Wie schützen Websites Ihre Passwörter?
Wir verbringen jetzt selten einen Monat, ohne von einer Art Datenschutzverletzung zu hören. Es könnte ein beliebter Dienst wie Gmail oder etwas sein, das die meisten von uns vergessen haben, wie MySpace.
Eines der schlimmsten Dinge, die ein Hacker herausfinden kann, ist Ihr Passwort. Dies gilt insbesondere, wenn Sie gegen die üblichen Ratschläge verstoßen und dieselben Anmeldedaten auf verschiedenen Plattformen verwenden. Die Pflege Ihres Passworts liegt jedoch nicht allein in Ihrer Verantwortung.
Wie speichern Websites Ihre Passwörter? Wie werden Ihre Zugangsdaten sicher aufbewahrt? Und was ist die sicherste Methode, um Ihr Passwort zu schützen?
Das Worst-Case-Szenario: Klartext
Bedenken Sie Folgendes: Eine große Website wurde gehackt. Cyberkriminelle haben alle grundlegenden Sicherheitsmaßnahmen durchbrochen und möglicherweise einen Fehler in ihrer Architektur ausgenutzt. Sie sind Kunde. Diese Website hat Ihre Daten gespeichert. Zum Glück wurde Ihnen versichert, dass Ihr Passwort sicher ist.
Außer dass diese Site Ihr Passwort als Klartext speichert.
Klartext-Passwörter warten nur darauf, geplündert zu werden. Sie verwenden keinen Algorithmus, um sie unlesbar zu machen. Hacker können ihn so einfach lesen, wie Sie diesen Satz lesen.
Es spielt keine Rolle, wie komplex Ihr Passwort ist: Eine Klartextdatenbank ist eine Liste mit allen Passwörtern, die klar formuliert sind, einschließlich der zusätzlichen Zahlen und Zeichen, die Sie verwenden.
Und selbst wenn Hacker die Site nicht knacken, möchten Sie wirklich, dass ein gesichtsloser Website-Administrator Ihre vertraulichen Zugangsdaten einsehen kann?
Sie denken vielleicht, dass dies ein sehr seltenes Problem ist, aber schätzungsweise 30 % der E-Commerce-Websites verwenden diese Methode, um Ihre Daten zu "sichern" – tatsächlich gibt es eine ganze Website, die sich der Hervorhebung dieser Täter widmet !
Eine einfache Möglichkeit herauszufinden, ob eine Website dies verwendet, besteht darin, dass Sie direkt nach der Anmeldung eine E-Mail mit Ihren Zugangsdaten erhalten. In diesem Fall möchten Sie möglicherweise alle Sites mit demselben Kennwort ändern und sich an das Unternehmen wenden, um es darauf hinzuweisen, dass seine Sicherheit schlecht ist.
Das bedeutet nicht unbedingt, dass sie sie als Klartext speichern, aber es ist ein guter Indikator.
Und so etwas sollten sie sowieso nicht per E-Mail verschicken. Sie können argumentieren, dass sie Firewalls haben und andere Sicherheitsvorkehrungen zum Schutz vor Cyberkriminellen, aber erinnern Sie sie daran, dass kein System fehlerfrei ist, und lassen Sie die Aussicht, Kunden zu verlieren, vor ihnen baumeln. Sie werden ihre Meinung bald ändern. Hoffnungsvoll…
Nicht so gut, wie es sich anhört: Verschlüsselung
Behandeln Sie Ihr Passwort wie Ihre Zahnbürste, ändern Sie es regelmäßig und geben Sie es nicht weiter!
— Anti-Mobbing Pro (von der Wohltätigkeitsorganisation The Diana Award) (@AntiBullyingPro) 13. August 2016
Was also tun viele dieser Websites, um Ihre Passwörter zu schützen?
Viele werden sich der Verschlüsselung zuwenden. Dadurch werden Ihre Informationen verschlüsselt und so lange unlesbar gemacht, bis zwei Schlüssel – einer in Ihrem Besitz (das sind Ihre Anmeldedaten) und der andere im fraglichen Unternehmen – vorgelegt werden.
Sie sollten die Verschlüsselung auch an anderer Stelle verwenden. Face ID auf iPhones ist eine Form der Verschlüsselung. Jeder Passcode ist. Das Internet läuft auf Verschlüsselung: Das HTTPS, das Sie in URLs sehen können, bedeutet, dass die Site, auf der Sie sich befinden, entweder SSL- oder TLS-Protokolle verwendet, um Verbindungen zu überprüfen und Daten durcheinander zu bringen.
Aber trotz allem, was Sie vielleicht gehört haben, ist die Verschlüsselung nicht perfekt.
Es sollte sicher sein, aber es ist nur so sicher wie der Ort, an dem die Schlüssel aufbewahrt werden. Wenn eine Website Ihren Schlüssel (dh Ihr Passwort) mit ihrem eigenen schützt, könnte ein Hacker letzteren aufdecken, um ersteren zu finden und zu entschlüsseln. Es würde einem Dieb vergleichsweise wenig Mühe abverlangen, Ihr Passwort zu finden; Aus diesem Grund sind Schlüsseldatenbanken ein massives Ziel.
Wenn ihr Schlüssel auf demselben Server wie Ihrer gespeichert ist, könnte Ihr Passwort genauso gut im Klartext sein. Aus diesem Grund listet die oben erwähnte PlainTextOffenders-Site auch Dienste auf, die eine reversible Verschlüsselung verwenden.
Überraschend einfach (aber nicht immer effektiv): Hashing
Jetzt kommen wir irgendwo hin. Das Hashing von Passwörtern klingt nach Fachjargon, ist aber einfach eine sicherere Form der Verschlüsselung.
Anstatt Ihr Passwort als Klartext zu speichern, führt eine Site es durch eine Hash-Funktion wie MD5, Secure Hashing Algorithm (SHA)-1 oder SHA-256, die es in einen völlig anderen Satz von Ziffern umwandelt. Dies können Zahlen, Buchstaben oder beliebige andere Zeichen sein.
Ihr Passwort könnte IH3artMU0 sein. Das könnte zu 7dVq$@ihT werden, und wenn ein Hacker in eine Datenbank eingebrochen ist, ist das alles, was er sehen kann. Und es funktioniert nur in eine Richtung. Sie können es nicht zurückentschlüsseln.
Leider ist es nicht so sicher. Es ist besser als Klartext, aber es ist immer noch ziemlich Standard für Cyberkriminelle.
Der Schlüssel ist, dass ein bestimmtes Passwort einen bestimmten Hash erzeugt. Das hat einen guten Grund: Jedes Mal, wenn Sie sich mit dem Passwort IH3artMU0 anmelden, durchläuft es automatisch diese Hash-Funktion und die Website erlaubt Ihnen den Zugriff, wenn dieser Hash und der in der Datenbank der Site übereinstimmen.
Es bedeutet auch, dass Hacker Rainbow Tables entwickelt haben. Stellen Sie sich sie als Spickzettel vor: Es sind Listen von Hashes, die bereits von anderen als Passwörter verwendet werden und die ein ausgeklügeltes System schnell als Brute-Force-Angriff durchlaufen kann.
Wenn Sie ein wirklich schlechtes Passwort gewählt haben, wird es ganz oben auf den Regenbogentischen stehen und könnte leicht geknackt werden. Unübersichtlichere (besonders umfangreiche Kombinationen) dauern länger.
So gut wie es jetzt nur geht: Salzen und langsame Hashes
Nichts ist uneinnehmbar: Hacker werden daran arbeiten, neue Sicherheitssysteme zu knacken. Aber die stärkeren Techniken, die von den sichersten Websites implementiert werden, sind intelligentere Hashes.
Salted Hashes basieren auf der Praxis einer kryptografischen Nonce, eines zufälligen Datensatzes, der für jedes einzelne Passwort generiert wird, typischerweise sehr lang und sehr komplex.
Diese zusätzlichen Ziffern werden am Anfang oder am Ende eines Passworts (oder E-Mail-Passwort-Kombinationen) hinzugefügt, bevor es die Hash-Funktion durchläuft, um Versuche mit Rainbow Tables zu bekämpfen.
Es spielt im Allgemeinen keine Rolle, ob die Salts auf denselben Servern wie die Hashes gespeichert sind; Das Knacken einer Reihe von Passwörtern kann für Hacker sehr zeitaufwändig sein und noch schwieriger werden, wenn Ihr Passwort bereits kompliziert ist.
Aus diesem Grund sollten Sie immer ein starkes Passwort verwenden, egal wie sehr Sie der Sicherheit einer Site vertrauen.
Websites, die ihre und damit auch Ihre Sicherheit besonders ernst nehmen, verwenden als zusätzliche Maßnahme auch langsame Hashes. Die bekanntesten Hash-Funktionen (MD5, SHA-1 und SHA-256) gibt es schon länger und sind weit verbreitet, weil sie relativ einfach zu implementieren sind und Hashes in kürzester Zeit anwenden.
Während immer noch Salze angewendet werden, sind langsame Hashes noch besser bei der Bekämpfung von Angriffen, die auf Geschwindigkeit angewiesen sind. Indem Hacker auf wesentlich weniger Versuche pro Sekunde beschränkt sind, dauert es länger, sie zu knacken, wodurch sich Versuche weniger lohnen, wenn man auch die niedrigere Erfolgsquote berücksichtigt.
Cyberkriminelle müssen abwägen, ob es sich lohnt, zeitaufwändige langsame Hash-Systeme gegenüber vergleichsweise „schnellen Lösungen“ anzugreifen: Medizinische Einrichtungen haben beispielsweise typischerweise eine geringere Sicherheit, sodass von dort gewonnene Daten dennoch für überraschende Summen weiterverkauft werden können.
Es ist auch sehr anpassungsfähig: Wenn ein System besonders belastet ist, kann es noch weiter verlangsamen. Coda Hale , Microsofts ehemaliger Principal Software Developer, vergleicht MD5 mit der vielleicht bemerkenswertesten langsamen Hash-Funktion bcrypt (andere sind PBKDF-2 und scrypt):
"Anstatt alle 40 Sekunden ein Passwort zu knacken [wie bei MD5], würde ich es alle 12 Jahre oder so knacken [wenn ein System bcrypt verwendet]. Ihre Passwörter benötigen möglicherweise nicht diese Art von Sicherheit und Sie benötigen möglicherweise einen schnelleren Vergleich." Algorithmus, aber bcrypt ermöglicht es Ihnen, Ihr Gleichgewicht zwischen Geschwindigkeit und Sicherheit zu wählen."
Und weil ein langsamer Hash noch in weniger als einer Sekunde implementiert werden kann, sollten Benutzer nicht betroffen sein.
Warum ist die Passwortspeicherung wichtig?
Mit der Nutzung eines Online-Dienstes schließen wir einen Treuhandvertrag ab. Sie sollten sicher sein, dass Ihre persönlichen Daten sicher aufbewahrt werden.
Besonders wichtig ist es, Ihr Passwort sicher aufzubewahren. Trotz zahlreicher Warnungen verwenden viele immer noch dasselbe Passwort für verschiedene Websites. Wenn also beispielsweise Ihr Facebook verletzt wird, können die Anmeldedaten für alle anderen Websites mit demselben Passwort auch ein offenes Buch für Cyberkriminelle sein.