So 24 Feb 2008
Passwort-Desaster
Posted by andreas.mertens under IT
No Comments
Zugegeben, als Informatiker mit Kryptographie-Background bin ich etwas geprägt.
Nun ist mir folgendes passiert, was leider eine Passwort-Change-Orgie nach sich zog.
Kürzlich wollte ich bei einem HW-Anbieter im Online-Shop eine neue Hardware bestellen. Nun handelt es sich dabei allerdings um Hardwarekomponenten, die sich erstens im hochpreisigen Segment befinden und die man zweitens in zeitlich größeren Abständen erneuert. Aus diesem Grund hatte ich auch Zugangskennung und Passwort – aehm – nicht mehr parat. Soweit kein Problem, da es auch bei diesem Hersteller, wie bei so Vielen, die sehr nützliche und oft genutzte Funktion “Passwort vergessen?” gibt. Gesagt, getan.
Ich habe also meine E-Mail-Adresse eingegeben und auf eine E-Mail gewartet, um einen Link zu erhalten, mittels dem ich mein bestehendes Passwort ändern kann, oder um ein neues, per Zufall generiertes Passwort zu erhalten. Dann traf mich aber der Schlag, denn der Onlineshop-Betreiber, den ich hier aus Sicherheitsgründen nicht nennen möchte, schickte mir mein Passwort im Klartext via E-Mail zu. Dies bedeutet, dass er mein Passwort im Klartext in seiner Datenbank speichert.
Zur Information an alle weniger kryptographieaffinen Leser. Wer feststellt, dass ein Online-Anbieter ein Passwort in Klartext verschickt, dann Finger weg von dem Shop!
Heutzutage nutzt man mathematische Mechanismen, die auf Seiten des Shop-Betreibers nicht erfordern, dass das Passwort im Klartext in der Datenbank gespeichert werden muss. Dies sind sogenannte mathematische Einwegfunktionen oder Hashfunktionen. Hier kann man aus dem Klartext eines Passwortes einen Hashwert, einen sog. digitalen Fingerabdruck, berechnen (siehe auch Kapitel 2.2.6, Seite 44). Umgekehrt ist es nicht möglich, von dem digitalen Fingerabdruck auf das Klartextpasswort zu kommen ! Somit braucht man nur den Fingerabdruck, nicht aber das Passwort in der Datenbank zu speichern. Schickt ein Betreiber bei der Funktion “Passwort vergessen?” ein Passwort in Klartext zurück, speichert er auch das Passwort im Klartext und handelt nicht verantwortungsvoll im Umgang mit den Kundendaten.
Was bedeutet dies in der Konsequenz? Nun, wenn man ein Passwort mehrfach nutzt, also das selbe Passwort bei mehreren Anbietern nutzt, so ist es bekannt, sobald die Datenbank mit dem Klartextpasswort gehackt wurde.
Nun gut, dachte ich mir, dann werde ich bei dem scheinbar seriösen Online-Betreiber mein mehrfach benutztes Passwort einfach ändern. Zu meinem Entsetzen musste ich feststellen, dass dies nicht geht! Pech gehabt.
Das war schon sehr ärgerlich, weil ich nach der schmerzlichen Erkenntniss, dass ein scheinbar seriöser Online-Händler mein Passwort in Klartext speichert, mein mehrfach benutztes Passwort auf nicht wenigen anderen Servern ändern musste.
Zugegeben, man, insbesondere ich, sollte für jedes Online-Angebot ein eigenes Passwort nutzen, was allerdings im Alltag nicht sehr praktikabel ist. Ein Mittelweg ist die Verwendung von einem Passwort, dass sich in Abhängigkeit seines Kontextes leicht verändert, z.B.:
- E-Bay: timySeyPW
- Amazon: timSanPW
Der Algorithmus funktioniert wie folgt: Die ersten Buchstaben timS stehen für “this is my Secret” und die folgenden beiden Buchstaben stehen für den Anfangsbuchstaben und den letzten Buchstaben des Online-Angebotes, also ey für E-Bay und an für Amazon, gefolgt für PW wie Passwort …
