Sicherheit

Achtung Passwortknacker!

von - 15.07.2012
Achtung Passwortknacker!
In letzter Zeit häufen sich Angriffe auf größere Websites, bei denen es die Angreifer auf Nutzerdaten und gehashte Passwörter abgesehen haben. Betroffene sollten in nächster Zeit besondere Vorsicht walten lassen.
Erst vor kurzem wurden mehrere Millionen Datensätze bei dem Business-Netzwerk LinkedIn, der Musik-Community Last.fm und der Datingseite eHarmony.com gestohlen und anschließend im Internet veröffentlicht. Am vergangenen Dienstag (10.07.2012) wurde dann AndroidForum.com Opfer eines Hackererangriffs. Dabei verschafften sich Unbekannte ebenfalls Zugang zu den Nutzerdaten. Nach Angaben der Betreiber könnten dabei sämtliche Mailadressen und gesalzene Passwort-Hashes von über einer Million Mitglieder gestohlen werden. Nur einen Tag später, am Mittwoch wurde schließlich bei Yahoo eingebrochen. Dort haben die Diebe E-Mailadressen sowie Klartext-Passwörter von mehr als 450.000 Nutzern geraubt und im Internet veröffentlicht.
Am Freitag folgte die Meldung über einen Hackangriff auf die Onlinepräsenzen des Grafikkartenherstellers Nvidia. Auch hier haben es Hacker auf die Mailadressen und zufällig gesalzenen Passwort-Hashes abgesehen. Aber nicht nur das. Zusätzlich wurden auch Benutzernamen, E-Mail-Adressen und bereits öffentliche Informationen aus den Profilseiten der Nutzer gestohlen. Laut heise Security wurden neben dem Hauptforum auch die Entwicklerseite und der Forschungsbereich angegriffen. Zusammen wurden dabei fast 400000 Datensätze gestohlen
Nach dem Angriff hat Nvidia betroffenen Bereiche wie forums.nvidia.com vorübergehend vom Netz genommen. Auf den Entwicklerseiten von Nvidia wurde der Betrieb nur in Teilen eingestellt. Auf einer eigenen Startseite der Developer Zone erfahren Sie, welche Seiten verfügbar sind.
So funktioniert ein Passwort-HashWer sich auf einer Internetseite registriert, muss dabei einen Benutzernamen und ein Kennwort festlegen. Meist ist auch noch eine E-Mail-Adresse nötig, an die ein Verifizierungs-Link geschickt wird. Manchmal sind E-Mail-Adresse und Benutzername auch identisch. Bei der Registrierung speichert die Software der Website Benutzernamen und Passwort in einer Datenbank. Bei der Anmeldung werden dann die Anmeldeinformationen mit den Werten aus der Datenbank verglichen. Stimmen diese überein, kann die Anmeldung erfolgen.
Die Anmeldeinfos können in der Datenbank verschlüsselt abgelegt werden. Das ist jedoch nicht besonders sicher, weil der Algorithmus zur Entschlüsselung in der Software, mit der die Website betrieben wird, abgelegt sein muss. Hacker könnten sich auch dazu Zugang verschaffen und die Daten leicht entschlüsseln. Besser ist es daher, statt der Passwörter einen Hash-Wert zu speichern. Dabei handelt es sich um eine Prüfsumme mit einem eindeutigen Wert für jedes Passwort. Gebräuchliche kryptographische Hashfunktionen sind MD5- oder SHA. Ein gehashtes Passwort kann dann beispielsweise so aussehen: 24a2d5221ce0997155619494276d3af1.
Aber auch das ist nicht ausreichend sicher. Per Brute-Force-Angriff lassen sich Listen mit Hash/Passwort-Kombinationen (Rainbowtable) mit den gestohlenen Hash-Werten vergleichen und somit die Passwörter ermitteln. Das geht umso schneller, je einfacher das Passwort ist.
Zur Verbesserung der Sicherheit sollten daher immer ein Salt (englisch „Salz“) zum Einsatz kommen. Bei diesem Verfahren wird ein Zufallswert an das Klartext-Passwort angehängt und das Ergebnis gehasht. Dadurch steigt der Aufwand bei der Entschlüsselung deutlich. Wenn allerdings zu wenige unterschiedliche oder zu kurze Salt-Werte verwendete werden („schwacher Salt“), ist auch dieses Verfahren schnell knackbar.
So schützen Sie sichNach solchen Datendiebstählen müssen Nutzer immer mit Massen-E-Mails rechnen. Darüber wird Spam verbreitet oder die Opfer sollen auf Webseiten gelockt werden, die Schadsoftware verbreiten. Internetnutzer, die bei einem dieser oben genannten Dienste registriert sind, sollten in nächster Zeit bei E-Mails Vorsicht walten lassen - auch oder gerade dann, wenn sie von prominenten Seiten oder den oben genannten Unternehmen stammen, sofern sie nicht explizit auf der Onlinepräsenz angekündigt sind.
Wer betroffen ist, sollte schnellstmöglich das Passwort ändern, damit sich die nicht Angreifer darüber einloggen können. Sollten ein Kennwort für mehrere Webseiten genutzt werden, ist auch dort ein Passwortwechsel empfehlenswert.
Das könnte Sie auch interessieren:
Verwandte Themen