Das immer mal wieder irgendwelche Bots bei meinen Blogs vorbeischauen und versuchen, das Admin-Paßwort zu knacken, ist schon fast zur Normalität geworden.
Bisher wurde da bei immer stur eine fertige Liste in Höchstgeschwindigkeit durchgerattert.
Heute ist mir eine neue Taktik aufgefallen, die einiges versucht besser zu machen. Die probierten Passwörter (bei putzlowitsch.de) sehen nun so aus (kleiner Ausschnitt):
obsttellers, nachbearbeitet, chinesischen, eren, heidelbeeren, buch, gamma, eintrag, utzlow, unten, lich, jahr, synchronschwimmerinnen, wann, sommersonnenweden, hingegen, etwa, sternschnuppen, filmprojektor, witsch, hoffe, improvisiert, fehlt, damit, mittlerweile, praktisch, augustobwohl, utzlowit, blaue, bildern, tzlowi, gute, hinzugef, gepa, kanuslalom, nzen, lecker, ganze, erwischt, siehe, berschritten, aktuelles, flugbahn, hren, versuche, owit, bildbearbeitung, hand, bereich, halt, bringt, wirklich, marathon, dieser, einfach, zusammen, letzten
Irgendwie kamen mir die Sachen bekannt vor. Und richtig, es sind Wörter, die auf meiner Seite vorkommen.
Obstteller, Heidelbeeren, Sommersonnenwende, Sternschnuppen – alles Begriffe, die in meinen Blogartikeln auftauchnen. Es gibt auch ein paar selsame Wörter wie z.B. berschritten, hinzugef oder nzen. Da scheint der Bot nicht mit den Umlauten zurechtzukommen, denn das soll wohl überschritten, hinzugefügt bzw. Münzen heißen.
Auch interessant ist die Variation bzw. Zerlegung von Putzlowitsch, die in diesen Wortfetzen zu finden ist: utzlow, witsch, utzlowit, tzlowi, omit.
Der Bot hält wahrscheinlich den Seitentitel bzw. die h1-Überschrift oder den in jedem Beitrag auftauchenden Autornamen für besonders relevant und erfolgversprechend.
Nun werden also Inhalte des Blogs selbst als Passwörter probiert und variiert. Und, auch das ist neu, zwischen den Versuchen werden mehrere Minuten Pause eingelegt. Somit geht der Bot möglichen Abwehrmaßnahmen aus dem Weg, die nach einer Anzahl von Fehlversuchen in einem kurzen Zeitraum weitere Versuche blockieren.
Eine neue Qualität bei den Passwort-Krack-Versuchen, würde ich sagen.
Meine Empfehlung daher: Als Passwort nie etwas verwenden, das irgendwie auf der Seite steht bzw. anders herum, das Passwort niemals in einem Artikel auf der Seite veröffentlichen.