c't 20/2017
S. 43
News
Sicherheit

Forscher demontieren mit SHA-1 gesicherte Passwörter

Webseiten-Betreiber, die Passwörter ihrer Nutzer als SHA-1-Hashes speichern, agieren grob fahrlässig. Sicherheitsforscher von CynoSure Prime knackten zu Demonstrationszwecken knapp 305 Millionen SHA-1-Hashes von Passwörtern. Die Daten stammen vom Portal Have I Been Pwned. Dort findet sich die größte Sammlung aus geklauten Zugangsdaten. Auf der Webseite kann man prüfen, ob eigene Daten bereits kompromittiert sind.

Um derartige Angriffe zu verhindern, sollten Webseiten-Betreiber die Passwörter ihrer Nutzer mit Verfahren wie bcrypt oder PBKDF2 speichern. Diese sind darauf ausgelegt, dass ein Angriff möglichst viel Ressourcen benötigt, sodass ein gut gewähltes Passwort nicht durch schlampige Speicherung auf dem Server kompromittiert werden kann. (des@ct.de)

Kritische Lücken in Apache Struts

Das Open-Source-Framework Apache Struts enthält in allen Versionen seit 2008 eine Sicherheitslücke, über die Angreifer den darunterliegenden Server übernehmen können. Die Entwickler der Software haben diese Lücke mit Version 2.5.13 geschlossen. Konkret anfällig sind alle Applikationen, die das populäre REST-Plug-in verwenden. Admins sollten so schnell wie möglich das bereitgestellte Update einspielen oder das verwundbare REST-Plug-in entfernen. Eine andere Möglichkeit zum Schutz der Server ist, diese auf das Anbieten normaler Webseiten und JSON-Dokumente zu beschränken. (ju@ct.de)

Kommentieren