Passwortdiebstahl bei Sony

[shredding]

Nach dem Datendiebstahl bei Sony las ich, dass auch die Passwörter der Nutzer geklaut worden sind & jetzt die Gefahr groß ist, dass die Diebe sich auch woanders einloggen können (da viele dasselbe Passwort überall benutzen).

Ich kenne persönlich überhaupt kein Content-Management-System oder ähnliche, die die Passwörter selbst speichern - sondern nur solche, die einen Hashwert ablegen.

Weiß jemand, ob die Passwörter da wirklich im Klartext gespeichert wurden?

Oder wird davon ausgegangen dass der Hashwert geknackt werden kann (das wäre ja selbst bei md5() derart Rechenaufwendig, dass das höchstens gezielt passieren würde, oder [ich bin da kein Experte])?

Oder haben die Zeitungen von dem Thema halt keine Ahnung und schreiben einfach bei der DPA ab?

[4zap]

Die Frage kann dir wahrscheinlich nur Sony selbst beantworten, wird es aber nicht tun. Die sind ja nicht doof.
Es ist unwahrscheinlich daß die wirklich Passwörter im Klartext in die Datenbank schreiben. Wenn doch wäre das ein eklatanter Verstoß gegen übliche Sicherheitsauflagen und wäre wahrscheinlich schon durch die Presse gewandert.

Ich will aber nicht abstreiten daß die sich doof angestellt haben und die Daten vielleicht doch im Klartext abgespeichert haben.

Persönlich war ich zweimal von Passwortdiebstählen betroffen. Einmal wars krass mit Ärger verbunden. Beim zweiten Mal passierte gar nix.

[Nightflyer]

Ich gehe mal davon aus dass die Passwörter verschlüsselt gespeichert wurden und daher ein Knacken derselber über Rainbow Tables laufen würde. Daher wären nur eifache Passwörter betroffen.

Ich persönlich gehe nicht davon aus dass solche Passwörter einem Dieb wirklich etwas nützen, da er ja noch wissen müsste wo man überall angemeldet wäre. Viel eher denke ich dass die elektronische sowie die reale Adresse an mehr oder weniger dubiose Werbefirmen verkauft werden welche dann Spam schicken.

[Nico B.]

Siche wissen die "Diebe" nicht, wo der User überall angemeldet ist... Aber ich denke ein Versuch auf Facebook beispielsweise, wäre es wert

[Martin Kraft]

Also ich würde mich da nicht zu sehr in Sicherheit wiegen und alle Passworter ändern, die mit dem ausgespähten identisch sind.

Ich vermute nämlich, dass Passswörter doch haufiger ungehasht gespeichert werden, als man das annehmen sollte. Das scheint insbesondere bei Firmen der Fall zu sein, die auch telefonisch oder per Mail sicherheitsrelevante Kommunikation mit ihren Kunden abwickeln (was bei Sony der Fall ist?!).

Ich persönlich musste jedenfalls schon bei verschiedenen Gelegenheiten etwas mit den letzten 3 Stellen meines Passwords zu bestätigen. Und diese liesen sich ja nicht mehr verifizieren, wenn das Password gehasht vorläge. Deshalb gehe ich davon aus, dass in solchen Fällen die Passwörter zwar verschlüsselt, aber eben nicht gehasht abgelegt werden.

Das simples MD5 auch nicht der Weisheit letzter Schluss ist, hat sich wohl auch noch nicht so weit rumgesprochen. Das Salz in der Hash-Suppe dürfte jedenfalls an den meisten Stellen fehlen...

[4zap]

Zitat:

Zitat von Martin Kraft

Das simples MD5 auch nicht der Weisheit letzter Schluss ist, hat sich wohl auch noch nicht so weit rumgesprochen. Das Salz in der Hash-Suppe dürfte jedenfalls an den meisten Stellen fehlen...

Viele wiegen sich in Sicherheit mit Fingerprints..... da hilft nur Komplexität des Passwortes mit entsprechender Vorgabe seitens der Administration.

[Martin Kraft]

Bei der Unmenge an Logins, die ein normaler Internetnutzer heutzutage hat, bleibt es nicht aus, dass die meisten Standardpasswörter verwenden.

