- Registriert
- 2 Mrz 2011
- Beiträge
- 1.527
Wie Interessierten bekannt ist, wurden von mehreren grossen Sites (eharmony.com, linkedin.com, last.fm) vermutlich bereits 2011 etliche Millionen Kundenpasswörter (bzw. deren Hashes) gestohlen. Naja, kann ja mal passieren, shit happens halt. Da nutzt's auch nix, wenn man sich als "weltweit größtes berufliches Netzwerk" oder "#1 Most Trusted Online Dating Site" bezeichnet. (Steht ja nirgends, worauf sich das trusted ("vertrauenswürdig") bezieht.
Der eigentliche Skandal dabei ist nicht, dass die Passwörter gestohlen wurden, da gibt's viel schlimmeres. Für jeden erhältlich ist z.B. eine vollständige Kopie einer Neonazi Dating Site inkl aller auf der Website je gemachten Einträge (persönliche Post, (gelöschte) Postings, etc.). Da sind Passworthashes ein Klacks dagegen. Besagter Skandal besteht darin, dass diese nicht gerade kleinen und vermutlich auch nicht von Hobbyprogrammierern erstellten Sites die Passwörter in Form von ungesalzenen Hashes speicherten (speichern?). Diese seit langem nicht mehr zeitgemäße Form der Speicherung ermöglicht es praktisch jedem Scriptkid mittels frei erhältlichen Hilfsmitteln, das zu einem Account gehörende Passwort in relativ kurzer Zeit zu ermitteln.
In Anbetracht der hier jüngst vom Betreiber abverlangten Adressangaben muss im Gegenzug die Frage gestattet sein:
Wie speichert WuH die Passwörter seiner Nutzer?
Zum genaueren Nachlesen:
http://www.heise.de/security/meldung/Nach-LinkedIn-auch-eHarmony-Passwoerter-gestohlen-1612866.html
http://www.heise.de/security/artikel/LinkedIn-und-die-Passwoerter-1612661.html
Der eigentliche Skandal dabei ist nicht, dass die Passwörter gestohlen wurden, da gibt's viel schlimmeres. Für jeden erhältlich ist z.B. eine vollständige Kopie einer Neonazi Dating Site inkl aller auf der Website je gemachten Einträge (persönliche Post, (gelöschte) Postings, etc.). Da sind Passworthashes ein Klacks dagegen. Besagter Skandal besteht darin, dass diese nicht gerade kleinen und vermutlich auch nicht von Hobbyprogrammierern erstellten Sites die Passwörter in Form von ungesalzenen Hashes speicherten (speichern?). Diese seit langem nicht mehr zeitgemäße Form der Speicherung ermöglicht es praktisch jedem Scriptkid mittels frei erhältlichen Hilfsmitteln, das zu einem Account gehörende Passwort in relativ kurzer Zeit zu ermitteln.
In Anbetracht der hier jüngst vom Betreiber abverlangten Adressangaben muss im Gegenzug die Frage gestattet sein:
Wie speichert WuH die Passwörter seiner Nutzer?
Zum genaueren Nachlesen:
http://www.heise.de/security/meldung/Nach-LinkedIn-auch-eHarmony-Passwoerter-gestohlen-1612866.html
http://www.heise.de/security/artikel/LinkedIn-und-die-Passwoerter-1612661.html