Schwerpunkte

Passwortklau

Kritik an Schwachstellen bei LinkedIn

13. Juni 2012, 11:38 Uhr   |  Lars Bube | Kommentar(e)

Kritik an Schwachstellen bei LinkedIn

Thorsten Krüger von SafeNet: »Hoffentlich lernen Unternehmen wie LinkedIn, eHarmony und Last.fm aus ihren Fehlern«. (Bild: SafeNet)

Nach dem Diebstahl mehrerer Millionen Passwörter kritisieren Experten jetzt die Sicherheitstechnologie des LinkedIn-Netzwerks. Insbesondere die schwache Verschlüsselung der Passwortdatenbanken habe es den Dieben leicht gemacht.

Nachdem in den vergangenen Tagen bekannt geworden war, dass bis zu sieben Millionen Passwörter aus den Datenbanken der Online-Netzwerke LinkedIn und eHarmony entwendet worden sind, zeigt sich nun immer deutlicher, dass deren Sicherheitstechnik es den Dieben wohl zu leicht gemacht hat. Angeblich sollen die Passwortlisten mit dem SHA-1 (Secure Hash Algorithm) verschlüsselt gewesen sein, der es Angreifern eigentlich unmöglich machen soll, ihnen die jeweiligen Accounts zuzuordnen.

Genau das ist den Angreifern jedoch offenbar gelungen, wie Catalin Cosoi, Chief Security Researcher bei Bitdefender befürchtet: »Der Diebstahl von mehr als 6,5 Millionen Account-Passwörtern aus dem LinkedIn-Netzwerk demonstriert erneut, dass jedes Datenleck unvorhersehbare Folgen sowohl für Nutzer als auch für Unternehmen und Betreiber haben kann. Vermutlich besitzt die Person, die die Passwörter gehackt hat, ebenfalls die zugehörigen Benutzernamen und E-Mail-Adressen, sodass mittels Brute-Force-Attacken diese Information für weitere Datenraubzüge genutzt werden können«. Besonders für Nutzer, die Passwörter mehrfach verwenden ergebe sich aus dem Diebstahl ein hohes Risiko solcher Folgeangriffe, wie Cosoi weiter ausführt. »Wir raten Usern eindringlich dazu, ein spezifisches Passwort für jeden einzelnen Account zu definieren anstatt ein identisches Passwort gleich für mehrere Konten einzurichten. So ist sichergestellt, dass auf andere Konten, die mit derselben E-Mail-Adresse angelegt wurden, im Falle eines Datendiebstahls nicht unbefugt zugegriffen werden kann«, so seine Empfehlung an die Nutzer.

Aufgefallen war der Diebstahl erst, nachdem die Angreifer einen Großteil der Passwörter im Internet veröffentlicht hatten. Das legt die Vermutung nahe, dass die Absicherung bei LinkedIn nicht so sicher wie gedacht war. Hier ist allerdings noch die Frage, ob die versprochenen Sicherheitssysteme überhaupt eingesetzt wurden, oder ob diese eventuell grundsätzlich einige gefährliche Schwachstellen in sich tragen. »Die Zwischenfälle bei LinkedIn und eHarmony zeigen deutlich die Schwachstellen der Hashcode-Methode ohne zusätzliche Sicherung mit einer Zufallszahl, dem „Salt“«, erklärt etwa Thorsten Krüger, Regional Director Sales Deutschland und Österreich bei SafeNet. »Die Hashcode-Methode ist schlichtweg nicht sicher genug und bietet für zielstrebige Datendiebe keine wirkliche Hürde. Nutzer sollten verlangen, dass ihre Daten stattdessen mit sicheren Kryptographie-Algorithmen verschlüsselt werden.«

--- forum[x|Passwortklau - Anfängerfehler oder unvermeidbar?] ---Vor allem die Unternehmen sind somit gefordert, Ihre Aufbewahrungsstrategien für Passwörter und Nutzerdaten zu überdenken und beispielsweise durch Multifaktor-Authentisierung sicherer zu machen. Die Nutzer selbst können neben der Nutzung verschiedener Passwörter für verschiedene Dienste auch selbst auf Verschlüsselung mittels Hashing-Algorithmen (MD5, SHA1, SHA2) setzen. Dabei werden für alle Passwörter verschlüsselte Hashes und Prüfsummen angelegt. So lässt sich ein Google-Alert einrichten, der automatisch davor warnt, wenn das gehashte Passwort im Internet auftaucht.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Sicherheit durch Zwei-Faktor-Authentisierung
Datenverluste auf mobilen Geräten an der Tagesordnung
Externe Mitarbeiter werden zur Gefahr
WPS-Lücke: So machen Sie Ihr WLAN wieder sicher
Wenn verlorene Laptops Millionen kosten
Viele Deutsche schutzlos im Internet
Superuser-Accounts effizient verwalten

Verwandte Artikel

Bitdefender, SafeNet

Computerkriminalität