Aktuelles - Blog
360 Millionen geklaute Identitäten auf dem Schwarzmarkt zu haben (27.02.2014)
Laut einem Bericht der Sicherheitsfirma Hold Security werden aktuell rund 360 Millionen Online-Identitäten auf dem Schwarzmarkt angeboten. Dabei handelt es sich meist um eMail-Adressen (als Nutzername) und Passwörter. Letztere liegen in der Mehrzahl sogar im Klartext (als Klarname) vor! Darf das wahr sein? Wer speichert heute noch Passwörter im Klartext? Offensichtlich grosse Provider, denn viele der Datensätze stammen von diesen...

Dabei wäre es so einfach. Beispielsweise speichern alle unsere angebotenen PHP-Scripts* Passwörter für deren Administrationsbereich einwegverschlüsselt (per MD5-Hash) und hängen darüber hinaus einem Passwort - vor der Verschlüsselung - noch ein sogenanntes Salt mit sehr vielen Stellen als Präfix an, um auch schwache Passwörter sicher ablegen zu können.
Ein mit dieser Methodik (Einweg-Verschlüsselung plus "Salt") gespeichertes Passwort kann nicht mit vorliegenden Hashtabellen zu allen möglichen Begriffen (sog. Rainbow Tables) entschlüsselt werden - das "Salz in der Suppe" verhindert das zuverlässig -  und wäre deshalb auch im gestohlenen Fall völlig wertlos! Ferner können mit dieser Verfahrensweise auch keine Hashwerte aus vorliegenden erfolgreichen Attacken (z.B. über Brute-Force oder Dictionary Attacks) anderer gehashter Datenbanken verglichen werden (man wüsste, bei gleichem Hashwert, es handelt sich um das gleiche Passwort), weil der Hashwert, bei gleichem Passwort, trotzdem ein anderer und mit grösster Wahrscheinlichkeit sogar einmalig ist (d.h. ohne Kenntnis des "Salt" absolut unverwertbar).

Warum machen wir kleine Firma so etwas aber viele der Grossen, wie sich jetzt einmal mehr herausstellt, nicht? Man muss sich schon wundern, wie lax mit Kundendaten umgegangen wird...



*Nachtrag 25.04.2014: Unser PHP-Script Damn-Small-Homepage CMS verfügt seit Version 1.7 über ein zweistufiges Loginverfahren (Zwei-Faktor-Authentifizierung per eMail) für das Backend, d.h. ein evtl. kompromittiertes Passwort reicht hier nicht mehr für ein erfolgreiches Login aus, denn es muss zusätzlich ein zufällig generiertes EINMAL-Passwort eingegeben werden, welches zuvor an die hinterlegte eMail-Adresse des Benutzers versandt wurde. Die Eingabe hierfür ist auf drei Versuche beschränkt, dann muss es neu generiert und gesendet werden.
Kommentieren