Skip to content

Passwortsicherheit

Passwörter haben eine Menge Probleme. Deswegen gibt es jede Menge best-practice um diese Probleme etwas zu reduzieren. Eine einfache Regel ist, dass man Passwörter von Benutzern so abspeichern sollte, dass diese nicht wiederhergestellt werden können. Der Grund dafür ist insbesondere dass die Passwörter die ggf. in unterschiedlichen Diensten genutzt werden nicht eventuellen Hackern (oder unehrlichen Administratoren) in die Hände fallen können. Dazu werden die Passwörter durch eine Hash Funktion einwegverschlüsselt. Bei der Prüfung des Passwortes wird dann nicht das eingegebene Passwort mit der gespeicherten Version vergleichen, sondern die Einweg-Funktion darauf angewendet und dann verglichen. Eine Konsequenz dieses Verfahren ist es, dass das Passwort von der Anwendung nicht wieder angezeigt oder per Mail an den User gesendet werden kann. Bei mehr oder weniger öffentlichen Diensten ist es üblich, dass es dort eine Passwort-vergessen Funktion gibt die eine Reset Mail an den Benutzer versendet. Dieses Verfahren verlässt sich auf die Sicherheit des E-Mail Verkehrs - ist somit keine sonderlich sichere Option - aber bei Diensten die mehr oder weniger öffentlich angeboten werden ist die E-Mail Adresse sowieso die einzige zusätzliche Möglichkeit den User zu erreichen. Es gibt im wesentlichen 3 Möglichkeiten für solche Passwort-Zurücksetzungsmails: a) aktuelles Passwort per E-Mail zusenden. Das hat den ganz großen Nachteil, dass das Passwort dazu wiederhergestellt werden muss (also nicht Einweg-verschlüsselt sein kann). Außerdem wird das aktuelle Passwort unverschlüsselt per E-Mail versendet. Was besonders problematisch ist wenn dieses wiederverwendet wurde oder weiterverwendet wird. b) neues Passwort erzeugen und zumailen. Nachteil bei dieser Methode: jeder kann eine beliebige E-Mail Adresse eingeben um deren Besitzer mit nicht funktionierenden Passwörtern zu nerven. c) Reset-Link erzeugen und zumailen. Wenn der Benutzer den Link benutzt, so wird er um Eingabe eines neues Passwortes gebeten. Dies bietet den Vorteil, dass das alte Passwort weiterhin gültig bleibt wenn die Funktion jemand unberechtigt benutzt. Außerdem wird kein Passwort per (unverschlüsselter) Mail versendet. Man sieht hier schnell, dass die Methode a) nicht nur die unsicherste und unpraktische ist, sondern auch dass man daraus auch als Endanwender (ohne den Quelltext zu analysieren oder die Datenbank zu kennen) sofort ablesen kann, dass die Web Anwendung eine unsichere Passwort Speicherung verwendet. Immer wenn ich eine Passwort Recovery Mail mit einem bestehenden Passwort bekomme regt mich das auf, deswegen muss ich jetzt mal einfach hier im Blog "Fingerpointint" betreiben:
  • Intel Software Network: speichert und mailt Passwörter an Benutzer
  • BMC Servicedesk Express: speichert und mailt Passörter an Benutzer. (Beispiel)
  • Open Application Group (OAGi) Portal. (Beispiel)
  • RosettaNet.org (Beispiel)
  • kontent.de (Beispiel)
  • mailman Die GNU Mailing-List-Manager-Software weist wenigstens beim Anlegen eines Kontos schon drauf hin (einfacher wäre es die Eingabe generell zu entfernen und nur zufällige Passwörter zuzusenden)
Update: OAGi und Rosettanet.org (danke Christian) hinzugefügt. kontent.de hinzugefügt (danke Robin). Added mailman.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Christian am :

*Bei RosettaNet.org und OAGI.org hab ich mich neulich auch darüber aufgeregt. Überall Spezialexperten...

Oliver// am :

*Man müsste so eine Art Passworthandling-TÜV einführen oder einen automatischen Passworthandling-Tester entwickeln. Guter Post.

Bernd am :

*Ich glaub das password handling lässt sich nur begrenzt automatisiert testen, aber ne Checkliste geht sicher. Und mit Zugriff auf die Datenbank und die Referenzdoku kann man noch mehr ableiten. Ich glaub obige Liste sollte mal ins OWASP Wiki umziehen. :) Bernd

Edith - die Zauberkünstlerin am :

*Ist es nicht eine Ausnahme, wenn die auf Verschlüsselung und Sicherheit achten? Selbst meine Bank ist da sehr sorglos. o.O Die haben jetzt von Papier TAN auf Handy TAN umgestellt...

Bernd am :

*Die zuständigen Stelken in den Ländern (Innenministerium oder Datenschutzbeauftragten) könnten ja mal, statt mit Facebook zu streiten gewerbliche Webseiten auf einen sorgfältigen Umgang mit kritischen Daten hinweisen. Das würde der Awareness viel helfen (auch wenn Sie es dann bei Hinweisrn und PMs belassen)

bl123 am :

*http://www.flugstatistik.de/ Danke für die gute Beschreibung des Problems und der Lösungsmöglichkeit!

123 am :

*das Karriere Portal von EnBW ist genauso unsicher. http://www.enbw.com/content/de/karriere/jobmarkt/index.jsp Ich hatte sie vor einiger Zeit schon sogar darauf hingewiesen, als Reaktion kam nur, dass sie sich darum kümmern würden.. nichts passiert... Für ein großes börsennotiertes Unternehmen ist das Karriereportal ein ziemliches Armutszeugnis..

Kommentar schreiben

BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Pavatar, Gravatar, Favatar, MyBlogLog, Pavatar Autoren-Bilder werden unterstützt.
Formular-Optionen