Autorenarchiv

Justizminister will MD5 per Gesetz verbieten

Samstag, 5. April 2014, 14:29 Uhr | Autor:

Und wieder sind Millionen von Menschen nicht per E-Mail zu erreichen…

Hacker haben 18 Millionen Email-Accounts gestohlen” (pcwelt.de)

In einem von der Staatsanwaltschaft Verden aufgespürten Datensatz finden sich 18 Millionen E-Mail-Adressen mit den zugehörigen Passwörtern.

Passwörter für 18 Millionen Mail-Adressen gestohlen” (heute.de)

Deutsche Ermittler haben erneut Millionen gestohlener E-Mail-Adressen inklusive Passwörter entdeckt.

18 Millionen E-Mail-Passwörter gestohlen” (tagesspiegel.de)

Ein Sprecher der Staatsanwaltschaft Verden in Niedersachen erklärte dem Tagesspiegel, dass 18 Millionen Mail-Adressen mit entsprechenden Zugangsdaten gestohlen und von den Ermittlungsbehörden sichergestellt wurden.

Wahrscheinlich der gleiche Sprecher sagte der Tagesschau aber etwas anderes:
18 Millionen Mail-Konten gefährdet” (tagesschau.de)

Unklar ist, ob tatsächlich E-Mail-Provider gehackt wurden. Es ist auch denkbar, dass die Datensätze aus anderen Quellen – beispielsweise Anmeldungen für Shoppingportale – stammen.


Die Faktenlage ist wieder sehr dünn. Der Spiegel hat sich da mal wieder etwas zusammengereimt, um Aufmerksamkeit zu bekommen und viele andere Medien reiten auf der Welle mit.

Erst einmal muss geklärt werden, welchen Datenschatz die Staatsanwaltschaft Verden hat. Zur Zeit wird vielfach kolportiert (weil abgeschrieben vom Spiegel), dass es sich um die Zugangsdaten für die E-Mail-Accounts handelt.

Cyberkriminalität: Fahnder entdecken 18 Millionen gestohlene E-Mail-Passwörter” (spiegel.de)

Kriminelle haben erneut in großem Stil Zugangsdaten für E-Mail-Konten entwendet.

Aber die Staatsanwaltschaft Verden weiß nicht woher die Daten stammen, genauso wie bei den 16 Mio. vom Januar, bzw. ursprünglich vom August 2013.


Da die Medien nun den Minister für Verbraucherschutz bedrängen, sah er sich wohl gezwungen etwas zu sagen.

Millionenfacher Datenklau: Minister Maas nimmt digitale Dienstleister in die Pflicht” (spiegel.de)

“Die Verbraucher haben ein Anrecht darauf, dass ihre Daten und Passwörter bei digitalen Dienstleistern so sicher wie möglich sind”

Als Bundesminister der Justiz und für Verbraucherschutz weiß Herr Maas, dass es eben kein Recht, per Gesetz, auf Verschlüsselung von Daten und Passwörter gibt, weshalb er auch das Wort “Anrecht” verwendet. Gäbe es so ein gesetzlich festgeschriebenes Recht, so könnte zum Beispiel die De-Mail nur mit Ende-zu-Ende-Verschlüsselung angeboten werden.

“Dass jetzt zum wiederholten Mal innerhalb weniger Monate millionenfach Nutzerdaten abgefischt werden, zeigt, wie wichtig das Thema der Datensicherheit ist.”

Nur weil die Staatsanwaltschaft Verden wieder auf einen Datensatz (spiegel.de) — ja wirklich EINER <ROFL> — gestoßen ist, bedeutet dies nicht, dass die Kriminellen nicht 24 Stunden am Tag, 7 Tage die Woche, 4,3 Wochen im Monat,… auf den verschiedensten Wegen Benutzerdaten abfangen und für die spätere Verwendung speichern.

“Angesichts der bekannten Fälle sind jetzt auch die Internetanbieter in der Pflicht, mehr zum Schutz der Passwortdaten und persönlicher Daten ihrer Kunden zu tun.”

Wer sind denn die Internetanbieter? Die Firmen die den Zugang z.B. per DSL zum Internet bereitstellen? Was kann denn die Telekom dafür wenn ihr Kunde in einem x-beliebigen Forum 123456 als Passwort verwendet?

Das liege auch in ihrem eigenen Interesse, so Maas: “Ein Anbieter, bei dem die Kundendaten unsicher sind, wird auch bei den Verbrauchern kein Vertrauen finden.”

Ein Schenkelklopfer jagt den nächsten. Ich weiß, es ist schon ein paar Tage her, aber das Beispiel SONY passt weiterhin. Nach den ersten 100 Mio. geleakten Kundendaten gab es von den Kunden nur Beschwerden darüber, dass das Playstation Network abgeschaltet wurde und darüber, dass sie ihr vielfach verwendetes Passwort auch bei all den anderen Diensten ändern sollten.

Die Bekämpfung des Datenmissbrauchs müsse “für Dienstleister, Kunden und Politik ein gemeinsames Anliegen sein”

Alle haben sie verschiedene Interessen, also haben sie kein gemeinsames Anliegen.

  • Dienstleister, egal welche, wollen einfach nur Geld verdienen, mit Selbstverpflichtungen wird man da nicht weiter kommen.
  • Die meisten Kunden wollen es möglichst bequem haben. Zwingt ein Anbieter seine Kunden bereits bei der Registrierung zu sicheren Passworten, so muss er sich darauf einstellen, dass der Kunde einen anderen Anbieter wählt.
  • Die Politik hat vielleicht ein Interesse zur Bekämpfung, allerdings stehen ihr dabei die Dienstleister im Wege, die ob der hohen Kosten jammern und die Gefährdung des Wirtschaftsstandortes Deutschland beklagen androhen.

Ohne eine gesicherte Faktenlage sollte sich kein Minister von den Medien zu einer Erklärung treiben lassen — aber dies werden Politiker wohl nie lernen.


Die eigentlichen Probleme kann man nur langfristig lösen, was Politikern eher schwer fällt, weil sie meist in 4- oder 5-Jahres-Zyklen denken.

Die weit verbreiteten Hashfunktion MD5 und SHA-1, für die Verifikation von Passworten, müssen durch mindestens bcrypt ersetzt werden.

Verbraucher müssen lernen, dass ein Passwort mindestens 12 Zeichen lang ist, große und kleine Buchstaben, Ziffern und Sonderzeichen enthält.

Thema: Politik, Sicherheit | Kommentare geschlossen

Heise: Bäcker, bleib bei deinen Brötchen ;O)

Donnerstag, 3. April 2014, 13:22 Uhr | Autor:

Boxee: Unbekannte veröffentlichen Nutzerdaten” (heise.de)

Letztere (Passworte) waren angeblich nicht im Klartext gespeichert, sondern wohl als salted Hashes – dies bietet aber kaum Sicherheit.

Ein easily cracked according to sources in kaum Sicherheit zu übersetzen ist etwas zu schlicht — da sollte man schon genauer hinschauen.

Ok, Heise hatte keine Zeit, also mach ich mal wieder den Korinthenkacker. ;O)

Das Forum (http://forums.boxee.tv/) ist zur Zeit abgeschaltet. Der Google-Cache liefert aber, nach viel Wartezeit, noch etwas aus. Das Forum lief unter: Powered by vBulletin® Version 4.2.2

vBulletin nutzt salted Hash um das Passwort in der Datenbank zu speichern. Hierfür wird der folgende Code verwendet: md5(md5($pass).$salt)
Ja, MD5 ist nicht sicher, aber das eigentliche Problem liegt eher bei den meist zu einfach gewählten Passworten.

Füttert man Hashcat mit 280d6873630845690fdb8cbeebb82a56:auch-salz-hilft-nicht-wirklich, wird sofort 123456 als Passwort gefunden. (vBulletin > v3.8.5, einfache Wörterliste)
Also stimmt dies bietet aber kaum Sicherheit doch?!

Bei dem Versuch mit 63a76359d3f2f6bf79b571bbf5e86064:starkepassworte-ohnesalzsicher würde man wohl ein paar Mrd. Jahre auf Hashcat warten müssen, genauso wie bei dem MD5-Hash ohne Salt 8299cd11288241118c312809a0aa469f, einfach weil ein starkes Passwort nach wie vor nicht so einfach zu knacken ist.
Nein, dies bietet aber kaum Sicherheit stimmt so nicht.


Zum Abschluss noch etwas, was sich der Bäcker evtl. auch einmal durchlesen sollte und für Fragen findet er sicher kompetente Kollegen bei Heise. ;O) “Passwörter unknackbar speichern” (heise.de)

Thema: Korinthenkacker, Sicherheit | Kommentare geschlossen