Internet Security-Spezialist PSW GROUP fordert Konsequenzen aus jüngsten Passwortskandalen bei Yahoo, LinkedIn & Co.

Passwortskandal? Sicherheitsmaßnahmen umgangen, hunderttausende Passwörter geknackt, zahlreiche Nutzer im Visier von Datendieben: Die Nachricht von einer der größten Passwort-Pannen in der Geschichte des Social Networking ging um die Welt. Unbekannten war es gelungen, über 6 Millionen sogenannte Passwort-Hashes von den Servern des globalen Business-Netzwerkes LinkedIn zu entwenden. Im Anschluss stellten sie diese Liste dann frei ins Internet. Besonders pikant: Anhand dieser Hashes ließen sich durch Anwendung etablierter Berechnungsverfahren schnell Rückschlüsse auf die tatsächlichen Passwörter der betroffenen LinkedIn-Nutzer ziehen. Selbst komplizierteste Passwörter waren binnen weniger Stunden geknackt und kursierten dann ebenfalls im Netz.

Passwortskandalen bei Yahoo, LinkedIn & Co.

Christian Heutger,  zeigt sich entsetzt angesichts der offenkundig gewordenen Sicherheitslücken bei LinkedIn, die das Knacken derart vieler Passwörter überhaupt erst ermöglicht hatten: „Schon die Tatsache, dass Uunbekannte Zugriff auf die Passwort-Hashes erlangt haben, ist bemerkenswert. Doch dass die Passwörter, anhand derer dann noch derart leicht rekonstruiert werden konnten, zeigt, dass sie nicht sicher genug gespeichert waren.“ Ähnliche Datenlecks traten in den vergangenen Wochen unter anderem auch bei Yahoo – hier wurden Mitte Juli rund 450.000 Passwörter von Nutzern entwendet – und der Dating-Plattform eHarmony auf. Erst vor wenigen Tagen wurde zudem ein entsprechender Passwortdiebstahl beim Cloud-Dienst Dropbox bekannt.

Tatsächlich sollten Website-Betreiber die Zugangsdaten ihrer Nutzer, insbesondere deren Passwörter, grundsätzlich unknackbar – sprich: nicht im Klartext sondern verschlüsselt – in ihren Datenbanken erfassen. Hierfür stehen kryptografische Hash-Funktionen parat. Mit diesen werden Passwörter nicht mehr im Klartext in den Datenbanken eines Web-Angebots gespeichert, sondern zuvor in einen Hashwert umgewandelt. Dabei handelt es sich um eine Zeichenkette, die für sich genommen keine Rückschlüsse mehr auf das ursprüngliche Passwort zulassen sollte. Wie der LinkedIn-Fall zeigt, reicht dies allein jedoch bei Weitem nicht aus.

Internet Security-Experten empfehlen daher grundsätzlich, die Passwörter zusätzlich zu „salzen“. Dabei wird vor dem Hashen eine zufällig generierte Zeichenfolge – der sogenannte Salt – an den Klartext des Passwortes angefügt und dessen Länge somit vergrößert. Durch das „Salzen“ wird die Anzahl der Kombinationen für jedes einzelne mögliche Passwort somit stark aufgebläht. Zudem sollten Website-Betreiber den sich anschließenden Hash-Vorgang bei einem gesalzenen Passwort mehrfach ausführen. Im Fachjargon spricht man vom „Stretching“, das etablierte Angriffsmethoden zum Cracken von Passwörtern für den Angreifer unwirtschaftlich macht. „LinkedIn hat es offenbar schlichtweg verpasst, die Passwörter entsprechend zu salzen. Andernfalls wären gerade komplizierte Zugangsdaten nicht derart schnell geknackt worden“, kritisiert Heutger.

Um gerade angesichts derartiger Datenpannen Vertrauen bei den eigenen Nutzern zu schaffen, sollten Website-Betreiber auf PCI-Scans zurückgreifen. Der Scan prüft die eigene Website regelmäßig auf die Einhaltung der hohen, elementaren Sicherheitsstandards der Kreditkartenindustrie und visualisiert deren Gewährleistung über ein Label, das auf der Website angebracht werden kann. „Der PCI-Standard trägt den hohen Anforderungen an Sicherheitsmanagement, Richtlinien, Prozesse, Netzwerk-Architektur, Software-Design und Schutzmaßnahmen Rechnung. Website-Betreiber werden durch regelmäßige Scans schnell auf Schwachstellen aufmerksam und können so die Daten ihrer Nutzer deutlich wirksamer schützen“, erklärt der PSW-Geschäftsführer.