Hallo,
aus leider wieder aktuellem Anlass frage ich mich, wie die Hacker an die Datensätze kommen? Laut BSI diesmal 18 Millionen.
Werden dafür die Webseiten gehackt von Email Providern etc?
Oder ist es eher so, dass schädliche Software bei den Benutzern selbst auf dem PC installiert ist welche dann unerkannt die gespeicherten Passwörter weiterschickt?
Oder anders formuliert: ist man als Betroffener selbst daran Schuld oder kann man nichts dagegen tun?
Danke!
Hallo,
aus leider wieder aktuellem Anlass frage ich mich, wie die
Hacker an die Datensätze kommen? Laut BSI diesmal 18
Millionen.
Manche machen es ihnen sehr leicht. Lies nur mal den Thread unter Deinem, dann hast Du gleich zwei schöne Beispiele (Textdatei, PW in RAM kopieren).
Sehr unterschiedliche Methoden
Hi
Zuerst muss man einräumen, dass völlig unbekannt ist, ob sich hinter den entdeckten Zugangsdaten auch wirklich (nur) geklaute Daten verbergen. Denn es gibt auch jede Menge Konten, die bei Webmailern, Foren, Shops angelegt sind, die gar nicht einer Einzelperson gehören.
Die große Anzahl von Adressen deutet eher darauf hin, dass die Müll-Quote sehr hoch ist.
Wie kommt man an Identitäten echter Menschen heran?
Das läuft meist über gehackte Shops oder Foren, bei denen man gleich größere Mengen von Zugangsdaten erbeuten kann. Oder es werden bewusst Angebote im Netz lanciert, um Leichtgläubigen Daten zu entlocken. Versprechungen von Gewinnen oder Gutscheinen sind da sehr erfolgversprechend.
Aber auch ohne Kennwort lässt sich mit einer großen Liste von Mailadressen etwas anfangen. Solche Listen sind noch einfacher zu bekommen. Und dann wird einfach ausprobiert: Man nehme die Liste der 100 beliebtesten Kennworte, probiere das erste bei allen Mailadressen aus, dann das zweite …
Wenn man ein paar Mio. Mailadressen hat, bleiben schon mal Tausend pro Test übrig.
Ciao, Allesquatsch
Hallo,
mir ist auch nicht klar wie Hacker die email Konten gehackt haben und an die Passwörter der Benutzer kommen konnten.
Müssten solche Provider nicht Hash Werte der Passwörter in Ihren Datenbanken hinterlegen anstelle der Passwörter selbst?
Gruß
Andre
Hallo
Müssten solche Provider nicht Hash Werte der Passwörter in
Ihren Datenbanken hinterlegen anstelle der Passwörter selbst?
Meines wissens gibt es keine derartigen Gesetze oder ähnliches, schon gar nicht international. Es bleibt daher den jeweiligen Betreibern überlassen, welche technische Lösung sie verwenden. Erst bei Vorkommnissen wie diesen kommt dann mitunter an die Öffentlichkeit, wie die Passwörter bei XY gespeichert werden.
Wie Du in diesem Artikel: http://www.heise.de/security/meldung/Moeglicherweise… nachlesen kannst, waren die Passwörter offenbar nur mittels ungesalzener SHA1-Hashes gespeichert.
Wobei ich erst vor kurzem mal einen interessanten Artikel zum Thema Passwortsicherheit gelesen habe. Leider kann ich die URL nicht mehr finden. Dort wurde u.a. auch erläutert, dass selbst die vermeintlich sicheren SHA5-Hashes nicht unknackbar sind. Wenn man sich nun noch überlegt, dass sich die Technik ja rasant entwickelt und somit ein System, das vor ein paar Jahren, als ein Provider sein System eingerichtet hat, noch hinreichend sicher war heutzutage schneller und einfacher geknackt werden kann, dann merkt man, was das für ein Katz-und-Maus-Spiel ist. Denn ein laufendes System auf ein anderes System umzustellen, ist nicht so einfach.
CU
Peter
Hallo Auchfalls,
Wobei ich erst vor kurzem mal einen interessanten Artikel zum
Thema Passwortsicherheit gelesen habe. Leider kann ich die URL
nicht mehr finden. Dort wurde u.a. auch erläutert, dass selbst
die vermeintlich sicheren SHA5-Hashes nicht unknackbar sind.
