Zwangs-Reset: Microsoft findet 44 Mio. Nutzer unsicherer Passwörter

Zahlreiche Inhaber von Microsoft-Accounts sollten die Zeit an den Feiertagen durchaus auch nutzen, um mal wieder die Login-Daten ihrer Konten zu ändern. Denn millionenfach sind die Passwörter deutlich weniger geheim, als so mancher annimmt. mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Pixabay Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Pixabay

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Da stellt sich doch die Frage: woher zum Teufel weiß denn Microsoft welches Passwort ein Benutzer für seinen Microsoft-Account verwendet? Werden die Passwörter bei MS etwa ungehasht gespeichert?
 
@webmantz:

"Immerhin funktioniert der Abgleich nur, wenn in den geleakten Datenbanken die gleichen Hash-Funktionen wie bei Microsoft eingesetzt werden und ein Vergleich so möglich ist."
 
@Jason86: Aber sollten Passwörter im Idealfall nicht so gehasht werden, dass sie eben nicht mit anderen Hashwerten abgeglichen werden können? Bin kein Experte, aber dieses Salting ist das glaub ich. Wenn Microsoft das doch abgleichen kann, heißt das entweder, dass Microsoft hier keine sicheren Hashwerte speichert (was ich nicht glaube) oder aber dass sie nicht die Hashwerte vergleichen sondern geleakte Klartextpasswörter mit dem eigenen Hashwertverfahren genutzt haben, um sie dann zu vergleichen. Wenn letzteres der Fall ist, wäre aber die Hash-Funktion der geleakten Datenbank gänzlich egal.
Also bleibt dann doch nur die Variante, dass die Microsoft-Passwörter nicht so sicher gespeichert werden wie sie sollten?!
 
@Runaway-Fan: Richtig, durch das Salt sollte der Hash nicht vergleichbar sein. Der Artikel hier ist sicherlich nicht ganz richtig. Es gibt genügen Datenbanken im Netz, wo Benutzernamen und Passwörter im Klartext angeboten werden. Mit solchen Informationen kann Microsoft natürlich überprüfen, ob man sich damit in ein MS Konto einloggen kann. Ich vermute, genau so wird das passiert sein.
 
@Runaway-Fan:
Es funktioniert so:
Klartextpasswort -> KlartextpasswortSALT -> Hashfunktion -> Datenbank
Das Salz ist lediglich eine zufällige geheime Zeichenkette, die nach frei definierbaren Regeln angelegt und an den Klartext angehangen wird.

MS muss sein eigenes Salz kennen, da es ansonsten nicht die Passwörter der User überprüfen könnte. Das Salz muss geheim gehalten werden und wird benötigt, da es Listen der Hashes der meistgenutzen Passwörter gibt. Würde man an die Datenbank mit Hashes ungesalzener Passwörter rankommen, hätte man viele der Passwörter, obwohl sie gehased sind.

User Login: User gibt Passwort ein -> MS hängt sein (geheimes) Salz an -> Hashfunktion -> Ergebnis wird mit Hash aus Datenbank verglichen. Wenn gleich: Login Wenn ungleich: falsches Passwort.
 
@Jason86: Verlass dich gerade in diesem Artikel nicht zu sehr auf die Korrektheit technischer Details, siehe o8.
 
@webmantz: Du bildest den Hash der 100 meist genutzten Passwörter / einer geleakten Datenbank / usw. und vergleichst sie mit den Hash deiner User.
 
@Cris06: Versteh die Frage aus #1 auch nicht so ganz. Man braucht doch nur 2 Sekunden logisch denken!
 
@BartHD: Es gehört heute aber eben scheinbar zum guten Ton, IMMER Negativkommentare rauszuhauen, in denen man irgendwelchen "Bösewichtern" wie z. B. Microsoft pauschal irgendwas Übles unterstellt.

Das ist dann wohl Internet-"Kultur"...
 
@BartHD: Dann hab ich wohl zu lange nachgedacht :-)
Es ist nämlich nicht so einfach, wie es auf den ersten Blick scheint. Es reicht nämlich nicht, wenn die geleakten DBs den selben Hash-Algorithmus verwenden. Moderne Hashverfahren setzen durchwewg auf einen zufälligen Salt. Und da der eben bei jedem Passwort anders ist, bringt es auch nichts, mal eben die 100 meist genutzen Passwörter zu hashen und dann mit der eigenen DB zu vergleichen. Dazu müsste ich jedes geleakte Passwort mit jedem in meiner DB verwendeten Salt hashen und dann einen Vergleich mit allen Hashwerten meiner DB machen.
Unterstellt man, dass MS dies gemacht hat, so ist das ebenso ein mittlerer Skandal, wie es ungehasht gespeicherte Passwörter wären. Denn damit hätte MS aktiv versucht, die Klartextpasswörter seiner Kunden zu ermitteln.
Es könnte natürlich auch sein, dass MS einen Hashalgorithmus ohne Salt verwendet. Das wäre nicht weniger schlimm, da derartig gehashte Passwörter ohne weiteres über Rainbowtables oder über Brute-Force-Methoden ermittelt werden können.

