Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Die Crowdfunding-Plattform Kickstarter informiert über einen Sicherheitsvorfall im Laufe der Woche. Demnach wurde ein nicht autorisierter Zugriff auf Kundendaten festgestellt. Die Rede ist von einer Hacker-Attacke, die jedoch nur wenige Konten betroffen hätte.
Du kannst jeden Hash per Brute-Force knacken. Alles eine Frage des Aufwands. Und wie du siehst, es war eben kein md5.
Einzigartiges Salt + mehrfaches SHA1: Ist schon mehr als anständig. Ich sag dir, 99% der Webseiten mit Login haben nicht so ein robustes System. Da ist ein globaler Salt + 1x SHA1 evtl. drin.
Und wenn es auf bcrypt kommt... Stell den Cost Parameter auf einen angemessen hohen Wert und das wars. Der Aufwand hier ein Passwort zu entschlüssel ist enorm. Da muss die Beute schon wirklich lecker sein, damit das lohnt. Und man muss Geduld haben.
komisch ist, dass Kickstarter gar nichts davon mitbekommen hat, sondern von "Strafverfolgungsbehörden" darauf hingewiesen wurde. Woher wussten die das denn?
@Chris233 Vermutung:
Anzeige bei einer Behörde durch einen Kunden von Kickstarter.
Heutigen Zeit gar nicht so unüblich um zb Versicherungsansprüche aufrecht zu erhalten.
...und genau hier setzt bcrypt an: Durch seine Speicherstruktur hebelt es GPGPU recht erfolgreich aus. Deshalb war bcrypt auch um Faktor 1Mio schwerer als SHA1. Außerdem verschweigt der Artikel so einiges:
- Welcher Cost Parameter hatte bcrypt in dem Test? 1? 10? 20? Je höher der Cost-Parameter, desto langsamer das Hashing
- Was macht der mit seinem Cluster bei Mehrfach-Hashing per SHA1, wenn er nicht weiß, wie viele SHA1-Durchgänge genutzt wurden?
Ich versteh immer dieses "Sicherheißtsmaßnahmen verstärkt" nicht.
Damit gibt das Unternehmen doch bereitwillig zu, im Vornherein nicht alles mögliche getan zu haben, um für die Sicherheit der Daten zu sorgen?
Gegen die "Sicherheitslücke" kann man nicht viel sagen - passiert halt.
Aber dann zu sagen "Ja wir haben unsere Sicherheitsmaßnahmen jetzt verstärkt" impliziert ja, dass man vorher noch einige Kapazitäten freigelassen hat, was man an Sicherheißtsmaßnahmen hätte ergreifen können - ohne wirklichen Grund.
Finde die Aussagen halt immer etwas.. unprofessionell. Vermutlich stimmen sie in 90% der Fälle nicht mal (ob das dann in den einzelnen Fällen gut oder schlecht ist bleibt jedem selbst überlassen).
Mt.Gox ist auch betroffen. Hab heute eine Loginmail bekommen von denen obwohl ich das laut IP nicht gewesen sein kann. Direkt mal das Passwort geändert.
Ich versteh immer dieses "Sicherheißtsmaßnahmen verstärkt" nicht.
Damit gibt das Unternehmen doch bereitwillig zu, im Vornherein nicht alles mögliche getan zu haben, um für die Sicherheit der Daten zu sorgen?
Warum? Es wäre schon eine Verbesserung der Sicherheit, wenn du die genutzte Lücke schließt.
Fakt ist: ultimative Sicherheit gibt es nicht. Oftmals bemerkst du Lücken und Schwachstellen eben erst dann, wenn es zu spät ist. Das kann man den Leuten nicht verübeln, vorausgesetzt die vorher eingesetzten Maßnahmen waren nicht all zu lächerlich.
Oh man wenn ich sowas lese, dann bekomme ich nen Hass auf so Leute.
Kickstarter ist dazu da um etwas Gutes zu tun und wenn dann so Leute auftauchen die sich an solchen bereichern wollen, denen wünsche ich alles schlechte dieser Welt aufeinmal.
Ich hoffe die bekommen die Hacker am Po und vernichten deren komplette Online-Existenz und machen denen das Leben schwer.
Sorry für solche Worte, aber bei sowas kenn ich keine Gnade, wenn man Projekte/Produkte zerstören will, die für alle da sind.
@Daaron: Es ist aber idR davon die Rede, dass die Sicherheitsmaßnahmen allgemein verstärkt würden und nicht nur die genutzte Sicherheitslücke abgedeckt wurde.
Dass Sicherheitslücken vorkommen usw find ich i.O., passiert und mach ich keinem einen Vorwurf. (wie oben gesagt)
Verschärfte Sicherheit kann auch heiße, dass die eigenen Angestellten überprüft werden bzw. die Selektionskriterien gehärtet werden, um Insider-Jobs zu verhindern. Verstärkte Sicherheit kann genauso bedeuten, dass aggressivere oder komplexere Methoden zur Intrusion Detection eingesetzt werden.
Wenn man die Sicherheitsmaßnahmen angeblich so einfach innerhalb von ein paar Stunden verbessern kann, wieso macht man es dann nicht bevor die Server gehackt werden? Oder denkt man sich dann noch "die knackt sowieso keiner, das Geld sparen wir uns!" ?
Im Zweifel wurde, abgesehen vom Schließen der Lücke, gar ncihts gemacht.
Es klingt nur blöd wenn man sagt "Wir haben alles im Griff, aber geändert wird nichts." Eine Aussage wie "Wir haben die Sicherheit verstärkt." flößt Vertrauen ein. Die tun immerhin was.
Schön langsam geht es mir auf die Socken andauernd die Kennwörter zu ändern, einmal SOE, dann Adobe jetzt Kickstarter.
Zum Glück habe ich auf jeder Seite ein anderes Kennwort, sonst würde ich nie fertig werden...
Gibt es kein Mittel gegen diese ganzen unterforderten Kids die nichts anderes zu tun haben als uns mit irgendwelchen Hacks zu nerven.
Das sind keine unterforderten Kids. Das sind hochspezialisierte Banden, die mit den erbeuteten Daten verdammt gut leben können. Da kommt schnell der Gegenwert eines hübschen Autos zusammen.
