stuXnet Israelsolidarisch. Nerd. Zivildiener.

25Jun/120

Zur Verwendung der selben Passphrasen für verschiedene Dienste

Wer sich über die Verwendung von sicheren Passphrasen informiert, kommt um den Ratschlag nicht herum, niemals ein Passwort für verschiedene Dienste zu benutzen.
Wenn ich an alle blöden Miniseiten denke, bei denen ich in irgendeiner Form meinen Namen und eine Passphrase von mir zurückgelassen habe, würde das für mich wohl deutlich mehr als 100 Passphrasen bedeuten, die ich mir alle merken müsste.
Absolut unrealistisch, außer man verwendet Passworttools, die die Merkerei für einen übernehmen (zu KeePass, einem dieser Tools, schreibe ich vlt. sogar noch einen Artikel)

Doch warum ist es überhaupt notwendig, bei jeder Registration eine neue Passphrase zu überlegen?

Passwortklau

Wer auch nur unregelmäßig News im IT-Bereich mitverfolgt, wird mitbekommen, dass Passphrasen bei Seiten nicht als sicher gelten können.
Generell sollten Passphrasen zwar eh möglichst oft, langsam und mit einem Salt lediglich als Hash in der Datenbank gespeichert werden, die Erfahrung zeigt jedoch, dass leider oft nur Wunschdenken ist.
Aktuelles Beispiel ist wohl Linkedin, vor ein paar Monaten waren es einige Porno-Seiten, und irgendwelche mehr oder weniger kleinen Boards werden quasi täglich geknackt.
Wie bei Linkedin werden die Passphrasen jedoch nur unzureichend gehasht, womit man mit zumutbaren Aufwand auf eine gültige Kombination kommt.

Die Angreifer_innen (bzw. die Käufer_innen des Datenbank-Dumps) sind also oft früher, manchmal später (leider nur selten gar nicht) im Besitz von einem Haufen von Useraccounts mit deren Passphrase - schlimm genug.
Doch wen interessiert der Account eines französischen Haustierliebhabers, der sich in einem spezeillen Forum über Behandlungsmöglichkeiten des Durchfalls seines Kaninchens Bugs informieren will?
Niemanden.

 

Kompromittierung des E-Mail-Accounts

Bei praktisch jeder Registration muss eine E-Mail-Adresse angegeben werden.

Und hier wird es interessant - wird für die E-Mail-Adresse die selbe Passphrase (oder zumindest eine leicht nachvollziehbare, abgewandelte Form davon) verwendet, lässt sich der Angriff ausweiten.
Einmal im E-Mail-Account eingeloggt, lassen sich leicht weitere Accounts der Besitzern/des Besitzers rausfinden - hier eine Bestellbestätigung von Amazon, dort eine neue Nachricht auf eBay, und noch ein Haufen Benachrichtigung von Foren und natürlich auch Facebook.

Da nun klar ist, für welche Dienste diese E-Mail-Adresse genutzt wird, muss nur noch probiert werden, ob auch dort die selbe Passphrase verwendet wird.
Und ich trau mich behaupten, dass man, einmal im Posteingang gelandet, die Passphrase fast immer auch anderswo verwenden kann.

Wird lediglich für den E-Mail-Provider eine eigene Passphrase verwendet, für Amazon zB. jedoch nicht, lässt sich auch das durch ausprobieren der Adresse:Passphrase-Kombi bei einer Handvoll der Bekanntesten Dienste leicht herausfinden.

 

Verschieden sichere Passphrasen für verschieden sensible Accounts

Für das bereits erwähnte Haustierforum würde ich mir keine neue Passphrase überlegen.
Für mein Paypal-Account, welches mit meiner Kreditkarte verbunden ist, jedoch schon.

Ich empfehle, prinzipiell für jedes Account, durch dessen Kompromittierung man finanzielle Probleme bekommen könnte, eine jeweils eigene Passphrase zu verwenden.
Genauso für jeden E-Mail-Account.

Von diesen beiden Kategorien jedoch abgesehen, sehe ich nichts, was gegen bequeme 8-Zeichen-Passwörter  spricht.
Angreifer_innen können zwar durch herausfinden eines meiner Forenpassphrasen auf alle anderen Foren und Boards zugreifen und Blödsinn posten - der Schaden (und das Interesse der Angreifer_innen...) hält sich hier jedoch stark in Grenzen.

Kommentare (0) Trackbacks (1)

Leave a comment