Sicheres Passwort für RC-Network.de?
von Hendrik Schneider
Registratur RC-Network.de
Auch wenn du denkst, dass du kein besonders sicheres Passwort brauchst, weil das hier „nur“ ein Hobby-Forum unter Freunden ist: Es gibt außerordentlich gute Gründe, den eigenen Login sehr, sehr sicher zu machen.
„So kritisch wird der Login schon nicht sein...“
Wir kennen das alle: Man will sich einfach nur über den Schwerpunkt der neuen Extra austauschen oder schauen, ob jemand ein paar gute Servos oder einen passenden Außenläufer verkauft. Da brauche ich sicher kein komplexes Passwort. Viele denken sich: „Ist ja kein Onlinebanking; da reicht doch ein einfaches Passwort“.
Also nimmt man etwas, das man sich leicht merken kann. Ob es der Vorname mit „1234“ ist oder der Name des Hundes; es fühlt sich bequem an und ist leicht zu merken.
Die harte Realität: Egal, wo man sie verwendet, solche Passwörter waren eigentlich noch nie wirklich sicher. Seit einigen Jahren stehen Foren zunehmend im Fokus professioneller Betrüger – auch
:. Die Zeiten, in denen man „unter sich“ war, sind online leider vorbei.
Achtung: Dein Account als Einladung für Betrüger
Das Schema der Kriminellen ist einfach und effizient: Hacker nutzen automatisierte Listen mit bereits gestohlenen Daten oder knacken schwache Logins mit fertigen Apps mal nebenbei. Dann suchen sie das Netz ab, wo dieser Account verwendet wird. Sobald sie Zugriff auf einen etablierten Account haben, legen sie los.
Ein Account, der seit Jahren eingerichtet ist und viele Beiträge aufweist, genießt bei anderen Mitgliedern Vertrauen. Der Angreifer stellt dann begehrte Artikel mit hohem „Haben-wollen“-Faktor (z. B. Highend-Fernsteuerungen oder Turbinen) zu attraktiven Preisen in die Börse ein. Die Geschäfte werden schnell per Überweisung oder „PayPal Freunde“ abgewickelt. Danach verschwindet der Angreifer mit dem Geld und hinterlässt verbrannte Erde unter deinem Namen.
Risiko 1: Dein guter Name
Stell dir vor, du bist seit 15 Jahren dabei, man kennt dich von Flugtagen. Ein Angreifer knackt dein Passwort. Er ändert bewusst nicht deine E-Mail, damit du keinen Alarm vom System bekommst und möglichst lange nichts bemerkst. Nachts verkauft er unter deinem Namen wertvolle Komponenten. Spätestens, wenn dann die bezahlte Ware nicht geliefert wird, ist dein Ruf in der Szene ruiniert und du stehst im Zentrum von Betrugsermittlungen.
Risiko 2: Die rechtliche Haftungsfalle (Schadenersatz)
Wird über deinen Account ein Betrug begangen, kann es passieren, dass Geschädigte dich zunächst als verantwortliche Person ansehen und Ansprüche geltend machen. Schließlich wurde der Handel unter deinem Benutzernamen abgewickelt. Über dein Passwort hat das System sichergestellt, dass du die handelnde Person bist.
Ob daraus tatsächlich eine Haftung entsteht, hängt immer vom konkreten Einzelfall ab. Dennoch kann bereits der Vorwurf im Raum stehen, dass du deine Zugangsdaten nicht ausreichend geschützt hast. Ein sehr einfach gewähltes Passwort könnte im schlimmsten Fall als fahrlässig bewertet werden. Ähnlich wie ein Auto, das man mit steckendem Schlüssel abstellt (§ 14 StVO).
Ein Blick zurück: Wie war das mit den „Hashes“?
RC-Network hatte unter der vorherigen Forensoftware (vBulletin im Jahr 2020) einen Vorfall, bei dem durch eine Schwachstelle in der Software Benutzerdaten und Passwort-Hashes entwendet wurden.
Hier müssen wir technisch unterscheiden:
- Das Passwort: Das Wort, das du tippst (z. B.
MeinHund123). Dieses wurde nicht entwendet. - Der Hash: Das Passwort wird mittels einer Einwegfunktion verschlüsselt. Ein Hash lässt sich nicht „zurückrechnen“. Man kann ihn nur raten und vergleichen. Angreifer probieren daher Unmengen möglicher Passwörter aus und vergleichen deren Hashes.
- Die Software speichert nur diesen Hash. Das ist für
MeinHund123dann
vBulletin:df0acb1aef5c621d75aa57d0cd661f7d
Xenforo:ac651fe9ccc5885303773e067f63959ac08a886921c6f0d32880361dea35bd6b
Das Problem: Wenn Angreifer diese Liste mit Hashes stehlen, lassen sie Hochleistungsrechner Milliarden von Kombinationen ausprobieren. Ein schwaches Passwort wie
MeinHund123 wird so in kürzester Zeit im Klartext geknackt. Nur ein wirklich langes, komplexes Passwort macht den gestohlenen Hash für Diebe wertlos, da das Ausprobieren dann sehr lange dauert.Nach dem Einbruch in die damals verwendete Software hat
sofort alle zur Verfügung stehenden Mittel genutzt:- Forum sofort vom Netz genommen,
- Nutzer informiert,
- BSI informiert,
- Schadensanalyse vorgenommen,
- festgestellt, dass vBulletin nicht mehr unseren Sicherheitsansprüchen genügt und mit einem Kraftakt das Forum auf ein neues, sicheres Forensystem umgezogen.
- Alle Passwörter gelöscht,
- Nutzer aufgefordert, sich ein neues Passwort zu geben.
Woher kennen die mein Passwort?
Oft gelangen Passwörter durch Leaks, auch bei anderen Dienstleistern, ins Netz. Große Datensammlungen mit Millionen kompromittierter Zugangsdaten werden automatisiert gegen andere Plattformen getestet. Ein Passwort für alles zu verwenden, ist wie ein Generalschlüssel für Haus, Auto und Tresor: Geht er an einer Stelle verloren, haben Diebe überall freien Zutritt. Auch bei deinem RCN-Login.
Tipp: Das Hasso-Plattner-Institut (HPI) der Uni Potsdam bietet einen Sicherheitscheck an. Unter Identity Leak Checker kannst du prüfen, ob deine Daten bereits im Netz kursieren.
Bisher sind dort die Daten von
nicht geführt. Das bedeutet, dass ‚unsere‘ Daten zumindest nicht in den einschlägigen Kreisen gehandelt werden.
So machst du deinen Account sicher
Du hast verschiedene Möglichkeiten. Suche Dir aus, was am besten zu Dir passt.
1. Starke Passwörter & Passwort-Manager
Nutze lange, zufällige Passwörter und verwende niemals das gleiche Passwort für zwei verschiedene Seiten! Ein Passwort-Manager hilft dir beim Merken (z.B. Bitwarden, KeePassXC oder integrierte Lösungen von Apple/Google). Mit jedem zusätzlichen Zeichen vervielfacht sich die Anzahl möglicher Kombinationen. Der Aufwand steigt nicht linear, sondern exponentiell.
Verdeutlichung:
| Länge | PW-Typ | Permutationen (ca.) | Aufwand für Hacker | Beispiel |
| 6 | Zufall (schwach) | 740 Milliarden | Sekunden (Gefährlich) | xK9!p2 |
| 8 | Zufall (stark) | 6,6 Billiarden | Tage bis Monate | 7t$G#pQ2 |
| 12 | Zufall (Maximum) | 540 Trilliarden | Jahrtausende (Sicher) | zP9!mR2L#qV5 |
| 15 | Wort-Kombination | ~100 Milliarden* | Sekunden bis Minuten | SonneMondSterne |
* Hier wird ein weiteres Problem sichtbar: Zum Erraten werden Wörterbücher verwendet. Das Passwort SonneMondSterne kollabiert also auf nur drei Wörter, die gefunden werden müssen. Ein gutes Passwort ist lang und zufällig.
2. Zwei-Faktor-Authentisierung (2FA)
Selbst wenn ein Dieb dein Passwort kennt, kommt er nicht in deinen Account.
- So funktioniert es:
Du verknüpfst deinen Account mit einer Authenticator-App (z. B. Google oder Microsoft Authenticator, Authy). Alternativ ist auch ein Code per E-Mail möglich – die App-Variante ist jedoch sicherer. Bei jedem Login wird zusätzlich ein zeitlich begrenzter Code abgefragt. - Der Komfort-Faktor: Du kannst dein Gerät (PC/Handy) als „vertrauenswürdig“ markieren. Die Abfrage erscheint dann nur alle 30 Tage. Oder sie schlägt Alarm, wenn jemand versucht, sich von einem neuen Gerät anzumelden.
Fazit
Ein sicheres Passwort und die 2FA schützen in erster Linie dich.
Ein starkes Passwort kostet dich nichts – ein kompromittierter Account unter Umständen sehr viel.
Sichere dein
-Konto hier: RC-Network Benutzerkonto-Sicherheit
Zuletzt bearbeitet von einem Moderator:
