Sony Pictures: Viele schwache Nutzerpasswörter

Erst kürzlich war es der Hacker-Gruppe namens Lulzsec möglich, bei SonyPictures.com virtuell einzubrechen und dabei mehr als eine Million persönliche Datensätze der angemeldeten Nutzer zu entwenden. mehr... Sony, Logo, Hersteller Bildquelle: Sony Sony, Logo, Hersteller Sony, Logo, Hersteller Sony

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
ja diese nutzer werden schon wissen was sie machen, oder eben auch nicht und dann sind sie selber schuld. was das mit dem hack auf sony zu tun hat, ist mir nicht ersichtlich. wird der liebe troy von sony bezahlt? selbst wenn alle 123abc als passwort gehabt hätten, hätte das doch an dem eigentlich hack nichts geändert. der sollte lieber mal sonys systeme überprüfen. verstehe den zusammenhang einfach nicht. "ja sony wurde gehackt, aber ihr habt alle dumme passwörter, braucht euch also nicht wundern" so etwa?
 
@walterfreiwald: Weil man selten zugriff auf echte Passwort-Datenbanken hat, um das Nutzerverhalten analysieren zu können?!
 
@DRMfan^^: Immerhin einer, der es verstanden hat :)
 
@walterfreiwald: Der Anbieter hat die verdammte Pflicht mit meinen Daten sorgfälltig umzugehen und nicht abzulenken mit anschuldigungen des Nutzers!
 
@sersay: und jeder Nutzer, muss damit rechnen dass sowas immer passieren kann und dann ist man selbst als Nutzer, der der dafür zu sorgen hat, dass man nicht überall das gleiche und noch dazu schwaches und dämmliches Passwort nimmt
 
@walterfreiwald: Ich kann dir nur zustimmen.
Als Nutzer eines Dienstes muß ich mich darauf verlassen können das mit meinen gespeicherten Daten sorgfältig umgegangen wird. Das hat letztendlich noch nicht einmal mit der Eingabe eines Paßwortes zu tun.
Sony ist hier scheinbar seiner Pflicht nicht hinreichend nachgekommen.
Was die Paßwortlänge betrifft: bei meinem Provider habe ich zufällig mal festgestellt, das ich zwar 12 Stellen als Paßwort eingeben kann, aber nur die ersten 6 abgefragt werden. Die restlichen sind völlig ohne Bedeutung. Auf meine Anfrage bestätigte man mir dies sogar.
Ob es inzwischen geändert wurde, kann ich nicht sagen. War vor etwa 6 Jahren.
 
Selbst das beste Password würde bei Sony nichts bringen.
 
@r0nnie: 100 Punkte ;-) dieser Satz trifft ins schwarze ;-)
 
Also heisst das jetzt LulzSec hat auf ALLE Accounts die bei Sony Pictures angemeldet sind nen dictionary-bruteforce gemacht ? Oder hat Sony die Daten im Klartext gespeichert und man konnte DANACH analysieren das viele Passwörter nutzlos sind? Schön, wenn es das zweite ist, was hat mich das dann bitte JETZT zu kümmern? Hätte man dort sein super-duper-mega Passwort mit 60 Zeichen reingekloppt, dann hätten die das jetzt AUCH! ... -_-
 
@Pineparty: Nennt sich dictionary attack, hat nichts mit bruteforce im eigentlichen Sinne zu tun :) Man bin ich wieder ein Klugscheißer
 
@Pineparty: Ein MD5 hash bestimmter Passwörter ist ja immer gleich. Also hat der einfach die bekanntesten "Passwörter" (bzw deren Hashsets) überprüft. Man braucht also nicht das Passwort um zu wissen wie hoch die Quote guter oder schlechter Passwörter ist.
 
Aufgrund der ganzen Hacker-Meldungen und verlorenen Account-Daten in letzter Zeit, habe ich meine ganzen Passwörter erstmal geändert (ausgenommen Foren u.ä.) und meine Passwort-Strategie etwas verändert. Teilweise verwendete ich für einige Dienste seit einigen Jahren ein und dasselbe Passwort (welche teilweise auch eher schwach waren, aber nicht so wie in der News beschrieben). ;-) Da war es dann wirklich endlich mal an der Zeit, mal einen radikalen Schnitt zu machen und alle Account-Daten zu überprüfen. Die ganze Prozedur hat mich gestern zwar einiges an Zeit gekostet, aber ich denke, es hat sich gelohnt. Nebenbei habe ich auch noch meinen email-Provider gewechselt (von Google zu FastMail, welche jetzt zu Opera gehören). ____ Na los, tretet jetzt alle auf mich ein und nennt mich einen paranoiden Spinner ;-), aber ich denke trotzdem, das es einfach gut ist, wenn man regelmäßig seine Passwörter (bzw. allgemein die Account-Daten bei irgendwelchen Diensten) überprüft bzw. anpasst/ändert.
 
@seaman: Solange die logins nicht kompromittiert sind ist es absolut unsinnig sie regelmäßig zu ändern. Womöglich verbessert man durch die Änderung sogar die Chance daß jemand sie per brute force erraten kann. Mal davon abgesehen daß es absolut nicht praktikabel ist hunderte von Passworten regelmäßig zu ändern, ist es schon dramatisch daß ausgerechnet die wichtigen Sites wie beispielsweise meine Banken keine Passworte sondern lediglich maximal 5-stellige PINs zulassen, welche man noch nicht einmal auf einfache Weise ändern kann.
 
und selbst wenn die passwörter 50 stellen mit buchstaben groß und kleinschreibung, zahlen und symbolen hätte, sicherer ist es nicht bei sony ;)
 
@starchildx: Bei Sony nicht und wenn man diese im Klartext speichert auch nicht. Wenn diese jedoch als Hash mit Salt gespeichert werden, gilt: je länger und komplexer, desto länger benötigt man zum knacken.
 
"shadow" find ich gut ;)
 
"Ein Drittel der Passwörter konnten durch einen automatischen Abgleich mit einem Wörterbuch herausgefunden werden." Ja, aber auch nur wenn der Hacker 2 Jahre Geduld hat bis dass Wörterbuch per HTTP-Requests durchgelaufen ist... . Die einfachste Methode Passwörter sicherer zu machen wäre wenn die Betreiber nicht mehr als zb 5 aufeinanderfolgende falsche Eingaben zulassen würden, bevor das Konto gesperrt und eine eMail rausgeschickt wird oder die Zeit zwischen weiteren möglichen Eingaben (zb auf 30min) erhöht wird. Dass sieht man aber fast nirgendwo. Ich denke/hoffe wer als Passwort "password" oder "123456" eingibt, der hat keinen ernsten Account angelegt sondern nur einen Fakeaccount für ne einmalige Sache.
 
@lutschboy: Bruteforce eines Weblogins ist in der heutigen Zeit nicht mehr rentabel. Hier ging es einfach um einen Abgleich lokal gespeicherter Passwortlisten mit einem Wörterbuch - also nichts mit HTTP Requests. Deine Sperre nach mehreren Falschangaben gibt es recht häufig - manchmal auch mit Captchas.
 
@0xed: Ach so, dass war lokal gemeint. Naja, also Sperren sehe ich ja doch eher sehr selten. Allerdings gebe ich halt auch nicht oft Passwörter falsch ein da dies ja eh automatisch passiert (Keepass). Aufgefallen ist mir das bei meinem Surfverhalten bisher eigentlich nur bei GMX.
 
@lutschboy: bei WBB boards ist das standardmäßig aktiv
 
seit wann sieht man wie lang ein pw ist? wie schon erwähnt, die bank lässt nur 5 stellen zu und die werden meist noch vorher von der bank vergeben. das ändern war aber kein problem bei meiner bank. nur bei 5 zeichen hat man halt nicht so die auswahl. solange es solche nichtnutztrolls im netz gibt die nix anderes zu tun haben als leuten auf den kranz zu gehn und dann dabei noch nen abgang haben ist es egal wie sicher ein pw ist oder ein server. ob es nun sony ist oder ms, wem trifft es den? die generation die nix anderes kennt als internet und games. die nicht mal wissen was "mensch ärger dich nicht" ist.
 
Macht halt keinen Unterschied ob die Passwörter komplex sind, wenn sie im Klartext in der Datenbank stehen.
 
@ouzo: Aber auch verschlüsselt wären einfache Passwörter mit einem MD5 cracker zu knacken ein Kinderspiel.
 
@JacksBauer: Das ist aber erst der zweite Schritt.
 
@JacksBauer: Es sei denn es wird ein guter Salt benutzt. Dann kann es schon mal länger dauern. Zudem kommt das auf das verwendete Passwort an
 
@ouzo: Wenn das Passwort "nur" als Hashset gespeichert wird kann man ja die vergleichen. Es gibt ja nicht nur Wörterbücher der Passwörter im Klartext sondern auch deren zugehörigen Hashsets.
 
@wieselding: Aber das wäre doch wenigstens schonmal eine kleine Hürde mehr. Komplett einfach muss man es den Angreifern doch auch nicht machen.
 
@ouzo: Eben deswegen soll man auch mal ein Sonderzeichen oder Groß und Kleinbuchstaben verwenden. Wichtig ist doch dass das Passwort bzw sein Hash nicht "bekannt" ist.
 
Das Ding war gut - Sony hat von Datensicherung null Ahnung aber die Nutzerpasswörter sind schwach *prust* Und wenn die Milch sauer wird, hat die Kuh zu warm gestanden oder wie :)
 
bei debitel mobilcom DARF man nur MAX 8 zeichen verwenden... zum kotzen...
 
@Nippelnuckler: der ganze laden ist unseriös und zum kotzen!
 
Unser berühmter "Anwenderfehler" mal wieder... was für eine "Firma", die nicht nach einer Problemlösung sucht, sondern den Kunden die Schuld in die Schuhe zu schieben versucht. ROFL
 
@kroflin: Wer will hier wem die Schuld in die Schuhe schieben? Hast du die News überhaupt gelesen, oder gleich losgetrollt? Kleiner Tipp um dich intellektuell nicht zu überfordern: Troy Hunt arbeitet nicht bei Sony...
 
Ja, wie wäres dann wenn man als Anbieter eines Dienstes die Leute dazu ZWINGT Zahlen, Buchstaben UND Sonderzeichen zu nehmen? abgesehen davon hat die sicherheit eines User-Passworts mal GAR NICHTS damit zu tun das Hacker zugang zu Sonys ADMINISTRATIVEN Bereichen bekommen lol. Ich denk der Typ will nur vom wahren Problem ablenken.
 
Nutzerpasswörter: Viele schwächen in den Datenbanken bei Sony Pictures
 
Das Problem ist auch: Heutzutage muss man so viele verschiedene Passwörter haben, die dazu auch je nach Software all 3-4 Wochen gewechselt werden müssen, da viele Menschen zu sich einfach sagen: Ich nehme ein einfaches Passwort und verwende es für fast jede Software, Mail, Network, Forum etc. Hacking/Cracking ist halt immer noch nicht bei der grossen Masse angekommen.... EVENTUELLE LÖSUNG, SCHLÜSSELDIENST: Ein Masterpasswort (so 10-15 Stellen lang und mit den Passwortrichtlinien erstellt) und für alle nachkommenden Passworteingaben eine automatische Anmeldung "Schlüsselbund". Bei jedem Schliessen des Browsers oder der Software meldet es den "Schlüsseldienst" automatisch ab...
 
Sony hats echt verbockt. Wer heutzutage seine Daten diesem Unternehmen übergibt ist selbst schuld.
 
Ist am Ende egal, solange die Passwörter ausgelesen werden können spielt die Stärke doch sowieso keine Rolle mehr... Aber dennoch sollte man ordentliche Passwörter nutzen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles