Datenschutz auf WuH

[.44-40]

Wie Interessierten bekannt ist, wurden von mehreren grossen Sites (eharmony.com, linkedin.com, last.fm) vermutlich bereits 2011 etliche Millionen Kundenpasswörter (bzw. deren Hashes) gestohlen. Naja, kann ja mal passieren, shit happens halt. Da nutzt's auch nix, wenn man sich als "weltweit größtes berufliches Netzwerk" oder "#1 Most Trusted Online Dating Site" bezeichnet. (Steht ja nirgends, worauf sich das trusted ("vertrauenswürdig") bezieht.

Der eigentliche Skandal dabei ist nicht, dass die Passwörter gestohlen wurden, da gibt's viel schlimmeres. Für jeden erhältlich ist z.B. eine vollständige Kopie einer Neonazi Dating Site inkl aller auf der Website je gemachten Einträge (persönliche Post, (gelöschte) Postings, etc.). Da sind Passworthashes ein Klacks dagegen. Besagter Skandal besteht darin, dass diese nicht gerade kleinen und vermutlich auch nicht von Hobbyprogrammierern erstellten Sites die Passwörter in Form von ungesalzenen Hashes speicherten (speichern?). Diese seit langem nicht mehr zeitgemäße Form der Speicherung ermöglicht es praktisch jedem Scriptkid mittels frei erhältlichen Hilfsmitteln, das zu einem Account gehörende Passwort in relativ kurzer Zeit zu ermitteln.

In Anbetracht der hier jüngst vom Betreiber abverlangten Adressangaben muss im Gegenzug die Frage gestattet sein:

Wie speichert WuH die Passwörter seiner Nutzer?

Zum genaueren Nachlesen:

http://www.heise.de/security/meldung/Nach-LinkedIn-auch-eHarmony-Passwoerter-gestohlen-1612866.html
http://www.heise.de/security/artikel/LinkedIn-und-die-Passwoerter-1612661.html

 

[DownBelow]

Hallo

dass diese nicht gerade kleinen und vermutlich auch nicht von Hobbyprogrammierern erstellten Sites

wohl eher doch:

die Passwörter in Form von ungesalzenen Hashes speicherten (speichern?)

Diese seit langem nicht mehr zeitgemäße Form der Speicherung ermöglicht es praktisch jedem Scriptkid mittels frei erhältlichen Hilfsmitteln, das zu einem Account gehörende Passwort in relativ kurzer Zeit zu ermitteln.

Immer langsam mit den jungen Pferden:
Auch ohne Salz kann die Speicherung sicher sein, alles eine Frage des Algorithmus', du kennst den verwendeten?
Und der Rechenaufwand ist trotzdem gegeben, also dieses Scriptkiddie sollte schon einen gescheiten Rechner zur Verfügung haben, das aber nur nebenbei.
Das Hauptproblem ist der Algorithmus, bzw. das ist eigentlich keines, MD5 als Hashfunktion wurde zwar kollisionsmäßig geknackt, aber Passwörter sind noch sicher. Gegen Rainbowtables ist fast nichts sicher, wenn man ein unsicheres Passwort verwendet.
Und wer das macht, ist schon mal zum größten Teil selbst schuld. Die Programmierer könnten dann natürlich noch mit dem Salz arbeiten, wäre eine Möglichkeit, die Verantwortung hat aber nunmal jeder Nutzer, sich ein gescheites Passwort zu wählen.
Punkt 2 ist, Hashwerte sind nicht zum Verschlüsseln da, Punkt. Sie dienen der Überprüfung der Datenintegrität und wurden dafür entwickelt, wer verschlüsseln will soll "richtige" Verschlüsselungsalgorithmen nehmen, das erhöht die Sicherheit um Welten.

grüße und Wmh

 

[STR]

Das Hauptproblem ist der Algorithmus, bzw. das ist eigentlich keines, MD5 als Hashfunktion wurde zwar kollisionsmäßig geknackt, aber Passwörter sind noch sicher. Gegen Rainbowtables ist fast nichts sicher, wenn man ein unsicheres Passwort verwendet.

Hallo!

Haschfunktion und Regenbogentabletten...das klingt ja schon mal nicht schlecht...da fallen einem bestimmt lustige Passwörter ein! :12:

Nein, Spass beiseite...und eine konkrete Frage an DownBelow:

Was nennst du ein sicheres Passwort, bzw. wie soll ein sicheres Passwort deiner Meinung nach aussehen? ...ich frage, weil ich ehlich gesagt bei deinem Beitrag eher nur 'Bahnhof' verstanden habe.


Gruss,
STR

 

[Osch]

Deswegen im Netz überall ein anderes Passwort verwenden.

Edit: Ein sicheres Passwort sollte mehrere Buchstaben, Zahlen UND Sonderzeichen haben. Und nichts eingebaut wie Geburtsdatum, Wörter etc.

 

[STR]

Deswegen im Netz überall ein anderes Passwort verwenden.

Edit: Ein sicheres Passwort sollte mehrere Buchstaben, Zahlen UND Sonderzeichen haben. Und nichts eingebaut wie Geburtsdatum, Wörter etc.

Hallo Osch!

Ja, sehe ich in etwa ähnlich...aber genau da wid's dann spannend: :26:

1. Sind Sonderzeichen nicht überall zugelassen
2. Ist so ein 'sicheres' Passowort bestehend aus Buchstaben-, Zeichen-, und Zahlensalat sehr einfach zu merken
3. Sollte/muss man das besagte Passwort dann in regelmässigen Abständen ändern
4. Ist es ab und zu nicht erlaubt, ältere Passwörter wieder neu zu benutzen
5. Hat man oft mehere Accounts, Programme oder sonstige Anwendungen, wo man sich einloggen muss...da ist man schnell bei 10...15... Passwörtern...
6. ...wo die Passwörter jeweils dann auch eine unterschiedlichen Aufbau/Struktur haben müssen.
7. Unregelmässig benutze Pw geraten noch schneller in Vergessenheit.
8. Wird vom Notieren/Aufschreiben der Passwörter auch stärkstens abgeraten

...also auch für den Anwender ist es nicht immer einfach, den Überblick beim Passwortmanagement zu behalten!

Gruss,
STR

 

[Robert aus BY]

Da ich mich im Foren weder größewr noch kleiner mache wie ich bin.

Keinen bewussten Sch..... erzähl. Und keinen von der Seite anmache oder beleidige ist es mir egal, ob mein Passwort in einem Forum geknackt wird oder nicht.

Robert

 

[.44-40]

Da ich mich im Foren weder größewr noch kleiner mache wie ich bin.

Keinen bewussten Sch..... erzähl. Und keinen von der Seite anmache oder beleidige ist es mir egal, ob mein Passwort in einem Forum geknackt wird oder nicht.

Und obwohl du natürlich die von WuH kürzlich verlangten Daten korrekt angegeben hast, kümmert es dich auch nicht, wenn deine persönlichen Daten und über die Forensoftware geschriebenen persönlichen Nachrichten nach einem Hack in Kreisen militanter Jagdgegner kursieren.

Das kann ich akzeptieren. Kannst du akzeptieren, dass anderen sowas nicht egal ist und sie zumindest ihre ihnen abverlangten Daten gern gut geschützt wüssten?

 

[.44-40]

Was nennst du ein sicheres Passwort, bzw. wie soll ein sicheres Passwort deiner Meinung nach aussehen? ...ich frage, weil ich ehlich gesagt bei deinem Beitrag eher nur 'Bahnhof' verstanden habe.

Mal ganz einfach gesagt: Wenn der Forenbetreiber dein Passwort im Klartext speichern würde und sich dieses Passwort dann klauen lässt, ist kein Passwort sicher.

Deshalb werden Passwörter üblicherweise eben nicht im Klartext gespeichert, sondern durch eine bestimmte Funktion verschlüsselt. Da wird aus "Bahnhof" dann "asdf324333" und nur das "asdf..." wird gespeichert und kann gestohlen werden.

Kennt der Angreifer jetzt die Funktion mit der das PW behandelt wurde, lädt er sich ein Wörterbuch runter und füttert die Funktion mit jedem Wort daraus. Wenn er dann (nach ca. 1,2 Sekunden) bei "Bahnhof" angekommen ist, macht's <pling> und dein Account ist offen.

Der Angreifer kann auch einfach alle möglichen Zeichenkombos durch die Funktion jagen und warten, bis hinten das gewünschte Ergebnis (asdf....) rauskommt. Das wäre ein sog. Brute Force Angriff, der aber recht viel Zeit benötigt. Um das zu verkürzen, gibts die Regenbogentabellen in der unzählige Werte bestimmter Verschlüsselungsfunktionen bereits ausgerechnet wurden und in denen nun nur nach der asdf... Zeichenfolge gesucht werden muss. Wird sie gefunden, wird das zugehörige Passwort gelesen (das bei schlechten Funktionen nichtmal zwangsläufig "Bahnhof" sein muss) und der Account ist wieder offen.

Ein sicheres Passwort ist also eines, das vermutlich in keinem Wörterbuch steht wie z.B. "DRsh,dRsw.Wan,ehjZ!" (Das Reh springt hoch, das Reh springt weit. Warum auch nicht, es hat ja Zeit!)

Aber wie oben ausgeführt ist auch so ein Passwort nicht sicherer als das berühmte "123456" wenn der Anbieter schlampt.

Deshalb würde ich schon gern wissen, wie WuH das handhabt, speziell wenn mit dem Passwort meine persönlichen Daten und nicht nur belangloser chitchat geschützt werden.

 

[Robert aus BY]

Das kann ich akzeptieren. Kannst du akzeptieren, dass anderen sowas nicht egal ist und sie zumindest ihre ihnen abverlangten Daten gern gut geschützt wüssten?

klar kann ich auch akzeptieren.

Und stimmt, Du hast Recht, hab das kürzlich geschickte Formblatt mit Klarnamen Tel usw. ausgefüllt. War evtl. etwas blauäugig, aber hab da keine Angst vor Jagdgegnern.

Robert

 

[admin]

Deshalb würde ich schon gern wissen, wie WuH das handhabt, speziell wenn mit dem Passwort meine persönlichen Daten und nicht nur belangloser chitchat geschützt werden.

Wir behandeln diese Daten mit höchster Sicherheit und mit Sicherheit werden wir darüber kein Wort verlieren !

 

[Survival-Freak]

@ .44-40....

nimm wireshark, setz in auf deine Netzwerkkarte und mach einen Capture wenn du dich bei WuH einloggst. Zur Vereinfachung setze einen Filter das nur http:// mitgesniffert wird...

Danach mach dir wieder Gedanken.... :26:

Gruß Survival-Freak

 

[.44-40]

Wir behandeln diese Daten mit höchster Sicherheit und mit Sicherheit werden wir darüber kein Wort verlieren !

Ich verstehe. Per ordre de mufti alles höchst sicher und strengster Geheimhaltung unterliegend.

Vielen Dank für diese Auskunft.

 

[DownBelow]

Hallo

@STR

Frage wurde ja schon beantwortet, aber nochmal:
Passwörter sind nichts als Mathe, genauer Kombinatorik.
Nimmst du als PW ab, muss man wie viele Kombinationen durchprobieren? 26x26
jeder weitere Buchstabe erhöht also die Sicherheit um ein Vielfaches.
Kommen dann noch Zahlen und Sonderzeichen dazu (zu der größeren Länge, 7 zeichen aufwärts), sieht die sache von deiner Seite aus schon richtig gut aus, wie gesagt wurde liegt der Rest am Betreiber.

1. Sind Sonderzeichen nicht überall zugelassen
2. Ist so ein 'sicheres' Passowort bestehend aus Buchstaben-, Zeichen-, und Zahlensalat sehr einfach zu merken
3. Sollte/muss man das besagte Passwort dann in regelmässigen Abständen ändern
4. Ist es ab und zu nicht erlaubt, ältere Passwörter wieder neu zu benutzen
5. Hat man oft mehere Accounts, Programme oder sonstige Anwendungen, wo man sich einloggen muss...da ist man schnell bei 10...15... Passwörtern...
6. ...wo die Passwörter jeweils dann auch eine unterschiedlichen Aufbau/Struktur haben müssen.
7. Unregelmässig benutze Pw geraten noch schneller in Vergessenheit.
8. Wird vom Notieren/Aufschreiben der Passwörter auch stärkstens abgeraten

...also auch für den Anwender ist es nicht immer einfach, den Überblick beim Passwortmanagement zu behalten!

Gruss,
STR

2. sagst es ja selbst, ist einfach zu merken...
1.: Wer sich bei dem Anbieter anmeldet ist selber schuld.

Von der Mehrfachverwendung wird abgeraten, ja klar. Wenns aber keine Querverweise gibt
(geschäftliche Emailadresse und W&H Forum z.b.,) dann stellt das auch kein großes Problem da,
im worst Case werden eh alle PW's geändert.
Und klar kannst du dir die PW's an den Rechner hängen, dieses "Verbot" stammt aus Zeiten,
in denen man sich um die Sicherheit von Userdaten am PC sorgen machte, nicht um irgendwelche Internetaccounts.
Kannst du gewährleisten, das niemand an deinem Schreibtisch ist, stört das auch nicht...
Oder machst einen Zettel in deinen Waffenschrank...
Man kanns eben auch übertreiben...

Wie in dem Beispiel gesagt, Anfangsbuchstaben eines Satzes. Beim nächsten Account die Endbuchstaben.
Dann nur alle 2 Anfangsbuchstaben, mit der ergänzung des eigenen Alters + gewünschtem Alter der Frau, oder was weiß ich.
Is doch alles nich so schwer...

@Robert
Interessante Sichweise, was ist wenn einer deinen Zugang hat, und mit deinem Account eben dies macht, nämlich Mist schreiben?
Das ist doch das nächste Problem...


grüße und Wmh

 

[.44-40]

@ .44-40....
nimm wireshark, setz in auf deine Netzwerkkarte und mach einen Capture wenn du dich bei WuH einloggst. Zur Vereinfachung setze einen Filter das nur http:// mitgesniffert wird...

Danach mach dir wieder Gedanken.... :26:

Dass Logins im Klartext abgewickelt werden weil die Sites sich das Geld fürs Zertifikat sparen wollen oder halt einfach noch nix von https gehört haben, kommt in den besten Familien vor. Das Problem kann ich als User umgehen indem ich mich nur von sicheren LANs aus einlogge. Auf die Sicherheit der Passwörter habe ich hingegen nicht den geringsten Einfluss.

Aber interessanter Nebenaspekt: PW werden mit "höchster Sicherheit" behandelt, aber https Login bieten wir nicht an.
Nackenhaare, legt euch wieder hin.

 

[Franchi]

2. Ist so ein 'sicheres' Passowort bestehend aus Buchstaben-, Zeichen-, und Zahlensalat sehr einfach zu merken

Dafür gibt passende Programme die einem hier helfen.

4. Ist es ab und zu nicht erlaubt, ältere Passwörter wieder neu zu benutzen

Mit Passwortgeneratoren kann man sich Problemlos neue Passwörter generieren.

5. Hat man oft mehere Accounts, Programme oder sonstige Anwendungen, wo man sich einloggen muss...da ist man schnell bei 10...15... Passwörtern...

Wie gesagt, gibt es dafür einige gute kleiner Helferlein

6. ...wo die Passwörter jeweils dann auch eine unterschiedlichen Aufbau/Struktur haben müssen.

Passwortgenerator

7. Unregelmässig benutze Pw geraten noch schneller in Vergessenheit.

Wie gesagt, hier helfen einige gute Programme

8. Wird vom Notieren/Aufschreiben der Passwörter auch stärkstens abgeraten

Auch dafür gibt es Lösungen, bei denen man sich z.B. auch vor Keylogger schützen kann.

...also auch für den Anwender ist es nicht immer einfach, den Überblick beim Passwortmanagement zu behalten!

Doch das ist sehr einfach;-)