Führender Hoster OVH erlebt Passwort-Diebstahl

Der Webhoster OVH, der mit Hauptsitz in Frankreich zu den weltweit größten Unternehmen seiner Art zählt, hat einräumen müssen, dass sich Hacker Kundendaten und verschlüsselte Passwörter verschaffen konnten. mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
OHV -> OVH. Copy - Paste. Ist sehr auffällig, das alle News Seiten exakt den selben Fehler drinne haben.

Meine Hochachtung vor OVH. Die meisten Firmen haben keinen Ars... in der Hose und informieren Kunden/Benutzer erst, wenn eh schon jede IT Seite darüber berichtet hat und geben auch nur soviel zu, was man eh schon weiss.
 
@Akkon31/41: Sehr viele Seiten haben gestern schon darüber berichtet, da gab es noch nicht eine E-Mail an die Kunden. Eine Stellungnahme sowieso nicht.
 
@Akkon31/41: ??? Das Unternehmen heißt OVH - ich sehe bei uns auf Anhieb keinen Buchstabendreher, der korrigiert werden müsste. Copy-Paste ist ohnehin verpönt.
 
@JakobL: was ist eine "Strananzeige"?
 
@Link: Der Beweis dass copy-paste tatsächlich verpönt ist... ;-)
 
@Link: ein Schreibfehler, der jetzt korrigiert ist
 
@JakobL: Ich mach mit:

angegriffen.. > angegriffen. |
Systemadiministrators > Systemadministrators |
das Detail, demnach -> das Detail, nach dem |
gehosted > gehostet

Und das viel mir jetzt nur beim ersten Mal lesen auf ;)
 
@glowhand: danke für die hinweise, mich macht die autokorrektur heute einfach kirre
 
oha, natürlich kacke... aber saubere reaktion.. und mit den salted hashs aus dem stärksten der SAH-2 generation? viel spaß beim entschlüsseln
 
@Slurp: Wenn man das "Salt" kennt, bleiben nur noch SHA Schlüssel. Be i so vielen Kunden, haben einige Passwörter, die Worten entsprechen. Einige Hundert wird man so allein via Google aus Rainbowtables finden.
 
@andryyy: Was Du meinst ist Pepper (fester Schlüssel) und kein Salt (ein dynamischer (Hash-)String für jedes Passwort).
 
@Stratus-fan: Okay. :) Wenn das stimmt: Danke. Wieder was gelernt. Aber hoffentlich kannten die OVH-Menschen den Unterschied ebenfalls. Wobei ein schlechtes salting ja auch nicht schwer zu knacken wäre.
 
@andryyy: Salting hat ja einzig den Zweck bestehende Rainbowtables wirkungslos zu machen. Selbst wenn jemand den statischen Salt (aka Pepper) kennt, der für alle Passwörter gilt, nützen ihm Rainbow-Tables via google nichts. Da müsste er sich schon selbst eigene Rainbow-Tables mittels dieses Salts erstellen und auch die Methode kennen, wie der Salt auf das Passwort beim Login angewendet wird. Du kannst das Salt ja vor oder hinters PW hängen oder den Salt, das PW oder beides vorher nochmal crypten oder beliebige Stringfunktionen darauf anwenden (rückwärts, chiffriert, shifted etc) und erst am Ende das SHA512 drüberlaufen lassen. Jede Methode würde einen anderen Hash erzeugen. Die Kombinationsmöglichkeiten sind unendlich. D.h um eigene Rainbowtables zu generieren sollte man auch die Loginroutine kennen, sonst produzierst du bestenfalls nur Rainbowtable-Treffer die zufällig den gleichen Hash erzeugen, aber die dir nichts nützen, weil sie weder zur Loginroutine der Seite passen, noch den eigentlichen Passwörtern entsprechen, um sie woanders ausprobieren zu können. Und wenn jedes PW einen eigenen dynamischen Salt hat, dann kann er Rainbowtables wohl generell vergessen, weil er für jeden Kunden neue Rainbow-Tables erzeugen müsste. Nicht unmöglich, aber damit hat er ein paar Jahre zu tun. Und SHA512-Bruteforcing bzw das Erzeugen von Rainbow-Tables ist dank 64bit Integers der Methode selbst über GPU gähnend langsam (etwa 50x langsamer als bei MD5).
 
@Slurp: Auch wenn ein Hack nie beruhigend sein kann, finde ich die Reaktion und die Absicherung der Passwörter doch einmal richtig gut! Bei SHA-512 inkl. Salt sehe ich auch nicht gute Chancen, das würde sich höchstens nur für einzelne Passwörter lohnen - und die sind bis dahin wieder geändert.
 
Ein Hash ist keine Verschlüsselung verdammt noch mal. Dass das dauernd so genannt wird.....
 
@DRMfan^^: Weshalb sich so viele schwer damit tun verstehe ich auch nicht. An sich ist es ganz einfach, eine Verschlüsselung kann man entschlüsseln bzw. "zurück rechnen". Ein Hash ist eine Einwegfunktion und lässt sich (so wird vermutet) nicht "zurück rechnen" also entschlüsseln.
 
@Shadow27374: Dann die Frage: Wenn du bei asymmetrischer Verschlüsselung den geheimen Schlüssel vergisst, ist die Verschlüsselung dann ein Hash? ;D
Würde sagen, zu einem Hash gehört auch die feste Länge des Wertes
 
In meinem Blog hatte ich in den letzten Wochen massiv minütliche Seitenaufrufe von zahlreichen OVH-Adressen/-Servern. Würde mich nicht wundern, wenn die mit diesem Vorfall in Verbindung stehen würden. Erst seit Anfang letzter Woche nahmen die Zugriffe wieder massiv ab, nachdem ich eine Mail ans Abuse-Team geschickt hatte. Ob die Reduzierung der Aufrufe an der Mail oder aber an der temporären Stilllegung und Wartung der Server lag, kann ich nicht sagen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen