Mehrere Unternehmen haben kürzlich zugegeben, Passwörter im Nur-Text-Format zu speichern. Das ist so, als würde man ein Passwort im Editor speichern und als TXT-Datei speichern. Passwörter sollten aus Sicherheitsgründen gesalzen und gehasht werden. Warum passiert das nicht im Jahr 2019?
Warum Passwörter nicht im Klartext gespeichert werden sollten
Wenn ein Unternehmen Kennwörter im Klartext speichert, kann jeder mit der Kennwortdatenbank oder einer anderen Datei, in der die Kennwörter gespeichert sind, diese lesen. Wenn ein Hacker Zugriff auf die Datei erhält, kann er alle Kennwörter anzeigen.
Das Speichern von Passwörtern im Klartext ist eine schreckliche Praxis. Unternehmen sollten Passwörter salzen und hashen. Dies ist eine andere Art zu sagen: "Hinzufügen zusätzlicher Daten zum Passwort und anschließendes Verwürfeln auf eine Weise, die nicht rückgängig gemacht werden kann." In der Regel bedeutet dies, dass jemand, der die Passwörter aus einer Datenbank stiehlt, unbrauchbar ist. Wenn Sie sich anmelden, kann das Unternehmen überprüfen, ob Ihr Kennwort mit der gespeicherten verschlüsselten Version übereinstimmt. Es kann jedoch nicht aus der Datenbank "rückwärts" arbeiten und Ihr Kennwort ermitteln.
Warum speichern Unternehmen Passwörter im Klartext? Leider nehmen die Unternehmen die Sicherheit manchmal nicht ernst. Oder sie entscheiden sich dafür, die Sicherheit im Namen der Bequemlichkeit zu gefährden. In anderen Fällen macht das Unternehmen beim Speichern Ihres Passworts alles richtig. Sie können jedoch übereifrige Protokollierungsfunktionen hinzufügen, mit denen Kennwörter im Klartext aufgezeichnet werden.
Mehrere Unternehmen haben Passwörter falsch gespeichert
Möglicherweise sind Sie bereits von schlechten Praktiken betroffen, weil Robin Hood , Google , Facebook , GitHub, Twitter und andere haben Passwörter im Klartext gespeichert.
Im Fall von Google hat das Unternehmen die Passwörter für die meisten Nutzer angemessen gehasht und gesalzen. Aber Kennwörter für das G Suite Enterprise-Konto wurden im Klartext gespeichert. Das Unternehmen gab an, dass dies eine übrig gebliebene Praxis war, als es Domänenadministratoren Tools zum Wiederherstellen von Kennwörtern zur Verfügung stellte. Hätte Google die Passwörter ordnungsgemäß gespeichert, wäre dies nicht möglich gewesen. Nur ein Vorgang zum Zurücksetzen des Kennworts funktioniert für die Wiederherstellung, wenn die Kennwörter korrekt gespeichert sind.
Bei Facebook auch zum Speichern von Passwörtern zugelassen Im Klartext wurde die genaue Ursache des Problems nicht angegeben. Sie können das Problem jedoch aus einem späteren Update ableiten:
… Wir haben zusätzliche Protokolle von Instagram-Passwörtern entdeckt, die in einem lesbaren Format gespeichert sind.
Manchmal macht ein Unternehmen alles richtig, wenn es Ihr Passwort zum ersten Mal speichert. Fügen Sie dann neue Funktionen hinzu, die Probleme verursachen. Neben Facebook, Robin Hood , Github , und Twitter versehentlich protokollierte Nur-Text-Passwörter.
Die Protokollierung ist nützlich, um Probleme in Apps, Hardware und sogar im Systemcode zu finden. Wenn ein Unternehmen diese Protokollierungsfunktion jedoch nicht gründlich testet, kann dies mehr Probleme verursachen als lösen.
Bei Facebook und Robinhood konnte die Protokollierungsfunktion die Benutzernamen und Kennwörter während der Eingabe anzeigen und aufzeichnen, wenn Benutzer ihren Benutzernamen und ihr Kennwort zur Anmeldung angegeben haben. Diese Protokolle wurden dann an anderer Stelle gespeichert. Jeder, der Zugriff auf diese Protokolle hatte, hatte alles, was er brauchte, um ein Konto zu übernehmen.
In seltenen Fällen kann ein Unternehmen wie T-Mobile Australia die Bedeutung der Sicherheit außer Acht lassen, manchmal im Namen der Bequemlichkeit. In einem seitdem gelöschter Twitter-Austausch Ein T-Mobile-Mitarbeiter erklärte einem Benutzer, dass das Unternehmen Passwörter im Klartext speichert. Durch das Speichern von Passwörtern auf diese Weise konnten Kundendienstmitarbeiter die ersten vier Buchstaben eines Passworts zu Bestätigungszwecken sehen. Als andere Twitter-Nutzer angemessen darauf hinwiesen, wie schlimm es wäre, wenn jemand die Server des Unternehmens hacken würde, antwortete der Mitarbeiter:
Was ist, wenn dies nicht geschieht, weil unsere Sicherheit erstaunlich gut ist?
Das Unternehmen hat diese Tweets gelöscht und dies später angekündigt Alle Passwörter würden bald gesalzen und gehasht . Aber es dauerte nicht lange bis zum Unternehmen jemand hatte seine Systeme verletzt . T-Mobile sagte, dass die gestohlenen Passwörter verschlüsselt wurden, aber das ist nicht so gut wie das Hashing von Passwörtern.
Wie Unternehmen Passwörter speichern sollten
Unternehmen sollten niemals Nur-Text-Passwörter speichern. Stattdessen sollten Passwörter sein gesalzen, dann gehackt . Es ist wichtig zu wissen, was Salzen ist und welchen Unterschied es gibt Verschlüsselung und Hashing .
Salting Fügt Ihrem Passwort zusätzlichen Text hinzu
Das Versalzen von Passwörtern ist ein einfaches Konzept. Der Prozess fügt dem von Ihnen angegebenen Passwort im Wesentlichen zusätzlichen Text hinzu.
Stellen Sie sich vor, Sie fügen am Ende Ihres regulären Passworts Zahlen und Buchstaben hinzu. Anstatt "Passwort" für Ihr Passwort zu verwenden, können Sie auch "Passwort123" eingeben (bitte verwenden Sie keines dieser Passwörter). Salting ist ein ähnliches Konzept: Bevor das System Ihr Passwort hascht, fügt es zusätzlichen Text hinzu.
Selbst wenn ein Hacker in eine Datenbank einbricht und Benutzerdaten stiehlt, ist es umso schwieriger, das tatsächliche Kennwort zu ermitteln. Der Hacker weiß nicht, welcher Teil Salz und welcher Teil ein Passwort ist.
Unternehmen sollten gesalzene Daten nicht von Passwort zu Passwort wiederverwenden. Andernfalls kann es gestohlen oder zerbrochen und somit unbrauchbar gemacht werden. Eine angemessene Variation der gesalzenen Daten verhindert auch Kollisionen (dazu später mehr).
Verschlüsselung ist nicht die geeignete Option für Kennwörter
Der nächste Schritt zum ordnungsgemäßen Speichern Ihres Passworts besteht darin, es zu hashen. Hashing sollte nicht mit Verschlüsselung verwechselt werden.
Wenn Sie Daten verschlüsseln, transformieren Sie sie leicht basierend auf einem Schlüssel. Wenn jemand den Schlüssel kennt, kann er die Daten zurück ändern. Wenn Sie jemals mit einem Decoderring gespielt haben, der Ihnen "A = C" sagte, haben Sie Daten verschlüsselt. Wenn Sie wissen, dass "A = C" ist, können Sie herausfinden, dass es sich bei der Nachricht nur um einen Ovaltine-Werbespot handelt.
Wenn ein Hacker in ein System mit verschlüsselten Daten einbricht und es auch schafft, den Verschlüsselungsschlüssel zu stehlen, können Ihre Passwörter auch einfacher Text sein.
Hashing verwandelt Ihr Passwort in Gibberish
Durch das Hashing von Passwörtern wird Ihr Passwort grundlegend in eine unverständliche Textfolge umgewandelt. Jeder, der sich einen Hasch ansieht, würde Kauderwelsch sehen. Wenn Sie "Password123" verwendet haben, werden die Daten durch Hashing möglicherweise in "873kldk # 49lkdfld # 1" geändert. Ein Unternehmen sollte Ihr Passwort hashen, bevor es irgendwo gespeichert wird. Auf diese Weise wird Ihr tatsächliches Passwort nie aufgezeichnet.
Diese Art von Hashing macht es zu einer besseren Methode zum Speichern Ihres Passworts als zur Verschlüsselung. Während Sie verschlüsselte Daten entschlüsseln können, können Sie Daten nicht "entschlüsseln". Wenn ein Hacker in eine Datenbank eindringt, findet er keinen Schlüssel zum Entsperren der Hash-Daten.
Stattdessen müssen sie das tun, was ein Unternehmen tut, wenn Sie Ihr Passwort eingeben. Salt eine Passwort-Vermutung (wenn der Hacker weiß, welches Salt zu verwenden ist), Hash es, dann vergleichen Sie es mit dem Hash in der Datei für eine Übereinstimmung. Wenn Sie Ihr Passwort an Google oder Ihre Bank senden, gehen diese wie folgt vor. Einige Unternehmen, wie Facebook, können sogar nehmen zusätzliche "Vermutungen", um einen Tippfehler zu erklären .
Der Hauptnachteil von Hashing ist, dass zwei Personen, die dasselbe Passwort haben, den Hash erhalten. Dieses Ergebnis wird als Kollision bezeichnet. Dies ist ein weiterer Grund, Salz hinzuzufügen, das sich von Passwort zu Passwort ändert. Ein ausreichend gesalzenes und gehashtes Passwort hat keine Übereinstimmungen.
Hacker brechen möglicherweise ihren Weg durch gehashte Daten, aber es geht hauptsächlich darum, jedes erdenkliche Passwort zu testen und auf eine Übereinstimmung zu hoffen. Der Prozess braucht noch Zeit, sodass Sie Zeit haben, sich zu schützen.
Was Sie tun können, um sich vor Datenverletzungen zu schützen
Sie können Unternehmen nicht daran hindern, Ihre Passwörter falsch zu behandeln. Und leider ist es häufiger als es sein sollte. Selbst wenn Unternehmen Ihr Passwort ordnungsgemäß speichern, können Hacker die Systeme des Unternehmens verletzen und die gehashten Daten stehlen.
Angesichts dieser Realität sollten Sie Passwörter niemals wiederverwenden. Stattdessen sollten Sie eine anderes kompliziertes Passwort zu jedem Dienst, den Sie nutzen. Selbst wenn ein Angreifer Ihr Passwort auf einer Website findet, kann er sich auf diese Weise nicht bei Ihren Konten auf anderen Websites anmelden. Komplizierte Passwörter sind unglaublich wichtig, denn je einfacher Ihr Passwort zu erraten ist, desto eher kann ein Hacker den Hashing-Prozess durchbrechen. Indem Sie das Passwort komplizierter gestalten, gewinnen Sie Zeit, um den Schaden zu minimieren.
Die Verwendung eindeutiger Passwörter minimiert diesen Schaden ebenfalls. Der Hacker erhält höchstens Zugriff auf ein Konto, und Sie können ein einzelnes Kennwort einfacher als Dutzende ändern. Komplizierte Passwörter sind schwer zu merken, deshalb wir empfehlen einen Passwort-Manager . Kennwortmanager generieren und speichern Kennwörter für Sie, und Sie können sie so anpassen, dass sie den Kennwortregeln fast aller Websites entsprechen.
Einige wie LastPass und 1Passwort Bieten Sie sogar Dienste an, die prüfen, ob Ihre aktuellen Passwörter kompromittiert sind.
Eine weitere gute Option ist zu Aktivieren Sie die zweistufige Authentifizierung . Auf diese Weise können Sie auch dann den unbefugten Zugriff auf Ihre Konten verhindern, wenn ein Hacker Ihr Kennwort gefährdet.
Sie können ein Unternehmen zwar nicht davon abhalten, Ihre Passwörter falsch zu behandeln, aber Sie können die Auswirkungen minimieren, indem Sie Ihre Passwörter und Konten ordnungsgemäß sichern.
VERBUNDEN: Warum Sie einen Passwort-Manager verwenden sollten und wie Sie beginnen
