Protecting over 230 million PCs, Macs, & Mobiles – more than any other antivirus

Archiv

Artikel Tagged ‘Passwort’
10. September 2015

Ashley-Madison-Nutzer verwenden schwache Passwörter

Internetnutzer verwenden schreckliche Passwörter. Dies mag zwar nach einer alten Geschichte klingen, scheint aber für Millionen, wenn nicht Milliarden von Nutzern, immer noch eine Neuigkeit zu sein. Um dies zu beweisen, haben wir uns Passwörter der veröffentlichten Ashley-Madison-Nutzerdaten angesehen.

Photo via The Times UK

Foto:  The Times, UK

Wenn auch Ashley Madison es verpasst hat, seine Infrastrukturen vor einem Datenklau zu schützen – eines muss man ihnen lassen: Das Portal hat die Passwörter seiner Nutzer verschlüsselt, freilich zur Überraschung vieler Sicherheitsexperten und zur Enttäuschung vieler Cyberkrimineller.

Die gestohlenen Datenbank enthielt etwa 36 Millionen Nutzernamen mit Passwörtern, die mit dem irreversiblen Verschlüsselungs-Algorithmus Bcrypt verschlüsselt weren. Statt einem Passwort ist also nur noch ein so genannter Hash-, bzw. Streuwert zu sehen. Es ist keine Methode bekannt, die es vor dem Hitzetod des Universums ermöglichen würde, all diese Passwörter zu entschlüsseln, insbesondere wenn die Passwörter komplex aufgebaut sind. Allerdings können wir die einfachsten Passwörter entschlüsseln.

Bequemerweise ist das Internet voll mit Listen üblicher, häufig genutzter Passwörter, die sich jeder herunterladen kann. Wir haben beschlossen, zwei Listen für unsere Untersuchung zu verwenden: Die Liste der 500 schlimmsten Passwörter aller Zeiten von 2008 und die 14 Millionen-starke Passwort-Liste vom sogenannten rockyou hack.

Da die Passwörter irreversibel verschlüsselt waren, ist es logischerweise nicht möglich, sie zu entschlüsseln. Für unseren Test haben wir aber ein Tool zum knacken der Passwörter verwendet, das innerhalb einer Sekunde mehrere Milliarden verschiedener Passwörter auf einen Hashwert prüfen kann. Gab das Tool das korrekte Passwort ein, wussten wir, dass es eine Übereinstimmung gab. Details habe ich im englischen Blogpost erklärt.

Mehr…

1. Juli 2015

Wie realistisch sind die Hacks bei Mr. Robot?

Vergangene Woche hatte eine neue Serie Premiere im US-Fernsehen (USA Network): Mr. Robot, ein Hacker-Drama-Serie mit Ramik Malek und Christian Slater. Heute warten Fans gespannt auf die zweite Folge von Mr. Robot. Im deutschen Fernsehen ist die Serie leider noch nicht verfügbar, wir haben uns dennoch die erste Folge schon einmal angesehen und bei unserem Sicherheitsexperten Pedram Amini nachgefragt: Könnten die gezeigten Hacks Unternehmen und uns persönlich auch im echten Leben treffen?

Die Serie dreht sich um den Hauptcharakter Elliot, der bei Tag als Cybersecurity-Experte arbeitet und bei Nacht zum Hacker wird.

Schon in der zweiten Minute der ersten Folge geht’s richtig los: Wir sehen Elliot, wie er mit Rajid, dem Besitzer eines Cafés, spricht. Er erklärt, dass er den WLAN-Verkehr des Cafés abfing, woraufhin er entdeckte, dass Rajid eine Kinderpornographie-Website betrieb. Mehr…

Comments off
22. Mai 2014

Hacker-Angriff bei eBay: Nutzer sollten ihre Passwörter ändern!

Gestern hat das Online-Auktionshaus eBay in einem Blogpost bekannt gegeben, dass sie Opfer einer Cyberattacke wurden. Bereits im Februar haben Hacker demnach auf eine Datenbank zugegriffen, die verschlüsselte Passwörter, Nutzer-Namen, E-Mail- und Heimadressen, Telefonnummern und Geburtsdaten enthielt. Jedoch hat eBay erst vor zwei Wochen festgestellt, dass Hacker über kompromittierte Mitarbeiter-Zugangsdaten in das Unternehmensnetzwerk eingebrochen sind.

tweet ebay

eBay rät seinen Kunden daher, ihre Passwörter zu ändern. Zwar gibt es keine Hinweise darauf, dass Finanz- und Kreditkarten-Informationen gestohlen wurden, doch Nutzer sollten jetzt aktiv werden, um ihre Daten zu schützen. Mehr…

Comments off