Adobe-Hack: Gestohlene Passwörter ohne Hashes

Der millionenfache Diebstahl von Kundendaten beim Software-Konzern Adobe könnte deutlich schlimmere Auswirkungen haben, als bisher erwartet. Denn die Passwörter waren wohl nur unzureichend geschützt. mehr... Daten, Code, Virtualisierung Bildquelle: Free for Commercial Use / Flickr Daten, Code, Virtualisierung Daten, Code, Virtualisierung Free for Commercial Use / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wow! Was ganz neues, dass ein Unternehmen total fahrlässig mit dem Schutz der Daten der Benutzer umgeht...
 
@PowerRanger: Ganz ehrlich, ich gehe schon davon aus dass die Firmen nichts mehr sichern. Man sollte sich eher wundern wenn doch mal etwas gut geschützt ist.
 
Ich habe das Gefühl, dass die bei Adobe alle aus dem Leimtopf naschen...
 
Adobe ist erst vor einigen Jahren aus ihren Dornröschenschlaf erwacht. Vorher gab es so etwas wie Patches aufgrund von Sicherheitslücken gar nicht oder erst Monate später. Das spricht Bände. Deswegen glaube ich sofort, dass Adobe aus dieser Zeit noch Systeme hat, bei dem einem die Haare zu Berge stehen.
 
@bnc-rainman: Ich wette diese Systeme gibt es ueberall:/
 
@-adrian-: Die Wette gewinnst du, und das macht mir angst.
 
die datenbank ist bereits für jeden im internet frei verfügbar. laut t3n wurde noch eine weitere datenbank mit 153 millionen datensätzen entwendet. wer will kann überprüfen, ob seine daten auch dabei sind: https://lucb1e.com/credgrep/
 
@Lindheimer: Danke! Finde mich ;) Und meine Mailadresse für Registrierungen meldete mehrere fehlgeschlagene Loginversuche. Adobe zwingt bei manchen Produkten eben die Registrierung bei der Adobe-Id auf - oftmals vor einem Trial Download. Hier eine nette Übersicht wie viele welches Passwort haben: http://stricture-group.com/files/adobe-top100.txt
 
@wertzuiop123: dass 123456 auf platz 1 steht hätte ich nicht gedacht, ich dachte eher es wäre 12345 ;)
 
@Lindheimer: Ja, sehr interessante statistische Erhebung :D
 
@wertzuiop123: Wobei man sagen sollte dass die Übersicht von jeremy nicht 100% korrekt ist. Zudem ist er als attention whore bekannt. Man sollte sich also nicht ganz auf diese Liste verlassen.
 
@Lindheimer: Übrigens wirklich sehr sinnvoll, auf der Seite seine E-Mail anzugeben ;D
 
@dodnet: ja ich war auch skeptisch. man kann aber auch einfach einen teil der adresse weglassen.
 
@dodnet: Hab ich acuh kurz gedacht - wenn sie diese nicht hatten - haben sie sie jetzt :)
 
@Lindheimer: Die Seite kann nicht angezeigt werden. Irgend ein funktionierender Mirror bekannt?
 
@JanKrohn: bei mir schon. probiers einfach nochmal oder folge dem link auf t3n.de/news/adobe-hack-noch-viel-schlimmer-506598/
 
@Lindheimer: Jetzt geht es bei mir auch wieder. Danke!
 
Bestimmt mit Dreamweaver gebastelt die website
 
@lesnex: Ich möchte doch bitten das wird Adobe GoLive gewesen sein. So schlecht ist der DW auch nicht wenn man alles Hand Coded.
 
"Denn auch gleiche Zeichenfolgen ergeben bei salted Hashes andere Prüfsummen." -> Bitte? Das Salz verändert den Hash, wodurch keine Rückrechnung des Kennwortes mehr möglich ist, so fern das Salz geheim bleibt. Aber wenn ich mehrmals das selbe Passwort mit dem selben Salz hashe, kommt auch immer der selbe Hash bei raus. Wenn man sich einloggt, wird das eingegebene Passwort mit dem Salz gehasht und das Ergebnis mit dem gespeicherten Hash verglichen. Wenn da jedes mal was anderes bei rauskommen würde, könnte das überhaupt nicht funktionieren.
 
@karstenschilder: Zwei Benutzer, identisches Paßwort => verschiedene Salts, verschiedener Hash.
 
@RalphS: Ich betreibe selbst ein paar Server Anwendungen auf PHP Basis. Einmal Drupal, dann PHPbb und noch andere Kleinigkeiten. Alle haben gemeinsam, dass das Salz bei der Ersteinrichtung generiert und Hardcodiert in der von außen unzugänglichen und zusätzlich geschützten Config Datei gespeichert wird. Nix mit eigenes Salz für jeden User. Wie sollte das auch gehen? Das müsste ja irgendwo gespeichert werden. Und wo werden die Accountdaten gespeichert? In der Datenbank. Jau. Dann werden bei einem Hack der Userdaten zusammen mit den Passworthashes auch gleich die Salze mit geklaut. Großes Kino.
 
@karstenschilder: Aha. Weil es bei Dir so ist, ist es also überall so? IMO bringt das Salz da überhaupt nichts, aber YMMV. Es gibt genug Mittel und Wege, individuelles Salz an einen Datenbankeintrag zu koppeln, und ja, mit reinschreiben geht auch. Was hättest Du auch davon - da steht ebenfalls ein Hash des Salzes drin, und wenn Du auch selbstverständlich "irgendeinen" zum Hash passenden String rauskriegen würdest, so paßt dieser String doch nicht als Salz. - Banalster Weg: Paßwort mit anderen (statischen) Datenbankeinträgen zusammenwerfen und damit salzen. Hey presto, individuelle Hashes für jeden, die außer prüfbar auch noch alleinstehend sind (und keiner weiteren Konfig bedürfen).
 
Hm.... ich bin immernoch nicht sicher, wie ich als Betroffener nun das Gefahrenpotential einschätzen soll. Unter den gestohlenen Daten waren meine E-Mailadresse und mein Passwort (verschlüsselt). Muss ich mir Sorgen machen oder ist die Verschlüsselung Schutz genug?
 
Aber wie hier schon andere geschrieben haben, sollte man das nicht zu ernst nehmen. Ich habe auch eine Wegwerfemail Adresse, um mich wo anzumelden. Das nutze ich auch, das PW ist unsicher und leicht merkbar, und es ist mir völlig egal! Wichtige Passwörter merke ich mir, da ist meine Kapazität aber begrenzt, deswegen sowas. Und Tools, die PWs verwalten hatte ich schon genug Aha Erlebnisse. Im Kopf ist sicherer, es sei denn da fällt mir mal was drauf, dann hab ich aber eh andere Probleme.
 
Bekomm grad Nackenschmerzen vor lauter Kopfschütteln
 
Ein Hash ist ein Hash und KEINE Verschlüsselung! Darum KANN ein Hash nicht - auch nicht via Bruteforce - entSCHLÜSSELT werden. Es kann eine Kollision gefunden werden, die den selben Hash erzeugt - das erlaubt aber NICHT das einloggen auf anderen Seiten, wo der User das selbe Passwort verwendet hat. (Vorrausgesetzt keine Seite verwendet das Selbe Salt oder Pepper...) Das UR-Passwort ist NICHT eindeutig rekonstruierbar!
 
@dognose: Das ist dann eher so ein Fall von 'educated guess'. Man geht halt sämtliche Strings durch, und das solange, bis man einen Hash gefunden hat, der identisch zu dem ist, den man ursprünglich ergattert hatte. Das wäre dann für die konkrete Konfiguration ein gültiges Paßwort - egal ob das nun das originale Paßwort war oder nicht. Allerdings hat man ja nun erstmal einen String - dann sieht man ja, ob das eine 'sinnvolle' Zeichenfolge ist oder nicht und falls ja, stehen die Chancen verdammt gut, daß man sich dann damit anderswo auch einbuchen kann - Standardbenutzername + Standardpaßwort sind ja durchaus geläufig.
 
@RalphS: Naja, bis du bei der "Kollisionsfindung" einen "sinnvollen" String erhältst (aka das ur-passwort) suchst du schon eine ganze Weile. Davor findest du vermutlich 100te Kollisionen, die eben NICHT dem ursprünglichen Passwort entsprechen - und allein EINE Kollision zu finden dauert schon sehr lange (wenn man nicht gerade auf Grund von bekanntem Salt oder Pepper auf Rainbow-Tables zurückgreifen kann) Und bei meinem Passwort könnte vermutlich nichtmal ein Mensch sagen, ob das nun ein Passwort ist, oder ein autogenerierter Kollisions-String. :-)
 
@dognose: An dieser Stelle gab es ja wohl augenscheinlich keins. Wenn da noch Salz dran ist, oder sonstwas, hat man ja eh schon insoweit verloren, daß man das gefundene Paßwort nicht weiterverwenden kann (= bei anderen Authentifizierungssystemen). - die dann natürlich ebenfalls kein Salz oder sonstwas verwenden dürften. Aber, gesetzt den Fall daß sie es NICHT tun, daß die gefundenen Paßworthashes - sagen wir - MD5 waren und daß außerdem irgendein anderes Authentifizierungssystem ebenfalsl MD5-Hashes verwendet... dann bräuchte man das Originalpaßwort ohnehin nicht. ... Leider keine Ahnung, wie das generelle Sicherheitsbewußtsein des gemeinen Site-Betreibers aussieht und wie sicher man sich als Endbenutzer daher sein kann (bzw nicht sein kann).
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte