Der Zappos-Einbruch und die Authentifizierung mittels Textpasswort`

Nach dem umfangreichen Einbruch in seine Datenbanken macht die Geschäftsleitung des US-Onlinehändlers Zappos genau das Richtige, indem sie anscheinend ohne Umschweife und eindeutig bekannt gibt, auf welche Daten zugegriffen wurde und welche nicht betroffen waren – es gibt ihrerseits keine unerklärlichen Verzögerungen oder widersprüchlichen Meldungen hinsichtlich des Zwischenfalls. Für mich ist es wie ein zweites Aurora-Erlebnis, als Google außergewöhnlich offen mit dem Hackereinbruch umging, während die anderen 30 von Aurora angegriffenen Großunternehmen genau das Gegenteil taten und sich in aggressiver Weise hinter ihren Verschwiegenheitsverpflichtungen verschanzten, um den Aurora-Angriff auf ihr Unternehmen zu verschleiern und den Kopf in den Sand zu stecken. Zappos setzt die Kennwörter von 24 Millionen Kunden zurück und informierte diese kürzlich per E-Mail über das Problem.

Zappos erklärte allen 24 Millionen Nutzern in einer kurzgefassten E-Mail auch, dass „wir Ihnen schreiben, da möglicherweise ein widerrechtlicher und nicht autorisierter Zugriff auf einige Ihrer Kundenkontoinformationen auf Zappos.com stattgefunden hat, darunter auf eine oder mehrere Ihrer folgenden Informationen: Name, E-Mail-Adresse, Rechnungs- und Lieferadresse, Telefonnummer, die letzten vier Stellen Ihrer Kreditkartennummer (d.h. die Standardinformationen, die auf allen Belegen aufscheinen), und/oder Ihr kryptografisch verwürfeltes Passwort,“ während „DIE DATENBANK, IN DER SENSIBLE KREDITKARTEN- ODER ANDERE ZAHLUNGSINFORMATIONEN UNSERER KUNDEN GESPEICHERT SIND, NICHT BETROFFEN WAR.“ Über all das ist ausreichend diskutiert worden und sollte einfach gängige Praxis sein, zeitgerechte Benachrichtigungen eben. Trotzdem bleiben noch ein paar interessante Punkte offen.

1. Zappos sollte Regeln für stärkere Passwörter aufstellen.
2. Zappos sollte Licht in bestimmte Details des Einbruchs bringen und genau erklären, welche Daten in der Datenbank gespeichert waren und was zum Teufel sie mit „kryptografisch verwürfelten Passwörtern“ meinen.

Jeder hat seine eigene Meinung zu Passwort-Regeln und Trade-offs. Meine eigene sieht, einfach ausgedrückt, folgendermaßen aus: Ich bin ein Verfechter von langen Passwörtern und eher ein Befürworter von OpenID für nicht sensible Accounts (ist es wirklich so verheerend, wenn die Kommentare der meisten Leute in ihrem Account bei ihrer Lokalzeitung oder sogar bei größeren Foren zeitweise gekapert werden?) und von der Einrichtung verschiedener Sensibilitätsstufen pro Account-Typ, und ich bin auch ein Befürworter von Kennwort-Tresoren, die eine Verwaltung der wachsenden Zahl von Konten und Passwörtern ermöglichen.
Haben die Website-Betreiber etwas aus den vergangenen Vorfällen gelernt, was die Einrichtung und Durchsetzung starker Passwörter für die Zeit der Kunden nach dem Einbruch betrifft? Vor dem Hintergrund, dass es sich bei Zappos um eine Händler-Website handelt, die auch Finanztransaktionen involviert, sind hier sämtliche Daten der Nutzerauthentifizierung als sensibel zu betrachten. Sehr wahrscheinlich nutzte Zappos in der gehackten Datenbank einen verschlüsselten Hash seiner Kundenpasswörter, zusammen mit einem einmaligen Saltwert. Aber es müsste klargestellt werden, ob es diese Struktur ist, die sie als „kryptografisch verwürfelt“ bezeichnen? „Verwürfelt“ ist kein allgemein gebräuchlicher Sicherheits-Jargon und wurde höchstwahrscheinlich von einem Marketing-Menschen kreiert, der in dieser Situation sein Bestes versucht hatte. Nutzt Zappos gesalzene MD5-Hashes für seine Passwort-Werte? Wie wäre es mit etwas Stärkerem und warum nicht? Diese Einbrüche ereigneten sich durchwegs in 2011, häufig nur „wegen der Lulz“ (aus Spaß am Schabernack) – die meisten Website-Betreiber sollten sich auf das Schlimmste vorbereiten. Weiterhin untersagt Zappos seinen Nutzern die Verwendung eines ihrer letzten sechs Passwörter. Muss das Unternehmen aber wirklich die sechs vorigen Passwörter seiner Kunden speichern? Wurden alle diese Passwörter ebenfalls gestohlen, gibt es in der E-Mail keinen Hinweis darauf?

Als das Zappos-Team seine Nutzer kürzlich dazu verpflichtete, ihre Kennwörter zu erneuern, ermöglichte es ihnen, Passwörter aus einem Minimum von 8 Stellen, darunter 1 Klein- und 1 Großbuchstabe oder 1 Sonderzeichen zu verwenden. Demnach könnte ein Nutzer-Passwort z.B. „Zappos12“ lauten, und genau hier liegt ein größeres Problem. Mit Hilfe von „Rainbow Tables“, die als Teil sowohl von Produkten als auch von Open Source-Projekten, die auf den wichtigsten IT-Sicherheitskonferenzen jahrelang diskutiert worden waren, in Umlauf gewesen sind, kann eine derart schwache Kennwort-Struktur schnell offline geknackt werden. Es reicht nicht mehr aus, einfach zu sagen, „verwenden Sie einen Mix aus 8 Zeichen“ und damit hat es sich dann. Mark Burnetts Bericht von 2006 über „Perfekte Passwörter“ beschreibt das Zahlenspiel von Passwort-Crackern bzw. -Erfindern – in heute bereits veralteter Terminologie – sehr gut., und in einigen Präsentationen bei der letztjährigen Defcon 19 wurden die Ökonomie und die Möglichkeiten der gegenwärtigen Cracker-Methoden, insbesondere im Bereich von GPU, demonstriert. Leistungsfähige, spottbillige GPGPU-Hardware und aktuelle Cloud-Lösungen sind in der Lage, unglaubliche Stufen und Bandbreiten der Unberechenbarkeit und Einmaligkeit von Passwörtern in sehr kurzen Zeitspannen zu knacken. Acht Zeichen tun es einfach nicht.

Schlussendlich brauchen wir nicht nur stärkere, sondern auch praxistauglichere Regen für die Erstellung von Passwörtern als jene, die von den größten Website-Betreibern forciert werden, aber wir müssen mehr als nur für einige wenige Jahre über die mangelhaften Authentifizierungsstrukturen, die dringend behoben werden müssen, einschließlich der allgegenwärtigen Verwendung von Simple Text-Passwörtern, vorausdenken.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.