Connect with us

Wie man

Warum speichern Unternehmen Passwörter immer noch im Klartext?

Warum speichern Unternehmen Passwörter immer noch im Klartext?

mangpor2004/Shutterstock

Mehrere Unternehmen haben kürzlich zugegeben, Passwörter im Klartextformat zu speichern. Das ist, als würde man ein Passwort in Notepad speichern und als .txt-Datei speichern. Passwörter sollten aus Sicherheitsgründen gesalzen und gehasht werden, warum passiert das nicht 2019?

Warum Passwörter nicht im Klartext gespeichert werden sollten

Mein Passwort123456 auf einem Post-it-Zettel geschrieben und an einen Computer geklebt.
Designer491/Shutterstock

Wenn ein Unternehmen Passwörter im Klartext speichert, kann jeder mit der Passwortdatenbank – oder einer anderen Datei, in der die Passwörter gespeichert sind – sie lesen. Wenn ein Hacker Zugriff auf die Datei erhält, kann er alle Passwörter sehen.

Das Speichern von Passwörtern im Klartext ist eine schreckliche Praxis. Unternehmen sollten Passwörter Salting und Hashing verwenden, was eine andere Art ist, zu sagen, dass „dem Passwort zusätzliche Daten hinzugefügt und dann auf eine Weise verschlüsselt werden, die nicht rückgängig gemacht werden kann“. Normalerweise bedeutet dies, dass selbst wenn jemand die Passwörter aus einer Datenbank stiehlt, sie unbrauchbar sind. Wenn Sie sich anmelden, kann das Unternehmen überprüfen, ob Ihr Passwort mit der gespeicherten verschlüsselten Version übereinstimmt – aber es kann nicht von der Datenbank aus „rückwärts arbeiten“ und Ihr Passwort ermitteln.

Warum speichern Unternehmen Passwörter im Klartext? Leider nehmen die Unternehmen die Sicherheit manchmal nicht ernst. Oder sie entscheiden sich, die Sicherheit im Namen der Bequemlichkeit zu gefährden. In anderen Fällen macht das Unternehmen beim Speichern Ihres Passworts alles richtig. Aber sie könnten übereifrige Protokollierungsfunktionen hinzufügen, die Passwörter im Klartext aufzeichnen.

Mehrere Unternehmen haben falsch gespeicherte Passwörter

Möglicherweise sind Sie bereits von schlechten Praktiken betroffen, weil Robin Hood, Google, Facebook, GitHub, Twitter und andere gespeicherte Passwörter im Klartext.

Im Fall von Google hat das Unternehmen Passwörter für die meisten Benutzer angemessen gehasht und gesalzen. Aber Passwörter für G Suite Enterprise-Konten wurden im Klartext gespeichert. Das Unternehmen sagte, dass dies eine übrig gebliebene Praxis war, als es Domänenadministratoren Tools zur Wiederherstellung von Kennwörtern zur Verfügung stellte. Hätte Google die Passwörter richtig gespeichert, wäre das nicht möglich gewesen. Nur ein Vorgang zum Zurücksetzen des Kennworts funktioniert zur Wiederherstellung, wenn Kennwörter korrekt gespeichert sind.

Auch bei Facebook erlaubt, Passwörter zu speichern im Klartext wurde die genaue Ursache des Problems nicht angegeben. Sie können das Problem jedoch aus einem späteren Update ableiten:

… haben wir zusätzliche Protokolle von Instagram-Passwörtern entdeckt, die in einem lesbaren Format gespeichert wurden.

Manchmal macht ein Unternehmen beim ersten Speichern Ihres Passworts alles richtig. Fügen Sie dann neue Funktionen hinzu, die Probleme verursachen. Neben Facebook, Robin Hood, Github, und Twitter versehentlich protokollierte Klartext-Passwörter.

Die Protokollierung ist nützlich, um Probleme in Apps, Hardware und sogar Systemcode zu finden. Wenn ein Unternehmen diese Protokollierungsfunktion jedoch nicht gründlich testet, kann dies mehr Probleme verursachen als sie lösen.

Im Fall von Facebook und Robinhood konnte die Protokollierungsfunktion die Benutzernamen und Passwörter während der Eingabe sehen und aufzeichnen, wenn Benutzer ihren Benutzernamen und ihr Passwort zur Anmeldung angaben. Es speicherte diese Protokolle dann an anderer Stelle. Jeder, der Zugriff auf diese Protokolle hatte, hatte alles, was er brauchte, um ein Konto zu übernehmen.

In seltenen Fällen kann ein Unternehmen wie T-Mobile Australia die Bedeutung der Sicherheit missachten, manchmal aus Gründen der Bequemlichkeit. In einem inzwischen gelöschter Twitter-Austausch, erklärte ein T-Mobile-Vertreter einem Nutzer, dass das Unternehmen Passwörter im Klartext speichert. Das Speichern von Passwörtern auf diese Weise ermöglichte es den Kundendienstmitarbeitern, die ersten vier Buchstaben eines Passworts zu Bestätigungszwecken zu sehen. Als andere Twitter-Nutzer angemessen darauf hinwiesen, wie schlimm es wäre, wenn jemand die Unternehmensserver hackt, antwortete der Vertreter:

Was ist, wenn dies nicht geschieht, weil unsere Sicherheit erstaunlich gut ist?

Das Unternehmen hat diese Tweets gelöscht und später angekündigt, dass alle Passwörter würden bald gesalzen und gehasht. Aber es dauerte nicht allzu lange, bis die Firma jemand hatte seine Systeme durchbrochen. T-Mobile sagte, dass die gestohlenen Passwörter verschlüsselt wurden, aber das ist nicht so gut wie das Hashing von Passwörtern.

Wie Unternehmen Passwörter speichern sollten

Foto von unscharfem IT-Techniker beim Einschalten des Datenservers. Gorodenkoff/Shutterstock

Unternehmen sollten niemals Klartext-Passwörter speichern. Stattdessen sollten Passwörter sein gesalzen, dann gehasht. Es ist wichtig zu wissen, was Salzen ist und was der Unterschied zwischen Verschlüsselung und Hashing.

Salting fügt Ihrem Passwort zusätzlichen Text hinzu

Das Salting von Passwörtern ist ein einfaches Konzept. Der Prozess fügt dem von Ihnen angegebenen Passwort im Wesentlichen zusätzlichen Text hinzu.

Stellen Sie sich das so vor, als ob Sie am Ende Ihres regulären Passworts Zahlen und Buchstaben hinzufügen. Anstatt „Passwort“ für Ihr Passwort zu verwenden, können Sie „Password123“ eingeben (bitte verwenden Sie niemals eines dieser Passwörter). Salting ist ein ähnliches Konzept: Bevor das System Ihr Passwort hasht, fügt es zusätzlichen Text hinzu.

Selbst wenn ein Hacker in eine Datenbank eindringt und Benutzerdaten stiehlt, ist es viel schwieriger, das wahre Passwort herauszufinden. Der Hacker weiß nicht, welcher Teil Salt und welcher Teil das Passwort ist.

Unternehmen sollten gesalzene Daten nicht von Passwort zu Passwort wiederverwenden. Andernfalls kann es gestohlen oder zerbrochen und damit unbrauchbar gemacht werden. Entsprechend unterschiedliche Salted-Daten verhindern auch Kollisionen (dazu später mehr).

Verschlüsselung ist nicht die geeignete Option für Passwörter

Der nächste Schritt, um Ihr Passwort richtig zu speichern, besteht darin, es zu hashen. Hashing sollte nicht mit Verschlüsselung verwechselt werden.

Wenn Sie Daten verschlüsseln, transformieren Sie sie leicht basierend auf einem Schlüssel. Wenn jemand den Schlüssel kennt, kann er die Daten wieder ändern. Wenn Sie jemals mit einem Decoder-Ring gespielt haben, der Ihnen „A = C“ sagte, dann haben Sie Daten verschlüsselt. Wenn Sie wissen, dass „A=C“ ist, können Sie herausfinden, dass diese Nachricht nur eine Ovomaltine-Werbung war.

Wenn ein Hacker in ein System mit verschlüsselten Daten einbricht und es ihm auch gelingt, den Verschlüsselungsschlüssel zu stehlen, können Ihre Passwörter auch Klartext sein.

Hashing verwandelt Ihr Passwort in Kauderwelsch

Passwort-Hashing wandelt Ihr Passwort im Wesentlichen in eine Zeichenfolge von unverständlichem Text um. Jeder, der sich ein Haschisch anschaut, sieht Kauderwelsch. Wenn Sie „Password123“ verwendet haben, werden die Daten durch Hashing möglicherweise in „873kldk#49lkdfld#1“ geändert. Ein Unternehmen sollte Ihr Passwort hacken, bevor es es irgendwo speichert, auf diese Weise hat es nie eine Aufzeichnung Ihres tatsächlichen Passworts.

Diese Art des Hashings macht es zu einer besseren Methode zum Speichern Ihres Passworts als Verschlüsselung. Während Sie verschlüsselte Daten entschlüsseln können, können Sie Daten nicht „enthashen“. Wenn also ein Hacker in eine Datenbank einbricht, findet er keinen Schlüssel zum Entsperren der gehashten Daten.

Stattdessen müssen sie tun, was ein Unternehmen tut, wenn Sie Ihr Passwort übermitteln. Erraten Sie ein Passwort (wenn der Hacker weiß, welches Salt er verwenden soll), hashen Sie es und vergleichen Sie es dann mit dem Hash in der Datei, um eine Übereinstimmung zu finden. Wenn Sie Ihr Passwort an Google oder Ihre Bank übermitteln, führen diese dieselben Schritte aus. Einige Unternehmen, wie Facebook, nehmen möglicherweise sogar zusätzliche „Vermutungen“ an, um einen Tippfehler zu berücksichtigen.

Der Hauptnachteil beim Hashing ist, dass, wenn zwei Personen das gleiche Passwort haben, sie am Ende den Hash erhalten. Dieses Ergebnis wird Kollision genannt. Dies ist ein weiterer Grund, Salt hinzuzufügen, das sich von Passwort zu Passwort ändert. Ein angemessen gesalzenes und gehashtes Passwort hat keine Übereinstimmungen.

Hacker können sich irgendwann den Weg durch gehashte Daten bahnen, aber es ist hauptsächlich ein Spiel, bei dem jedes erdenkliche Passwort getestet und auf eine Übereinstimmung gehofft wird. Der Prozess braucht immer noch Zeit, die Ihnen Zeit gibt, sich zu schützen.

Was Sie tun können, um sich vor Datenschutzverletzungen zu schützen

Lastpass-Anmeldebildschirm mit ausgefülltem Benutzernamen und Passwort.

Sie können Unternehmen nicht daran hindern, mit Ihren Passwörtern unsachgemäß umzugehen. Und leider ist es häufiger als es sein sollte. Selbst wenn Unternehmen Ihr Passwort ordnungsgemäß speichern, können Hacker in die Systeme des Unternehmens eindringen und die gehashten Daten stehlen.

Angesichts dieser Realität sollten Sie Passwörter niemals wiederverwenden. Stattdessen sollten Sie für jeden Dienst, den Sie verwenden, ein anderes kompliziertes Passwort bereitstellen. Selbst wenn ein Angreifer Ihr Passwort auf einer Website findet, kann er sich auf diese Weise nicht bei Ihren Konten auf anderen Websites anmelden. Komplizierte Passwörter sind unglaublich wichtig, denn je einfacher Ihr Passwort zu erraten ist, desto eher kann ein Hacker den Hashing-Prozess durchbrechen. Indem Sie das Passwort komplizierter machen, gewinnen Sie Zeit, um den Schaden zu minimieren.

Durch die Verwendung eindeutiger Passwörter wird dieser Schaden ebenfalls minimiert. Der Hacker erhält höchstens Zugriff auf ein Konto, und Sie können ein einzelnes Passwort leichter ändern als Dutzende. Komplizierte Passwörter sind schwer zu merken, daher empfehlen wir einen Passwort-Manager. Passwort-Manager generieren und merken sich Passwörter für Sie, und Sie können sie so anpassen, dass sie den Passwortregeln fast jeder Site entsprechen.

Einige wie LastPass und 1Passwort, bieten sogar Dienste an, die überprüfen, ob Ihre aktuellen Passwörter kompromittiert sind.

Eine weitere gute Option ist die Aktivierung der zweistufigen Authentifizierung. Auf diese Weise können Sie, selbst wenn ein Hacker Ihr Passwort kompromittiert, den unbefugten Zugriff auf Ihre Konten verhindern.

Sie können ein Unternehmen zwar nicht davon abhalten, Ihre Passwörter falsch zu handhaben, aber Sie können die Auswirkungen minimieren, indem Sie Ihre Passwörter und Konten richtig sichern.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia