Ergebnis 1 bis 6 von 6
  1. #1
    Mitglied Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    36

    Standard LinkedIn bestätigt Passwort-Leak

    Das Soziale Netzwerk LinkedIn bestätigte am heutigen Donnerstag den Leak von 6,5 Millionen Login-Datensätzen einschließlich der gehashten Passwörter. Die genauen Umstände des Vorfalls werden derzeit noch untersucht. Die betroffenen Nutzer wurden mittlerweile angeschrieben und ihre Passwörter gesperrt.

    zur News

  2. #2
    Mitglied Avatar von Novo
    Registriert seit
    Jul 2006
    Beiträge
    1.318
    Danksagungen
    1083

    Standard Re: LinkedIn bestätigt Passwort-Leak

    Zitat Zitat von Annika_Kremer Beitrag anzeigen
    Bei den erbeuteten Passwort-Hashes wurde kein Salt verwendet, was die Hashes für bestimmte Angriffe anfälliger macht. Dies wurde nach Angaben der LinkedIn-Administratoren mittlerweile geändert.
    oh mann, warum man sowas nicht GLEICH machen kann?

  3. #3
    Mitglied
    Registriert seit
    Sep 2007
    Beiträge
    4
    Danksagungen
    0

    Standard Re: LinkedIn bestätigt Passwort-Leak

    Zitat Zitat von Novo Beitrag anzeigen
    oh mann, warum man sowas nicht GLEICH machen kann?

    Eine 0815 Rainbowtable mit neuem Salt ist trotzdem schnell berechnet (damit bekommt man sicher 80% der Passwörter.)

    (Wenn die Leute schon auf dem Server waren gibts das Salt im Loginscript.)

  4. #4
    Mitglied
    Registriert seit
    Nov 2010
    Beiträge
    27
    Danksagungen
    1

    Standard Re: LinkedIn bestätigt Passwort-Leak

    Zitat Zitat von Waldmeisda Beitrag anzeigen
    Eine 0815 Rainbowtable mit neuem Salt ist trotzdem schnell berechnet (damit bekommt man sicher 80% der Passwörter.)

    (Wenn die Leute schon auf dem Server waren gibts das Salt im Loginscript.)
    Das "salzen" von Kennwort-Hashes verhindert die Benutzung von Rainbow-Tabellen. Jedes Kennwort wird dabei ja mit einem unterschiedlichen "Salz" versehen (z.B. eine zufällige 64-Bit Zahl im Format Base64, die dem eigentlichen Kennwort vorangestellt wird). Wenn dann die Hashfunktion nicht nur einmal sondern z.B. eine Million mal immer wieder aufgerufen wird, dann bremst das auch Brute-Force-Angriffe ziemlich aus. Gegen kurze Kennwörter und Wörterbuchangriffe hilft das natürlich nichts - aber das ganz lange, komplizierte Kennwort schützt auch den PC nicht, wenn es auf dem Post-It-Zettel steht, der am Bildschirm klebt.

    narozed

  5. #5
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    875
    Danksagungen
    11

    Standard Re: LinkedIn bestätigt Passwort-Leak

    Häh, wird der Salt nicht pro Datenbank und nicht pro Passwort erstellt?
    Muss ja irgendwo auch gespeichert und zugewiesen werden.

    Und wie schaffen die es im Nachhinein von den alten Passwörtern, die ja nur als Hash vorliegen, eine salted Version zu erstellen? Das geht ja nur wenn die einfach nur einen String an den Hash ranhängen statt Salt+Passwort neu zu hashen, was völlig sinnlos wäre; oder sie lassen die Nutzer alle neue Passwörter wählen beim nächsten Login, was dann für Viele wieder aussieht wie Phishing.

    Die Passwortpolitik der meisten Webseiten ist eh völliger Mist.
    Immerhin werden mittlerweile oft 5 Zeichen Minimum verlangt, wow.
    Aber dann kommt diese Pseudo-Sicherheit, wo man gewzungen wird, bestimmte Zeichen zu verwenden oder auch nicht. Dabei wäre eine hohe Entropie genauso gegeben bei einem einfachen Passwort aus normalen Wörtern, das sehr lang ist, aber die dürfen dann ja auch nur 10-20 Zeichen lang sein.
    Wie mir kürzlich auffiel erlaubt selbst ein so hoch frequentierter Service wie Skype maximal 20 und man darf z.B. das Wort skype nicht dafür nutzen, selbst wenn die übrigen 15 Zeichen random sind.

  6. #6
    Mitglied
    Registriert seit
    Nov 2007
    Beiträge
    91
    Danksagungen
    1

    Standard Re: LinkedIn bestätigt Passwort-Leak

    Das liegt doch mehr am Verhalten der Nutzer und deren unzureichenden Informationen. Als User kann ich doch auch gar nicht wissen, ob mein Passwort jetzt gehashed und gesalzen (mit Marinade und lecker Gewürzen) in der Datenbank gespeichert wird, oder evt als Plain text für alle lesbar in einem Ordner mit chmod 777 liegt.
    Wer dann überall das gleiche Passwort verwendet, am besten sowas wie "passwort1", ist selbst schuld. Ich nutze einen Password-Manager, da habe ich mein linkedin Passwort auch grad eben mal geändert - wobei ich keine Angst um irgendwas habe, da es ja ein langes, wirres & einzigartiges Passwort ist. Muss man sich halt mal einen Tag mit Keepass oder Lastpass beschäftigen, dann hat man seine Accounts & entsprechenden Passwörter auch nach Jahren noch zur Hand und bei solchen Fällen wie diesem hier kann man sich entspannt zurück lehnen.

  7.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •