NB-Town speichert Passwörter im Klartext

In den letzten Tagen kursierten die Passworthashs der Communities Last.fm, eHarmony und LinkedIn durch das Netz. Bei Last.fm waren dies ungesalzene MD5 Hashs die man per Brute Force in relativ kurzer Zeit zurückrechnen kann.

Das Problem ist das sobald man dies „zurückrechnen“ kann, kann man die Passwörter bei anderen Diensten (Mail, Amazon, usw.) ausprobieren und damit Schindluder treiben. In einer perfekten Welt würde zwar jeder für jeden Dienst ein extra Passwort benutzen, aber es ist nun mal keine perfekte Welt.

Noch problematischer wird das ganze wenn man die Passwörter im Klartext (siehe Update) speichert (was man definitiv nicht tun sollte). So gibt es im Norden Deutschlands eine erfolgreiche Community mit knapp 140000 Mitgliedern welche auf den Namen NB-Town hört und unter www.nb-town.de zu finden ist.

Das Problem offenbart sich sobald man einmal die „Passwort vergessen?“ Funktionalität benutzt. Daraufhin bekommt man folgende Mail:

Die Passwort vergessen? Mail

Wie man sieht wird das Passwort im Klartext gespeichert (sonst könnte es die „Passwort vergessen?“ Funktionalität nicht zurücksenden), was bei einer solchen Community fahrlässig ist. Sobald jemand an die Datenbank herankommen so hat er 140000 Passwörter + die passenden Identitäten dazu. Ein anderes Problem bei Passwörtern welche im Klartext gespeichert werden, ist immer das die Betreiber Zugriff auf diese haben und damit (theoretisch) Schindluder betreiben können.

Deshalb gilt, Passwörter immer gehasht (aber nicht mit MD5 ;)) und gesalzen speichern. Einene schönen Artikel dazu gibt es bei Heise unter http://www.heise.de/security/artikel/Passwoerter-unknackbar-speichern-1253931.html.

Update:
Die Passwörter werden in der Datenbank nicht im Klartext gespeichert, sondern AES verschlüsselt. Bei der „Passwort vergessen?“ Funktion wird der Schlüssel in der Query übergeben, so das das Passwort entschlüsselt werden kann. Man müsste als böser Mensch also an den Webserver und den Datenbankserver herankommen und um Zugriff auf die Passwörter zu bekommen.

Woher nehmen wenn nicht stehlen?

Man stelle sich vor man möchte einen Film drehen, oder eine Software entwickeln aber es fehlen einem die Mittel dazu. Was nun? Man könnte sich z.B. eine Plattform wie http://www.kickstarter.com/ anschauen. Kickstarter ist eine Plattform bei der andere Menschen Projekte unterstützen können welche ihnen gefallen, z.B. den Dreh eines Filmes. Dabei setzt der Projektstarter einen Betrag an, den er bräuchte und die Community kann dann Spendenzusagen machen. Erst wenn das Spendenziel erreicht ist wird es ausgezahlt. Ein interessanter Weg um kreative Projekte zu finanzieren.

Weitere Informationen gibt es unter:
http://www.kickstarter.com/help/faq

Pandora

Bald soll sie ja endlich da sein, die Pandora. Dabei handelt es sich um einen Handheld zum spielen (unter anderem sind Emulatoren für N64, SNES, geplant bzw. in der Entwicklung), welcher sich aber auch für administrative Aufgaben eignen soll. Erstaunlich an diesem Projekt ist das es eigentlich stark von der Community ausgeht und die Entwicker auch auf die Community hören. Als Betriebssystem benutzt das Gerät eine Angström Distribution. Wer mehr über die Pandora erfahren möchte sollte die offizielle Seite unter http://www.open-pandora.org besuchen.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Pandora_%28Konsole%29
http://www.golem.de/1003/73676.html

Video Communities

Wer nach einer Video Community sucht wird wahrscheinlich einige Seiten finden. Am interessantesten sind wahrscheinlich die Seiten http://www.slashcam.de/ und http://www.camgaroo.com/. Bei der ersteren Seite handelt es sich um eine der größten Video Communities in deutscher Sprache, während ich die zweite Seite unter dem Begriff klein aber fein zusammenfassen würde, denn dort wirkt alles übersichtlicher und man fühlt sich doch ein wenig wohler :)