Deshalb sollte man eigentlich jeden Anbieter dazu verpflichten, seine Nutzer darüber zu informieren, ob ein Passwort rekonstruierbar gespeichert wird, oder nicht, damit diese ggf. reagieren können und für diese spezielle Anwendung ein eigenes Passwort anlegen.

IMHO hat diese Logineritis mittlerweile eh unerträgliche Ausmaße angenommen:

• Warum muss man sich für jeden Blog-Kommentar, jede Supportanfrage und jeden Online-Kauf einen Account zulegen?
• Gibt es irgendjemanden, der da noch den Überblick hat?
• Gibt es eigentlich Statistiken darüber, wie oft bei wenig genutzen Accounts die Passwort-vergessen-Funktion verwendet wird?
• Ist es nicht die schiere Masse der Logins, die dieses System irgendwann unsicher mach?

Webentwickler (und hier müssen wir uns an die eigene Nase fassen) sollten deshalb wenn irgendmöglich vermeiden, den Nutzer zur Anlage noch eines Accounts zu nötigen!

[hgseib]

folgende überlegung:
a) passwörter im klartext senden und erst zum in die datenbank speicher verschlüsseln.
vorteil: wer die datnebank hackt hat nichts davon
nachteil: senden im klartext
b) passwörter verschlüsselt senden
vorteil: verschlüsselt senden
nachteil: wer die datenbank hackt kann diese werte zu direkt senden benützen

also sicherer (sicher ist nur, das es niemals sicher sein wird) wäre, wenn die kennwörter 2x verschlüsselt würden. dabei müsste das gesendete immer anders sein. so in der art: zuerst ein wort zum verschleiern anfordern. so senden auf dem server mit diesem wort entschleiern und dann für in die datenbank verschlüsseln.
vorteil: wer die leitung abhört sieht immer etwas anderes, mit dem aus der datenbank kann man nichts anfangen.
nachteil: es bleiben die klassischen angriffsmöglichkeiten. auf dem rechner des users direkt und mitarbeiter beim provider, die zugriff auf die server-rechner haben.
[edit: das verschleiern wäre natürlich nicht nötig, wenn schon https]

[fippo]

Zitat:

Zitat von hgseib

folgende überlegung:
a) passwörter im klartext senden und erst zum in die datenbank speicher verschlüsseln.
vorteil: wer die datnebank hackt hat nichts davon
nachteil: senden im klartext
b) passwörter verschlüsselt senden
vorteil: verschlüsselt senden
nachteil: wer die datenbank hackt kann diese werte zu direkt senden benützen

Dumm nur, wenn der Angreifer sich mit dem verschlüsselten Ding dann authentifizieren kann - replay Attacke.

Zitat:

also sicherer (sicher ist nur, das es niemals sicher sein wird) wäre, wenn die kennwörter 2x verschlüsselt würden. dabei müsste das gesendete immer anders sein. so in der art: zuerst ein wort zum verschleiern anfordern. so senden auf dem server mit diesem wort entschleiern und dann für in die datenbank verschlüsseln.
vorteil: wer die leitung abhört sieht immer etwas anderes, mit dem aus der datenbank kann man nichts anfangen.
nachteil: es bleiben die klassischen angriffsmöglichkeiten. auf dem rechner des users direkt und mitarbeiter beim provider, die zugriff auf die server-rechner haben.

Viel besser ist es, das Rad nicht neu zu erfinden wollen. Die IETF hat gerade den SASL Digest-MD5 Algorithmus zu Grabe getrage, aktuell ist SCRAM state-of-the-art. Das ist dem, was Du beschreibst ziemlich ähnlich, nur Stecken da noch einige Jahrzehnte mehr Hirnschmalz dahinter :-)

[Nico B.]

Zitat:

Warum muss man sich für jeden Blog-Kommentar, jede Supportanfrage und jeden Online-Kauf einen Account zulegen?

Daten, Daten und nochmals Daten - sammeln. Das Blöde ist (wie bei Bannerdiskussion auch schon), dass der Entwickler da meistens keinen Einfluss drauf hat.


"Für mehr Fachwissen in den oberen Etagen!!"

[Olfe]

Zitat:

Zitat von hgseib

folgende überlegung:
a) passwörter im klartext senden und erst zum in die datenbank speicher verschlüsseln.
vorteil: wer die datnebank hackt hat nichts davon
nachteil: senden im klartext
b) passwörter verschlüsselt senden
vorteil: verschlüsselt senden
nachteil: wer die datenbank hackt kann diese werte zu direkt senden benützen

also sicherer (sicher ist nur, das es niemals sicher sein wird) wäre, wenn die kennwörter 2x verschlüsselt würden. dabei müsste das gesendete immer anders sein. so in der art: zuerst ein wort zum verschleiern anfordern. so senden auf dem server mit diesem wort entschleiern und dann für in die datenbank verschlüsseln.
vorteil: wer die leitung abhört sieht immer etwas anderes, mit dem aus der datenbank kann man nichts anfangen.
nachteil: es bleiben die klassischen angriffsmöglichkeiten. auf dem rechner des users direkt und mitarbeiter beim provider, die zugriff auf die server-rechner haben.

Was darauf hinauslaufen wird, daß man in Zukunft irgendwann mit einem dig. Zertifikat auf einer Smartcard (oder Handy oder ähnliches) rumlaufen wird und sich damit eindeutig im Netz indentifizieren muss bevor man seinen Senf in Blogs kommentiert oder ähnliches. Vielleicht haben wir alle bis dahin einen RFID im linken Ohr implantiert. wer weiß....

Der Weg dahin wird kommen. Dauert nur noch ein Jahrzent bis man das böse internet soweit global reglemementiert hat daß man die Anonymität dort eliminiert hat.

Ich sehs gerade an kommenden Servertechnologien. Fast alle setzen bei hohem Sicherheitsstandards Zertifikate o. ä. vorraus.


Advertiser lecken sich jetzt schon Finger.....endlich userrelevante Daten die man richtig gut zuordnen kann.

[Martin Kraft]

Vielleicht sollte man hier einfach die Beweislast umkehren, so dass jeder der personenbezogene Daten erfassen möchte, zunächst einmal nachweisen muss, dass es nicht auch ohne geht?!

[hgseib]

Zitat:

Zitat von Olfe

.. Vielleicht haben wir alle bis dahin einen RFID im linken Ohr implantiert...

das wäre nicht das erste mal, das jemandem das ohr abgeschnitten bzw. gebissen wurde. auch nicht wirklich sicher ...

ist so wie das aktuelle gelabere das kreditkarten mit magnetstreifen unsicher, aber die mit chips, die sind sicher. genau! so wie unser 'fälschungssicheres' geld. oder diesen personalausweiss, in dem selbst der durchmesser der rosette vermerkt ist. sicher ist bei all diesen dingen nur, das die jeweiligen hersteller ordentlich kasse machen.


naja, wird eine ewige diskusion bleiben ;-)
ist so eine art moderner religion. früher glaubten die leute an zeus oder den 'lieben gott' (wieso eigentlich lieb?) und sonstwas; heutzutage glaubt man an die sicherheit.
wenn man weis/berücksichtigt, das es eben nicht sicher ist, dann geht man besser damit um, als das ewige gelabere von 'du musst dir keine sorgen machen'.

[Barschel2004]

weil es gerade nochmals so schön passt:

"Ein Unbekannter hat die Daten von über 75 Millionen Playstation-Nutzern entwendet, darunter Namen, Anschriften, Paßwörter und womöglich sogar Kreditkartendaten. Die Suche der Polizei konzentriert sich nun auf einen laut Augenzeugenberichten kleingewachsenen, dicklichen Klempner mit dunklem Schnauzbart, vermutlich italienischer Herkunft. Trotz seiner Statur wird der Mann als flink und sprunggewaltig beschrieben. Auf seiner Flucht soll er darüber hinaus zahlreiche Münzen und Bonuspunkte eingesammelt haben. Trotz mehrerer heißer Spuren bestritt Sony-Konkurrent Nintendo bisher jegliche Verbindung zum Verdächtigen."

[hgseib]

gute idee !!!

sony entwickelt jetzt das spiel: "hack das passwort deiner mitspieler".
dann fällt es nicht mehr so auf, wenn's tatsächlich passiert. bzw. dann können hohe hack-raten als erfolg verkauft werden.
frei nach dem altbekannten motto: it's not a bug, it's a feature