Unbekannte haben Millionen sensibler Zugangsdaten gestohlen. Noch ist nicht klar, woher sie stammen und welcher Schaden entstanden ist. Im Gespräch mit tagesschau.de erklärt IT-Experte Alexander Dörsam, wie man sich am besten schützen kann - auch wenn es absoluten Schutz nicht gibt.
@ DasGolem: Woher nehmen Sie dass wissen, wie (bzw. ob) die Passwörter beim Anbieter verschlüsselt sind? Natürlich können sie gehasht sein. Aber sie können auch im Klartext vorliegen. Oder es wurden ungesalzene Hashes verwendet. Und dann ist ein Angriff mittels Rainbowtable ziemlich leicht und bei schwachen Paßwörtern sehr erfolgreich.
Natürlich erschwert ein langes/starkes Passwort den Diebstahl nicht. Aber mit einem Hash, den ich nicht auf den Ursprung zurückrechnen kann, kann ich nichts anfangen. Bei einem schwachen Passwort ist dies hingegen möglich.
Gruß
KaWi
PS: Und dann noch ein Hinweis: ein Hash-Tag ist "#" und wird bei Twitter benutzt. Mit dem "hashen" eines Passwortes hat das absolut nichts zu tun.
Mit der Haarspalterei wie sie Experten gerne betreiben ist dem interessierten Laien leider auch nicht geholfen.
Selbst wenn die Anmeldung über einen Hash geprüft wird können die Kennwörter noch irgendwo zentral im Klartext oder mit einem inzwischen obsoleten Verfahren verschlüsselt gespeichert sein.
Der Tip immer unterschiedliche und starke Kennwörter einzusetzen ist richtig und sinnvoll.
Diese Kombination schützt tatsächlich vor Datendiebstahl.
Wenn Portal X gehackt wird und die dort hinterlegten Daten der User kein Geheimnis mehr sind, dann ist es z.B. extrem wichtig, dass das Portalkennwort nicht auch das Kennwort des hinterlegten Mailaccounts ist.
Datendiebstahl im Internet wird dann zur realen Gefahr, wenn die Daten entschlüsselt und genutzt werden können.
Ein starkes Kennwort stellt hier durchaus einen Schutz dar, wenn ein Hacker en gros die Hashwerte von Kennwörtern berechnet und gegen die erbeuteten Daten abgleicht.
Tagesschau.de ist kein IT-Expertenforum!
Da fassen Sie sich mal an die eigene Nase... "Hash-Tag"-Verfahren... lol... Und na klar kann man auch beim Anbieter die Passwort-Hashes holen, wenn man als Angreifer irgendwie Zugang zur Datenbank und den Hashes bekommt, warum auch nicht.
> "Starke Passwörter erschweren das Hacken (Austesten per Liste oder BruteForce) aber nicht den Diebstahl des Passwortes."
Den Diebstahl vielleicht nicht, aber die Rekonstruktion des Klartext-Passwortes aus den (mutmaßlich) entwendeten Hashwerten (die für den "Dieb" als solche zunächst mal reichlich nutzlos sein dürften)... Wenn von x Millionen entwendeten Daten derselbe Hashwert "zufällig" tausende Male vorkommt, wird das dahinter steckende Passwort wohl eher "passwort123" oder "12341234" lauten als meinetwegen "Wa56xI6m2d1P6w2a1063"... Sicherere Passwörter sind vielleicht (bzw. bestimmt) nicht besser vor Diebstahl geschützt als unsicherere - sie verhindern aber, dass der Dieb mit ihnen auch irgendwas anfangen kann.
@DasGolem: das ist auf den ersten Blick richtig. Aber die verschlüsselten Passwörter können je einfacher 'gecrackt' werden, je einfacher sie sind. Vor einiger Zeit gab es bei wired einen Artikel dazu, Ergebnis: die Entschlüsselung einfacher Passwörter ist auch einfacher. Wenn man ein 12 stelliges alphanumerisches Passwort benutzt, können die cracker nur schwierig erfahren wann es entschlüsselt ist. Und der Hinweis möglichst andere Passwörter zu verwenden ist immer noch sehr gut.
"Alexander Dörsam: Wahrscheinlich ist ein großer Dienst kompromittiert worden, oder mehrere große Dienste, wo sich Benutzer mit ihren E-Mail-Adressen und Passwörtern anmelden müssen."
Ihre Antwort:
"So ein Unsinn, bei der Anmeldung kommt das Hash-Tag Verfahren zum Einsatz. Die Passwörter können gar nicht beim Anbieter abgegriffen worden sein, sondern nur beim Anwender."
WAS genau ist an der Aussage von Herrn Dörsam falsch ? Das mit der Anmeldung stimmt ja wohl so, wie es da steht. In dem von Ihnen zitierten Satz steht kein Wort darüber, WO die Passwörter geklaut werden.
Also, wir sollen 12 Zeichen lange Passwörter verwenden, die Großbuchstaben, Kleinbuchstaben, Zahlen und Zeichen enthalten und keine sprachliche Bedeutung haben. Wir dürfen diese Passwörter möglichst nicht aufschreiben und sollen sie monatlich, am besten aber wöchentlich ändern. Wir sollen auch für jeden Dienst und jede Webseite ein eigenes Passwort einsetzen.
Selbst ein moderater Nutzer kommt heutzutage schnell auf ca. 50 Seiten, die er regelmäßig besucht.
Wer zum Henker soll sich denn das alles merken??? Das menschliche Gehirn ist damit völlig überfordert, selbst bei jenen Leuten, die es schaffen, unter anderen Umständen eine Fremdsprache zu erlernen (und das kann nicht jeder).
Es wird Zeit, über völlig neue Sicherheitsmethoden nachzudenken. Ein paar Ansätze hätte ich da schon, aber die verrate ich hier nicht, denn dann würden sie ja nicht mehr der (d.h. meiner) Sicherheit dienen.
Alexander Dörsam: Wahrscheinlich ist ein großer Dienst kompromittiert worden, oder mehrere große Dienste, wo sich Benutzer mit ihren E-Mail-Adressen und Passwörtern anmelden müssen.
So ein Unsinn, bei der Anmeldung kommt das Hash-Tag Verfahren zum Einsatz. Die Passwörter können gar nicht beim Anbieter abgegriffen worden sein, sondern nur beim Anwender.
Dörsam: Es gibt vom BSI eine Empfehlung für Privatleute: Zwölf Zeichen lange Passworte, die geprägt sind von unserem Alphabet, aber auch erweitert von Zahlen und sonstigen Zeichen.
Und noch mal Unsinn. Starke Passwörter erschweren das Hacken (Austesten per Liste oder BruteForce) aber nicht den Diebstahl des Passwortes.
Man darf sich nicht wundern, wenn dem Leser bei Netzthemen solche "Experten" vorgesetzt werden, und damit selbst der interessierte Laie dadurch zum "Dummi" gemacht wird.