News Dokument-Management-Dienst Evernote gehackt

[przszy]

Der Betreiber des Dokument-Management-Dienstes Evernote, mit welchem Nutzer persönliche Daten wie Bilder, Videos und Notizen verwalten können, hat sich in einer Mitteilung an seine Kunden gewandt und erklärt, dass sich Hacker unbefugten „Zugriff auf den gesicherten Bereich des Evernote-Dienstes“ verschafft haben.

Zur News: Dokument-Management-Dienst Evernote gehackt

 

[Greenmaxn]

Hab mich da vor einiger Zeit mal angemeldet, hab aber den tieferen Sinn des Programms nicht verstanden und es wieder gelöscht, den Account aber allem Anschein nach behalten. Heut morgen kam schon ne Mail
Passwort ist eh nirgendswo anders benutzt und Mail-Adresse ist meine Müll-Adresse

 

[luda]

Tzzz alles PR.

 

[Rob83]

Wann lernen die Leute es endlich USB Sticks/Festplatten an Router/Fritzboxen zu stecken, oder direkt ein NAS einzurichten. Dann über das Internet freigeben, fertig. Eingebunden wird es als normales Laufwerk.

Das macht diese ganzen online Dienste sowas von überflüssig, vor allem wenn man 50mbit+ daheim hat !

 

[Styx]

Es lebe die Cloud.

Das macht diese ganzen online Dienste sowas von überflüssig, vor allem wenn man 50mbit+ daheim hat !

Leider krankt es hierzulande an Upload Geschwindigkeiten.

 

[Bueller]

Der Artikel ist etwas ungenau, weil er suggeriert, dass ein Passwort, welches "hashed & salted" ist, nicht lesbar ist. Dabei ist auch ein Passwort, welches nur "hashed" ist, nicht lesbar.

Dazu muss man wissen, wie Passwörter in Datenbanken hinterlegt werden. Dass man sie nicht im Klartext speichert, sollte sich mittlerweile hoffentlich herumgesprochen haben. Deshalb hashed man die Passwörter mit einer Zeichenkette, um sie nicht direkt lesbar zu machen. Weil aber viele Passwörter zu kurz und deshalb anfällig für Brute Force Attacken sind, sollte man sie noch "salten". Man hängt eine Zufallskette an das hashed Passwort, um den Brute Force zu verlangsamen. Unknackbar wird ein Passwort dadurch nicht, wohl aber macht es einen Unterschied, ob der Brute Force etwa um den Faktor 10 verlangsamt wird. Das Knacken des Passwortes wird so unattraktiv. Das schützt aber trotzdem nicht vor einem Zurücksetzen des Passwortes, denn mit genügendem Aufwand ist auch das hashed & salted Passwort knackbar.

Deshalb hat Evernote auch gleich alle Passwörter zurückgesetzt. Nicht wegen akuter Gefährdung, sondern potentieller Knackbarkeit. Auch wenn man nicht weiß, wie die Hacker an die Passwörter und Logindaten gekommen sind, man hat absolut richtig reagiert.

In diesem Zusammenhang wäre es einmal von Interesse, wie Computerbase die Passwörter speichert und, um etwas in die Tiefe zu gehen, etwa wie viele Runden gehashed wird.

 

[Merle]

Ja, aber ob man mit Rainbowtables auf den salted Hash so schnell kommt?
Ich denke nicht.
Ich hab da schon Implementationen gesehen, bei welchen durch das salten beinahe alles geändert wird. Man kann ja nicht nur am Anfang und Ende salten...

*edit:
Aber klar, mit genügend Rechenpower (heute n paar GraKas, früher n Botnetz oder n Cluster) kann man auch da was errechnen. Und wenn man das salt erst mal hat, dann wirds erst witzig, denn dann ist man mit Passwortlisten und Bruteforce ganz schnell hinter 0815 PWs.

 

[Bueller]

Es ist nicht unmöglich, ein hashed & salted Passwort zu knacken. Die Unmöglichkeit ist auch nicht beabsichtigt. Man verlängert nur die Zeichenkette um einen Faktor, der den Brute Force unattraktiv macht. Man muss dabei auch bedenken, dass der Loginserver ebenfalls Rechenarbeit zu verrichten hat, wenn er das Passwort prüft. Wenn man nun tausend Zeichen an das Passwort hängt, verlangsamt das auch den Login.

Rainbow Tables sind ab einer gewissen Passwortkomplexität schlicht nicht mehr ökonomisch zu betreiben wegen Zeit- und Platzmangel. Das ist der Ansatz von hashed & salted.

 

[TheCadillacMan]

Wann lernen die Leute es endlich USB Sticks/Festplatten an Router/Fritzboxen zu stecken, oder direkt ein NAS einzurichten. Dann über das Internet freigeben, fertig. Eingebunden wird es als normales Laufwerk.

Nicht jeder kann und/oder will so was einrichten. Für das Publikum hier kein großes Problem, für viele andere schon.
Ich persönlich hab ca. 400 Kbit/s-Upload. Da macht so eine "Heim-Cloud" keinen Spaß.

Ich finde Evernote schon praktisch. Vom Handy unterwegs mal ein Foto machen, dazu was notieren und das ganze wird dann automatisch auf Desktop und Notebook synchronisiert. Das ist schon toll. Ich könnte aber auch ohne leben.
Persönliche oder sensible Daten sollte man so einem kostenlosen Dienst ohne für mich kontrollierbare Verschlüsselung natürlich nicht anvertrauen. Wer das trotzdem macht muss im schlimmsten Fall halt mit den Folgen leben. Verteufeln muss man solche deshalb Dienste trotzdem nicht, weil man (wie mit allem im Leben) nur lernen muss damit umzugehen.

 

[Bueller]

Ein Dienst wie Evernote ist zu Hause nicht betreibbar. Das ist kein simples Ablegen von Texten in Ordnern, sondern ein Notiz- und Informationsmanager.

Das Beispiel zeigt eindrucksvoll, dass die Cloud ihre Gefahren birgt, man diese durch Einsatz gängiger Sicherheitsmechanismen aber abmildern kann. Im Gegenteil behaupte ich, dass genau das kein Privatmann hin bekommt. Meist sind private Clouds deutlich schlechter gesichert als kommerzielle.

 

[Ronin]

Ich bin etwas verwundet. Ich habe von Evernote keine E-Mail erhalten und kann mich auch immer noch über die App in mein Konto einloggen, ohne ein Passwort geändert zu haben.

 

[marcol1979]

Das ist eben das schöne an der Cloud, jeder hat Zugriff und selber hat man keine Kontrolle über die Sicherheit!

 

[speedlimiter]

Auch wenn ich Evernote nur wenig nutze, hat das Unternehmen bei mir mit dieser Handhabung einen Pluspunkt gesammelt.

1. Man wurde zeitnah darüber informiert.
2. Sie haben den Datenklau zeitnah mitbekommen.
3. Sie haben richtig reagiert und die Nutzer zum Kennwortwechsel gezwungen.

Man kann ihnen lediglich vorwerfen, dass es überhaupt dazu gekommen ist. Wie man aber heutzutage weiß, ist nichts im Internet zu 100% sicher.

Was wäre denn eine Alternative zu so einem Dienst - selber hosten? Da sprechen nicht nur die langsamen Uploadgeschwindigkeiten dagegen, sondern gerade die Sicherheit, die man in dieser Form nicht leisten kann.

 

[hanschke]

wie gut das ein "Sicherheits"feature ist das man seinen Account nicht löschen kann sonst hätte es mich nie getroffen. Danke dafür!

 

[Der Landvogt]

Bin ich froh derartige Dienste nicht zu nutzen und jedes Mal amüsant schmunzeln kann.

 

[Bueller]

@Landvogt

Wie interessant. Du benutzt also auch keinen Google Account, iCloud, Windows Live, Twitter, Facebook, Email, Onlinebanking und so weiter?

Die Passworthinterlegung ist überall gleich. Wir leben schon längst mit der Cloud. Jeder.

 

[Der Landvogt]

Google wird ausschließlich für Play genutzt, persönliche Daten wie Kontakte sind keine hinterlegt. Beim Onlinebanking müsste die Bank für entstandenen Schaden haften, persönlichere Daten ggü. Non-Onlinebanking können ohnehin nicht abgegriffen werden.
Mail wäre tatsächlich der einzige Schwachpunkt. Da ich dies ohnehin nicht intensiv nutze und persönliche Dinge schnell vom Server gelöscht werden hält sich das Risiko in Grenzen.

 

[paep]

wie gut das ein "Sicherheits"feature ist das man seinen Account nicht löschen kann sonst hätte es mich nie getroffen. Danke dafür!

Also ich glaube mich erinnern zu können das ich erst letztens mein Account gelöscht habe?

 

[archiv]

@Landvogt

Wie interessant. Du benutzt also auch keinen Google Account, iCloud, Windows Live, Twitter, Facebook, Email, Onlinebanking und so weiter?

Die Passworthinterlegung ist überall gleich. Wir leben schon längst mit der Cloud. Jeder.

Naja Online-Banking ist heute doch wohl sehr sicher. Ich weiß ja nicht wie das bei manchen Banken so ist, aber denke das doch alle gut was für die Sicherheit machen. Also bei meiner bringt einem der Online Zugang gar nichts....ohne meine Karte & Lesegerät kann man da sowieso nichts tun.

Von diesen Clouds (also sowas wie Chrome OS, dieses hier etc.) halte ich ehrlich gesagt auch wie Landvogt nicht so viel. Ich habe lieber alles lokal. Nicht wegen der Sicherheit, sondern weil ich sowas einfach nicht gebrauchen kann.
Hoch prisante Infos stehen im E-Mail Konto sowieso nicht drin. Sowas druckt man aus und legt es im Ordner ab. Irgendsowas wie Daten für Zahlungsdienste oder so. Bzw. denke ich das die Domain bei Google relativ sicher ist gegen Hacker.

 

[noxon]

Wann lernen die Leute es endlich USB Sticks/Festplatten an Router/Fritzboxen zu stecken, oder direkt ein NAS einzurichten. Dann über das Internet freigeben, fertig. Eingebunden wird es als normales Laufwerk.

Das macht diese ganzen online Dienste sowas von überflüssig, vor allem wenn man 50mbit+ daheim hat !

Nicht jeder hat ein NAS System zu Hause oder möchte sich so ein Stromverschwender zu Hause hinstellen. Auch einen 50 MBit Anschluss hat nicht jeder.
Außerdem kenne ich keine Fritzbox, die eine OCR Erkennung oder all die anderen Features von Evernote beherscht. Wozu auch. Es ist ein Router und kein Dokumenten-Management System.