Pwned?

Ein normaler Internetnutzer verfügt viele unterschiedliche Logins zu verschiedenen Diensten wie z.B. Dropbox. Ab und an werden diese Dienste Opfer von Hacks oder anderen Datenlecks und Zugangsdaten wie Mailadressen und (meist gehashte) Passwörter verschwinden auf ungeklärte Weise.

Nun hat es Dropbox erwischt

Nun hat es Dropbox erwischt

Wenn man nun Wissen möchte ob er selbst betroffen ist, von einem solchen Hack kann dies auf der Webseite ‚;–have i been pwned? in Erfahrung bringen. Dabei gibt man dort eine Mailadresse ein – diese wird anschließend gegen die Datenbank des Service getestet. Ist man von einem Hack betroffen, sieht man dies anschließend. Daneben bietet die Webseite an proaktiv zu informieren, falls besagte Mailadresse von einem Hack verknüpfter Dienste betroffen ist. Natürlich muss man dafür seine Mailadresse dem Dienst anvertrauen ;) Betrieben wird die Seite von Troy Hunt, einem Microsoft Regional Director.

Alle Passwörter im Firefox speichern

Der freie Browser Firefox verfügt wie jeder moderne Browser über einen Passwortmanager. Dieser speichert Passwörter, so das diese nichts jedes mal eingetippt werden müssen. Einige Webseite wie Banken verbieten dieses Prozedere aus guten Gründen. Der Browser bietet in einem solchen Fall keine Möglichkeit der Passworthinterlegung.

RememberPass

RememberPass

Allerdings ist dieser Zustand nicht in Stein gemeißelt. So gibt es ein Add-On mit dem Namen RememberPass welches dafür sorgt, das Firefox auch auf Seiten, die das Speichern verbieten, das Speichern des Passwortes anbietet.

Mobile Safari und die Kennwörter

Wenn man ein frisches iOS benutzt und dort mit dem Mobile Safari Webseiten besucht, welche Passwörter benötigen, so hat man das Problem das der Browser keine bereits eingegebenen Passwörter ergänzt. Ändern kann man dieses Verhalten relativ schnell in den Einstellungen unter „Safari“.

Das Einstellungspanel der Mobile Safari

Das Einstellungspanel der Mobile Safari

Dort gibt es den Punkt „Autom. ausfüllen“ welchen man auf „Namen und Kennwörter“ setzen muss. Anschließend werden die Kennwörter in Zukunft automatisch eingetragen.

NB-Town speichert Passwörter im Klartext

In den letzten Tagen kursierten die Passworthashs der Communities Last.fm, eHarmony und LinkedIn durch das Netz. Bei Last.fm waren dies ungesalzene MD5 Hashs die man per Brute Force in relativ kurzer Zeit zurückrechnen kann.

Das Problem ist das sobald man dies „zurückrechnen“ kann, kann man die Passwörter bei anderen Diensten (Mail, Amazon, usw.) ausprobieren und damit Schindluder treiben. In einer perfekten Welt würde zwar jeder für jeden Dienst ein extra Passwort benutzen, aber es ist nun mal keine perfekte Welt.

Noch problematischer wird das ganze wenn man die Passwörter im Klartext (siehe Update) speichert (was man definitiv nicht tun sollte). So gibt es im Norden Deutschlands eine erfolgreiche Community mit knapp 140000 Mitgliedern welche auf den Namen NB-Town hört und unter www.nb-town.de zu finden ist.

Das Problem offenbart sich sobald man einmal die „Passwort vergessen?“ Funktionalität benutzt. Daraufhin bekommt man folgende Mail:

Die Passwort vergessen? Mail

Wie man sieht wird das Passwort im Klartext gespeichert (sonst könnte es die „Passwort vergessen?“ Funktionalität nicht zurücksenden), was bei einer solchen Community fahrlässig ist. Sobald jemand an die Datenbank herankommen so hat er 140000 Passwörter + die passenden Identitäten dazu. Ein anderes Problem bei Passwörtern welche im Klartext gespeichert werden, ist immer das die Betreiber Zugriff auf diese haben und damit (theoretisch) Schindluder betreiben können.

Deshalb gilt, Passwörter immer gehasht (aber nicht mit MD5 ;)) und gesalzen speichern. Einene schönen Artikel dazu gibt es bei Heise unter http://www.heise.de/security/artikel/Passwoerter-unknackbar-speichern-1253931.html.

Update:
Die Passwörter werden in der Datenbank nicht im Klartext gespeichert, sondern AES verschlüsselt. Bei der „Passwort vergessen?“ Funktion wird der Schlüssel in der Query übergeben, so das das Passwort entschlüsselt werden kann. Man müsste als böser Mensch also an den Webserver und den Datenbankserver herankommen und um Zugriff auf die Passwörter zu bekommen.

KeePass in neuer Version erschienen

Der freie Passwortmanager KeePass ist vor kurzem in der neuen Version 2.16 erschienen. Im Gegensatz zu 1er Serie ist die 2er Serie komplett neugeschrieben worden und basiert auf .NET bzw. Mono. Sie läuft somit ohne Probleme auch unter Linux. Damit kann der Manager auch plattformübergreifend eingesetzt werden. Die Software steht dabei unter GPLv2 und kann unter http://keepass.info/download.html bezogen werden.