Wenn man sich nun noch überlegt, dass sich die Technik ja
rasant entwickelt und somit ein System, das vor ein paar
Jahren, als ein Provider sein System eingerichtet hat, noch
hinreichend sicher war heutzutage schneller und einfacher
geknackt werden kann, dann merkt man, was das für ein
Katz-und-Maus-Spiel ist. Denn ein laufendes System auf ein
anderes System umzustellen, ist nicht so einfach.
Die praktische Frage ist noch:
Wie stelle ich die Hash-Funktion um, ohne die gespeicherten Klarformen der Passwörter?
Also müssen die Passwörter doch wieder irgendwo gespeichert werden, oder alle Müssen sich nach der Umstellung neu anmelden …
Die einzige Möglichkeit, welche ich sehe wäre eine echte Blackbox.
Passwort rein, Ja/Nein raus.
Man müsste dann schon die Blackbox klauen, was aber eindeutig auffällt, weil dann der Zugang nicht mehr funktioniert 
Neue schnellere Hardware hilft dabei aber auch nichts, wenn es richtig gemacht wird, kommt man gar nicht an die Hash-Werte ran und abfragen der Blackbox geht auch nicht schneller.
MfG Peter(TOO)
Die praktische Frage ist noch:
Wie stelle ich die Hash-Funktion um, ohne die gespeicherten
Klarformen der Passwörter?
Indem man verschiedene Varianten parallel in der Datenbank zulässt und beim nächsten Login dann auf die neue Härtestufe wechselt. Bei den alten Accounts ist dann die Entscheidung: Sicherheit oder User verlieren.
So ist man wenigstens bei einigen großen Betreibern vorgegangen.
Alternativ kann man vorgehen, indem man nicht hasht sondern verschlüsselt, ohne dass der private Schlüssel den Entwickler bekannt ist. Bringt aber neue Sicherheitsrisiken und Einschränkungen
Ciao, Allesquatsch
Müssten schon …
Müssten solche Provider nicht Hash Werte der Passwörter in
Ihren Datenbanken hinterlegen anstelle der Passwörter selbst?
Müssten schon, aber auf der Autobahn halten sich auch nicht alle die Geschwindigkeitsbegrenzungen. Und da lässt es sich sogar ganz einfach nachweisen.
Außerdem hilft das beste Hashen nicht gegen Benutzer, die zu einfache Kennworte vergeben.
Ciao, Allesquatsch
Moinmoin,
die große Anzahl von 18 Mio. Adressen, deutet darauf hin, dass es sich eher um temporäre eMail-Adressen handelt, die man sich eingerichtet hat, um sich mal kurz auf einer Webseite anzumelden, um sich das Angebot anzusehen.
Solche eMail-Adressen sind üblicherweise nur durch schwache Passworte geschützt und können leicht gehackt werden.
Oder anders herum, besorg dir aus einem Hackerforum eine Liste mit 100 Mio eMail-Adressen. Da läßt du dann ein Programm rüberlaufen, welches die Passworte „SEX“ und „123456“ automatisch einträgt.
Du wirst mit Sicherheit etliche Tausend Treffer landen.
Diese eMail-Adressen sind aber längst aufgegeben, weil sie nur für Einmalnutzung eingerichtet wurden.
Die eMail-Provider haben kein Interesse daran, solche eMail-Adressen zu löschen, weil sie damit werben können, dass sie etliche Millionen Mitglieder haben.
LG
Andi
Hallo Auchfalls,
Wobei ich erst vor kurzem mal einen interessanten Artikel zum
Thema Passwortsicherheit gelesen habe. Leider kann ich die URL
nicht mehr finden. Dort wurde u.a. auch erläutert, dass selbst
die vermeintlich sicheren SHA5-Hashes nicht unknackbar sind.
Wenn man sich nun noch überlegt, dass sich die Technik ja
rasant entwickelt und somit ein System, das vor ein paar
Jahren, als ein Provider sein System eingerichtet hat, noch
hinreichend sicher war heutzutage schneller und einfacher
geknackt werden kann, dann merkt man, was das für ein
Katz-und-Maus-Spiel ist. Denn ein laufendes System auf ein
anderes System umzustellen, ist nicht so einfach.Die praktische Frage ist noch:
Wie stelle ich die Hash-Funktion um, ohne die gespeicherten
Klarformen der Passwörter?Also müssen die Passwörter doch wieder irgendwo gespeichert
werden, oder alle Müssen sich nach der Umstellung neu anmelden
Nein, müssen sie nicht. Bei der ersten Registrierung des Users wird das Passwort (evtl. zusammen mit dem Login) zu einem Hashwert verarbeitet und dieser Hashwert wird gespeichert. Bei der Anmeldung des Users wird wieserum dessen Eingabe „gehasht“ und es werden die Hashwerte verglichen.
Aus einem Hashwert lässt sich die ursprüngliche Eingabe nicht zurückgewinnen.
Aber ein Hacker könnte eine Bibliothek mit Hashwerten haben, die aus gängigen oder schlechten Passwörtern wie z.B. „Schatzi“ generiert worden sind, Um somit auf die Passwörter zu kommen.
Wenn der Anbieter Login + Passwort für die Hashwert Generierung nutzt, kann er intern jeden Nutzer durch dessen Hashwert representieren, was das Suchen und Auffinden eines Users innerhalb einer Datenbank vereinfacht.
…
Die einzige Möglichkeit, welche ich sehe wäre eine echte
Blackbox.
Passwort rein, Ja/Nein raus.Man müsste dann schon die Blackbox klauen, was aber eindeutig
auffällt, weil dann der Zugang nicht mehr funktioniert
Neue schnellere Hardware hilft dabei aber auch nichts, wenn es
richtig gemacht wird, kommt man gar nicht an die Hash-Werte
ran und abfragen der Blackbox geht auch nicht schneller.MfG Peter(TOO)
Hallo Fragewurm,
Die praktische Frage ist noch:
Wie stelle ich die Hash-Funktion um, ohne die gespeicherten
Klarformen der Passwörter?Also müssen die Passwörter doch wieder irgendwo gespeichert
werden, oder alle Müssen sich nach der Umstellung neu anmeldenNein, müssen sie nicht. Bei der ersten Registrierung des Users
wird das Passwort (evtl. zusammen mit dem Login) zu einem
Hashwert verarbeitet und dieser Hashwert wird gespeichert. Bei
der Anmeldung des Users wird wieserum dessen Eingabe „gehasht“
und es werden die Hashwerte verglichen.
Du hast nicht richtig gelesen!
Wenn man den Hash-Algorithmus stetig dem Stand der Technik anpassen will, braucht man die Passwörter im Klartext um die neuen Hash-Werte erzeugen zu können.
Oder, wie beschrieben, lässt man eine Zeit lang beide Systeme parallel laufen und erzeugt bei jedem Einloggen die neuen Hash-Werte . Wenn dann das alte System abgeschaltet wird, sind alle User, welche sich in der Übergangszeit nicht eingeloggt haben, ausgesperrt und müssen sich neu anmelden.
Dass man von den Hash-Werten nicht auf das Passwort rückschliessen kann ist klar, da ein Hash-Wert nicht eindeutig ist. Aber praktisch genügt einem jeder „Nachschlüssel“ welcher den richtigen Hash-Wert erzeugt.
MfG Peter(TOO)
Hi,
Wenn man den Hash-Algorithmus stetig dem Stand der Technik
anpassen will, braucht man die Passwörter im Klartext um die
neuen Hash-Werte erzeugen zu können.
Was spricht dagegen alle Passwörter ursprünglich mit Hash1 zu hashen und nachdem dieser nicht mehr sicher genug ist die Hash1 Hashwerte alle nochmal mit Hash2 zu hashen und dann nur noch diese zu speichern?
Gruß
rantanplan
Geht etwas an der Praxis vorbei
Die meisten Sicherheitsvorfälle beruhen nicht auf der Schwäche des Hashalgorithmus, sondern weil Entwickler und Betreiber sich nicht an dem orientieren, was geboten ist.
Dummheit, Ignoranz und Geldgier führen dann zu schlechten oder fehlerhaften Implementierung: zuviel, unverschlüsselt, ungesalzen, auf dem gleichen Server und ohne physische Sicherheit.
Wenn.man es überarbeitet, denn sollte man es einfach richtig machen und nicht versuchen, etwas zu flicken. Solche scheinbaren Verbesserung haben manchmal nämlich gegenteilige Effekte (z.B. Umkehrscheibe der ENIGMA) und erhöhen die Komplexität und die Anzahl der Angriffsflächen.