Wie auch immer es ist, es bleibt dabei, dass es da scheinbar ein Problem bei der Passwortspeicherung bei MS gibt.
 
@webmantz: Oftmals werden auch Datenbank mit quasi Klartexten veröffentlicht. Also entweder wirklich gleich Klartext oder aber, die Verschlüsselung ist schwach gewählt, oder aber über Rainbowtables sind schon einige PWs rauszufinden. Microsoft könnte also dann mit dem Klartext und dem Benutzernamen überprüfen, ob damit das Konto entsperrt werden kann. Nichts anderes würden Kriminelle machen, nur, dass hier Micorosoft versucht, schneller zu sein. Im Prinzip ist genau das auch richtig. Ich würde noch einen Schritt weiter gehen und schon beim erstellen eines PWs zusammen mit einer eMailadresse überprüfen, ob es diese Kombination schon so aus einer gehackten DB gibt und den Nutzer gleich mal drauf hinweisen.
 
@webmantz: Wo ist der Skandal? Du kannst auch einfach die normale Loginmaske auf der Website aufmachen und die hundert am häufigsten geleakten Passwörter durchprobieren. Sobald du mit einem davon rein kommst, weißt du der Nutzer hat ein geleaktes Passwort. Das klappt immer und der Hash kann noch so hart gesaltet sein wie er will.
Genauso wird es MS gemacht haben, nur dass sie natürlich nicht händisch 100 Passwörter in das Loginfeld eingefügt haben, sondern die Passwörter direkt per Skript durch ihre Authentifizierung geschickt haben.
 
@mh0001: Falls Microsoft so vorgegangen sein sollte, stimmt aber der Abschnitt" Immerhin funktioniert der Abgleich nur, wenn in den geleakten Datenbanken die gleichen Hash-Funktionen wie bei Microsoft eingesetzt werden und ein Vergleich so möglich ist." im Artikel nicht. Denn bei diesem Vorgehen wäre es egal, welche Hash-Funktionen in den geleakten Datenbanken genutzt worden sind.
 
@Runaway-Fan: naja und wer sagt das der Artikel korrekt ist? Copy Paste gepaart mit ner automatischen Übersetzung und du hast sehr schnell falsche Infos, ne Prüfung der Artikel findet ja nicht mehr statt.
 
@webmantz: Sehe hier keinen Skandal. Microsoft hat die geleakten Zugangsdaten sicher im Klartext (Benutzername oder E-Mail + Passwort). Für den gleichen Benutzernamen wird das Klartext-Passwort mit passendem Salt (Microsoft kennt ja seine eigenen Daten) und wenn der Ergebnis-Hash mit dem aus der Microsoft-DB identisch ist, weiß Microsoft, dass die Zugangsdaten kompromittiert sind. MS wird sicher keine fremden Webseiten-Logins überprüfen oder so.

Zu "[...] damit hätte MS aktiv versucht, die Klartextpasswörter seiner Kunden zu ermitteln [...]". Ja und? Wenn die Daten identisch sind, solltest Du, wie Microsoft es will, Dein Passwort ändern. Sie stehen ja quasi für Jedermann und Jederfrau frei zugänglich im Netz. Und die eigenen Daten auf dem Microsoft-Account kennt ja Microsoft auch im Klartext... ist ja klar, sind ja deren Daten.

Also ich kann da kein verwerfliches Verhalten seitens MS feststellen. Mozilla bietet auch einen Service an, Firefox Monitor, dass wenn eine E-Mailadresse in einem Leak wo auftaucht, dass man dann benachrichtigt wird. Nix anderes ist es. Denn wenn man ein Nicht-Geleaktes Passwort hat, passiert auch nix, ansonsten kann sich eh jeder damit einloggen, wo die Daten eingesetzt werden.
 
Als wenn man über die Feiertage dafür den Kopf frei hatt.
 
Schatz, ich brauch unbedingt den neuen 16 Kerner von AMD um mir alle Passwörter merken zu können :-)
 
@MrDaniel: " iss okay Schatz. Und vergiss nicht die 2 Paar Damenschuhe und das tolle Kleid, was ich neulich in meiner Lieblings-Boutique gesehen habe, gleich mitzuordern .. " :P
 
Isch abäh diesäh Windows Zehn, abbah gargein Konndo bei die Mikkrosoftä Firma.. ;-)
Aber ansich stimmt es, wer ändert schon gerne Passwörter bzw schiebt das nicht immerwieder vor sich her.. ? :P
 
@DerTigga: Ich nutze einfach Keepass, macht das ganze viel einfacher.
 
@c[A]rm[A]: Kenne ich, habs einige Zeit benutzt, bin inzwischen aber seit längerem zu nem Pendant, genauer gesagt der Roboform Software, gewechselt.
 
Also ich hätte ein Problem damit, denn ich habe ein PW für vertrauenswürdige Seiten und ein "general purpose" PW, dass ich von vornherein als kompromittiert ansehe.

Nur meine E-Mail hat ein einzigartiges PW.
 
@Aerith: Also trotz der vielen Warnungen genau dies nicht zu machen machen sie genau das? Sehr spannend dass es immer noch solche Leute gibt.

Würde mich interessieren hier mehr dazu erfahren? Welchen Grund gibt es sich nicht ein sehr sicheres Passwort zu merken für einen Passwort-Safe wie KeePass und dann ein sicheres, überall unterschiedliches Passwort für jeden einzelnen Dienst zu haben?
 
@Hans3: Simpel: weil ich dann, wenn ich mal an einem rechner ohne dieses proggi an eine seite will, dumm da stehe.

PWs sind sicher (sinnlose alphanumerische Kombinationen inkl sonderzeichen). Klar würde Google oder MS direkt gehackt würde es ein Problem darstellen. Aber die Wahrscheinlichkeit dafür ist ungleich niedriger als das irgendein gaming forum geknackt wird. Seiten wie Winfuture, sprich Seiten ohne persönliche Daten, bekommen eh nur das unsichere PW.
 
@Aerith: Ich nutze seit Jahren eWallet.
Schon seit Windows Mobile Zeiten als es noch anders hieß.
Da synchronisiere ich auf alle Geräte (Handy, Tab, Laptop) und hab immer alle Passwörter dabei.

Und ja das Ding synchronisiert im LAN und legt nichts in der Cloud ab.
 
@Paradise: Bringt mir aber immer noch nix wenn ich zb auf dem rechner eines Freundes oder auf der Arbeit irgendwo einloggen will. Dafür muss ich die PWs im Köpfchen haben.
 
@Aerith: Äh dann guckt man ins Handy?
Mach ich immer so. Auch weil ich mir nicht für jeden anderen für den ich was mach die Passwörter merken kann (WLAN, Internetseiten, Router usw...).
 
@Paradise: Ah man kann sich die generierten PWs also im klartext anzeigen lassen (vermutlich wenn man das master PW eingibt)?
 
@Aerith: So funktionieren Passwortmanager nun mal :-)

eWallet gibts für Windows (Store und Desktop), iPhone, iPad, Android, Mac, BlackBerry 10

Wie gesagt, das schöne ist es synchronisiert im LAN und es geht nichts raus.

Geht z.B. aufm Android auch nach einer gewissen Zeit zu.
Also das wenn es jemand anderes in die Finger bekommt eben nicht an die Passwörter kommt.
 
@Paradise: Außer er knackt den container via BF :D
 
@Aerith: So wichtig bin ich glaub ich nicht das sich einer die Mühe machen würde das 256-bit AES auf meinem handy zu knacken :D
 
Was teilweise nicht erfahrene Nutzer aufführen ist sowieso ein Wahnsinn. Beispiel: Sie haben ein Windows-Passwort für den Windows-Account über eine Outlook.com Adresse eingerichtet. Jedes Mal wenn irgendwo eine Passwort-Aufforderung aufpoppt probieren sie zuerst das Windows-Passwort aus da ja "alles Windows" ist.
Passwörter werden mit bekannten Zetteln rundherum angeklebt, Passwörter werden in Excel-Listen verwaltet, usw.

Für Nutzer die mit der Materie nicht so vertraut sind gehören da andere Konzepte her. Ich denke z.B. an einen in Windows integrierten Passwort-Safe der zusammen mit einem Fingerabdruckscanner funktioniert. Die ganzen Password-Safes die es derzeit gibt sind einerseits nicht sicher (wie die meisten Online-Safes), zu kompliziert (Keepass für einen unbedarften Anwender ist sehr schwierig) oder nicht immer verfügbar (wie die Passwort-Speicher am Handy die per Fingerabdruck gecheckt werden).
 
@Hans3: Klar, ich sehs doch auf meiner Arbeit. Alle 3 Monate quakt das IQSH das wir uns neue PWs ausdenken müssen weil mimimi "Sicherheit". Das Resultat: so ziemlich jeder Lehrer muss die Dinger notieren.
 
