LinkedIn bestätigt Passwort-Leak

**Annika_Kremer** · 07. 06. 2012, 14:57

Das Soziale Netzwerk LinkedIn bestätigte am heutigen Donnerstag den Leak von 6,5 Millionen Login-Datensätzen einschließlich der gehashten Passwörter. Die genauen Umstände des Vorfalls werden derzeit noch untersucht. Die betroffenen Nutzer wurden mittlerweile angeschrieben und ihre Passwörter gesperrt.

zur News

**Novo** · 07. 06. 2012, 15:42

Zitat von Annika_Kremer

Bei den erbeuteten Passwort-Hashes wurde kein Salt verwendet, was die Hashes für bestimmte Angriffe anfälliger macht. Dies wurde nach Angaben der LinkedIn-Administratoren mittlerweile geändert.

oh mann, warum man sowas nicht GLEICH machen kann?

**Waldmeisda** · 07. 06. 2012, 16:22

Zitat von Novo

oh mann, warum man sowas nicht GLEICH machen kann?

Eine 0815 Rainbowtable mit neuem Salt ist trotzdem schnell berechnet (damit bekommt man sicher 80% der Passwörter.)

(Wenn die Leute schon auf dem Server waren gibts das Salt im Loginscript.)

**narozed** · 07. 06. 2012, 17:08

Zitat von Waldmeisda

Eine 0815 Rainbowtable mit neuem Salt ist trotzdem schnell berechnet (damit bekommt man sicher 80% der Passwörter.)

(Wenn die Leute schon auf dem Server waren gibts das Salt im Loginscript.)

Das "salzen" von Kennwort-Hashes verhindert die Benutzung von Rainbow-Tabellen. Jedes Kennwort wird dabei ja mit einem unterschiedlichen "Salz" versehen (z.B. eine zufällige 64-Bit Zahl im Format Base64, die dem eigentlichen Kennwort vorangestellt wird). Wenn dann die Hashfunktion nicht nur einmal sondern z.B. eine Million mal immer wieder aufgerufen wird, dann bremst das auch Brute-Force-Angriffe ziemlich aus. Gegen kurze Kennwörter und Wörterbuchangriffe hilft das natürlich nichts - aber das ganz lange, komplizierte Kennwort schützt auch den PC nicht, wenn es auf dem Post-It-Zettel steht, der am Bildschirm klebt.

narozed

**Trollolol** · 07. 06. 2012, 20:01

Häh, wird der Salt nicht pro Datenbank und nicht pro Passwort erstellt?
Muss ja irgendwo auch gespeichert und zugewiesen werden.

Und wie schaffen die es im Nachhinein von den alten Passwörtern, die ja nur als Hash vorliegen, eine salted Version zu erstellen? Das geht ja nur wenn die einfach nur einen String an den Hash ranhängen statt Salt+Passwort neu zu hashen, was völlig sinnlos wäre; oder sie lassen die Nutzer alle neue Passwörter wählen beim nächsten Login, was dann für Viele wieder aussieht wie Phishing.

Die Passwortpolitik der meisten Webseiten ist eh völliger Mist.
Immerhin werden mittlerweile oft 5 Zeichen Minimum verlangt, wow.
Aber dann kommt diese Pseudo-Sicherheit, wo man gewzungen wird, bestimmte Zeichen zu verwenden oder auch nicht. Dabei wäre eine hohe Entropie genauso gegeben bei einem einfachen Passwort aus normalen Wörtern, das sehr lang ist, aber die dürfen dann ja auch nur 10-20 Zeichen lang sein.
Wie mir kürzlich auffiel erlaubt selbst ein so hoch frequentierter Service wie Skype maximal 20 und man darf z.B. das Wort skype nicht dafür nutzen, selbst wenn die übrigen 15 Zeichen random sind.

**BetaINFO** · 08. 06. 2012, 08:51

Das liegt doch mehr am Verhalten der Nutzer und deren unzureichenden Informationen. Als User kann ich doch auch gar nicht wissen, ob mein Passwort jetzt gehashed und gesalzen (mit Marinade und lecker Gewürzen) in der Datenbank gespeichert wird, oder evt als Plain text für alle lesbar in einem Ordner mit chmod 777 liegt.
Wer dann überall das gleiche Passwort verwendet, am besten sowas wie "passwort1", ist selbst schuld. Ich nutze einen Password-Manager, da habe ich mein linkedin Passwort auch grad eben mal geändert - wobei ich keine Angst um irgendwas habe, da es ja ein langes, wirres & einzigartiges Passwort ist. Muss man sich halt mal einen Tag mit Keepass oder Lastpass beschäftigen, dann hat man seine Accounts & entsprechenden Passwörter auch nach Jahren noch zur Hand und bei solchen Fällen wie diesem hier kann man sich entspannt zurück lehnen.