Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Folgenschwerer PSN-Hack: Persönliche…

Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: ThiefMaster 27.04.11 - 00:05

    Bei solchen großen Kreditkartenlecks werden die Banken/Kreditkartenfirmen i.d.R. informiert und geben gratis und ohne Zutun des Besitzers neue Karten aus - oftmals noch bevor er überhaupt von dem Leck erfährt (nicht jeder liest Heise & Co). Und wenn Schmu damit getrieben wurde bekommt man sein Geld normalerweise auch zurück.

    Wenn allerdings Klartextpasswörter geleakes wurden oder gar frei im Netz stehen - evtl noch mit Nickname oder Mailadresse dabei - bedeutet das für die meisten Leute ein deutlich größeres Problem: Auf zig Seiten das Passwort ändern und dann überlegen welche wichtigen Seiten man jetzt doch noch vergessen hat.

  2. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: RazorHail 27.04.11 - 00:28

    das ist richtig ;)

    deswegen: für jede website ein neues passwort verwenden


    und dann am besten entweder mit software wie keepass+dropbox, oder services wie lastpass speichern und synchronisieren

  3. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: iJones 27.04.11 - 00:29

    Es steht an keiner Stelle, dass Sony Passwörter im Klartext abspeichert. Ich bezweifel auch aus Webentwickler Sicht sehr stark, dass Sony das tut. Die meisten Unternehmen nutzen dort vorgefertigte Routinen von etablierten Libraries, warum sollte man sich da unnötig Arbeit machen und dann auch noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50 Benutzer. Was veranlasst dich zu denken, dass Sony Passwörter im Klartext speichert?



    1 mal bearbeitet, zuletzt am 27.04.11 00:31 durch iJones.

  4. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Necrovoid 27.04.11 - 01:02

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?

    Ich nehme mir mal die Freiheit und Antworte:

    Ganz einfach, es steht nirgends das es nicht so ist. dasselbe trifft auf KK nummern und Sec-codes zu. Wären sie Verschlüsselt gewesen, so wäre denke ich eine Deutliche Verharmlosung im Statement von Sony zu lesen gewesen. dem ist aber nicht der Fall und so lange da nichts Anders lautendes von Offizieller Seite kommt, muss man hier Zwangsläufig vom Worst Case aus gehen.

  5. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: IrgendeinNutzer 27.04.11 - 01:02

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?


    Ich glaube das liegt am Vertrauen zu Sony :D

  6. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: It's me, Mario 27.04.11 - 07:55

    Nein, das liegt am Sony Quote im Golem Artikel:
    "...sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity
    -------> Passwort <--------
    und Login sowie PSN Online ID."

    Wenn solche Daten sicher (genug) abgelegt werden, ist man vorsichtiger mit solchen Statements.

  7. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: antares 27.04.11 - 08:27

    iJones schrieb:
    --------------------------------------------------------------------------------
    > Es steht an keiner Stelle, dass Sony Passwörter im Klartext abspeichert.
    > Ich bezweifel auch aus Webentwickler Sicht sehr stark, dass Sony das tut.
    > Die meisten Unternehmen nutzen dort vorgefertigte Routinen von etablierten
    > Libraries, warum sollte man sich da unnötig Arbeit machen und dann auch
    > noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst
    > ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext
    > gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50
    > Benutzer. Was veranlasst dich zu denken, dass Sony Passwörter im Klartext
    > speichert?


    Weil genug andere Firmen ihre Passwörter auch plain speichern? Zum Beispiel Rapidshare, Gameforge und strato(bei älteren Accounts) sowie Amazon(ebenfalls alte accounts) machen das so.

    IMHO sollte es für Anbieter von Internetdienstleistungen verpflichtend sein, angaben über die Speicherung von Passwörtern in den Datenschutzbestimmungen zu machen.

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  8. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Katana Seiko 27.04.11 - 08:38

    Die Passwoerter werden fast ueberall mit MD5 "verschluesselt". Es gibt nur die Erzeugung eines Hash-Codes. Ein Umkehrschluss von Hash zu PAsswort ist ueblicherweise nicht moeglich. Aber fuer solche Faelle gibt es recht umfangreiche Rainbow-Tabellen.

  9. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: antares 27.04.11 - 08:44

    Katana Seiko schrieb:
    --------------------------------------------------------------------------------
    > Die Passwoerter werden fast ueberall mit MD5 "verschluesselt". Es gibt nur
    > die Erzeugung eines Hash-Codes. Ein Umkehrschluss von Hash zu PAsswort ist
    > ueblicherweise nicht moeglich. Aber fuer solche Faelle gibt es recht
    > umfangreiche Rainbow-Tabellen.


    ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter seiner Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT weitgehend witzlos. Allerdings schafft eine aktuelle Grafikkarte auch ihre 800 Mio MD5-Hashes pro Sekunde. Also lieber gleich live ran.

    Zusätzlich dazu nehmen die meisten nutzer eher dämliche passwörter, die leicht mittels brute-force attacken erraten werden können. Das trifft imho insbesondere auf einen Login zu, der an einer Spielekonsole mit einem Kontroller eingegeben werden muss. Mit dem ding jedes mal "²^#@123halloµ" einzugeben - darauf haben wohl die wenigsten lust^^

    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!
    'touch /dev/breasts' macht root zum Sex-Offender
    ******
    macht aus nutzern raubmordhörer ohne klickibuntigui!

  10. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Anonym007 27.04.11 - 09:01

    Zu der Frage ob die Passwörter in plaintext speichern muss man wissen wie die mit ner Public Key krypto signieren!

    Privatekey + get_random_no()

    Get_random_no()
    {
    Return 4;
    }

    Ich hoffe das hilft etwas sonys hier zu verstehen.
    Wenn nur die hashes gestohlen wurden gäbe es nichteimal einen Grund das zu erwähnen!
    Die waren 100%tig im plain Text!

  11. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: highrider 27.04.11 - 09:03

    iJones schrieb:
    --------------------------------------------------------------------------------

    > noch auf Kosten der Sicherheit? Mir ist in meinen bisherigen Laufbahn erst
    > ein Webprojekt (Intranet!) begegnet, bei dem die Passwörter im Klartext
    > gespeichert waren, das ist aber ca 15 Jahre her und betraf weniger als 50
    > Benutzer.

    Kunde bei eBay? Da konnte man sich jahrelang sein Passwort per email zuschicken lassen. Es kann natürlich sein, dass sie es encrypted gespeichert hatten. Ich würde aber Geld drauf wetten, dass das nicht so war. Dazu war die Technik insgesamt zu schlecht. Zumindest reichte es, die Sicherheitsfrage nach der Lieblingsfarbe korrekt zu beantworten, um sofort vollen Zugriff auf ein Konto zu erhalten. In dem Stadium denken Entwickler im Leben nicht über encryptete Passwörter nach.


    highrider
    PS: eBay hat damals schon hunderte Millionen Umsatz gemacht.

  12. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: highrider 27.04.11 - 09:08

    antares schrieb:
    --------------------------------------------------------------------------------

    > ermm... Rainbowtables sind nutzlos. Ein Webmaster der die Passwörter seiner
    > Nutzer schon hashed, wird sie auch gleich salten.

    Mann, hast du ein Gottvertrauen. Im Fall von Sony würde das aber sowieso nur dann was nützen, wenn jeder Account sein eigenes Salz hätte. Denn bei 70mio Datensätzen lohnt sich der Aufwand, eigene Rainbow-Tables zu generieren. Dann dauert es eben ein paar Tage länger bis man den Vollzugriff bekommt.

    highrider

  13. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Epaminaidos 27.04.11 - 09:56

    ThiefMaster schrieb:
    --------------------------------------------------------------------------------
    > Bei solchen großen Kreditkartenlecks werden die Banken/Kreditkartenfirmen
    > i.d.R. informiert und geben gratis und ohne Zutun des Besitzers neue Karten
    > aus - oftmals noch bevor er überhaupt von dem Leck erfährt (nicht jeder
    > liest Heise & Co).

    Die Postbank schickt mir alle paar Monate neue Karten - und genau das befürchte ich. Ich glaube, ich habe jetzt den dritten Satz in 18 Monaten. Ist nicht gerade vertrauenserweckend.

  14. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: fool 27.04.11 - 10:40

    Selbst wenn alle Passwörter mit Salt verschlüsselt sind, hilft das nichts gegen Wörterbuchangriffe. Komplexe Passwörter wären in so einem Fall verhältnismäßig sicher, aber bei 75 Millionen Usern gibt es bestimmt genug, die per simplem brute force noch gefunden werden können. Eine Wörterbuchdatei einmal pro Salt durchzugehen, kann relativ schnell gehen.

  15. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: ThiefMaster 27.04.11 - 10:44

    > Weil genug andere Firmen ihre Passwörter auch plain speichern? Zum Beispiel
    > Rapidshare, Gameforge und strato(bei älteren Accounts) sowie
    > Amazon(ebenfalls alte accounts) machen das so.
    Bei einer der genannten Firma konnten Admins (keine technischen Admins) die keine festen Mitarbeiter waren sogar die Klartextpasswörter einsehen! Ob es immernoch so ist weiß ich nicht (hoffentlich nicht), damals war es aber so..

  16. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Auf_zum_Atom 27.04.11 - 10:45

    antares schrieb:
    -------------------------------------------------------------------------------> Ein Webmaster der die Passwörter seiner
    > Nutzer schon hashed, wird sie auch gleich salten. Damit machst du die RT
    > weitgehend witzlos.

    Wobei man durchaus auch in Betracht ziehen kann, dass wenn ein Angreifer Zugriff auf die kompletten Datenbank incl. Passwörtern etc. hat, dass er dann auch an den Salt im Quelltext Zugriff hat. Womit sich dann dieses Sicherheitsfeatures erledigt hat.

  17. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: fool 27.04.11 - 10:57

    Auf_zum_Atom schrieb:
    > Wobei man durchaus auch in Betracht ziehen kann, dass wenn ein Angreifer
    > Zugriff auf die kompletten Datenbank incl. Passwörtern etc. hat, dass er
    > dann auch an den Salt im Quelltext Zugriff hat. Womit sich dann dieses
    > Sicherheitsfeatures erledigt hat.

    So funktioniert das mit dem Salt nicht, das Salt wird normalerweise per Zufall ermittelt und dann zusammen mit dem verschlüsselten Passwort gespeichert. Salt schützt nicht gegen brute force, sondern gegen rainbow tables. Dafür muss es nicht geheimer sein als das verschlüsselte Passwort selbst.

    Was du meinst wird auch manchmal als Salt bezeichnet, ist aber irgendwie albern. ;)

  18. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Nof 27.04.11 - 11:08

    Ich hab keine Playstation daher ist meine Aussage mit Vorsicht zu genießen, aber wer gibt komplexe Passwörter mit einem Kontroller ein. Da kann man sich schon über abcde1234 freuen.

  19. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: GodsBoss 27.04.11 - 11:09

    Wenn du wüsstest…

    Webprojekt, public, vor nicht einmal drei Jahren neu entwickelt, alle Passwörter im Klartext in der Datenbank gespeichert. Für mehr als 5000 Benutzer.

    Achso: Ich hatte meine Finger da nicht im Spiel, habe nur mal lesenden Zugriff auf die Datenbank gehabt… (nichts Illegales, falls das jemand vermutet)

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  20. Re: Klartextpasswörter oder Passworthashes ohne Salt sind schlimmer als CC-Nummern

    Autor: Endwickler 27.04.11 - 11:17

    Nof schrieb:
    --------------------------------------------------------------------------------
    > Ich hab keine Playstation daher ist meine Aussage mit Vorsicht zu genießen,
    > aber wer gibt komplexe Passwörter mit einem Kontroller ein. Da kann man
    > sich schon über abcde1234 freuen.

    Da man die Zeichen einzeln auswählt, ist es wohl egal, welches Zeichen es ist bzw. wie kompliziert die Zeichen in unseren Augen aussehen.

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OSRAM GmbH, Berlin, Garching bei München
  2. Netze BW GmbH, Karlsruhe
  3. CureVac AG, Tübingen
  4. Ingenics AG, München, Hamburg, Stuttgart, Ulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. GRAND THEFT AUTO V: PREMIUM ONLINE EDITION 13,99€, Shadows: Awakening 12,50€)
  2. (aktuell u. a. Monitore, Mäuse, CPUs)
  3. mit Gutschein: NBBCORSAIRPSP19
  4. (heute u. a. Saugroboter)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben