Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Folgenschwerer PSN-Hack: Persönliche…

Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: ThiefMaster 27.04.11 - 00:05

    Bei solchen großen Kreditkartenlecks werden die Banken/Kreditkartenfirmen i.d.R. informiert und geben gratis und ohne Zutun des Besitzers neue Karten aus - oftmals noch bevor er überhaupt von dem Leck erfährt (nicht jeder liest Heise & Co). Und wenn Schmu damit getrieben wurde bekommt man sein Geld normalerweise auch zurück.

    Wenn allerdings Klartextpasswörter geleakes wurden oder gar frei im Netz stehen - evtl noch mit Nickname oder Mailadresse dabei - bedeutet das für die meisten Leute ein deutlich größeres Problem: Auf zig Seiten das Passwort ändern und dann überlegen welche wichtigen Seiten man jetzt doch noch vergessen hat.

  2. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: RazorHail 27.04.11 - 00:28

    das ist richtig ;)

    deswegen: für jede website ein neues passwort verwenden


    und dann am besten entweder mit software wie keepass+dropbox, oder services wie lastpass speichern und synchronisieren

  3. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: iJones 27.04.11 - 00:29

    Es steht an keiner Stelle, dass Sony Passwörter im Klartext abspeichert. Ich bezweifel auch aus Webentwickler Sicht sehr stark, dass Sony das tut. Die meisten Unternehmen nutzen dort vorgefertigte Routinen von etablierten Libraries, warum sollte man sich da unnötig Arbeit machen und dann auch noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50 Benutzer. Was veranlasst dich zu denken, dass Sony Passwörter im Klartext speichert?



    1 mal bearbeitet, zuletzt am 27.04.11 00:31 durch iJones.

  4. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Necrovoid 27.04.11 - 01:02

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?

    Ich nehme mir mal die Freiheit und Antworte:

    Ganz einfach, es steht nirgends das es nicht so ist. dasselbe trifft auf KK nummern und Sec-codes zu. Wären sie Verschlüsselt gewesen, so wäre denke ich eine Deutliche Verharmlosung im Statement von Sony zu lesen gewesen. dem ist aber nicht der Fall und so lange da nichts Anders lautendes von Offizieller Seite kommt, muss man hier Zwangsläufig vom Worst Case aus gehen.

  5. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: IrgendeinNutzer 27.04.11 - 01:02

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?


    Ich glaube das liegt am Vertrauen zu Sony :D

  6. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: It's me, Mario 27.04.11 - 07:55

    Nein, das liegt am Sony Quote im Golem Artikel:
    "...sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity
    -------> Passwort <--------
    und Login sowie PSN Online ID."

    Wenn solche Daten sicher (genug) abgelegt werden, ist man vorsichtiger mit solchen Statements.

  7. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: antares 27.04.11 - 08:27

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Es steht an keiner Stelle, dass Sony Passwörter im Klartext abspeichert.
    > Ich bezweifel auch aus Webentwickler Sicht sehr stark, dass Sony das tut.
    > Die meisten Unternehmen nutzen dort vorgefertigte Routinen von etablierten
    > Libraries, warum sollte man sich da unnötig Arbeit machen und dann auch
    > noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst
    > ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext
    > gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50
    > Benutzer. Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?


    Weil genug andere Firmen ihre Passwörter auch plain speichern? Zum Beispiel Rapidshare, Gameforge und strato(bei älteren Accounts) sowie Amazon(ebenfalls alte accounts) machen das so.

    IMHO sollte es für Anbieter von Internetdienstleistungen verpflichtend sein, angaben über die Speicherung von Passwörtern in den Datenschutzbestimmungen zu machen.

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  8. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Katana Seiko 27.04.11 - 08:38

    Die Passwoerter werden fast ueberall mit MD5 "verschluesselt". Es gibt nur die Erzeugung eines Hash-Codes. Ein Umkehrschluss von Hash zu PAsswort ist ueblicherweise nicht moeglich. Aber fuer solche Faelle gibt es recht umfangreiche Rainbow-Tabellen.

  9. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: antares 27.04.11 - 08:44

    Katana Seiko schrieb:
    --------------------------------------------------------------------------------
    > Die Passwoerter werden fast ueberall mit MD5 "verschluesselt". Es gibt nur
    > die Erzeugung eines Hash-Codes. Ein Umkehrschluss von Hash zu PAsswort ist
    > ueblicherweise nicht moeglich. Aber fuer solche Faelle gibt es recht
    > umfangreiche Rainbow-Tabellen.


    ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter seiner Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT weitgehend witzlos. Allerdings schafft eine aktuelle Grafikkarte auch ihre 800 Mio MD5-Hashes pro Sekunde. Also lieber gleich live ran.

    Zusätzlich dazu nehmen die meisten nutzer eher dämliche passwörter, die leicht mittels brute-force attacken erraten werden können. Das trifft imho insbesondere auf einen Login zu, der an einer Spielekonsole mit einem Kontroller eingegeben werden muss. Mit dem ding jedes mal "²^#@123halloµ" einzugeben - darauf haben wohl die wenigsten lust^^

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  10. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Anonym007 27.04.11 - 09:01

    Zu der Frage ob die Passwörter in plaintext speichern muss man wissen wie die mit ner Public Key krypto signieren!

    Privatekey + get_random_no()

    Get_random_no()
    {
    Return 4;
    }

    Ich hoffe das hilft etwas sonys hier zu verstehen.
    Wenn nur die hashes gestohlen wurden gäbe es nichteimal einen Grund das zu erwähnen!
    Die waren 100%tig im plain Text!

  11. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: highrider 27.04.11 - 09:03

    iJones schrieb:
    --------------------------------------------------------------------------------

    > noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst
    > ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext
    > gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50
    > Benutzer.

    Kunde bei eBay? Da konnte man sich jahrelang sein Passwort per email zuschicken lassen. Es kann natürlich sein, dass sie es encrypted gespeichert hatten. Ich würde aber Geld drauf wetten, dass das nicht so war. Dazu war die Technik insgesamt zu schlecht. Zumindest reichte es, die Sicherheitsfrage nach der Lieblingsfarbe korrekt zu beantworten, um sofort vollen Zugriff auf ein Konto zu erhalten. In dem Stadium denken Entwickler im Leben nicht über encryptete Passwörter nach.


    highrider
    PS: eBay hat damals schon hunderte Millionen Umsatz gemacht.

  12. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: highrider 27.04.11 - 09:08

    antares schrieb:
    --------------------------------------------------------------------------------

    > ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter seiner
    > Nutzer schon hashed, wird sie auch gleich salten.

    Mann, hast du ein Gottvertrauen. Im Fall von Sony würde das aber sowieso nur dann was nützen, wenn jeder Account sein eigenes Salz hätte. Denn bei 70mio Datensätzen lohnt sich der Aufwand, eigene Rainbow-Tables zu generieren. Dann dauert es eben ein paar Tage länger bis man den Vollzugriff bekommt.

    highrider

  13. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Epaminaidos 27.04.11 - 09:56

    ThiefMaster schrieb:
    --------------------------------------------------------------------------------
    > Bei solchen großen Kreditkartenlecks werden die Banken/Kreditkartenfirmen
    > i.d.R. informiert und geben gratis und ohne Zutun des Besitzers neue Karten
    > aus - oftmals noch bevor er überhaupt von dem Leck erfährt (nicht jeder
    > liest Heise & Co).

    Die Postbank schickt mir alle paar Monate neue Karten - und genau das befürchte ich. Ich glaube, ich habe jetzt den dritten Satz in 18 Monaten. Ist nicht gerade vertrauenserweckend.

  14. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: fool 27.04.11 - 10:40

    Selbst wenn alle Passwörter mit Salt verschlüsselt sind, hilft das nichts gegen Wörterbuchangriffe. Komplexe Passwörter wären in so einem Fall verhältnismäßig sicher, aber bei 75 Millionen Usern gibt es bestimmt genug, die per simplem brute force noch gefunden werden können. Eine Wörterbuchdatei einmal pro Salt durchzugehen, kann relativ schnell gehen.

  15. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: ThiefMaster 27.04.11 - 10:44

    > Weil genug andere Firmen ihre Passwörter auch plain speichern? Zum Beispiel
    > Rapidshare, Gameforge und strato(bei älteren Accounts) sowie
    > Amazon(ebenfalls alte accounts) machen das so.
    Bei einer der genannten Firma konnten Admins (keine technischen Admins) die keine festen Mitarbeiter waren sogar die Klartextpasswörter einsehen! Ob es immernoch so ist weiß ich nicht (hoffentlich nicht), damals war es aber so..

  16. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Auf_zum_Atom 27.04.11 - 10:45

    antares schrieb:
    -------------------------------------------------------------------------------> Ein Webmaster der die Passwörter seiner
    > Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT
    > weitgehend witzlos.

    Wobei man durchaus auch in Betracht ziehen kann, dass wenn ein Angreifer Zugriff auf die kompletten Datenbank incl. Passwörtern etc. hat, dass er dann auch an den Salt im Quelltext Zugriff hat. Womit sich dann dieses Sicherheitsfeatures erledigt hat.

  17. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: fool 27.04.11 - 10:57

    Auf_zum_Atom schrieb:
    > Wobei man durchaus auch in Betracht ziehen kann, dass wenn ein Angreifer
    > Zugriff auf die kompletten Datenbank incl. Passwörtern etc. hat, dass er
    > dann auch an den Salt im Quelltext Zugriff hat. Womit sich dann dieses
    > Sicherheitsfeatures erledigt hat.

    So funktioniert das mit dem Salt nicht, das Salt wird normalerweise per Zufall ermittelt und dann zusammen mit dem verschlüsselten Passwort gespeichert. Salt schützt nicht gegen brute force, sondern gegen rainbow tables. Dafür muss es nicht geheimer sein als das verschlüsselte Passwort selbst.

    Was du meinst wird auch manchmal als Salt bezeichnet, ist aber irgendwie albern. ;)

  18. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Nof 27.04.11 - 11:08

    Ich hab keine Playstation daher ist meine Aussage mit Vorsicht zu genießen, aber wer gibt komplexe Passwörter mit einem Kontroller ein. Da kann man sich schon über abcde1234 freuen.

  19. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: GodsBoss 27.04.11 - 11:09

    Wenn du wüsstest…

    Webprojekt, public, vor nicht einmal drei Jahren neu entwickelt, alle Passwörter im Klartext in der Datenbank gespeichert. Für mehr als 5000 Benutzer.

    Achso: Ich hatte meine Finger da nicht im Spiel, habe nur mal lesenden Zugriff auf die Datenbank gehabt… (nichts Illegales, falls das jemand vermutet)

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  20. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Endwickler 27.04.11 - 11:17

    Nof schrieb:
    --------------------------------------------------------------------------------
    > Ich hab keine Playstation daher ist meine Aussage mit Vorsicht zu genießen,
    > aber wer gibt komplexe Passwörter mit einem Kontroller ein. Da kann man
    > sich schon über abcde1234 freuen.

    Da man die Zeichen einzeln auswählt, ist es wohl egal, welches Zeichen es ist bzw. wie kompliziert die Zeichen in unseren Augen aussehen.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Porsche Consulting GmbH, Stuttgart, Berlin, Frankfurt am Main, Hamburg, München
  2. SCHILLER Medizintechnik GmbH, Feldkirchen
  3. ifp - Institut für Managementdiagnostik Will & Partner GmbH & Co. KG, Großraum München
  4. Dataport, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 25. Oktober)
  2. 39,99€ (Release am 3. Dezember)
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

  1. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  2. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  3. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.


  1. 18:18

  2. 18:00

  3. 17:26

  4. 17:07

  5. 16:42

  6. 16:17

  7. 15:56

  8. 15:29