Christoph Kania braindump

 

Auch Passwort-Erinnerungen müssen mit Bedacht gewählt werden

05.11.2013 - Christoph Kania

Das gut gemeinte Feature der Passwort-Erinnerungssätze hilft, wenn es unbedacht verwendet wird, nicht nur dem Benutzer, sondern auch dem Hacker.


© Alexandre Dulaunoy

Anfang Oktober wurden bei Adobe mehrere Millionen Kundendatensätze „gestohlen“. Nun wurde bekannt, dass es den Hackern gelungen ist, trotz Salting und 3DES Verschlüsselung auf die Klartext-Passwörter zu schließen.

Dies gelang ihnen über die von den Benutzern hinterlegten Passwort-Erinnerungen. Diese enthielten Hinweise auf das Passwort oder gar das Passwort selbst.

Es ist natürlich nicht sehr schlau, in der Passwort-Erinnerung so deutliche Hinweise abzulegen. Genauso nachlässig ist es aber auch, diese sensible Information unverschlüsselt zu speichern. Außerdem frage ich mich, warum die Passwörter verschlüsselt gespeichert wurden und nicht, wie “man das so macht”, als gesaltete Hashwerte (s. hierzu auch die OWASP Top 10).

Was lernen wir als User daraus? Es ist nicht nur wichtig, gute Passwörter zu benutzen. Wir müssen uns auch bei der Speicherung von Passwort-Erinnerungen, so genannten Sicherheitsfragen und anderen Alternativen zur Wiederherstellung eines Zugangs immer im Hinterkopf behalten, dass durch diese eine Hintertür geöffnet werden könnte. Diese Erfahrung musste auch Mat Honan machen, als sich Hacker durch geschickte Rückverfolgung von Wiederherstellungs-Daten und einer hierbei zu Tage getretenen Lücke im System seiner digitalen Identität bemächtigten.