LinkedIn und die Passwörter
Jürgen Schmidt - 07.06.2012
Die bei LinkedIn offensichtlich vorherrschende Vorstellung von Sicherheit ist gelinde gesagt eine Unverschämtheit. Einerseits fordert man da von seinen Nutzern die Einhaltung unmenschlicher Standards. Sichere Passwörter sollen wir wählen: mindestens 10 Zeichen, möglichst zufällig, selbstverständlich nirgends anders verwendet und auf gar keinen Fall dürfen wir es aufschreiben. Auf der anderen Seite schlampt der Betreiber selbst beim Umgang mit diesen Passwörtern auf eine Art und Weise, die sprachlos macht.
Als Konsequenz wurden – nachdem Unbekannte diese Hashes vom Server geklaut hatten – sogar eigentlich unknackbare Passwörter wie "386126miata?" und "parikh093741239" innerhalb weniger Stunden kompromittiert. Da hätte LinkedIn auch gleich Klartextpasswörter abspeichern können. So oder so bleibt die Botschaft: "Eure Sicherheit ist uns egal – wir investieren unser Geld lieber in Fernsehspots."
Dass reine Hashes ein leichtes Opfer für das Knacken mit vorberechnete Rainbow-Tabellen oder neuerdings auch Google-Cracking sind, ist seit vielen Jahren bekannt. Unix-Betriebssysteme erzeugen deshalb Passwort-Hashes seit über 10 Jahren mit einem zusätzlichen Salz; Stand der Technik ist Password-Based Key Derivation Function 2 (PBKDF2), mit der sich Passwörter nach aktuellem Kenntnisstand nahezu unknackbar abspeichern lassen. Doch nichts davon setzte LinkedIn ein.
Wie wäre es, wenn wir zukünftig jeden Hersteller und Dienstleister, der uns zur Einhaltung von Sicherheitsvorkehrungen mahnt, zunächst auffordern, selbst nachzuweisen, dass er zumindest elementare Sicherheitsstandards erfüllt? Wenn etwa ein Betreiber eines sozialen Netzes, dem wir unsere privaten Daten anvertrauen sollen, sich zumindest zur Einhaltung von Basisregeln wie sie das Kreditkartengewerbe mit PCI-DSS formuliert hat, verpflichten müsste? Ich weiß natürlich, dass das noch längst nicht bedeutet, dass sie sicher wären und das Alles in der Praxis natürlich nicht so einfach ist. Aber zumindest will ich die nächste Zeit keine Software-Hersteller (ja, Microsoft: MD5 ist seit Jahren gebrochen!), keine Bank, und erst recht keine Social-Networking-Company über DAUs (Dümmst Anzunehmender User), PEBKAC (Problem Exists Between Keyboard And Chair) oder generell fehlendes Sicherheitsbewusstsein der Anwender jammern hören. Fasst Euch erstmal an die eigene Nase.
Update: eHarmony und Last.fm sollten sich übrigens genauso angesprochen fühlen.
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
