Passwortskandal? Sicherheitsma\u00dfnahmen umgangen, hunderttausende Passw\u00f6rter geknackt, zahlreiche Nutzer im Visier von Datendieben: Die Nachricht von einer der gr\u00f6\u00dften Passwort-Pannen in der Geschichte des Social Networking ging um die Welt. Unbekannten war es gelungen, \u00fcber 6 Millionen sogenannte Passwort-Hashes von den Servern des globalen Business-Netzwerkes LinkedIn zu entwenden. Im Anschluss stellten sie diese Liste dann frei ins Internet. Besonders pikant: Anhand dieser Hashes lie\u00dfen sich durch Anwendung etablierter Berechnungsverfahren schnell R\u00fcckschl\u00fcsse auf die tats\u00e4chlichen Passw\u00f6rter der betroffenen LinkedIn-Nutzer ziehen. Selbst komplizierteste Passw\u00f6rter waren binnen weniger Stunden geknackt und kursierten dann ebenfalls im Netz.<\/p>\n
Christian Heutger,\u00a0 zeigt sich entsetzt angesichts der offenkundig gewordenen Sicherheitsl\u00fccken bei LinkedIn, die das Knacken derart vieler Passw\u00f6rter \u00fcberhaupt erst erm\u00f6glicht hatten: „Schon die Tatsache, dass Uunbekannte Zugriff auf die Passwort-Hashes erlangt haben, ist bemerkenswert. Doch dass die Passw\u00f6rter, anhand derer dann noch derart leicht rekonstruiert werden konnten, zeigt, dass sie nicht sicher genug gespeichert waren.“ \u00c4hnliche Datenlecks traten in den vergangenen Wochen unter anderem auch bei Yahoo \u2013 hier wurden Mitte Juli rund 450.000 Passw\u00f6rter von Nutzern entwendet – und der Dating-Plattform eHarmony auf. Erst vor wenigen Tagen wurde zudem ein entsprechender Passwortdiebstahl beim Cloud-Dienst Dropbox bekannt.<\/p>\n
Tats\u00e4chlich sollten Website-Betreiber die Zugangsdaten ihrer Nutzer, insbesondere deren Passw\u00f6rter, grunds\u00e4tzlich unknackbar \u2013 sprich: nicht im Klartext sondern verschl\u00fcsselt \u2013 in ihren Datenbanken erfassen. Hierf\u00fcr stehen kryptografische Hash-Funktionen parat. Mit diesen werden Passw\u00f6rter nicht mehr im Klartext in den Datenbanken eines Web-Angebots gespeichert, sondern zuvor in einen Hashwert umgewandelt. Dabei handelt es sich um eine Zeichenkette, die f\u00fcr sich genommen keine R\u00fcckschl\u00fcsse mehr auf das urspr\u00fcngliche Passwort zulassen sollte. Wie der LinkedIn-Fall zeigt, reicht dies allein jedoch bei Weitem nicht aus.<\/p>\n
Internet Security-Experten empfehlen daher grunds\u00e4tzlich, die Passw\u00f6rter zus\u00e4tzlich zu „salzen“. Dabei wird vor dem Hashen eine zuf\u00e4llig generierte Zeichenfolge \u2013 der sogenannte Salt \u2013 an den Klartext des Passwortes angef\u00fcgt und dessen L\u00e4nge somit vergr\u00f6\u00dfert. Durch das „Salzen“ wird die Anzahl der Kombinationen f\u00fcr jedes einzelne m\u00f6gliche Passwort somit stark aufgebl\u00e4ht. Zudem sollten Website-Betreiber den sich anschlie\u00dfenden Hash-Vorgang bei einem gesalzenen Passwort mehrfach ausf\u00fchren. Im Fachjargon spricht man vom „Stretching“, das etablierte Angriffsmethoden zum Cracken von Passw\u00f6rtern f\u00fcr den Angreifer unwirtschaftlich macht. „LinkedIn hat es offenbar schlichtweg verpasst, die Passw\u00f6rter entsprechend zu salzen. Andernfalls w\u00e4ren gerade komplizierte Zugangsdaten nicht derart schnell geknackt worden“, kritisiert Heutger.<\/p>\n
Um gerade angesichts derartiger Datenpannen Vertrauen bei den eigenen Nutzern zu schaffen, sollten Website-Betreiber auf PCI-Scans zur\u00fcckgreifen. Der Scan pr\u00fcft die eigene Website regelm\u00e4\u00dfig auf die Einhaltung der hohen, elementaren Sicherheitsstandards der Kreditkartenindustrie und visualisiert deren Gew\u00e4hrleistung \u00fcber ein Label, das auf der Website angebracht werden kann. „Der PCI-Standard tr\u00e4gt den hohen Anforderungen an Sicherheitsmanagement, Richtlinien, Prozesse, Netzwerk-Architektur, Software-Design und Schutzma\u00dfnahmen Rechnung. Website-Betreiber werden durch regelm\u00e4\u00dfige Scans schnell auf Schwachstellen aufmerksam und k\u00f6nnen so die Daten ihrer Nutzer deutlich wirksamer sch\u00fctzen“, erkl\u00e4rt der PSW-Gesch\u00e4ftsf\u00fchrer.<\/p>\n