Web-Sicherheit

April 29, 2011

Wiederverwenden von Zugangsdaten – die unterschätzte Gefahr

Filed under: Allgemein — sebastiankuebeck @ 15:38
Tags: , , , ,

Wie sich nun offenbar herausstellte, waren die Kreditkartendaten bei Sony doch verschlüsselt. Das muss natürlich nicht bedeuten, dass keine Kreditkartendaten abhanden gekommen sind. 2006 installierten Hacker eine Software im Netzwerk des Eintelhändlers TJX, welche Kreditkartendaten an die Hacker weiterleitete, bevor sie verschlüsselt in der Datenbank landeten.

Auf jeden Fall haben gestohlene Kreditkartendaten weit weniger negative Konsequenzen für Benutzer, wie das Abhandenkommen von Zugangsdaten. Kreditkartentransaktion kann man ja beeinspruchen, wie ich in meinem letzten Beitrag erörtert habe. Das Problem mit den Zugangsdaten ist, dass sie meistens auch für andere Zugänge verwendet werden.

So kann man davon ausgehen, dass die meisten Benutzer ihre Zugangsdaten für das Sonys PlayStation Network auch bei Facebook, GMail und anderen Online-Diensten, manche gar für ihren Telebanking-Zugang verwenden. Im Februar dieses Jahres untersuchte der englischen Forscher Joseph Bonneau Übereinstimmungen zwischen den „unabsichtlich“ veröffentlichten Zugangsdaten von rootkit.com und Gawker, mit dem Ergebnis, dass 76% der Benutzer, die auf beiden Seiten registriert waren, auf beiden Seiten die selben Passwörter verwendeten. Zusätzliche 6% verwendeten Passwörter mit Abweichungen von nur einem Zeichen, die leicht zu erraten waren.

Das Benutzer Zugangsdaten mehrfach verwenden ist naheliegend, da sich niemand zig komplexe Passwörter merken kann. Deshalb gibt es inzwischen unterschiedliche Werkzeuge und Dienste, die die Verwaltung von Passwörtern erleichtern und sicherer gestalten sollen. Im Folgenden werde ich PasswordSafe und Lastpass kurz vorstellen.

PasswortSafe

PasswordSafe ist ein kleines Programm, welches Zugangsdaten verschlüsselt abspeichert. Mit einem Master-Passwort bekommt man Zugang zu seinen Zugangsdaten und kann diese von dort kopieren und mittels Strg-V in der jeweiligen Anwendung einfügen. Eine Integration in Anwendungen wie Web-Browser ist nicht vorhanden, man kann dass Passwort allerdings zusätzlich vom Browser speichern lassen. Ein besonders praktisches Feature ist, dass PasswortSafe selbst zufällige Passwörter für die jeweilige Anwendung generieren kann. Die Bedienung ist also sehr einfach, man sollte allerdings beachten, dass man die Datei mit den Zugangsdaten regelmäßig sichert, damit nach einem Festplatten-Crash nicht alle Zugangsdaten unwiederbringlich im Datennirvana verschwinden. Auch ist PasswortSafe problematisch, wenn man Dienste von unterschiedlichen Geräten aus nutzt, denn erstens läuft PasswordSafe nicht auf Smartphones oder dem iPad und zweiten ist die Passwortdatei nicht überall vorhanden. Letzteres kann allerdings auch als nützliche Selbstbeschränkung dienen, da Telebanking in einem Internet-Café möglicherweise nicht die sicherste Angelegenheit ist…

Lastpass

Update vom 6.5.2011: Bei Lastpass ist möglicherweise eingebrochen worden! Aufgrund der gegenwärigen Informationen kann ich von der Verwendung von Lastpass nur dringend abraten!

