Onlinenetzwerk: Massenhaft Passwörter bei LinkedIn geklaut
LinkedIn hat bestätigt, dass gestohlene Kennwörter seiner Nutzer im Netz aufgetaucht sind. Möglicherweise sind fast 6,5 Millionen Datensätze von Hackern entwendet worden.
© David Loh/Reuters
Die Registrierungsseite von LinkedIn. Weltweit hat das Netzwerk mehr als 150 Millionen Nutzer.
Beim beruflichen Onlinenetzwerk LinkedIn sind Passwörter von Mitgliedern gestohlen worden. Das Ausmaß war auch einen Tag nach Bekanntwerden der Attacke noch nicht bekannt. Die Betreiber des Netzwerks bestätigten nach einer Überprüfung inzwischen nur, dass einige im Internet gefundene Passwörter echt seien, nannten aber keine Zahlen.
Das Unternehmen teilte in einem Blogeintrag mit, betroffene Nutzer würden per E-Mail informiert, ihre alten Passwörter seien deaktiviert worden. Laut Medienberichten sollen auf einer russischen Website nahezu 6,5 Millionen Kennwörter aufgetaucht sein. Diese sollen den Berichten zufolge "gehasht" sein – das heißt, sie wurden mit einem Algorithmus unkenntlich gemacht. Es ist jedoch keine echte Verschlüsselung, so dass sie mit etwas Aufwand oft wiederhergestellt werden können.
LinkedIn-App in der Kritik
Für LinkedIn hatte der Tag schon unangenehm begonnen. Das Unternehmen musste sich rechtfertigen, nachdem Experten entdeckten, dass die Smartphone-App des Netzwerks Termin- und Adressbuch-Informationen von Nutzern auf Server des Netzwerks hochgeladen hatte. Darunter waren auch Notizen, die man zu einem Termin angelegt hatte.
Das werde in Zukunft nicht mehr geschehen, teilte LinkedIn mit. An sich sei das Überspielen der Daten jedoch notwendig, um die Termine mit Informationen aus dem Netzwerk des Unternehmens zu verknüpfen. Die Daten würden nicht aufgehoben, und man habe die Nutzer stets nach einer Zustimmung für den Zugriff auf ihre Adressbücher gefragt.
Das Onlinenetzwerk, das vorwiegend für geschäftliche Kontakte genutzt wird, hat insgesamt mehr als 150 Millionen Mitglieder.
Der Autor suggeriert hier, dass Hash-Werte schlechter seien als "echte Verschlüsselung". Das ist Humbug, genauso wie die Behauptung, dass aus einem Hash das Originalpasswort mit nur ein wenig Aufwand wiederhergestellt werden kann. (Eben gerade nicht! Man kann nur versuchen mithilfe von mehr oder weniger intelligenten Brute-Force-Methoden ein Passwort mit demselben Hashwert zu finden.)
Passwörter als Hashwert zu speichern ist also genau das Richtige. Bei einer "echten Verschlüsselung" hingegen könnte man durch Stehlen des Schlüssels sofort alle Klartextpasswörter berechnen. Das einzige, was LinkedIn falsch gemacht hat, ist keinen Salt zu verwenden, um Brute-Force-Attacken zusätzlich zu erschweren.
Es ist ja nicht schlimm keine Ahnung von Kryptographie zu haben. Aber dann sollte man auch nicht versuchen sie zu erklären oder zu bewerten.
Leider muss ich da ein bisschen Korregiren.
ein Hashwert ist nun mal leichter zu knaken als eine Verschlüsselung, da ja der schlüssel meist ebend komplett nicht vorliegt. Das Raten eines guten schlüssels gilt als nahezu unmöglich da man die Menge der anzuprüfenden daten duch die Länge des SChlüssels in gigantischen Mengen treiben kann.
Bei Hashwerten gibt es aber nun mal die Tabellen mit denen man sie recht einfach ( im Vergleich zu bruteforce ) berechnen kann.
http://de.wikipedia.org/w...
So kann man also schon sgaen da ein einzelner Hash wert wesentlich leichter zu knaken ist als eine kryptografischen Konstrukt, das ja bei grossen firmen auch entsprechen gross sein sollte.
Und die Annahme das man mit den Passwort bei einer Verschlüsselung alle Daten sofort kennt it nun mal hinfällig, da ja auch das Passwort meist online nur in gehashter form forliegt, und sonst genauso wie die Originaldatensätze nur offline existert.
Leider muss ich da ein bisschen Korregiren.
ein Hashwert ist nun mal leichter zu knaken als eine Verschlüsselung, da ja der schlüssel meist ebend komplett nicht vorliegt. Das Raten eines guten schlüssels gilt als nahezu unmöglich da man die Menge der anzuprüfenden daten duch die Länge des SChlüssels in gigantischen Mengen treiben kann.
Bei Hashwerten gibt es aber nun mal die Tabellen mit denen man sie recht einfach ( im Vergleich zu bruteforce ) berechnen kann.
http://de.wikipedia.org/w...
So kann man also schon sgaen da ein einzelner Hash wert wesentlich leichter zu knaken ist als eine kryptografischen Konstrukt, das ja bei grossen firmen auch entsprechen gross sein sollte.
Und die Annahme das man mit den Passwort bei einer Verschlüsselung alle Daten sofort kennt it nun mal hinfällig, da ja auch das Passwort meist online nur in gehashter form forliegt, und sonst genauso wie die Originaldatensätze nur offline existert.
... exakt der selbe Ausschnitt ist mir auch aufgefallen. Ausgerechnet den Hash als reversibel zu bezeichnen und die Verschlüsselung als irreversibel ist hart ... :-D "Hash" bedeutet Streuwert, das müsste doch schon alles sagen. Liebe Zeit, es ist ja verständlich, dass man nicht-IT-bewanderten Lesern Inhalte verständlich aufbereiten will, aber "einfach erklärt" muss doch nicht "falsch" bedeuten.
Was da geknackt wurde, sind vermutlich zunächst auch gar nicht die einzelnen Passwort-Hashes, sondern der Zugang zum Password-Store. Sprich, die Server waren nicht gut genug mit Firewall, SSL und komplexen Passwörtern geschützt und es bestand evtl. die Möglichkeit, einen einzelnen Account zu knacken und dann damit höhere Rechte zu erlangen - und / oder jemand bei LinkedIn hat sich reinlegen lassen ("Social Engineering")
Soweit ich die Meldungen verfolgt habe, wurden tatsächlich auch eine Menge Passwörter geknackt. Anscheinend weiß da jemand nichts besseres mit seiner Grafikkarte anzufangen. ;)
Dieses "Knacken" funktioniert aber tatsächlich durch intelligentes Ausprobieren bzw. Vergleich mit vorberechneten Tabellen, nicht indem man auf irgendeine Art und Weise zurückrechnet, wie es der Artikel vermuten lässt.
Soweit ich die Meldungen verfolgt habe, wurden tatsächlich auch eine Menge Passwörter geknackt. Anscheinend weiß da jemand nichts besseres mit seiner Grafikkarte anzufangen. ;)
Dieses "Knacken" funktioniert aber tatsächlich durch intelligentes Ausprobieren bzw. Vergleich mit vorberechneten Tabellen, nicht indem man auf irgendeine Art und Weise zurückrechnet, wie es der Artikel vermuten lässt.
Soweit ich die Meldungen verfolgt habe, wurden tatsächlich auch eine Menge Passwörter geknackt. Anscheinend weiß da jemand nichts besseres mit seiner Grafikkarte anzufangen. ;)
Dieses "Knacken" funktioniert aber tatsächlich durch intelligentes Ausprobieren bzw. Vergleich mit vorberechneten Tabellen, nicht indem man auf irgendeine Art und Weise zurückrechnet, wie es der Artikel vermuten lässt.
...ihrem Hang zu reißerischen Schlagzeilen erlegen.
"Massenhaft Passwörter bei LinkedIn geklaut." Suggeriert, daß eine große Anzahl von Diebstählen erfolgte, tatsächlich sind bei wenigen Taten viele Paßwörter entwendet worden.
Was daran dramatisch sein soll, erschließt sich dem Leser kaum. Hauptsache Panik.
Sie müssen schon gleich am großen Rad drehen.
"Das war Gestern nur die Meldung die der Facebook Aktie ein wenig unter die Arme greifen wollte."
Sonstige Hintergründe und Zusammenhänge sind dann dem Spiel der Phantasie überlassen.
Aber ganz seriös, diese Aktie scheint Heute sogar einen besseren Verlauf gehabt zu haben, wie die von Facebook.
Auch wenn es Heute erst mal schlecht losging:
http://de.moneycentral.ms...
Sie müssen schon gleich am großen Rad drehen.
"Das war Gestern nur die Meldung die der Facebook Aktie ein wenig unter die Arme greifen wollte."
Sonstige Hintergründe und Zusammenhänge sind dann dem Spiel der Phantasie überlassen.
Aber ganz seriös, diese Aktie scheint Heute sogar einen besseren Verlauf gehabt zu haben, wie die von Facebook.
Auch wenn es Heute erst mal schlecht losging:
http://de.moneycentral.ms...
Sie müssen schon gleich am großen Rad drehen.
"Das war Gestern nur die Meldung die der Facebook Aktie ein wenig unter die Arme greifen wollte."
Sonstige Hintergründe und Zusammenhänge sind dann dem Spiel der Phantasie überlassen.
Aber ganz seriös, diese Aktie scheint Heute sogar einen besseren Verlauf gehabt zu haben, wie die von Facebook.
Auch wenn es Heute erst mal schlecht losging:
http://de.moneycentral.ms...
siehe Heise.de:
http://www.heise.de/newst...
(was im Übrigen eine bessere Anlaufstelle für derartige Inhalte darstellt als die Zeit)
Leider muss ich da ein bisschen Korregiren.
ein Hashwert ist nun mal leichter zu knaken als eine Verschlüsselung, da ja der schlüssel meist ebend komplett nicht vorliegt. Das Raten eines guten schlüssels gilt als nahezu unmöglich da man die Menge der anzuprüfenden daten duch die Länge des SChlüssels in gigantischen Mengen treiben kann.
Bei Hashwerten gibt es aber nun mal die Tabellen mit denen man sie recht einfach ( im Vergleich zu bruteforce ) berechnen kann.
http://de.wikipedia.org/w...
So kann man also schon sgaen da ein einzelner Hash wert wesentlich leichter zu knaken ist als eine kryptografischen Konstrukt, das ja bei grossen firmen auch entsprechen gross sein sollte.
Und die Annahme das man mit den Passwort bei einer Verschlüsselung alle Daten sofort kennt it nun mal hinfällig, da ja auch das Passwort meist online nur in gehashter form forliegt, und sonst genauso wie die Originaldatensätze nur offline existert.
Bitte melden Sie sich an, um zu kommentieren