Nach einem Bericht von heise online ist der deutsche avast!-Distributor Avadas Opfer eines Hackerangriffes geworden. Im Netz finden sich nun Auszüge aus Datenbanken mit Geburtsdaten, Anschriften, Bankverbindungen Mailadressen und Passworthashes von über 16.000 Personen. Welches Hashverfahren zur Anwendung kam, ist aber unbekannt. Es heißt aber zumindest, dass die Passworthashes gesalzen gewesen seien. Was aber bedeutet das?
Der Inhalt im Überblick
Kryptologische Hashverfahren
Immer wieder bestätigen Vorfälle wie im Fall von Avadas, dass auf den Schutz von Passwörtern ein besonderes Augenmerk zu richten ist. Dies fängt bereits bei der Wahl eines sicheren Passwortes an, verlangt darüber hinaus aber auch eine sichere Speicherung des Passwortes für das Authentifizierungsverfahren bei Nutzung einer Anwendung oder Webseite. Das Speichern des Passwortes in unverschlüsselter Form stellt ein beachtliches Sicherheitsrisiko dar.
Um diesem Sicherheitsrisiko entgegenzuwirken, werden Passwörter in der Regel mit einem festen Algorithmus verschlüsselt gespeichert. Man spricht hierbei von einem gehashten Passwort.
Risiko einer Wörterbuchattacke
Jedoch unterliegen auch solche gehashten Passwörter ohne weiteres Sicherheitsmerkmal immer wieder sog. Wörterbuchangriffen. Hierbei werden Listen von Wörtern mit demselben Algorithmus wie das Passwort verschlüsselt und anschließend deren Hashwerte mit dem gespeicherten Wert verglichen. Stimmen die Hashwerte überein, ist hieraus ein Rückschluss auf das verwendete Passwort möglich.
Dem Hacker ordentlich die Suppe versalzen
Um beispielsweise vor Wörterbuchangriffen zum Ausspionieren von Passwörtern, aber auch vor einem Sicherheitsrisiko durch einen böswilligen Systemadministratoren zu schützen, wurde das sog. „Salt“ eingeführt. Das Salt ist ein zufällig generierter Wert, der an das Benutzerpasswort vor der Verschlüsselung angehängt wird.
Allerdings vermeidet auch die Hinzugabe des Zufallswertes zum (Klartext)Passwort das Knacken von Passwörtern nicht, aber erschwert dieses erheblich durch großen Zeitaufwand. Denn der nun vorliegende gehashte Wert aus Passwort und Salt kann nicht einfach in einer Liste von Hashwerten nachgeschlagen, sondern muss aus einer Vielzahl von Kombinationen aus Passwörtern und Saltwerten geprüft werden.
Passwortkreativität ist gefragt
Der Benutzer von Diensten, bei denen eine Authentifizierung mittels Benutzernamen und Passwort erforderlich ist, sollte sich jedoch nie darauf verlassen, dass der Dienstanbieter ein sichereres Verschlüsselungsverfahren für die Passwortspeicherung verwendet. Ist es wie im Fall von Avada zu einem Hackerangriff gekommen und das Schicksal der Benutzerdaten einschließlich Passwort unbekannt, sollte in jedem Fall unverzüglich ein neues Passwort vergeben werden.
Hierbei sollte es sich bestenfalls nicht um dasselbe Passwort handeln, das bereits für andere Dienste verwendet wird. Denn wie hinlänglich bekannt, versuchen Cyber-Kriminielle gerne auch sich mittels der erlangten Daten Zugang zu anderen Diensten zu verschaffen. Welche Kriterien bei der Passwortwahl beachtet werden sollten, haben wir hier bereits zusammengestellt.
Bitte lernen Sie endlich, dass diese Vorfälle keine Hacker-Angriffe sind, sondern Cracker-Angriffe.
Hacker sind die guten.
Cracker heißen die kriminellen Bösewichte.
@Pseudonym:
Ja, Sie haben Recht. Es heisst eigentlich Cracker. Allerdings kann sich der Laie in der Regel nichts darunter vorstellen. Bitte sehen Sie es uns daher nach.
Vielen Dank für diesen sehr guten Einstieg in das Thema. Etwas tiefer im Detail geht es dann hier ( http://code-bude.net/2015/03/30/grundlagen-sicheres-passwort-hashing-mit-salts/ ), jedoch sollten die Basics, wie in Ihrem Artikel erläutert, dann schon bekannt sein.
Viele Grüße