörter, die geklont (aber nicht geändert werden können), wie z. B. Ihre Fingerabdrücke.
8. Lassen Sie nicht zu, dass Ihre Webbrowser (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) Ihre Passwörter speichern, da alle in Webbrowsern gespeicherten Passwörter leicht aufgedeckt werden können.
9. Melden Sie sich nicht bei wichtigen Konten auf den Computern anderer an oder wenn Sie mit einem öffentlichen Wi-Fi-Hotspot, Tor, kostenlosem VPN oder Web-Proxy verbunden sind.
10. Senden Sie keine sensiblen Informationen online über unverschlüsselte (z. B. HTTP oder FTP) Verbindungen, da Nachrichten in diesen Verbindungen mit sehr geringem Aufwand ausgespäht werden können. Sie sollten nach Möglichkeit verschlüsselte Verbindungen wie HTTPS, SFTP, FTPS, SMTPS, IPSec verwenden.
11. Auf Reisen können Sie Ihre Internetverbindungen verschlüsseln, bevor sie Ihren Laptop, Ihr Tablet, Ihr Mobiltelefon oder Ihren Router verlassen. Sie können beispielsweise ein privates VPN mit Protokollen wie WireGuard (oder IKEv2, OpenVPN, SSTP, L2TP über IPSec) auf Ihrem eigenen Server (Heimcomputer, dedizierter Server oder VPS) einrichten und sich damit verbinden. Alternativ können Sie einen verschlüsselten SSH-Tunnel zwischen Ihrem Computer und Ihrem eigenen Server einrichten und Chrome oder FireFox für die Verwendung von Socks-Proxy konfigurieren. Selbst wenn jemand Ihre Daten bei der Übertragung zwischen Ihrem Gerät (z. B. Laptop, iPhone, iPad) und Ihrem Server mit einem Paketschnüffler erfasst, kann er Ihre Daten und Passwörter nicht aus den verschlüsselten Streaming-Daten stehlen.
12. Wie sicher ist mein Passwort? Vielleicht glauben Sie, dass Ihre Passwörter sehr stark und schwer zu hacken sind. Aber wenn ein Hacker Ihren Benutzernamen und den MD5-Hashwert Ihres Passworts von einem Firmenserver gestohlen hat und die Regenbogentabelle des Hackers diesen MD5-Hash enthält, dann ist Ihr Passwort schnell geknackt.
Um die Stärke Ihrer Passwörter zu überprüfen und zu wissen, ob sie sich in den beliebten Regenbogentabellen befinden, können Sie Ihre Passwörter auf einem MD5-Hash-Generator in MD5-Hashes konvertieren und Ihre Passwörter dann entschlüsseln, indem Sie diese Hashes an einen Online-MD5-Entschlüsselungsdienst senden. Beispiel: Ihr Passwort lautet „0123456789A“. Unter Verwendung der Brute-Force-Methode kann ein Computer fast ein Jahr brauchen, um Ihr Passwort zu knacken, aber wenn Sie es entschlüsseln, indem Sie seinen MD5-Hash ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) an eine MD5-Entschlüsselungs-Website senden, wie lange dauert es, es zu knacken? Sie können den Test selbst durchführen.
13. Es wird empfohlen, Ihre Passwörter alle 10 Wochen zu ändern.
14. Es wird empfohlen, dass Sie sich einige Master-Passwörter merken, andere Passwörter in einer Nur-Text-Datei speichern und diese Datei mit 7-Zip, GPG oder einer Festplattenverschlüsselungssoftware wie BitLocker verschlüsseln oder Ihre Passwörter mit einer Passwortverwaltungssoftware verwalten.
15. Verschlüsseln und sichern Sie Ihre Passwörter an verschiedenen Orten. Wenn Sie dann den Zugriff auf Ihren Computer oder Ihr Konto verloren haben, können Sie Ihre Passwörter schnell wiederherstellen.
16. Aktivieren Sie nach Möglichkeit die 2-Stufen-Authentifizierung.
17. Speichern Sie Ihre kritischen Passwörter nicht in der Cloud.
18. Greifen Sie direkt über Lesezeichen auf wichtige Websites (z. B. Paypal) zu. Andernfalls überprüfen Sie bitte sorgfältig den Domänennamen. Es ist eine gute Idee, die Popularität einer Website mit der Alexa-Symbolleiste zu überprüfen, um sicherzustellen, dass es sich nicht um eine Phishing-Website handelt, bevor Sie Ihr Passwort eingeben.
19. Schützen Sie Ihren Computer mit Firewall- und Antivirensoftware, blockieren Sie alle eingehenden Verbindungen und alle unnötigen ausgehenden Verbindungen mit der Firewall. Laden Sie Software nur von seriösen Websites herunter und überprüfen Sie nach Möglichkeit die MD5-/SHA1-/SHA256-Prüfsumme oder die GPG-Signatur des Installationspakets.
20. Behalten Sie die Betriebssysteme (z. B. Windows 7, Windows 10, Mac OS X, iOS, Linux) und Webbrowser (z. B. FireFox, Chrome, IE, Microsoft Edge) Ihrer Geräte (z. B. Windows-PC, Mac-PC, iPhone, iPad, Android). Tablet ) auf dem neuesten Stand, indem Sie das neueste Sicherheitsupdate installieren.
21. Wenn sich auf Ihrem Computer wichtige Dateien befinden und andere darauf zugreifen können, überprüfen Sie, ob Hardware-Keylogger (z. B. drahtloser Tastatur-Sniffer), Software-Keylogger und versteckte Kameras vorhanden sind, wenn Sie dies für erforderlich halten.
22. Wenn es in Ihrem Haus WLAN-Router gibt, können Sie die von Ihnen eingegebenen Passwörter (im Haus Ihres Nachbarn) erkennen, indem Sie die Gesten Ihrer Finger und Hände erkennen, da sich das empfangene WLAN-Signal ändert, wenn Sie Ihre Finger und Hände bewegen. Sie können in solchen Fällen eine Bildschirmtastatur verwenden, um Ihre Passwörter einzugeben. Es wäre sicherer, wenn diese virtuelle Tastatur (oder Soft-Tastatur) jedes Mal das Layout ändert.
23. Sperren Sie Ihren Computer und Ihr Mobiltelefon, wenn Sie sie verlassen.
24. Verschlüsseln Sie die gesamte Festplatte mit VeraCrypt, FileVault, LUKS oder ähnlichen Tools, bevor Sie wichtige Dateien darauf ablegen, und zerstören Sie die Festplatte Ihrer alten Geräte bei Bedarf physisch.
25. Greifen Sie im Privat- oder Inkognitomodus auf wichtige Websites zu, oder verwenden Sie einen Webbrowser, um auf wichtige Websites zuzugreifen, und verwenden Sie einen anderen, um auf andere Websites zuzugreifen. Oder greifen Sie auf unwichtige Websites zu und installieren Sie neue Software in einer virtuellen Maschine, die mit VMware, VirtualBox oder Parallels erstellt wurde.
26. Verwenden Sie mindestens 3 verschiedene E-Mail-Adressen, verwenden Sie die erste, um E-Mails von wichtigen Websites und Apps wie Paypal und Amazon zu erhalten, verwenden Sie die zweite, um E-Mails von unwichtigen Websites und Apps zu erhalten, verwenden Sie die dritte (von einem anderen E-Mail-Anbieter). , wie Outlook und GMail ), um Ihre E-Mail zum Zurücksetzen des Passworts zu erhalten, wenn die erste (z. B. Yahoo Mail ) gehackt wird.
27. Verwenden Sie mindestens 2 verschiedene Telefonnummern, teilen Sie anderen NICHT die Telefonnummer mit, die Sie verwenden, um Textnachrichten mit den Bestätigungscodes zu erhalten.
28. Klicken Sie nicht auf den Link in einer E-Mail oder SMS-Nachricht, setzen Sie Ihre Passwörter nicht zurück, indem Sie darauf klicken, es sei denn, Sie wissen, dass diese Nachrichten nicht gefälscht sind.
29. Teilen Sie Ihre Passwörter niemandem in der E-Mail mit.
30. Es ist möglich, dass eine der von Ihnen heruntergeladenen oder aktualisierten Software oder App von Hackern modifiziert wurde. Sie können dieses Problem vermeiden, indem Sie diese Software oder App nicht zum ersten Mal installieren, es sei denn, sie wird veröffentlicht, um Sicherheitslücken zu schließen. Sie können stattdessen webbasierte Apps verwenden, die sicherer und portabler sind.
31. Seien Sie vorsichtig, wenn Sie Online-Einfüge-Tools und Bildschirmaufnahme-Tools verwenden, und lassen Sie sie nicht Ihre Passwörter in die Cloud hochladen.
32. Wenn Sie ein Webmaster sind, speichern Sie die Passwörter, Sicherheitsfragen und Antworten der Benutzer nicht als Klartext in der Datenbank, sondern speichern Sie stattdessen die Salted-Hash-Werte (SHA1, SHA256 oder SHA512) dieser Zeichenfolgen.
Es wird empfohlen, für jeden Benutzer eine eindeutige zufällige Salt-Zeichenfolge zu generieren. Darüber hinaus ist es eine gute Idee, die Geräteinformationen des Benutzers (z. B. Betriebssystemversion, Bildschirmauflösung usw.) zu protokollieren und die Salted-Hash-Werte davon zu speichern, wenn er/sie dann versucht, sich mit dem richtigen Passwort, aber seinem/ihrem Gerät anzumelden Informationen NICHT mit den zuvor gespeicherten übereinstimmen, lassen Sie diesen Benutzer seine/ihre Identität überprüfen, indem Sie einen anderen Bestätigungscode eingeben, der per SMS oder E-Mail gesendet wird.
33. Wenn Sie ein Softwareentwickler sind, sollten Sie das mit einem privaten Schlüssel signierte Update-Paket mit GnuPG veröffentlichen und die Signatur davon mit dem zuvor veröffentlichten öffentlichen Schlüssel überprüfen.
34. Um Ihr Online-Geschäft sicher zu halten, sollten Sie einen eigenen Domainnamen registrieren und ein E-Mail-Konto mit diesem Domainnamen einrichten, dann verlieren Sie Ihr E-Mail-Konto und alle Ihre Kontakte nicht, da Sie Ihren Mailserver überall hosten können , kann Ihr E-Mail-Konto nicht vom E-Mail-Anbieter deaktiviert werden.
35. Wenn eine Online-Shopping-Site nur die Zahlung mit Kreditkarten zulässt, sollten Sie stattdessen eine virtuelle Kreditkarte verwenden.
36. Schließen Sie Ihren Webbrowser, wenn Sie Ihren Computer verlassen, andernfalls können die Cookies mit einem kleinen USB-Gerät leicht abgefangen werden, wodurch es möglich wird, die zweistufige Verifizierung zu umgehen und sich mit gestohlenen Cookies auf anderen Computern in Ihr Konto einzuloggen.
37. Misstrauen Sie schlechten SSL-Zertifikaten und entfernen Sie sie aus Ihrem Webbrowser, da Sie sonst die Vertraulichkeit und Integrität der HTTPS-Verbindungen, die diese Zertifikate verwenden, NICHT gewährleisten können.
38. Verschlüsseln Sie die gesamte Systempartition, andernfalls deaktivieren Sie bitte die Auslagerungs- und Ruhezustandsfunktionen, da Sie Ihre wichtigen Dokumente möglicherweise in den Dateien pagefile.sys und hiberfil.sys finden.
39. Um Brute-Force-Login-Angriffe auf Ihre dedizierten Server, VPS-Server oder Cloud-Server zu verhindern, können Sie eine Intrusion Detection and Prevention-Software wie LFD (Login Failure Daemon) oder Fail2Ban installieren.
40. Verwenden Sie nach Möglichkeit Cloud-basierte Software, anstatt die Software auf Ihrem lokalen Gerät zu installieren, da es immer mehr Angriffe auf die Lieferkette gibt, bei denen bösartige Anwendungen oder Updates auf Ihrem Gerät installiert werden, um Ihre Passwörter zu stehlen und Zugriff auf streng geheime Daten zu erhalten.
41. Es ist eine gute Idee, die MD5- oder SHA1-Prüfsummen aller Dateien auf Ihrem Computer zu generieren (mit Software wie MD5Summer) und das Ergebnis zu speichern, dann die Integrität Ihrer Dateien zu überprüfen (und Trojaner-Dateien oder Programme mit injizierter Hintertür zu finden) jeden Tag durch Vergleichen ihre Prüfsummen mit dem zuvor gespeicherten Ergebnis.
42. Jedes große Unternehmen sollte ein auf künstlicher Intelligenz basierendes System zur Erkennung von Eindringlingen (einschließlich Tools zur Erkennung von Anomalien im Netzwerkverhalten) implementieren und anwenden.
43. Erlauben Sie nur IP-Adressen, die auf der Whitelist stehen, sich mit wichtigen Servern und Computern zu verbinden oder sich bei ihnen anzumelden.
Professional Web Development Services Verwendet auch ein komplexes Passwort.