Sicherheit von Foren, Bsp Chip Online

[Spannungswandle]

Hallo,

seit dem Chip Online wohl auch ein Opfer einer MySQL Attacke geworden ist, bei der Daten, die die Nutzer im "Vertrauen" angegeben haben, entwedet wurden, stellt sich mir die Frage ob das nicht bei jedem Forum auf die ähnliche Tour passieren könnte.
Vom Äußeren her sieht es ja so aus, als wäre das Grundgerüst überall gleich.

Oder kann man villeicht auch sagen, dass sich Chip Offline zu wenig Gedanken über die Sicherheit ihrer MySQL Datenbank gemacht hat und anderen Dingen höhere Prioritäten zugewiesen hat, das Erkennen von Doppel- und Mehrfaccounts anhand ähnlicher IP-Adressen hat jedenfalls immer funktioniert.

liebe Grüße, auch an die Admins von Chip-Online

Spannungswandler

 

[Trefoil80]

Würde mir da keine großen Gedanken machen.

Man nimmt ja für sowas nebensächliches wie ein Forum irgendein Dödel-Kennwort. Das Schadenspotential ist ja sehr, sehr überschaubar. Man nimmt ja nach Möglichkeit sowieso für jeden Dienst ein anderes Passwort.

Wer so dumm ist, als Passwort für das Forum das gleiche Passwort wie für den eMail-Account zu wählen, sollte eine Nachschulung in IT-Sicherheit machen...

 

[el dios]

So wie ich das kenne, werden in den Datenbanken doch ohnehin nur Hashwerte gespeichert, welche beim Login mit dem eingegebenen Passwort abgeglichen werden.

Somit sind die Passwörter ohnehin nicht im Klartext sichtbar, nur Informationen wie beispielsweise die Adresse sind abrufbar. Und so streng geheim sind die ja auch nicht...

 

[Trefoil80]

Wäre mir da gar nicht sooo sicher, dass jeder Forenbetreiber die Passwörter hasht/saltet...

 

[Snowi]

Naja, wenn die Hashes als MD5 Hash gespeichert sind, wirds eh kritisch, da man mit leichtigkeit via Google Rainbow-Tables (Datensammlungen) von MD5 mit zB allem unter 9 Zeichen mit den Standard-Buchstaben/Zahlen/Sonderzeichen(!"§$%&/()=?) findet. Und MD5 ist wohl leider noch öfter anzutreffen. Gibt auch (schlecht programmierte) Foren die die PW´s im Klartext speichern, aber ist eher selten anzutreffen...

Gute Lösung wäre halt Sha2(PW+Salt) o.ä. - Haben leider nicht alle/viele.
Am besten einen Passwort-Manager o.ä. besorgen, oder sich die Passwörter irgendwie anders merken.
Habe KeePass und lasse mir jedes mal ein neues PW generieren + 1x pro Woche aktualisiere ich ein Backup auf 'nem USB Stick + einer alten Externen. 1x im Monat wirds auch ausgedruckt & im günstigen Safe mit Stammbuch etc. verstaut.

So ist man mMn. auf der sicheren Seite was sowas angeht

 

[Daaron]

So wie ich das kenne, werden in den Datenbanken doch ohnehin nur Hashwerte gespeichert, welche beim Login mit dem eingegebenen Passwort abgeglichen werden.

Ich erinnere hier mal an den Brillenhändler Mister Spex... als die sich haben hacken lassen (Sommer 2013 dürft das gewesen sein) wurde bekannt, dass bei denen GAR NICHT gehasht wurde.
Oder wie wärs mit Adobe? Bei denen wurde nicht gehasht sondern symmetrisch verschlüsselt. Wer den Key bekommt, hat alle Passwörter....

Dann kommen da die Millionen und Abermillionen Seiten, bei denen lächerliche Hashingalgorithmen verwendet werden. MD5 ohne Salt ist dank Rainbow Table auf ganz einfacher Hardware in wenigen Minuten erledigt. MD5 mit Salt schickt man halt durch ein paar große GPUs, dauert auch nicht lang. Wir reden hier immerhin von Megahashes pro Sekunde... Und auch SHA1 mit Salt prügelt man einfach durch n GPU-Cluster und fertig.

In einen halbwegs sicheren Bereich kommen wir erst mit Systemen wie Blowfish und genügend Iterationen. Aber wer verwendet das schon? Wordpress setzt z.B. weitestgehend immer noch auf MD5... soviel zur Sicherheit.