Mozilla: Nutzernamen und Passwörter von Entwicklern lagen offen

Die Firefox-Macher haben E-Mails und verschlüsselte Passwörter von rund 76.000 Mitgliedern des Mozilla Developer Networks (MDN) veröffentlicht, nach eigenen Angaben ist das "versehentlich" passiert. Beim Bereinigungsprozess der Datenbank sei es ... mehr... Browser, Logo, Firefox, Mozilla, Mozilla Firefox Bildquelle: Mozilla Browser, Logo, Firefox, Mozilla, Mozilla Firefox Browser, Logo, Firefox, Mozilla, Mozilla Firefox Mozilla

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Da hat wohl einer mal eben Freitags einen Dump erzeugt und die Datei im HTDOCS-Verzeichnis liegen lassen :D Auch wenn das einem Browser-Hersteller nicht passieren darf... Aber solange die Passwörter wirklich gehashed und gesalzen waren.. Dafür macht man das ja - für den Ernstfall.
 
@notepad.exe: Fehler passieren, Menschen sind eben auch nur Menschen. Aber beruhigend ist, dass die Passwörter verschlüsselt abgelegt werden. Und schön zu sehen, dass sie den Fehler nicht vertuschen, sondern transparent damit umgehen.
 
@Nunk-Junge: Wenn sie im Browser selbst schon nicht by default verschluesselt sind, gell :)
 
Waren die Passwörter denn nun verschlüsselt oder gehasht und gesaltet?

(Unterschied (für Nicht-Informatiker): VERschlüsselte Daten kann man ENTschlüsseln. Gehashte aber nicht Enthashen.

Stellt man sich eine Verschlüsselung als Resultat aus Algorithmus und Schlüssel vor, kann man das mathematisch als "Addition" mit "festem" Wert greifen: Das Passwort 1002 mit dem Schlüssel 110 ergibt also den Verschlüsselten Wert 1112. Kennt jemand den Algorithmus UND den Schlüssel, kann er das Password rekonstruieren: 1112 - 110 = 1002.

Mathematisch ist eien Verschlüsselung eine bijektive Abbildung.

Beim Hash (mit Salt) hingegen wird erst eine bijektive Abbildung ausgeführt, gefolgt von einer surjektiven - also z.b. Addition gefolgt von Quersumme: 1002 + 110 = 1112 -> 5.

Nun ist es unmöglich die surjektive Abbildung umzukehren. Quersumme 5 könnte auch 5,41,32,10004... sein. Also bringt mir hier auch Wissen über das "Salt" nichts.

Allerdings bietet ein "Hash" Kollisionen: z.b. wird das Passwort 2001 (nach obigem vorgehen) EBENFALLS auf den Hash 5 abgebildet. (Richtige Hashes sind aber weit komplexer als eine Quersumme!)

---

Waren die Daten also verschlüsselt und jemand nimmt sich die Zeit, kann er u.U. die ORIGINAL Passwörter rekonstruieren, und damit Zugriff auf andere Accounts der Person bekommen. Bei einem HASH kann er nur eine Kollision finden, die nicht zwangsläufig dem original Passwort entspricht - somit wertlos auf anderen Seiten (anderes Salt, somit anderer Hash, somit stimmt die gefundene Kollision nicht mehr.) - Hierbei Unterstützt einen das Mathematische "Geburtstagsproblem": Es ist um viele Faktoren LEICHTER eine Kollision zu finden, als eine BESTIMMTE Kollision (:= Das Original Passwort) zu finden.)
 
@dognose: Thanks captain :D
 
@botl1k3: Stell dir vor, es gibt auch Winfuture leser, die keine Informatiker sind - für die ist der Unterschied zwischen "Hash" und "Verschlüsselung" nicht unbedingt klar (so wie für den Autor) - dafür ist die Erklärung gedacht.
 
@dognose: Danke für die Aufklärung :)
 
@dognose: Ich finde das gut, dass - und wie - er das erklärt. Auch wenn ich (wie die meisten hier) das sicher schon verstanden haben, einige kannten den unterschied sicher nicht ;)
 
@dognose: okay, den Autor trifft keine Schuld... der Mozilla Blog schreibt selbst abwechselnd "Encrypted" und "Hashed" ...
Kommentar abgeben Netiquette beachten!