EinfachMartin: Warum man Passwörter IMMER verschlüsselt speichern sollte!

Moin,

gestern erlebte die DuMont Mediengruppe ein Daten-Gau. In der Nacht zum Sonntag konnte jeder der über den Twitter veröffentlichten Link zu den Servern sämtliche Passwörter, Stutenuploads und mehr unverschlüsselt einsehen.

Da stellt sich mir die Frage was für unfähige und verantwortungslose Programmierer so ein Medienkonzern beschäftigt? Wir leben im 21 Jahrhundert, da sollte doch jedem Programmierer klar sein dass Passwörter verschlüsselt in einer Datenbank abgelegt werden müssen? Zudem stellt sich mir die Frage, warum haben die Verantwortlichen, die Server mehrere Stunden nach Bekanntwerden der Schwachstelle online gelassen, obwohl bereits mehrere Medien darüber berichtet hatten. Und warum auf einem produktiven System ein directory listing auf on steht.

Ach ja der Konzern schiebt diesen Gau auf einen Hacker Angriff. Wenn man sich diesen Link http://crumblingwalls.net/adaption/80465-tag-der-offenen-tuer-bei-der-dumont-mediengruppe anschaut liest sich dieses überhaupt nicht nach einem Angriff sondern schlicht weg auf unfähige Mitarbeiter.

  1. Hi,

    DuMont Mediengruppe

    kenn ich nicht - haben die mit Pferdezucht zu tun?

    [...] sämtliche Passwörter, Stutenuploads und mehr unverschlüsselt einsehen.

    Ich kann mir nämlich beim besten Willen nicht vorstellen, was Stutenuploads sind.

    So long,
     Martin

    --
    Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
    1. Hi,

      kenn ich nicht - haben die mit Pferdezucht zu tun?

      wenn man in Berlin, Hamburg und Köln wohnt sollte man diesen unfähigen Medienkonzern kennen. Sagen dir z.B. diese Schmierblätter etwas?

      1. Express.de
      2. ksta.de
      3. mopo.de
      4. berliner-kurier.de

      Ich kann mir nämlich beim besten Willen nicht vorstellen, was Stutenuploads sind.

      Mit Stutenuploads meine ich Bescheinungen von Stuten die nachweißen müssen, dass sie sich in der Uni eingeschrieben haben.

      1. Hallo,

        kenn ich nicht - haben die mit Pferdezucht zu tun?

        wenn man in Berlin, Hamburg und Köln wohnt sollte man diesen unfähigen Medienkonzern kennen.

        okay, das trifft auf mich nicht zu.

        Sagen dir z.B. diese Schmierblätter etwas?

        1. Express.de
        2. ksta.de
        3. mopo.de
        4. berliner-kurier.de

        Der letztgenannte ist mir zumindest dem Namen nach schon begegnet, die anderen nicht.

        Ich kann mir nämlich beim besten Willen nicht vorstellen, was Stutenuploads sind.

        Mit Stutenuploads meine ich Bescheinungen von Stuten die nachweißen müssen, ...

        Oder nachschwärzen? ;-)

        dass sie sich in der Uni eingeschrieben haben.

        Ach diese Stuten. Na dann.

        So long,
         Martin

        --
        Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
        1. Hallo,

          Mit Stutenuploads meine ich Bescheinungen von Stuten die nachweißen müssen, ... Oder nachschwärzen? ;-)

          oh mein Gott, man sollte sich den Text vor dem abschicken nochmals durchlesen und nicht blind auf T9 verlassen. Ich meinte natürlich Studenten :D

          1. oh mein Gott, man sollte sich den Text vor dem abschicken nochmals durchlesen und nicht blind auf T9 verlassen. Ich meinte natürlich Studenten :D

            OS X detected.

          2. Mit Stutenuploads meine ich Bescheinungen von Stuten die nachweißen müssen, ... Oder nachschwärzen? ;-)

            oh mein Gott, man sollte sich den Text vor dem abschicken nochmals durchlesen und nicht blind auf T9 verlassen. Ich meinte natürlich Studenten :D

            Über anderer Leute Unfähigkeit motzen, aber selber nicht einmal nach einem deutlichen Hinweis bemerken, was für einen Schwachsinn man schreibt, sondern den Schwachsinn auch noch fortsetzen. Und dann auf die Autokorrektur schieben.

            Vielleicht solltest du bei DuMont anheuern, da passt du deiner Beschreibung nach gut rein.

            1. Über anderer Leute Unfähigkeit motzen, aber selber nicht einmal nach einem deutlichen Hinweis bemerken, was für einen Schwachsinn man schreibt, sondern den Schwachsinn auch noch fortsetzen. Und dann auf die Autokorrektur schieben.

              LOL, schon lange nicht mehr so gelacht. Dir sind noch die Fehler passiert? Ich ärgere mich deshalb weil ich selber dort Jahrelang Kunde war und meine Daten und die Daten meiner Kinder jetzt wahrscheinlich in irgendwelchen Darknet Seiten auftauchen und dieser Verein es nicht mal für nötig hält genau aufzuklären was wirklich passiert ist. Außerdem wenn man seit 25 Jahren im Erotik Bereich arbeitet und dort ganz speziell in der Vermittlung dann kann so etwas schnell mal passieren, ein T9 lernt schließlich was man den ganzen Tag so schreibt.

      2. @@EinfachMartin

        wenn man in Berlin, Hamburg und Köln wohnt sollte man diesen unfähigen Medienkonzern kennen. Sagen dir z.B. diese Schmierblätter etwas?

        1. Express.de
        2. ksta.de
        3. mopo.de
        4. berliner-kurier.de

        Die Berliner Zeitung gehört auch dazu. Die ist ganz sicher kein Schmierblatt. Die Frankfurter Rundschau wohl auch nicht.

        LLAP 🖖

        --
        “You might believe there are benefits for the developer, but first of all, you should put those behind the interest of the user.” —Stefan Tilkov
        Selfcode: sh:) fo:} ch:? rl:) br:> n4:& va:| de:> zu:} fl:{ ss:| ls:# js:|
        1. Tach,

          Die Frankfurter Rundschau wohl auch nicht.

          die gehört nicht mehr zu DuMont, aber sie arbeiten noch zusammen: https://de.wikipedia.org/wiki/Frankfurter_Rundschau#November_2012:_Die_DuV_erkl.C3.A4rt_ihre_Insolvenz

          mfg
          Woodfighter

  2. Tach,

    Da stellt sich mir die Frage was für unfähige und verantwortungslose Programmierer so ein Medienkonzern beschäftigt? Wir leben im 21 Jahrhundert, da sollte doch jedem Programmierer klar sein dass Passwörter verschlüsselt in einer Datenbank abgelegt werden müssen?

    mir wäre es lieber, wenn sie korrekt informiert wären und wüssten, dass Passwörter niemals[1] verschlüsselt sondern ordentlich gehasht abgelegt gehören.

    mfg
    Woodfighter


    1. Die Ausnahme ist ein Passwort-Manager. ↩︎

    1. Tach,

      mir wäre es lieber, wenn sie korrekt informiert wären und wüssten, dass Passwörter niemals[^1] verschlüsselt sondern ordentlich gehasht abgelegt gehören.

      verschlüsselt ist immerhin besser als GAR NICHT! Was dieser Medien Konzern gemacht hat ist grob fahrlässig und gehört angezeigt.

      1. Tach,

        mir wäre es lieber, wenn sie korrekt informiert wären und wüssten, dass Passwörter niemals[^1] verschlüsselt sondern ordentlich gehasht abgelegt gehören.

        verschlüsselt ist immerhin besser als GAR NICHT!

        nein, ist es nicht; im vorliegenden Falle hätte der Schlüssel vermutlich daneben gelegen und es wäre genauso möglich gewesen die PW zu lesen. Wenn du das glaubst, bist du fast genauso schlecht informiert, wie die von dir angesprochenen Entwickler.

        Was dieser Medien Konzern gemacht hat ist grob fahrlässig

        jup

        und gehört angezeigt.

        Das halte ich für problematisch.

        mfg
        Woodfighter

        1. Tach,

          nein, ist es nicht; im vorliegenden Falle hätte der Schlüssel vermutlich daneben gelegen und es wäre genauso möglich gewesen die PW zu lesen.

          also sollte ich mein Script umstellen? Ich speichere das Passwort z.B. so

          $salt      = "gjh8itr87gti7gtki85ffß,,fgfgd7gfdg....dfg4gd.dfgdf5";
          $passwort  = hash('sha256',$_POST["passwort"].$salt);   
          
          1. Tach,

            also sollte ich mein Script umstellen? Ich speichere das Passwort z.B. so

            $salt      = "gjh8itr87gti7gtki85ffß,,fgfgd7gfdg....dfg4gd.dfgdf5";
            $passwort  = hash('sha256',$_POST["passwort"].$salt);   
            

            ja, Salts sollte für jedes Passwort unterschiedlich sein und echt zufällig erzeugt werden (nicht durch einen Menschen, der auf eine Tastatur tippt), PHP hat da m.w. eine API für; SHA256 ist im Moment vermutlich ok, besser ist es allerdings gleich auf für Passwörter geplante (und damit absichtlich langsame) Hashfunktionen umzustellen, z.B. bcrypt; außerdem sehe ich hier keinerlei Anzeichen für Verschlüsselung.

            mfg
            Woodfighter

  3. Da stellt sich mir die Frage was für unfähige und verantwortungslose Programmierer so ein Medienkonzern beschäftigt? Wir leben im 21 Jahrhundert, da sollte doch jedem Programmierer klar sein dass Passwörter verschlüsselt in einer Datenbank abgelegt werden müssen?

    Ich Frage mich, wie man mit der geballten Inkompetenz so rumkokettieren kann?

    Unverschlüsselte Passwörter sind mit das Sicherste, weil nur dadurch überhaupt kein Passwort bei der Autorisierung übertragen werden muss. Das setzt aber voraus, das man die Datenbank so absichert, das kein "Tag der offenen Tür" vorliegen kann.

    1. Tach,

      Unverschlüsselte Passwörter sind mit das Sicherste,

      nein

      weil nur dadurch überhaupt kein Passwort bei der Autorisierung übertragen werden muss.

      WTF? (und ein weiteres WTF dafür, dass du Authentifizierung und Autorisierung durcheinander bringst)

      Das setzt aber voraus, das man die Datenbank so absichert, das kein "Tag der offenen Tür" vorliegen kann.

      Das ist nicht effektiv möglich. Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System eine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

      mfg
      Woodfighter

      1. Hallo,

        Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System eine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

        ich schenke dir für diesen Satz noch ein 'k', einverstanden? ;-)

        So long,
         Martin

        --
        Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
        1. Tach,

          Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System eine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

          ich schenke dir für diesen Satz noch ein 'k', einverstanden? ;-)

          ich seh's nicht.

          mfg
          Woodfighter

          1. Hi,

            Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System eine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

            ich schenke dir für diesen Satz noch ein 'k', einverstanden? ;-)

            ich seh's nicht.

            du wolltest vermutlich sagen:

            Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System keine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

            So long,
             Martin

            --
            Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
            1. Tach,

              du wolltest vermutlich sagen:

              Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System keine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

              nein, wo steckte denn da der Sinn?

              mfg
              Woodfighter

              1. Hi,

                Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System keine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

                nein, wo steckte denn da der Sinn?

                ich interpretierte deine Aussage so:

                Keine Verteidigungsmaßnahme ist so gut, dass sie das Eindringen eines hartnäckigen Angreifers wirklich unmöglich macht.

                Und dazu fehlte eine Verneinung. Hattest du das etwa anders gemeint? Dann habe ich's nicht verstanden.

                So long,
                 Martin

                --
                Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
                1. Tach,

                  Keine Verteidigungsmaßnahme ist so gut, dass sie das Eindringen eines hartnäckigen Angreifers wirklich unmöglich macht.

                  korrekt oder zumindest nah genug dran, ich halte es allgemein für problematisch in „Verteidigungsmaßnahmen“ zu denken, dann neigt man eher dazu Dinge für sicher zu halten; eine Denkweise, die vom Worst-Case ausgeht ist häufig hilfreicher.

                  Und dazu fehlte eine Verneinung.

                  Nö; ich kürze meinen Satz mal:

                  Gegen einen Angreifer […] ist […] eine Verteidigung […] schwer[…].

                  Wenn ich da eine Verneinung einfüge, transportiert der Satz einen anderen Inhalt.

                  mfg
                  Woodfighter

                  1. Hi,

                    ich halte es allgemein für problematisch in „Verteidigungsmaßnahmen“ zu denken, dann neigt man eher dazu Dinge für sicher zu halten;

                    das würde ich nicht so sehen. Wie kommst du auf diese Folgerung? Solange man sich bewusst ist, dass es hundertprozentige Absicherung nicht gibt, also trotz aller nur denkbaren Maßnahmen immer irgendwo ein Restrisiko bleibt, ist IMO eigentlich alles in Butter. Ein falsches Sicherheitsgefühl sollte da eher nicht aufkommen.

                    eine Denkweise, die vom Worst-Case ausgeht ist häufig hilfreicher.

                    Ja. Aber ich sehe da keinen Gegensatz oder gar einen Widerspruch.

                    Gegen einen Angreifer […] ist […] eine Verteidigung […] schwer[…].

                    Wobei schwer dann in Richtung unmöglich tendiert. Okay, so herum passt's auch. Dann war deine ursprüngliche Aussage etwas unglücklich, weil sie nicht eindeutig war.

                    Ciao,
                     Martin

                    --
                    Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
                    1. Tach,

                      ich halte es allgemein für problematisch in „Verteidigungsmaßnahmen“ zu denken, dann neigt man eher dazu Dinge für sicher zu halten;

                      das würde ich nicht so sehen. Wie kommst du auf diese Folgerung? Solange man sich bewusst ist, dass es hundertprozentige Absicherung nicht gibt, also trotz aller nur denkbaren Maßnahmen immer irgendwo ein Restrisiko bleibt, ist IMO eigentlich alles in Butter. Ein falsches Sicherheitsgefühl sollte da eher nicht aufkommen.

                      die Folgerung stammt aus meiner Erfahrung, dass Admins und Entscheider, die in Konzepten wie Firewalls, Virenscanner, „das interne Netz“, etc. denken, die aus der anderen Richtung kommenden Gedankengänge nicht direkt nachvollziehen können. Sobald ich Netzwerke in intern und extern aufteile, wiege ich mich in einer gewissen Sicherheit, dass bestimmte Angriffe von der Architektur bereits abgewehrt werden und vernachlässige dann einen Angreifer, der (wie auch immer) Zugriff auf das „interne“ Netz hat. Aus meiner Sicht ist der Gedanke „Was kann ein Angreifer mit den gespeicherten Passwörtern in der Usertabelle anfangen und wie kann ich ihm das erschweren?“ sinnvoller als davon auszugehen, dass ich dieses Szenario in allen Fällen verhindern kann (die Gedanken, welche Maßnahmen treffe ich, damit niemand unbefugt darauf Zugriff bekommt, sind auch wichtig, aber eben erst der nächste Schritt); ich muss hier nicht bereits ein Angriffsszenario haben, um den Gedanken zu rechtfertigen, sondern gehe einfach erstmal davon aus, dass ein entsprechendes Szenario existiert (aus meiner Erfahrung werde ich einfach zu häufig von der Kreativität von Angreifern überrascht, als dass ich erwarten würde, alle Angriffe voraus sehen zu können; also muss ich von innen nach außen verteidigen und nicht anders herum).

                      Dass du das ähnlich siehst wie ich, hätte ich erwartet, aber solange man regelmäßig „aber wie soll ein Angreifer das denn ausnutzen“ oder „ja, aber da kommt ein Angreifer doch gar nicht erst hin“ hört, scheint das nicht die einzige Herangehensweise zu sein.

                      Gegen einen Angreifer […] ist […] eine Verteidigung […] schwer[…].

                      Wobei schwer dann in Richtung unmöglich tendiert. Okay, so herum passt's auch. Dann war deine ursprüngliche Aussage etwas unglücklich, weil sie nicht eindeutig war.

                      Ich sehe im Moment nicht, wo „ausreichend schwer, um als unmöglich angenommen zu werden“ nicht eindeutig sein könnte. Nicht, dass ich ausschließen will, mich zweideutig ausgedrückt zu haben, aber im Moment verstehe ich nicht, wie du darauf kommst; ich habe mich etwas komplizierter ausgedrückt, um das Absolutum „Verteidigung ist nicht möglich“ zu vermeiden.

                      mfg
                      Woodfighter

                      1. n'Abend,

                        Ein falsches Sicherheitsgefühl sollte da eher nicht aufkommen.

                        die Folgerung stammt aus meiner Erfahrung, dass Admins und Entscheider, die in Konzepten wie Firewalls, Virenscanner, „das interne Netz“, etc. denken, die aus der anderen Richtung kommenden Gedankengänge nicht direkt nachvollziehen können.

                        man sollte sich in diesem Metier wohl von eindeutigen, absoluten Grenzen verabschieden und stattdessen jede Maßnahme nur als eine Verstärkung der Wattemauer betrachten. Mehr nicht.

                        Sobald ich Netzwerke in intern und extern aufteile, wiege ich mich in einer gewissen Sicherheit, dass bestimmte Angriffe von der Architektur bereits abgewehrt werden

                        Ja, abgewehrt ist ein gefährlicher Begriff. Vielleicht sollte man lieber erschert sagen, das lässt Raum für verbleibende Schlupflöcher, die man noch nicht erkannt oder berücksichtigt hat.

                        (aus meiner Erfahrung werde ich einfach zu häufig von der Kreativität von Angreifern überrascht, [...]).

                        Das ist genau wie beim Wach- und Schließdienst oder in der Kriminalistik: Die Bösen sind immer einen Schritt weiter, als man glaubt.

                        Ich sehe im Moment nicht, wo „ausreichend schwer, um als unmöglich angenommen zu werden“ nicht eindeutig sein könnte. Nicht, dass ich ausschließen will, mich zweideutig ausgedrückt zu haben, aber im Moment verstehe ich nicht, wie du darauf kommst;

                        Ich hab dir ja erklärt, wie ich deine vermeintlich falsche Formulierung verstanden hatte.

                        Schönen Abend noch,
                         Martin

                        --
                        Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
                        1. Tach,

                          Ich sehe im Moment nicht, wo „ausreichend schwer, um als unmöglich angenommen zu werden“ nicht eindeutig sein könnte. Nicht, dass ich ausschließen will, mich zweideutig ausgedrückt zu haben, aber im Moment verstehe ich nicht, wie du darauf kommst;

                          Ich hab dir ja erklärt, wie ich deine vermeintlich falsche Formulierung verstanden hatte.

                          das wie ist mir klar, ich würde gerne noch das warum verstehen.

                          mfg
                          Woodfighter

                          1. Hallo,

                            Ich hab dir ja erklärt, wie ich deine vermeintlich falsche Formulierung verstanden hatte.

                            das wie ist mir klar, ich würde gerne noch das warum verstehen.

                            das Warum ist auch leicht erklärt: Es liegt im Verständnis des letzten Satzteils:

                            Das ist nicht effektiv möglich. Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System eine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

                            Ich habe "um als unmöglich angenommen zu werden" so verstanden, dass es auf den Erfolg des Angreifers bezogen war, nicht auf den Erfolg der Verteidigung.

                            Ciao,
                             Martin

                            --
                            Bei der Umsetzung von guten Ideen hapert es meist viel mehr an der Wolle als an der Könne.
                            1. Tach,

                              Das ist nicht effektiv möglich. Gegen einen Angreifer mit ausreichend Ressourcen, der sich ein spezielles Ziel vorgenommmen hat, ist in einem komplexen System eine Verteidigung ausreichend schwer, um als unmöglich angenommen zu werden.

                              Ich habe "um als unmöglich angenommen zu werden" so verstanden, dass es auf den Erfolg des Angreifers bezogen war, nicht auf den Erfolg der Verteidigung.

                              ok, danke

                              mfg
                              Woodfighter

                    2. Hallo und guten Tag,

                      das würde ich nicht so sehen. Wie kommst du auf diese Folgerung?

                      Also, ich hatte Jens verstanden ;-)

                      Einfachstes Szenario, ohne gleich an Hacker zu denken, ist doch, wenn einer der Datenbankprogrammierer sich ein Backup der User/Passwort-Tabelle mitnimmt für den Fall, dass er mal rausgeschmissen wird.

                      Wenn die Passworte nun gehasht drinstehen, kann er damit erstmal gar nichts anfangen. Je nachdem, welcher Hash-Algorithmus genutzt wurde, dauert es dann, bis die ersten Passworte im Klartext vorliegen. Bei SHA256 dürfte das wohl ein paar Monate in Anspruch nehmen, oder?

                      Aber zum Thema: Ja, Passworte sollten nicht im Klartext gespeichert werden, egal wie sicher einem seine Passwortdatenbank erscheint. Ein User könnte ja auch - wider besseren Rat - das Passwort auch anderswo benutzt haben, z. B. für seinen Mailaccount. Dann ist er leicht "ausräumbar".

                      Grüße
                      TS

                      --
                      es wachse der Freifunk
                      https://harz.freifunk.net
  4. Moin,

    Da stellt sich mir die Frage was für unfähige und verantwortungslose Programmierer so ein Medienkonzern beschäftigt? Wir leben im 21 Jahrhundert, da sollte doch jedem Programmierer klar sein dass Passwörter verschlüsselt in einer Datenbank abgelegt werden müssen?

    Aha. Wer sagt denn sowas bzw. legt das fest?

    1. Hallo pl,

      Da stellt sich mir die Frage was für unfähige und verantwortungslose Programmierer so ein Medienkonzern beschäftigt? Wir leben im 21 Jahrhundert, da sollte doch jedem Programmierer klar sein dass Passwörter verschlüsselt in einer Datenbank abgelegt werden müssen?

      Aha. Wer sagt denn sowas bzw. legt das fest?

      Die Erfahrung der letzten Jahre, in denen immer wieder Dumps „gestohlen“ (in Ermangelung eines besseren Wortes) worden sind. Passwörter im Klartext speichern ist ein no-go. Ein akzeptabler Hashing-Algorithmus ist die einzige gangbare Methode. Und das wusste selbst Wirth schon scnr

      LG,
      CK