Privatsphäre und Sicherheit

Warum Sie sich Sorgen machen sollten, wenn die Passwortdatenbank eines Dienstes durchgesickert ist


„Unsere Passwortdatenbank wurde gestern gestohlen. Aber keine Sorge: Ihre Passwörter wurden verschlüsselt.“ Wir sehen regelmäßig Aussagen wie diese online, einschließlich gestern, von Yahoo. Aber sollten wir diese Zusicherungen wirklich für bare Münze nehmen?

Die Realität ist, dass die Passwortdatenbank kompromittiert wird sind ein Anliegen, egal wie ein Unternehmen versuchen mag, es zu spinnen. Aber es gibt ein paar Dinge, die Sie tun können, um sich zu isolieren, egal wie schlecht die Sicherheitspraktiken eines Unternehmens sind.

Wie Passwörter gespeichert werden sollten

So sollten Unternehmen Passwörter in einer idealen Welt speichern: Sie erstellen ein Konto und geben ein Passwort ein. Anstatt das Passwort selbst zu speichern, generiert der Dienst einen „Hash“ aus dem Passwort. Dies ist ein einzigartiger Fingerabdruck, der nicht rückgängig gemacht werden kann. Zum Beispiel kann das Passwort „password“ zu etwas werden, das eher wie „4jfh75to4sud7gh93247g…“ aussieht. Wenn Sie Ihr Passwort eingeben, um sich anzumelden, generiert der Dienst daraus einen Hash und prüft, ob der Hash-Wert mit dem in der Datenbank gespeicherten Wert übereinstimmt. Zu keinem Zeitpunkt speichert der Dienst Ihr Passwort selbst auf der Festplatte.

Warum Sie sich Sorgen machen sollten wenn die Passwortdatenbank eines

Um Ihr tatsächliches Passwort zu ermitteln, müsste ein Angreifer mit Zugriff auf die Datenbank die Hashes für gängige Passwörter vorab berechnen und dann prüfen, ob diese in der Datenbank vorhanden sind. Angreifer tun dies mit Nachschlagetabellen – riesigen Listen von Hashes, die mit Passwörtern übereinstimmen. Die Hashes können dann mit der Datenbank verglichen werden. Ein Angreifer würde beispielsweise den Hash für „password1“ kennen und dann sehen, ob Konten in der Datenbank diesen Hash verwenden. Ist dies der Fall, weiß der Angreifer, dass sein Passwort „password1“ ist.

Um dies zu verhindern, sollten Dienste ihre Hashes „salzen“. Anstatt einen Hash aus dem Passwort selbst zu erstellen, fügen sie vor dem Hashing eine zufällige Zeichenfolge am Anfang oder am Ende des Passworts hinzu. Mit anderen Worten, ein Benutzer würde das Passwort „password“ eingeben und der Dienst würde den Salt hinzufügen und ein Passwort hashen, das eher wie „password35s2dg“ aussieht. Jedes Benutzerkonto sollte einen eigenen eindeutigen Salt haben, und dies würde sicherstellen, dass jedes Benutzerkonto einen anderen Hash-Wert für sein Passwort in der Datenbank hat. Selbst wenn mehrere Konten das Passwort „password1“ verwenden, haben sie aufgrund der unterschiedlichen Salt-Werte unterschiedliche Hashes. Dies würde einen Angreifer besiegen, der versucht, Hashes für Passwörter vorab zu berechnen. Anstatt Hashes generieren zu können, die auf jedes Benutzerkonto in der gesamten Datenbank gleichzeitig angewendet werden, müssten sie für jedes Benutzerkonto und seinen eindeutigen Salt eindeutige Hashes generieren. Dies würde viel mehr Rechenzeit und Speicher beanspruchen.

Aus diesem Grund sagen die Dienste oft, dass Sie sich keine Sorgen machen sollen. Ein Dienst, der geeignete Sicherheitsverfahren verwendet, sollte angeben, dass er gesalzene Passwort-Hashes verwendet. Wenn sie einfach sagen, dass die Passwörter „gehasht“ sind, ist das besorgniserregender. LinkedIn hat zum Beispiel ihre Passwörter gehasht, aber sie haben sie nicht gesalzen – also war es eine große Sache als LinkedIn 2012 6,5 Millionen gehashte Passwörter verlor.

Schlechte Passwort-Praktiken

1622824330 529 Warum Sie sich Sorgen machen sollten wenn die Passwortdatenbank eines

Dies ist nicht das schwierigste zu implementieren, aber viele Websites schaffen es immer noch, es auf verschiedene Weise durcheinander zu bringen:

  • Speichern von Passwörtern im Klartext: Anstatt sich mit Hashing zu beschäftigen, können einige der schlimmsten Täter die Passwörter einfach in Klartextform in einer Datenbank ablegen. Wenn eine solche Datenbank kompromittiert wird, sind Ihre Passwörter offensichtlich kompromittiert. Es spielte keine Rolle, wie stark sie waren.
  • Hashing der Passwörter, ohne sie zu salzen: Einige Dienste können die Passwörter hashen und dort aufgeben und sich dafür entscheiden, keine Salts zu verwenden. Solche Kennwortdatenbanken wären sehr anfällig für Nachschlagetabellen. Ein Angreifer könnte die Hashes für viele Passwörter generieren und dann überprüfen, ob sie in der Datenbank vorhanden sind – er könnte dies für jedes Konto gleichzeitig tun, wenn kein Salt verwendet wurde.
  • Salze wiederverwenden: Einige Dienste verwenden möglicherweise einen Salt, aber sie können denselben Salt für jedes Benutzerkontokennwort wiederverwenden. Dies ist sinnlos – wenn für jeden Benutzer derselbe Salt verwendet würde, hätten zwei Benutzer mit demselben Passwort denselben Hash.
  • Verwenden von kurzen Salzen: Wenn Salts mit wenigen Ziffern verwendet werden, wäre es möglich, Lookup-Tabellen zu generieren, die alle möglichen Salts enthalten. Wenn beispielsweise eine einzelne Ziffer als Salt verwendet wird, könnte der Angreifer leicht Listen mit Hashes generieren, die jedes mögliche Salt enthalten.

Unternehmen werden Ihnen nicht immer die ganze Geschichte erzählen. Selbst wenn sie sagen, dass ein Passwort gehasht (oder gehasht und gesalzen) wurde, verwenden sie möglicherweise nicht die Best Practices. Gehen Sie immer auf Nummer sicher.

Andere Bedenken

Es ist wahrscheinlich, dass der Salt-Wert auch in der Kennwortdatenbank vorhanden ist. Das ist nicht so schlimm – wenn für jeden Benutzer ein eindeutiger Salt-Wert verwendet würde, müssten die Angreifer viel CPU-Leistung aufwenden, um all diese Passwörter zu knacken.

In der Praxis verwenden so viele Leute offensichtliche Passwörter, dass es wahrscheinlich leicht wäre, die Passwörter vieler Benutzerkonten zu ermitteln. Wenn ein Angreifer beispielsweise Ihren Hash und Ihren Salt kennt, kann er leicht überprüfen, ob Sie einige der gängigsten Passwörter verwenden.

VERBUNDEN: Wie Angreifer online Konten hacken und wie Sie sich schützen können

Wenn ein Angreifer es auf Sie abgesehen hat und Ihr Passwort knacken möchte, kann er dies mit Brute-Force tun, solange er den Salt-Wert kennt – was er wahrscheinlich auch tut. Mit lokalem Offline-Zugriff auf Passwortdatenbanken können Angreifer alle gewünschten Brute-Force-Angriffe einsetzen.

Beim Diebstahl einer Passwortdatenbank werden wahrscheinlich auch andere personenbezogene Daten durchsickern: Benutzernamen, E-Mail-Adressen und mehr. Im Fall des Yahoo-Leaks wurden auch Sicherheitsfragen und -antworten durchgesickert – die es, wie wir alle wissen, einfacher machen, den Zugang zu einem Konto zu stehlen.

Hilfe, was soll ich tun?

Was auch immer ein Dienst sagt, wenn seine Passwortdatenbank gestohlen wird, es ist am besten, davon auszugehen, dass jeder Dienst völlig inkompetent ist, und entsprechend zu handeln.

Erstens, verwenden Sie Passwörter nicht auf mehreren Websites. Verwenden Sie einen Passwort-Manager, der für jede Website eindeutige Passwörter generiert. Wenn ein Angreifer herausfindet, dass Ihr Kennwort für einen Dienst „43^tSd%7uho2#3“ lautet und Sie dieses Kennwort nur auf dieser einen Website verwenden, hat er nichts Nützliches erfahren. Wenn Sie überall dasselbe Passwort verwenden, könnten sie auf Ihre anderen Konten zugreifen. So werden die Konten vieler Personen „gehackt“.

1622824330 328 Warum Sie sich Sorgen machen sollten wenn die Passwortdatenbank eines

Wenn ein Dienst kompromittiert wird, ändern Sie unbedingt das dort verwendete Passwort. Sie sollten das Passwort auch auf anderen Websites ändern, wenn Sie es dort wiederverwenden – aber das sollten Sie erst gar nicht tun.

Sie sollten auch die Zwei-Faktor-Authentifizierung in Betracht ziehen, die Sie selbst dann schützt, wenn ein Angreifer Ihr Passwort erfährt.

VERBUNDEN: Warum Sie einen Passwort-Manager verwenden sollten und wie Sie loslegen können

Das Wichtigste ist, Passwörter nicht wiederzuverwenden. Kompromittierte Passwortdatenbanken können Ihnen nicht schaden, wenn Sie überall ein eindeutiges Passwort verwenden – es sei denn, sie speichern etwas anderes Wichtiges in der Datenbank, wie Ihre Kreditkartennummer.

Bildnachweis: Marc Falardeau auf Flickr, Wikimedia Commons



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ähnliche Artikel

Schaltfläche "Zurück zum Anfang"