Donnerstag, 25. November 2010

Rückfragen? Gerne! Antworten? Warum das denn?

Diese Email erreichte mich am 12 November:

Sehr geehrte Nutzer von RP ONLINE,

leider müssen wir davon ausgehen, dass es einen unerlaubten externen Zugriff auf die Nutzerdatenbank von RP ONLINE gab. Nach unseren Erkenntnissen zielte der Angriff auf E-Mail-Adressen, Nutzernamen und das Passwort bei RP ONLINE. Kontodaten und Bankverbindungen sind in dieser Datenbank nicht gespeichert.

Im Interesse Ihrer eigenen Sicherheit empfehlen wir Ihnen deshalb, ihr Passwort für die Anmeldung bei RP ONLINE zu ändern. Die Möglichkeit zur Änderung des Passwortes bietet sich nach der Anmeldung in der senkrechten Navigation im Menu „Mein Profil“.

Falls Sie das bei RP ONLINE benutzte Passwort auch für andere Internetseiten verwenden, empfehlen wir Ihnen aus Sicherheitsgründen auch an diesen Stellen ihr Passwort zu ändern. Grundsätzlich sollten Sie Ihre Passwörter regelmäßig verändern und für verschiedene Anwendungen auch verschiedene Passwörter zu verwenden.

Für Rückfragen stehen wir Ihnen gern unter der Adresse: feedback@rp-online.de zur Verfügung.

Mit freundlichen Grüßen
RP ONLINE

Wie Beckenbauer gern sagt: Ja-guttt-ääääääääh

Da drängt sich dem halbwegs bewanderten System Engineer sogleich die Frage auf, wie die Hacker mein Passwort bekommen konnten.

Normalerweise speichert man Passwörter seit vielen, vielen Jahren nicht mehr im Klartext, sondern macht daraus einen "Hash". Ein Hash ist eine Einwegverschlüsselung. Man jagt eine Zeichenkette durch einen Hash Algorythmus und heraus kommt eine kryptische Zeichenkette die erstens nicht wieder umkehrbar ist und zweitens einzigartig ist, das heißt im theoretischen Optimalfall gibt es keine andere Quellzeichenkette, die denselben Hash erzeugt. In der Praxis ist das nicht ganz so einmalig, aber die Wahrscheinlichkeit, daß es eine solche Kollision gibt, ist so verschwindend gering, daß es vernachlässigbar ist.

Loggt der Benutzer sich nun ein, dann nimmt man das übermittelte Klartext-Passwort, ohne es zu speichern (außer im RAM des Servers), macht wieder einen Hash daraus und vergleicht ihn mit dem in der Datenbank gespeicherten Hash. Stimmen die beiden überein, muß der Benutzer also das richtige Passwort eingegeben haben.

Knackt ein Hacker also eine Datenbank, dann kann er nur diesen Hashwert auslesen, weiß aber noch lange nicht das Passwort. Dieses kann er jetzt nur extrem aufwändig versuchen herauszufinden, indem er alle möglichen Zeichenkombinationen in allen möglichen Längen hashed und den Hashwert mit dem geklauten vergleicht. Das setzt voraus, daß er die benutzte Hash Methode erkennen kann, aber davon gehen wir jetzt einfach mal aus. Mit dieser Methode kostet das eine unheimliche Rechenleistung, wenn man dabei in endlicher Zeit fertig werden will. Wie ihr Euch hier leicht denken könnt, benutzt man so einen Aufwand vielleicht, um das Passwort von Steve Jobs oder Mark Zuckerberg zu knacken. Für Lieschen Müller ist das eindeutig nicht die Energie wert. Man kann vielleicht kurz versuchen, Wörterbuchattacken zu benutzen, das heißt, man versucht es als erstes mit Worten, die im Wörterbuch vorkommen. Das ist der Grund, warum "Hallo", "Papa", "Volkswagen" usw. als Passwort alles keine so gute Idee sind.

Allerdings gibts bei Hashes noch eine weitere kleine Sicherheitshürde, genannt Salt. Weitere Zeichen können einfach noch mit in den Hash hineingerechnet werden. Welche oder wieviele Zeichen das sind, steht dann auch sinnvollerweise nicht in der Datenbank, sondern das weiß nur das Login Programm des Servers. Es kann sich dabei um feste Zeichen handeln, oder die ersten beiden Zeichen des Usernamens, oder um die letzten beiden, sogar um Zeichen aus dem Klartextpasswort oder der Wochentag des Anmeldedatums, oder was ganz anderes. Weiß der Hacker das nicht, kann er sogar das richtige Passwort erraten und dennoch kommt ein abweichender Hash Wert heraus und er weiß nicht, daß er das Passwort gefunden hätte.

Jetzt war meine Rückfrage an RP Online eine ganz ganz simple, die da lautet:

Wurden die Passwörter in der Datenbank bei RP Online im Klartext gespeichert?

Theoretisch könnte es schon sein, daß die Passwörter gehashed gespeichert waren und das in der Mail sehr sehr übervorsichtige Sicherheitsmaßnahmen sind, die einem da empfohlen werden, damit RP Online auch im aller unwahrscheinlichsten Fall sagen kann, man hat alles Nötige getan. Aber weiß ich es? Ich muß für mich auch immer vom schlimmsten Fall ausgehen, also davon, daß die Jungs und Mädels das Passwort im Klartext abgespeichert haben.

Wollt ihr raten, wieviel Antwort ich auf diese Rückfrage innerhalb der fast 2 Wochen und nach 2 Nachfragen bekommen habe?

Die Antwort lautet: Gar nichts. Nicht mal ein "Wir haben die Anfrage an die Technik weitergeleitet" oder sowas. Einfach nur nichts, nothing, nada.

Damit kommt zu mutmaßlicher Unfähigkeit auch noch Frechheit hinzu.

Keine Kommentare:

Kommentar veröffentlichen