Ciao, Allesquatsch
die große Anzahl von 18 Mio. Adressen, deutet darauf hin, dass
es sich eher um temporäre eMail-Adressen handelt, die man sich
eingerichtet hat, um sich mal kurz auf einer Webseite
anzumelden, um sich das Angebot anzusehen.
Das glaube ich nicht. Zum einen ist der Datensatz international, was die grosse Anzahl doch stark relativiert; Deutsche sind lediglich wenige hunderttausend betroffen.
Zum anderen werden die Daten laut BSI derzeit aktiv genutzt. Und es ist auffällig, wie viele Trojaner - versehen mit qualifizierten Mailadressen, nicht mit offenkundigen Wegwerfadressen - derzeit über die Server der großen Provider versendet werden. In meinen Trojanernetzen sind in den letzten Wochen Eingänge v. a. von t-online.de und aol.fr, aber auch von anderen nationalen und internationalen Providern ausgefiltert worden. Nicht etwa mit gefälschten Absenderangaben, sondern mit echten Mailadressen über die offiziellen mx der Provider.
Das ist durchaus ein neuer Trend, noch vor zwei Wochen kamen die Trojaner praktisch ausschließlich aus Botnetzen.
Gruß
Hei.
Aber ein Hacker könnte eine Bibliothek mit Hashwerten haben, die aus gängigen oder schlechten Passwörtern wie z.B. „Schatzi“ generiert worden sind, Um somit auf die Passwörter zu kommen.
Nicht könnte.
Das nennt sich Rainbow-Table, und wer ein bischen sucht, findet entsprechende Tabellen mit mehreren Millionen Einträgen fix und fertig zum Download.
Zum Schutz dagegen ist eigentlich das „Salt“ erfunden worden, aber bei vielen Systemen ist dies nicht die Voreinstellung, sondern muss vom Webmaster aktiviert werden. Und ich geh mal davon aus, das die gehackten Passwörter, die derzeit durch die Presse geistern, aus einer ungesalzenen Datenbank stammen.
Ich bin mir sogar einigermaßen sicher, welcher Provider da geplündert wurde…
Was die Umstellung auf eine sichere Datenbank angeht:
Einfach eine Rundmail, das in 30 (60/90) Tagen umgestellt wird, und alle User sich in diesem Zeitraum einmal einloggen müssen, um in die neue Datenbank aufgenommen zu werden. Wer das nicht schafft, dessen Account wird gelöscht. So wird man auch mal die ganzen Leichen los…
lg, mabuse
Hallo,
Ich bin mir sogar einigermaßen sicher, welcher Provider da
geplündert wurde…
Deine Vermutung würde mich wirklich interessieren. Gerne auch per Mail …
Sebastian
Aber ein Hacker könnte eine Bibliothek mit Hashwerten haben, die aus gängigen oder schlechten Passwörtern wie z.B. „Schatzi“ generiert worden sind, Um somit auf die Passwörter zu kommen.
Nicht könnte.
Das nennt sich Rainbow-Table, und wer ein bischen sucht,
findet entsprechende Tabellen mit mehreren Millionen Einträgen
fix und fertig zum Download.
Hallo Mabuse,
gegen die wirklich schlechten Kennworte ist kein Kraut gewachsen. Auch mit den perfektesten Algorithmen sind die schnell geknackt, wenn jemand eine Kopie der Benutzerdatenbank hat.
Für die 100 dümmsten Kennworte lassen sich sehr schnell die Hashes prüfen.
Die Rainbow-Tabellen sind ein professionelles Werkzeug für Brute-Force-Angriffe, bei denen man bestimmte Suchräume (Z.B. „Alpha bis 16 Zeichen“ oder „Alphanumerisch bis 10 Zeichen“) ins Visier nimmt. Da ist gegen ungesalzene Hashfunktionen effektiv, speziell wenn man bestimmte Konten angreifen will.
Allerdings gibt es hybride Ansätze, die sehr tricky sind.
Doch durch das Salzen ist das völlig uninteressant geworden.
Ciao, Allesquatsch
Hallo,
im aktuellen XKCD (ein Onlinewebcomic) wird das sehr schön, sehr simpel und auf den Punkt gebracht erklärt:
http://xkcd.com/1354/
Explainxkcd erklärt das ganze noch einmal etwas ausführlicher, aber immer noch leicht verständlich, so Du des englischen mächtig bist:
http://www.explainxkcd.com/wiki/index.php/1354
Gruß,
Kai