@Hans3: eWallet ist nicht kompliziert, nicht Cloud und synchronisiert alle Geräte lokal.
 
Unter Windows 10 Keepass 2 mit den PlugIns "KeepassRPC & KeepassWinHello & DataBaseBackup" installieren & konfigurieren.

Für die AutoFill-Lösung am PC für die Browser Firefox und/oder Chrome das Addon "Kee" installieren und mit dem KeePass PlugIn "KeepassRPC" interagieren. (P.S. "Kee" bietet auch eine eigene Cloud-Lösung an die hier in diesem Beispiel irrelevant ist da wir kein ABO wollen.)

Für diejenigen die auch so wie ich nicht auf die Mobilität verzichten wollen ABER ihre Datenbank auf der Cloud befinden muss die dennoch SICHER sein soll braucht eure Datenbank unbedingt ein Masterpasswort inkl. Keyfile!

Für ein langes Masterpasswort empfehle ich euch zu Anfang etwa 15-20 langes Kennwort bis ihr euch zu 100% sicher seid, dass ihr es auswendig könnt quasi im Schlaf. Dann basierend auf dieses verlängert ihr es auf ein weiteres Stück so dass das Kennwort etwa 25-30 lang ist. Generell kann man es beliebig oft verlängern ohne es notieren zu müssen! ;)

Das Keyfile selbst erstellt ihr ggf. mit Keepass diese soll aber NICHT auf der Cloud befinden, sondern nur Offline am PC, Handy, Tablet etc. wo dann nur eure Mobilen Apps bzw. Keepass 2 wissen wo auf der Hardware das Keyfile liegt.

Ich persönlich nutze die iCloud als iPhone/iPad Pro Nutzer somit liegt die PasswortDB unter Windows irgendwo im Root-Verzeichnis auf der iCloudDrive Ordner somit wird dann automatisch nach jeder Änderung auf die iCloud hochgeladen.
Meine App unter iOS ist "Keepassium" für die AutoFill Funktion alternativ Strongbox beide sind Open Source auf Deutsch Gratis oder per ABO / Lifetime Lizenz vollwertig verfügbar. Unter Android sollen die Apps Keepass2Android und KeePassDroid beliebt sein.

Diese Lösung ist komplett kostenfrei OHNE ABO und zu 100% Open Source!

Bei Fragen stehe ich gerne zur Verfügung! :)
 
Microsoft's Bevormundung nervt einfach. Hinweis zeigen ok, aber der Nutzer darf doch wohl selbst entscheiden, wie wichtig ihm sein Account ist. Auf diesem Wege habe ich schon meinen GitHub-Account verloren (Zwangsreset und verwendete alte Mailadresse nicht mehr zugreifbar).

PS: Der Artikel ist technisch mindestens ungenau. Brute-Force nutzt alle Kombinationsmöglichkeiten aus einem definierten Zeichensatz. Passwort-Wiederverwendung erfordert sehr viel weniger Aufwand. Selbst wenn das Passwort für andere Accounts ausprobiert wird, dann ist das ein Wörterbuch (Dictionary)-Angriff, kein Brute-Force.

Außerdem kann man Identität nicht nur und nicht unbedingt bei gleicher Hashfunktion prüfen. Ermittelt man aus dem Hash das ürsprüngliche Passwort erfolgreich durch ausprobieren, ist die Übereinstimmung unabhängig von der verwendeten Funktion prüfbar. Kann man das nicht, so kann auch dieselbe Funktion unvergleichlich sein - nämlich dann, wenn verschiedene Salts verwendet werden.
(Auch als Hinweis eingesendet)
 
@DRMfan^^: Was ich persönlich immer noch nicht versteh ist wieso Dienste mit sensiblen Daten brute force überhaupt zulassen.

Nach 20 Fehleingaben -> Acc dicht und mail an den user mit freischalt link.
 
@Aerith: Weil das nervig ist und angreifbar macht - dann sorgt ein Botnet nämlich mal eben dafür, dass Millionen Nutzer per Mail ihren Account reaktivieren müssen.
 
@DRMfan^^: Also bei einer Bank ist das so und in 12 Jahren online banking hat noch kein BotNet meinen Account gesperrt.
 
@Aerith: Gib mir mal Bank und Benutzernamen, dann übernehme ich das gerne für dich :D.

Entweder ist das Benutzernamen-Schema gut oder deine Bank hat sich einfach bei Niemandem unbeliebt genug gemacht, dass das passiert.
 
@DRMfan^^: Ja gut, Legitimations ID bei der Sparkasse ist ne Kontonummer, da kommt man schon schwerer ran als an eine E-Mail, das stimmt.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles