Sonstiges

WISO III: PWC und unverschlüsselte Passwörter

Teltarif.de:

Am Nachmittag erklärte PwC-Sprecher Oliver Heieck im Gespräch mit teltarif.de, warum die Passwörter im Klartext abgespeichert wurden. Er gab zu, dass das System, „weil das schon einige Jahre online war, nicht angepasst“ wurde. „Wir verstehen, dass das unverständlich ist“, sagt Heieck. Eine eventuelle Verschlüsselung sei aber „bei dieser Art von Angriff eh geknackt worden“.

Danke, Yetused, für den Hinweis (gefunden auf Lidzba.net)

A. Hut ab vor der Offenheit, die ich persönlich mehr honoriere als alles andere.
B. Es gibt keinen mir ersichtlichen Grund, Passwörter nicht mit entsprechenden Verfahren zu verschlüsseln, so dass eine Entschlüsselung bei Datendiebstahl nicht zu einem Kinderspiel verkommt, die letztlich vom Verschlüsselungsverfahren wie auch der Schlüssellänge abhängt (tendendentiell gilt, je länger umso mehr Processing-Power ist bei simplen BruteForce-Verfahren notwendig). Argumente, dass es für den Kunden bequemer ist, vergessene Passwörter per simpler Mailanfrage 1:1 wiederzubekommen, sollten eine niedrige Priorität genießen, im Sinne des Kunden!
C. Ich wette, dass es durchaus ein Kasus Knacktus vor Gericht ist, wie sicher die Ablage der Daten aber auch der Passwörter war


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

12 Kommentare

  • >[..]dass es für den Kunden bequemer ist, verlorene Passwörter per simpler Mailanfrage wiederzubekommen, sollten eine niedrige Priorität genießen

    Das ist auch nicht nötig. Im Normalfall will „der Kunde“ nicht das Alte, sondern eins was funktioniert. Dafür gibt es folgenden(bewährten) Ablauf:
    >PWD vergessen?->eMail und User angeben->Mail mit einmaliger ID an Kunden -wenn es matcht(eMail und User)- >Mail mit ID zum User > Link zum erneuern des PWD anklicken > User bekommt neues PWD welches als Hash in der DB steht.

  • Gerade neulich habe ich bei irgendeinem Forum per Password-Reminder das alte PW im Klartext zurückbekommen. Dann müsste es dort auch so abgespeichert sein. Autsch.

  • @paddya: Genau das ist der Punkt. Eine erzeugter Hash (bsp. SHA1) ist ziemlich schnell geknackt bzw. zurück entschlüsselt vorausgesetzt sind natürlich entsprechende durch Brute-Force Alg. gefüllte Datenbanken

    @Robert: Ich glaube nicht, dass es viele Web-Angebote da draußen im WWW gibt, wo die Passwörter mit einem Mehrweg-Verfahren verschlüsselt sind. Das wäre ja ein Verfahren, wo der von dir genannte Key zum Einsatz käme. Wenn ich mich gerade nicht völlig täusche, müsste dieser Key ja mit auf den Servern liegen und wäre dann auch einsehbar.

    Klar, ist es so wie jetzt geschehen immer noch wesentlich einfacher, aber auch verschlüsselte Passwörter sind bei Zugriff auf die DB sehr schnell entschlüsselt.

  • Für den Fall, dass der Angreifer Zugriff auf DB und Quelltext hat, ist mir kein Verfahren bekannt, das 100% sicher ist. Allerdings bin ich auch kein Experte auf dem Gebiet.

    Hat der Angreifer nur Zugriff auf die DB, kann man ihm das Auslesen der Passwörter erschweren, indem man mehrere Verfahren zusammenwürfelt. Allerdings ist auch das keine Garantie.

  • @Robert: Das Problem ist die Wahl eines geeigneten Verschluesselungsverfahrens. Ich weiss nicht, wie weit du beispielsweise mit SHA1 vertraut bist, da ist es beispielsweise der Fall, dass man grosse Tabellen anlegen kann, in denen man die Hashergebnisse moeglichst vieler haeufig benutzter Passwoerter ablegen kann (durchiterieren etc., siehe „time memory tradeoff“ und „Rainbow Tables“ bei Wikipedia o.ae.)

    Alleine SHA1-Verschluesselung reicht also keinesfalls aus — allenfalls koennte man das Passwort SHA1-Verschluesseln (ergibt verschluesseltes Codewort A), daran nochmal die E-Mail-Adresse B haengen (ergibt zusammen AB) und danach die Kombination AB noch einmal SHA1-verschluesseln — alleine das gibt dann eine relativ sichere Loesung.

    Siehe dazu auch „salting“ 😉

  • Da spreche ich aus Erfahrung; immer wieder muss ich mich rechtfertigen, das ich Kundenpasswörter in Anwendungen für Kunden per Einweg-Verschlüsselung abspeichere. Es kommt immer wieder das Argument, das doch der Support so garnicht optimal helfen kann, wenn etwas mit dem Kundenaccount nicht stimmt. Der Support will sich mit den Kundendaten kurz einloggen können, um den Problemen des Kunden schneller auf die Spur zu kommen, etc pp..

    zusätzlich zu einer md5,sha,… verschlüsselung, codiere/verschlüssel ich die Daten auch noch mit eigenen Funktionen, die es noch schwieriger machen, reine Datenbank Daten zu entschlüsseln. Denn es ist kein standard-verfahren erkennbar. Nur mit dem entsprechenden Secret und der entsprechenden individuell erstellen Funktion im Code selbst, kann dies entschlüsselt werden. Es ist also bei hackangriffen mind. notwendig die Datenbank UND den Sourcecode zu stehlen um dann am Ende ein md5 bzw. sha Code zu erhalten, der dann noch aufwändig dechiffriert werden muss.

    @Rob: mach doch mal nen Thread auf, und frag andere Profis, nach optimalen Methoden bzw. Herangehensweisen zu diesem Thema.

  • Kam heute Abend dann „endlich“ rein:

    ———————————————————————
    Sehr geehrte Damen und Herren,

    aus aktuellem Anlass möchten wir Sie darüber informieren, dass unbekannte Daten-Hacker einen Angriff auf eine externe Servicedatenbank für Jobsuchende durchgeführt haben. PricewaterhouseCoopers (PwC) hat diese von einem externen Serviceprovider betriebene Internet-Seite genutzt, um Kandidaten die Bewerbung bei PwC zu ermöglichen. Leider müssen wir Ihnen mitteilen, dass Ihre Daten von diesem rechtswidrigen Angriff auf unsere Systeme betroffen sein könnten.

    Wir bedauern diesen Vorfall außerordentlich und haben inzwischen umfangreiche Maßnahmen ergriffen. PwC hat sofort reagiert und den Zugang zum System stillgelegt, so dass kein weiterer Zugriff auf die Datenbank möglich ist. Selbstverständlich haben wir unverzüglich die Staatsanwaltschaft eingeschaltet und Strafanzeige gegen die bislang unbekannten Daten-Hacker gestellt.

    Aus Sicherheitsgründen empfehlen wir Ihnen, Ihre Zugangsdaten und insbesondere Ihr Passwort auf allen von Ihnen genutzten Webseiten unverzüglich zu ändern. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. Bewerbungsunterlagen sind nach unseren Erkenntnissen nicht offen im Internet einsehbar.

    Für Ihre Bewerbungsunterlagen bedeutet das: Wenn Sie Änderungen an Ihren Unterlagen vornehmen möchten, informieren Sie uns bitte auf dem postalischen Weg oder per E-Mail.

    Anschrift: E-Mail:
    PricewaterhouseCoopers AG personalmarketing@de.pwc.com
    Personalmarketing & Recruiting
    Olof-Palme-Straße 35
    60439 Frankfurt am Main

    Auf Wunsch löschen wir natürlich auch Ihre Daten in der Datenbank. Bitte teilen Sie uns dazu zum Zwecke der vollständigen Identifizierung Ihrer Person Ihren Namen und das Geburtsdatum mit, um Verwechslungen auszuschließen. Wenn Sie eine Bestätigung der Löschung erhalten möchten, benötigen wir auch Ihre E-Mail-Adresse. Gerne schicken wir Ihnen auch die Bestätigung der Löschung per Fax oder per Post zu.

    Für weitere Fragen steht Ihnen gerne unsere Hotline zur Verfügung. Diese erreichen Sie telefonisch unter 069/9585-2941. Selbstverständlich werden wir Sie über das weitere Vorgehen informieren.

    Frank Brebeck Burkhard Schütte
    Vorstand Personal Chief Information Officer

    […signature…]
    ———————————————————————

    Mag ja sein, dass ich um die Uhrzeit des Lesens nicht mehr richtig mächtig bin, aber ich habe den wichtigen Teil leider nicht gefunden. Der würde etwa wie folgt lauten:

    „Es tut uns Leid. Wir haben Mist gebaut. Wir haben die Passwörter plaintext gespeichert / speichern lassen, so etwas darf selbstverständlich eigentlich nicht vorkommen. Wir beraten zwar zur IT-Security, aber haben wohl vergessen, bei uns an dieser Stelle die notwendige Aufmerksamkeit walten zu lassen. Wir versichern Ihnen: Es ist uns peinlich. Auch dass die Daten über Jahre gespeichert wurden, ist selbstverständlich als Fehler zu bezeichnen. Da die Daten gestohlen wurden, haben wir Strafanzeige erstattet, was aber nicht davon ablenken soll, dass schwere und schwerste Fehler auf unserer Seite gemacht wurden.“ Danach meinetwegen das ganze Blabla, was man in die Wege geleitet habe…

    Ich weiß nicht, vielleicht bin ich ja etwas penibel – aber ich empfand Pressemitteilung und nunmehr die Kommunikation mit den Betroffenen als absolute Frechheit. Ist es SOOO schwierig, einzugestehen, dass man richtig daneben gehauen hat?

    Wie soll das Vertrauen wiedererstehen, wenn es kein ungeschminktes Schuldeingeständnis gibt? Ich hoffe, dass PwC diese Attitüde noch mehr auf die Füße fällt als der Vorfall selbst… 😐

  • Habe gerade von einer mir persönlich bekannten Person erfahren, daß
    sie zwar bei PWC sich eingetragen hat, aber nicht in der Bewerber-
    Datenbank, sondern als Kunde, um ihre Steuern durch PWC machen
    zu lassen!!!

    Da ist wohl nicht nur die „Bewerber-Datenbank“ betroffen, sondern
    auch „Kunden-Daten“. Das sollte dringend geprüft werden!!!

Kommentieren