NB-Town speichert Passwörter im Klartext

In den letzten Tagen kursierten die Passworthashs der Communities Last.fm, eHarmony und LinkedIn durch das Netz. Bei Last.fm waren dies ungesalzene MD5 Hashs die man per Brute Force in relativ kurzer Zeit zurückrechnen kann.

Das Problem ist das sobald man dies „zurückrechnen“ kann, kann man die Passwörter bei anderen Diensten (Mail, Amazon, usw.) ausprobieren und damit Schindluder treiben. In einer perfekten Welt würde zwar jeder für jeden Dienst ein extra Passwort benutzen, aber es ist nun mal keine perfekte Welt.

Noch problematischer wird das ganze wenn man die Passwörter im Klartext (siehe Update) speichert (was man definitiv nicht tun sollte). So gibt es im Norden Deutschlands eine erfolgreiche Community mit knapp 140000 Mitgliedern welche auf den Namen NB-Town hört und unter www.nb-town.de zu finden ist.

Das Problem offenbart sich sobald man einmal die „Passwort vergessen?“ Funktionalität benutzt. Daraufhin bekommt man folgende Mail:

Die Passwort vergessen? Mail

Wie man sieht wird das Passwort im Klartext gespeichert (sonst könnte es die „Passwort vergessen?“ Funktionalität nicht zurücksenden), was bei einer solchen Community fahrlässig ist. Sobald jemand an die Datenbank herankommen so hat er 140000 Passwörter + die passenden Identitäten dazu. Ein anderes Problem bei Passwörtern welche im Klartext gespeichert werden, ist immer das die Betreiber Zugriff auf diese haben und damit (theoretisch) Schindluder betreiben können.

Deshalb gilt, Passwörter immer gehasht (aber nicht mit MD5 ;)) und gesalzen speichern. Einene schönen Artikel dazu gibt es bei Heise unter http://www.heise.de/security/artikel/Passwoerter-unknackbar-speichern-1253931.html.

Update:
Die Passwörter werden in der Datenbank nicht im Klartext gespeichert, sondern AES verschlüsselt. Bei der „Passwort vergessen?“ Funktion wird der Schlüssel in der Query übergeben, so das das Passwort entschlüsselt werden kann. Man müsste als böser Mensch also an den Webserver und den Datenbankserver herankommen und um Zugriff auf die Passwörter zu bekommen.

Probleme bei der Last.FM Profillöschung

Last.FM wurden die gehashten Nutzerpasswörter geklaut. Diese waren dabei nicht einmal gesalzen, lassen sich also relativ schnell in Klartext verwandeln. Das führt natürlich dazu das das Passwort geändert werden sollte.

Die Fehlermeldung nach Eingabe des korrekten Passwortes

Bei mir sollte es dann gleich die Löschung des Profiles sein. Witzigerweise funktionierte dies bei mir nicht. Das ändern des Passwortes hingegen war kein Problem. Die Lösung des Problems war es per NoScript temporär alle Skriptoperationen für die Seite zu erlauben. Danach funktionierte auch die Löschung des Profiles. Für die Löschung wird anscheinend Javascript benötigt, was bei aktiviertem NoScript Plugin natürlich ins leere lief.

Dropbox mittels EncFS verschlüsseln

Dropbox ist ein sehr schönes Tool, allerdings hat man doch immer ein ungutes Gefühl, weil man nie weiß was der Hersteller mit den Daten anfängt. Eine schöne Lösung wäre dabei die Verschlüsselung der Daten. Speziell für Dropbox gibt es dabei die Software BoxCryptor welche unter http://www.boxcryptor.com/ zu finden ist. Schöner wäre allerdings eine Betriebssystem übergreifende Lösung welche für Linux, Windows und Mac OS X funktioniert und ohne unfreie Software auskommt.

Wir greifen dabei auf EncFS zurück. Der Artikel geht dabei zuerst auf die Installation unter Windows und dann unter Ubuntu ein. Für Windows werden zuerst folgende Dinge heruntergeladen werden:

Nach dem Download sollte der Dokan Installer installiert und die „encfs.zip“ Datei entpackt werden. Danach können wir die Datei „encfsw.exe“ starten. Im Kontextmenü des Icons welches sich im Tray befindet kann dann mittels „Open/Create“ ein Ordner in der Dropbox verschlüsselt werden und dieser einem Buchstaben zugewiesen werden.

Den Inhalt des alten Ordners (in diesem Fall „Private“) sollte dann in das neue Laufwerk kopiert werden. Damit funktioniert das ganze dann unter Windows. Ein Problem mit EncFS für Windows scheint im Moment zu sein das man keine Anwendungen auf dem gemounteten Laufwerk starten kann, weil dies zu Problemen führt :(

Unter Ubuntu installieren wir das Paket „encfs“ mittels:

sudo apt-get install encfs

Mounten bzw. entschlüsseln könnten wir die Dropbox dann so:

encfs ~/Dropbox/Private ~/DropboxPrivate

Wichtig ist dabei das man das ganze nicht in die Dropbox mountet, sonst wird der ganze Spaß wieder synchronisiert. Möchte man nun nicht jedes mal ein Passwort eingeben wenn man den Ordner mountet so kann man das ganze so lösen:

encfs --extpass="./getprivatefolderpw.sh" ~/Dropbox/Private ~/DropboxPrivate

Die Datei „getprivatefolderpw.sh“ muss dabei so aussehen:

echo geheimesPasswort

Nun muss man das ganze nur noch in den Autostart (z.B: in die „.bashrc“) packen und schon passiert das alles automatisch nach dem einloggen.

Weitere Informationen gibt es unter:
http://dokan-dev.net/en/
https://seeseekey.net/archive/1192
http://de.wikipedia.org/wiki/EncFS
http://members.ferrara.linux.it/freddy77/encfs.html
http://www.boxcryptor.com/download/#platform_linux_dl
http://d24m.de/2011/07/22/howto-encfs-unter-windows-installieren/

PostgreSQL Passwort zurücksetzen

Unter Umständen kann es passieren das man das Passwort für seine PostgreSQL Datenbank vergisst. Wenn man allerdings Kontrolle über den Server hat, ist dies kein Problem. Um das Passwort neu zu setzen muss man im ersten Schritt die pg_hba.conf Datei bearbeiten:

# IPv4 local connections:
 host    all             all             127.0.0.1/32            md5
 # IPv6 local connections:
 #host    all             all             ::1/128                 md5

wird dabei zu:

# IPv4 local connections:
 host    all             all             127.0.0.1/32            trust
 # IPv6 local connections:
 #host    all             all             ::1/128                 trust

geändert. Nachdem die Konfiguration neu geladen wurde, kann man sich mit einem x-beliebigen Passwort anmelden und ein neues Passwort setzen. Anschließend setzt man die pg_hba.conf wieder zurück und lädt die Konfiguration abermals neu.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Postgresql

KeePass in neuer Version erschienen

Der freie Passwortmanager KeePass ist vor kurzem in der neuen Version 2.16 erschienen. Im Gegensatz zu 1er Serie ist die 2er Serie komplett neugeschrieben worden und basiert auf .NET bzw. Mono. Sie läuft somit ohne Probleme auch unter Linux. Damit kann der Manager auch plattformübergreifend eingesetzt werden. Die Software steht dabei unter GPLv2 und kann unter http://keepass.info/download.html bezogen werden.