Im Gegensatz zu PasswordSafe ist Lastpass ein Internet-Dienst, der sich in letzter Zeit stark wachsender Beliebtheit erfreut. Lastpass speichert also die Zugangsdaten verschlüsselt auf deren Servern ab, dadurch ist der Dienst von überall her verfügbar und die Zugangsdaten werden automatisch zwischen verschiedenen Geräten synchronisiert. Dazu gibt es ein Browser-Plugin, welches die Authentifizierung auf Wunsch automatisch durchführt. Besonders sicherheitsbewußte Naturen haben Probleme damit, wenn sie so etwas sensibles wie Zugangsdaten an ein externes Unternehmen weiterleiten. Schließlich könnte ja auch Lastpass gehackt werden und wer garantiert einem da, dass die Zugangsdaten nicht in falsche Hände geraten. Rein von der Wahrscheinlichkeit her ist aber Lastpass sicherer als wenn man dieselben Zugangsdaten für unterschiedliche Anwendungen und Dienste verwendet, schließlich genügt es einem Hacker, wenn er den unsichersten unter diesen Diensten angreift, um an die Zugangsdaten zu gelangen. Hat Lastpass ein höheres Sicherheitniveau wie dieser unsicherste Dienstleister, ist also Lastpass sicherer (ja, hier greift wieder das Prinzip des schwächsten Gliedes, dass ich im ersten Teil meines Buches ausführlich erörtere). Allerdings wird so ein Dienst mit zunehmender Beliebtheit ein immer attraktiveres Ziel für Hacker, was einen klaren Nachteil dieses Systems darstellt (oberflächliche Verteidigung, da ein Angriff auf ein System Zugangsdaten für alle Systeme zugänglich macht, Details dazu finden sich ebenfalls im ersten Teil meines Buches).

Zusammenfassend ist also zu sagen, dass sich der Einsatz dieser Werkzeuge auszahlt, auch wenn diese nicht so bequem sind, wie einheitliche Zugangsdaten für alle Dienste. Sind sie Mitglied des Sonys PlayStation Network, würde ich auf jeden Fall die Zugangsdaten, die Sie auch anderswo verwenden, überall ändern. Im Zuge dessen könnten Sie gleich eines der zuvor beschriebenen Werkzeuge verwenden, damit Sie sich nicht nocheinmal einem solchen Risiko aussetzten.

Update: Inzwischen teilt Joseph Bonneau meine Ansicht, dass von den gestohlenen Benutzerdaten die größte Gefahr für Mitglieder des Sonys PlayStation Network ausgeht.  Sony schreibt hierzu in ihrem FAQ zu diesem Thema:

Q: Was kann ich zu diesem Zeitpunkt unternehmen, um meine persönlichen Daten zu schützen?
A: […] Wenn PlayStation Network und Qriocity wieder online sind, empfehlen wir dringend, das Passwort zu ändern. Wenn Sie Ihren PlayStation Network oder Qriocity Benutzernamen oder das Passwort für Dienste oder Benutzerkonten verwenden, die mit den zuvor genannten Diensten nicht in Verbindung stehen, empfehlen wir dringend, diese Zugangsdaten zu ändern.

Update 2: Laut diesem Artikel sollen erste Nutzer bereits über angebliche illegale Kontoabbuchungen klagen. Auch behaupten Hacker, im Besitz von 2.2 Millionen Kreditkartendaten zu sein.

Ob die Angaben in den Foren stimmen, konnte von den Experten allerdings nicht überprüft werden. Laut einem Sony-Sprecher sei der Konzern nicht von den Hackern kontaktiert worden. Es gebe keine konkreten Hinweise darauf, dass tatsächlich Kreditkartendaten gestohlen worden seien. Man könne es jedoch auch nicht ausschließen, erklärte der Konzern in einem Blog-Eintrag. Die Datenbank sei verschlüsselt gewesen. n-tv berichtet, dass einige Nutzer bereits illegale Kontoabbuchungen bemerkt hätten, konkrete Angaben woher diese Berichte stammen gibt es jedoch nicht. Laut Sony gebe es bislang keinen Hinweis auf Missbrauch.

1 Kommentar »

  1. […] einem Artikel vom April habe bereits darauf hingewiesen, das es prinzipiell nicht ungefährlich ist, alle seine […]

    Pingback von Möglicher Einbruch bei LastPass « Web-Sicherheit — Mai 6, 2011 @ 07:10 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: