Skip to content

Passwortsicherheit

Passwörter haben eine Menge Probleme. Deswegen gibt es jede Menge best-practice um diese Probleme etwas zu reduzieren. Eine einfache Regel ist, dass man Passwörter von Benutzern so abspeichern sollte, dass diese nicht wiederhergestellt werden können. Der Grund dafür ist insbesondere dass die Passwörter die ggf. in unterschiedlichen Diensten genutzt werden nicht eventuellen Hackern (oder unehrlichen Administratoren) in die Hände fallen können. Dazu werden die Passwörter durch eine Hash Funktion einwegverschlüsselt. Bei der Prüfung des Passwortes wird dann nicht das eingegebene Passwort mit der gespeicherten Version vergleichen, sondern die Einweg-Funktion darauf angewendet und dann verglichen. Eine Konsequenz dieses Verfahren ist es, dass das Passwort von der Anwendung nicht wieder angezeigt oder per Mail an den User gesendet werden kann. Bei mehr oder weniger öffentlichen Diensten ist es üblich, dass es dort eine Passwort-vergessen Funktion gibt die eine Reset Mail an den Benutzer versendet. Dieses Verfahren verlässt sich auf die Sicherheit des E-Mail Verkehrs - ist somit keine sonderlich sichere Option - aber bei Diensten die mehr oder weniger öffentlich angeboten werden ist die E-Mail Adresse sowieso die einzige zusätzliche Möglichkeit den User zu erreichen. Es gibt im wesentlichen 3 Möglichkeiten für solche Passwort-Zurücksetzungsmails: a) aktuelles Passwort per E-Mail zusenden. Das hat den ganz großen Nachteil, dass das Passwort dazu wiederhergestellt werden muss (also nicht Einweg-verschlüsselt sein kann). Außerdem wird das aktuelle Passwort unverschlüsselt per E-Mail versendet. Was besonders problematisch ist wenn dieses wiederverwendet wurde oder weiterverwendet wird. b) neues Passwort erzeugen und zumailen. Nachteil bei dieser Methode: jeder kann eine beliebige E-Mail Adresse eingeben um deren Besitzer mit nicht funktionierenden Passwörtern zu nerven. c) Reset-Link erzeugen und zumailen. Wenn der Benutzer den Link benutzt, so wird er um Eingabe eines neues Passwortes gebeten. Dies bietet den Vorteil, dass das alte Passwort weiterhin gültig bleibt wenn die Funktion jemand unberechtigt benutzt. Außerdem wird kein Passwort per (unverschlüsselter) Mail versendet. Man sieht hier schnell, dass die Methode a) nicht nur die unsicherste und unpraktische ist, sondern auch dass man daraus auch als Endanwender (ohne den Quelltext zu analysieren oder die Datenbank zu kennen) sofort ablesen kann, dass die Web Anwendung eine unsichere Passwort Speicherung verwendet. Immer wenn ich eine Passwort Recovery Mail mit einem bestehenden Passwort bekomme regt mich das auf, deswegen muss ich jetzt mal einfach hier im Blog "Fingerpointint" betreiben:
  • Intel Software Network: speichert und mailt Passwörter an Benutzer
  • BMC Servicedesk Express: speichert und mailt Passörter an Benutzer. (Beispiel)
  • Open Application Group (OAGi) Portal. (Beispiel)
  • RosettaNet.org (Beispiel)
  • kontent.de (Beispiel)
  • mailman Die GNU Mailing-List-Manager-Software weist wenigstens beim Anlegen eines Kontos schon drauf hin (einfacher wäre es die Eingabe generell zu entfernen und nur zufällige Passwörter zuzusenden)
Update: OAGi und Rosettanet.org (danke Christian) hinzugefügt. kontent.de hinzugefügt (danke Robin). Added mailman.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

Christian on :

Bei RosettaNet.org und OAGI.org hab ich mich neulich auch darüber aufgeregt. Überall Spezialexperten...

Oliver// on :

Man müsste so eine Art Passworthandling-TÜV einführen oder einen automatischen Passworthandling-Tester entwickeln. Guter Post.

Bernd on :

Ich glaub das password handling lässt sich nur begrenzt automatisiert testen, aber ne Checkliste geht sicher. Und mit Zugriff auf die Datenbank und die Referenzdoku kann man noch mehr ableiten. Ich glaub obige Liste sollte mal ins OWASP Wiki umziehen. :) Bernd

Edith - die Zauberkünstlerin on :

Ist es nicht eine Ausnahme, wenn die auf Verschlüsselung und Sicherheit achten? Selbst meine Bank ist da sehr sorglos. o.O Die haben jetzt von Papier TAN auf Handy TAN umgestellt...

Bernd on :

Die zuständigen Stelken in den Ländern (Innenministerium oder Datenschutzbeauftragten) könnten ja mal, statt mit Facebook zu streiten gewerbliche Webseiten auf einen sorgfältigen Umgang mit kritischen Daten hinweisen. Das würde der Awareness viel helfen (auch wenn Sie es dann bei Hinweisrn und PMs belassen)

bl123 on :

http://www.flugstatistik.de/ Danke für die gute Beschreibung des Problems und der Lösungsmöglichkeit!

123 on :

das Karriere Portal von EnBW ist genauso unsicher. http://www.enbw.com/content/de/karriere/jobmarkt/index.jsp Ich hatte sie vor einiger Zeit schon sogar darauf hingewiesen, als Reaktion kam nur, dass sie sich darum kümmern würden.. nichts passiert... Für ein großes börsennotiertes Unternehmen ist das Karriereportal ein ziemliches Armutszeugnis..

Add Comment

BBCode format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA