Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Folgenschwerer PSN-Hack: Persönliche…

Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: ThiefMaster 27.04.11 - 00:05

    Bei solchen großen Kreditkartenlecks werden die Banken/Kreditkartenfirmen i.d.R. informiert und geben gratis und ohne Zutun des Besitzers neue Karten aus - oftmals noch bevor er überhaupt von dem Leck erfährt (nicht jeder liest Heise & Co). Und wenn Schmu damit getrieben wurde bekommt man sein Geld normalerweise auch zurück.

    Wenn allerdings Klartextpasswörter geleakes wurden oder gar frei im Netz stehen - evtl noch mit Nickname oder Mailadresse dabei - bedeutet das für die meisten Leute ein deutlich größeres Problem: Auf zig Seiten das Passwort ändern und dann überlegen welche wichtigen Seiten man jetzt doch noch vergessen hat.

  2. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: RazorHail 27.04.11 - 00:28

    das ist richtig ;)

    deswegen: für jede website ein neues passwort verwenden


    und dann am besten entweder mit software wie keepass+dropbox, oder services wie lastpass speichern und synchronisieren

  3. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: iJones 27.04.11 - 00:29

    Es steht an keiner Stelle, dass Sony Passwörter im Klartext abspeichert. Ich bezweifel auch aus Webentwickler Sicht sehr stark, dass Sony das tut. Die meisten Unternehmen nutzen dort vorgefertigte Routinen von etablierten Libraries, warum sollte man sich da unnötig Arbeit machen und dann auch noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50 Benutzer. Was veranlasst dich zu denken, dass Sony Passwörter im Klartext speichert?



    1 mal bearbeitet, zuletzt am 27.04.11 00:31 durch iJones.

  4. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Necrovoid 27.04.11 - 01:02

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?

    Ich nehme mir mal die Freiheit und Antworte:

    Ganz einfach, es steht nirgends das es nicht so ist. dasselbe trifft auf KK nummern und Sec-codes zu. Wären sie Verschlüsselt gewesen, so wäre denke ich eine Deutliche Verharmlosung im Statement von Sony zu lesen gewesen. dem ist aber nicht der Fall und so lange da nichts Anders lautendes von Offizieller Seite kommt, muss man hier Zwangsläufig vom Worst Case aus gehen.

  5. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: IrgendeinNutzer 27.04.11 - 01:02

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?


    Ich glaube das liegt am Vertrauen zu Sony :D

  6. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: It's me, Mario 27.04.11 - 07:55

    Nein, das liegt am Sony Quote im Golem Artikel:
    "...sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity
    -------> Passwort <--------
    und Login sowie PSN Online ID."

    Wenn solche Daten sicher (genug) abgelegt werden, ist man vorsichtiger mit solchen Statements.

  7. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: antares 27.04.11 - 08:27

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Es steht an keiner Stelle, dass Sony Passwörter im Klartext abspeichert.
    > Ich bezweifel auch aus Webentwickler Sicht sehr stark, dass Sony das tut.
    > Die meisten Unternehmen nutzen dort vorgefertigte Routinen von etablierten
    > Libraries, warum sollte man sich da unnötig Arbeit machen und dann auch
    > noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst
    > ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext
    > gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50
    > Benutzer. Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?


    Weil genug andere Firmen ihre Passwörter auch plain speichern? Zum Beispiel Rapidshare, Gameforge und strato(bei älteren Accounts) sowie Amazon(ebenfalls alte accounts) machen das so.

    IMHO sollte es für Anbieter von Internetdienstleistungen verpflichtend sein, angaben über die Speicherung von Passwörtern in den Datenschutzbestimmungen zu machen.

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  8. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Katana Seiko 27.04.11 - 08:38

    Die Passwoerter werden fast ueberall mit MD5 "verschluesselt". Es gibt nur die Erzeugung eines Hash-Codes. Ein Umkehrschluss von Hash zu PAsswort ist ueblicherweise nicht moeglich. Aber fuer solche Faelle gibt es recht umfangreiche Rainbow-Tabellen.

  9. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: antares 27.04.11 - 08:44

    Katana Seiko schrieb:
    --------------------------------------------------------------------------------
    > Die Passwoerter werden fast ueberall mit MD5 "verschluesselt". Es gibt nur
    > die Erzeugung eines Hash-Codes. Ein Umkehrschluss von Hash zu PAsswort ist
    > ueblicherweise nicht moeglich. Aber fuer solche Faelle gibt es recht
    > umfangreiche Rainbow-Tabellen.


    ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter seiner Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT weitgehend witzlos. Allerdings schafft eine aktuelle Grafikkarte auch ihre 800 Mio MD5-Hashes pro Sekunde. Also lieber gleich live ran.

    Zusätzlich dazu nehmen die meisten nutzer eher dämliche passwörter, die leicht mittels brute-force attacken erraten werden können. Das trifft imho insbesondere auf einen Login zu, der an einer Spielekonsole mit einem Kontroller eingegeben werden muss. Mit dem ding jedes mal "²^#@123halloµ" einzugeben - darauf haben wohl die wenigsten lust^^

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  10. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Anonym007 27.04.11 - 09:01

    Zu der Frage ob die Passwörter in plaintext speichern muss man wissen wie die mit ner Public Key krypto signieren!

    Privatekey + get_random_no()

    Get_random_no()
    {
    Return 4;
    }

    Ich hoffe das hilft etwas sonys hier zu verstehen.
    Wenn nur die hashes gestohlen wurden gäbe es nichteimal einen Grund das zu erwähnen!
    Die waren 100%tig im plain Text!

  11. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: highrider 27.04.11 - 09:03

    iJones schrieb:
    --------------------------------------------------------------------------------

    > noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst
    > ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext
    > gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50
    > Benutzer.

    Kunde bei eBay? Da konnte man sich jahrelang sein Passwort per email zuschicken lassen. Es kann natürlich sein, dass sie es encrypted gespeichert hatten. Ich würde aber Geld drauf wetten, dass das nicht so war. Dazu war die Technik insgesamt zu schlecht. Zumindest reichte es, die Sicherheitsfrage nach der Lieblingsfarbe korrekt zu beantworten, um sofort vollen Zugriff auf ein Konto zu erhalten. In dem Stadium denken Entwickler im Leben nicht über encryptete Passwörter nach.


    highrider
    PS: eBay hat damals schon hunderte Millionen Umsatz gemacht.

  12. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: highrider 27.04.11 - 09:08

    antares schrieb:
    --------------------------------------------------------------------------------

    > ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter seiner
    > Nutzer schon hashed, wird sie auch gleich salten.

    Mann, hast du ein Gottvertrauen. Im Fall von Sony würde das aber sowieso nur dann was nützen, wenn jeder Account sein eigenes Salz hätte. Denn bei 70mio Datensätzen lohnt sich der Aufwand, eigene Rainbow-Tables zu generieren. Dann dauert es eben ein paar Tage länger bis man den Vollzugriff bekommt.

    highrider

  13. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Epaminaidos 27.04.11 - 09:56

    ThiefMaster schrieb:
    --------------------------------------------------------------------------------
    > Bei solchen großen Kreditkartenlecks werden die Banken/Kreditkartenfirmen
    > i.d.R. informiert und geben gratis und ohne Zutun des Besitzers neue Karten
    > aus - oftmals noch bevor er überhaupt von dem Leck erfährt (nicht jeder
    > liest Heise & Co).

    Die Postbank schickt mir alle paar Monate neue Karten - und genau das befürchte ich. Ich glaube, ich habe jetzt den dritten Satz in 18 Monaten. Ist nicht gerade vertrauenserweckend.

  14. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: fool 27.04.11 - 10:40

    Selbst wenn alle Passwörter mit Salt verschlüsselt sind, hilft das nichts gegen Wörterbuchangriffe. Komplexe Passwörter wären in so einem Fall verhältnismäßig sicher, aber bei 75 Millionen Usern gibt es bestimmt genug, die per simplem brute force noch gefunden werden können. Eine Wörterbuchdatei einmal pro Salt durchzugehen, kann relativ schnell gehen.

  15. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: ThiefMaster 27.04.11 - 10:44

    > Weil genug andere Firmen ihre Passwörter auch plain speichern? Zum Beispiel
    > Rapidshare, Gameforge und strato(bei älteren Accounts) sowie
    > Amazon(ebenfalls alte accounts) machen das so.
    Bei einer der genannten Firma konnten Admins (keine technischen Admins) die keine festen Mitarbeiter waren sogar die Klartextpasswörter einsehen! Ob es immernoch so ist weiß ich nicht (hoffentlich nicht), damals war es aber so..

  16. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Auf_zum_Atom 27.04.11 - 10:45

    antares schrieb:
    -------------------------------------------------------------------------------> Ein Webmaster der die Passwörter seiner
    > Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT
    > weitgehend witzlos.

    Wobei man durchaus auch in Betracht ziehen kann, dass wenn ein Angreifer Zugriff auf die kompletten Datenbank incl. Passwörtern etc. hat, dass er dann auch an den Salt im Quelltext Zugriff hat. Womit sich dann dieses Sicherheitsfeatures erledigt hat.

  17. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: fool 27.04.11 - 10:57

    Auf_zum_Atom schrieb:
    > Wobei man durchaus auch in Betracht ziehen kann, dass wenn ein Angreifer
    > Zugriff auf die kompletten Datenbank incl. Passwörtern etc. hat, dass er
    > dann auch an den Salt im Quelltext Zugriff hat. Womit sich dann dieses
    > Sicherheitsfeatures erledigt hat.

    So funktioniert das mit dem Salt nicht, das Salt wird normalerweise per Zufall ermittelt und dann zusammen mit dem verschlüsselten Passwort gespeichert. Salt schützt nicht gegen brute force, sondern gegen rainbow tables. Dafür muss es nicht geheimer sein als das verschlüsselte Passwort selbst.

    Was du meinst wird auch manchmal als Salt bezeichnet, ist aber irgendwie albern. ;)

  18. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Nof 27.04.11 - 11:08

    Ich hab keine Playstation daher ist meine Aussage mit Vorsicht zu genießen, aber wer gibt komplexe Passwörter mit einem Kontroller ein. Da kann man sich schon über abcde1234 freuen.

  19. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: GodsBoss 27.04.11 - 11:09

    Wenn du wüsstest…

    Webprojekt, public, vor nicht einmal drei Jahren neu entwickelt, alle Passwörter im Klartext in der Datenbank gespeichert. Für mehr als 5000 Benutzer.

    Achso: Ich hatte meine Finger da nicht im Spiel, habe nur mal lesenden Zugriff auf die Datenbank gehabt… (nichts Illegales, falls das jemand vermutet)

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  20. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Endwickler 27.04.11 - 11:17

    Nof schrieb:
    --------------------------------------------------------------------------------
    > Ich hab keine Playstation daher ist meine Aussage mit Vorsicht zu genießen,
    > aber wer gibt komplexe Passwörter mit einem Kontroller ein. Da kann man
    > sich schon über abcde1234 freuen.

    Da man die Zeichen einzeln auswählt, ist es wohl egal, welches Zeichen es ist bzw. wie kompliziert die Zeichen in unseren Augen aussehen.

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Freie und Hansestadt Hamburg Finanzbehörde Hamburg, Hamburg
  2. VDI/VDE Innovation + Technik GmbH, Berlin
  3. Verbraucherzentrale Baden-Württemberg e. V., Stuttgart
  4. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 469,00€
  2. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)
  3. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus
  2. Ingolstadt Audi vernetzt Autos mit Ampeln
  3. Wasserkühlung erforderlich Leistungshunger von Auto-Rechnern soll stark steigen

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

  1. Customer First: SAP-Anwender sind in der Landschaft gefangen
    Customer First
    SAP-Anwender sind in der Landschaft gefangen

    SAP-Kunden sind treu, weil sie die eingeführte SAP-Landschaft nicht so einfach ablösen können. Doch sie bleiben auch deswegen, weil die Geschäftsprozesse gut unterstützt werden.

  2. Konsolenleak: Microsoft stellt angeblich nur Specs der nächsten Xbox vor
    Konsolenleak
    Microsoft stellt angeblich nur Specs der nächsten Xbox vor

    Die Veröffentlichungstermine von Spielen wie Cyberpunk 2077 und Gears 5, dazu die wichtigsten Spezifikationen der nächsten Xbox möchte Microsoft laut einem Leak während der Pressekonferenz auf der E3 vorstellen. Gerüchte gibt es auch über die Streamingpläne von Nintendo.

  3. FCC: Regulierer für Übernahme von Sprint durch T-Mobile US
    FCC
    Regulierer für Übernahme von Sprint durch T-Mobile US

    Nach offenbar weitgehenden Zugeständnissen beim Netzausbau auf dem Land und bei 5G hat der Regulierer in den USA dem Kauf von Sprint zugestimmt. Für die Telekom steigen damit die Kosten.


  1. 18:21

  2. 18:06

  3. 16:27

  4. 16:14

  5. 15:59

  6. 15:15

  7. 15:00

  8. 14:38