Heute habe ich leider etwas erleben müssen, von dem ich dachte, daß es eigentlich im Jahr 2012 nicht mehr vorkommt.
Ich bekam eine Mail von einem Anbieter, bei dem ich einen Account habe, in dem mir mitgeteilt wurde, daß seine Datenbank mit User-Accounts kompromittiert wurde. So weit, so gut, das kann passieren. Auch daß die Usernamen offengelegt wurden, ist noch kein Beinbruch. Nicht lustig ist dagegen, daß auch die Paßwörter illegal kopiert wurden, die nun an diversen Stellen veröffentlicht würden.
Die logische Schlußfolgerung aus diesem Vorfall ist nämlich, daß die Paßwörter in diesem Fall höchstwahrscheinlich im Klartext in der Datenbank gespeichert wurden, da sie den Angreifern offenbar sofort in die Hände gefallen waren. Und da frage ich mich: Wie kann das sein? Es gibt hinreichend sichere Methoden, um Paßwörter von Webanwendungen zu speichern.
Meistens ist es üblich, Paßwörter dafür vor dem Speichern in einer Datenbank zumindest mit einer sogenannten Hashfunktion zu codieren. Dabei wird eine Zeichenfolge beliebiger Länge, also das ursprüngliche Paßwort, auf eine Zeichenfolge immer gleicher Länge abgebildet. Optimalerweise sollten Hashfunktionen, die für die Codierung von Paßwörtern verwendet werden, nicht umkehrbar sein. Zudem sollte praktisch unmöglich sein, ein anderes Paßwort zu finden, das denselben Hashwert ergibt.
Leider gelten reine Hashfunktionen heute nicht mehr als hinreichend sicher, und Hashwerte können insbesondere dann, wenn der Angreifer die Datenbank schon in Händen hält, in endlicher Zeit etwa mit Hilfe von bereits vorberechneten Hashwerten geknackt werden. Zudem hat diese Vorgehensweise einen weiteren Nachteil. Verwendet ein User ein sehr schwaches Paßwort, das entweder zu kurz und/oder in einem Wörterbuch zu finden ist, so ist es einem Angreifer immer noch möglich, das Paßwort durch einfaches Ausprobieren zu ermitteln. Es mag zwar sein, daß sich der Aufwand bei weniger wichtigen Accounts wie Online-Spielen nicht lohnt. Darauf verlassen sollte man sich jedoch nicht. Wie man diese Probleme mit Hashfunktionen umgehen und Paßwörter hinreichend sicher speichern kann, erklärt ein hervorragender Artikel bei Heise.
Wenn Sie also einmal selbst eine Webanwendung aufsetzen wollen, bei der sich User registrieren können, sorgen Sie unbedingt dafür, daß die Paßwörter nicht im Klartext gespeichert werden. Leider verwenden auch bekannte Webanwendungen nach wie vor nur einfache Hashfunktionen, die nicht sonderlich sicher sind. Bei der Auswahl einer Webanwendung sollten Sie darauf achten, wie Paßwörter dort gespeichert werden. WordPress beispielsweise speichert Paßwörter seit der Version 2.5 in einer vergleichsweise sicheren Form.
