Plaintext Passwords for the shame!

vom 23. June 2010

Vor Kurzem habe ich all meine Passwörter in eine neue Passwortverwaltung umgezogen. Dabei habe ich mir den Spaß gemacht, die "Passwort vergessen"-Funktion vieler Websites und anderer Systeme auszuprobieren, um danach das Passwort auf ein neues Zufallspasswort zu setzen. Was mir allerdings da widerfahren ist hat mich schon geschockt!

Folgende bekannte Seiten speichern die Passwörter sämtlicher Nutzer im Klartext:

  • backpackit.com
  • sipgate.de
  • selfhtml.de
  • symlink.ch
  • musicbrainz.org
  • ... und mehrere kleinere Webseiten

Das hat mich schon ziemlich erschreckt. Ich dachte eigentlich, dass Größen wie musicbrainz, Sipgate oder 37signals ein kleines bisschen auf Datenschutz wert legen. Da Hilft dann nur abmelden oder regelmäßig das Passwort ändern.

Apropos ändern: Einige Seiten baten nicht mal die Möglichkeit an, sein Passwort zu ändern. Die Löschung eines Accounts ist auch selten vorgesehen. Schon mal versucht in einem Wordpress oder einem PHPBB einen Benutzer zu löschen? Diese Funktion ist einfach nicht vorgesehen.

Und wenn man dann den Betreiber anschreibt, er solle doch bitte den Account incl. Daten löschen, bekommt man in den meisten Fällen die Antwort: "Das geht leider nicht, melde dich doch einfach nicht mehr an, die Daten sind hier sicher" .... alles Klar.

delicious bookmark del.icio.us, Vor Kurzem habe ich all meine Passwörter in eine neue Passwortverwaltung umgezogen. Dabei habe ich mir den Spaß gemacht, die \"Passwort vergessen\"-Funktion vieler Websites und anderer Systeme auszuprobieren, um danach das Passwort auf ein neues Zufalls


Kommentare


kb am 23. June 2010
Was benutzt du als Passwortverwaltung?

Aaron am 23. June 2010
Ich habe lange rumgesucht und einige ausprobiert, aber so richtig glücklich bin ich mit keinem geworden. Ich verwende jetzt KeePass(X). Der Vorteil ist, dass es ziemlich verbreitet ist und es auch eine Android-Version dafür gibt, so dass ich meine Passwörter immer bei mir habe und ich mir nur noch ein einziges Passwort merken muss.

nougad am 23. June 2010
Ohne eine der Seiten in Schutz nehmen zu wollen kann man das mit den Klartext-Passwörtern nicht so ohne weiteres pauschalisieren. Zum einen: Wenn man ein Passwort nur mit SHA1 oder gar MD5 "verschlüsselt" ist es genauso anfällig wie Plaintext. Nur anständig gesalzen schmeckt das Ganze. Zum anderen: Was passiert wenn das Passwort wirklich raus kommt? Wenn man das selbe Passwort wo anders verwendet, hat man es nicht besser verdient. Und ansonsten hat der Angreifer halt irgend ein Passwort im Klartext. Viel schlimmer sind da die Daten die der Dienst sonst so über mich gespeichert hat. Wenn der Angreifer also die Passwörter auslesen kann ist sowieso alles zu spät.

Das mit dem fehlenden Löschen ist ein ganz leidiges Thema. Da geb ich dir zu 100% Recht. Das darf einfach nicht sein. Da sind aber, wie du schon sagst, vor allem aber auch die unglaublich schlechten CM-Systeme daran schuld.

@KB: Wegen Passwort Verwaltung bin ich mit gnome-keyring SEHR glücklich! Einfach perfekt. Verwaltet nicht nur Passwörter sondern auch SSH, GPG, S/MIME und CA-Zertifikate. Viele Programme, die ich nutze kommen damit klar. Und es hat einige sehr coole Features. Man hat halt seine Passwörter nicht immer dabei aber da muss man halt abwägen was man möchte: Immer alle Passwörter oder Sicherheit.

Aaron am 24. June 2010
Danke für den Hinweis Florian! Wie du schon schreibst, macht es mit der heutigen Rechnerpower wenig Sinn, das Passwort nur durch MD5 zu verschlüsseln. Mit JohnTheRipper sind einfache Passwörter mittlerweile schnell geknackt. Würde mich freuen mal zu diesem Thema was auf deinem Blog zu lesen :-)

Lux am 25. June 2010
Ich weiss nicht weil ich hier schreiben darf, aber ich suche Wordcount (plug-in für Mozilla). Wie schade dass es geht nicht mehr zeit Firefox 3.6.4 Hoffentlich werden sie bald die zeit ein neues version zu programmieren finden.

Apologies for the German - it's been over 20 years since I studied it :-)

Aaron am 25. June 2010
@Lux: Thanks for your interrest in my Firefox addon! I've updated Wordcount to work with 3.6.* and uploaded it. Sadly it take a few days before it gets public, Mozilla have to check the verson for porn or something. Drop my a mail if you want the addon asap, I can send it to you.

Kommentar schreiben