5108814

Hackerangriff in Schweden: Hunderttausende Passwörter öffentlich

Es ist der bisher größte Hackerangriff in Schweden: 57 Webseiten sind betroffen, allein von einem Blogportal wurden 90.000 Passwörter veröffentlicht.

Wirklich sichere Passwörter gibt es wohl nicht. Bild: streichholz / photocase.com

STOCKHOLM taz | Auch schwedische Journalisten und Politiker hatten offenbar bislang noch nicht so ganz verstanden, wie einigermaßen "sichere" Passwörter für Internetkonten aussehen sollten. Das dürfte sich jetzt vermutlich ein wenig geändert haben.

Dieser Personenkreis gehört nämlich zu den Hunderttausenden, deren Zugangsdaten für Nutzerkonten seit einigen Tagen im Netz herumschwirren. Und der Name des Haustiers, des Lieblings-Eishockeyvereins oder einer Musikgruppe taugen eben überhaupt nicht, will man verhindern, dass die privaten Mails von anderen mitgelesen werden.

Beim bislang vermutlich grössten Hackerangriff in Schweden sind 57 Webseiten gehackt worden. Allein vom – zwischenzeitlich geschlossenen – Blogportal "Bloggtoppen" waren es 90.000 Passwörter, die der Hacker "Sc3a5j" im Klartext öffentlich machte. Und damit konnten viele Konten bei anderen Internetseiten ebenfalls geknackt werden: Dann, wenn die User nämlich dort das gleiche Passwort benutzten wie bei Bloggtoppen.

Dies war offenbar auch der Fall bei Journalisten der Stockholmer Zeitungen Aftonbladet und Expressen. Beide Zeitungen stellten Strafanzeige bei der Polizei wegen unerlaubten Eindringens in Konten ihrer Mitarbeiter.

"Nie im Leben" ist kein sicheres Passwort

Nachdem sie sich erst einmal Zugang zu den Datenbanken der fraglichen Webseiten verschafft hatten, war es für den oder die Hacker ein leichtes, die dort mit einem Hash-Algorithmus verschlüsselten Passwörter in Klartext zu übersetzen. "Sc3a5j" liess diese nach eigenen Angaben einfach durch eine mit entsprechendem Hash-Schlüssel codierte Datenbasis von potentiellen 711.772 Passwörtern laufen und konnte sie so dechiffrieren. Nicht einmal Dialekte, Sprichwörter oder ganze Wortfolgen, wie "nie im Leben" oder "bewaffnet bis zu den Zähnen" fielen durch dieses Sieb.

Natürlich sei es blauäugig, wenn man sehe, wie leicht es UserInnen durch ihren Passwortgebrauch Hackern machten, meint David Lindahl, IT-Sicherheitsforscher beim staatlichen schwedischen Verteidigungsforschungsinstitut FOI. Und das sei mehr als ein privates Problem, wenn sie nämlich auch noch auf geschäftlichen Konten das immer gleiche Passwort gebrauchten.

Aber selbst wer nun glaube mit einer wilden Buchstaben- und Ziffernkombination auf der sicheren Seite zu sein, könnte sich täuschen. Lindahl hält das gesamte System des Konten-Zugangs durch Passwörter für veraltet: "Das ist ein völlig unzureichender Schutz, aber für die Betreiber von Webseiten eben bequem. Allenfalls wenn es noch mehr Vorfälle wie den jetzigen gibt, wird sich daran vielleicht endlich etwas ändern."

Neue Sicherheit durch Gesichtserkennung

Schuld an den scheunentorgrossen Sicherheitslücken hätten auch alle User: "Sie akzeptieren ja die Benutzerbedingungen in denen sich Webseitenbetreiber im Prinzip von jeder Verantwortung freizeichnen."

Er glaubt, dass die Identifizierung per Passwort in wenigen Jahren ganz verschwunden und allenfalls noch in Kombination mit weiteren Sicherheitssystemen üblich sein wird. Beispielsweise ein Passwort zusammen mit einem Kartenleser und dem Ausweis oder der Kreditkarte. Oder in Verbindung mit einer Webkamera mit entsprechender Gesichtserkennungs-Software.

Für recht erfolgversprechend hält Lindahl ein derzeit in Entwicklung befindliches System, in dem der Anwender sich durch seine Stimme identifiziert. Und er fordert ein prinzipielles Umdenken: "Wir müssen einen ganz neuen Ansatz suchen. Ein Autofahrer kann ja bei einer Geschwindigkeit von 120 km/h auch nicht einfach den Rückwärtsgang einlegen. Computer und deren Nutzung müssen so konstruiert werden, dass sie uns von vorneherein daran hindern, dumme Sachen zu machen."

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • pablo

    Gast

    @!"3as@&/: da leigen sie nicht richtig. die kriminaltechnischen labore des bka und bnd haben erst problem mit der entschlüsselung von passwörtern ab ca. 10 bis 16 zeichen(keine wörter). passwörter mit weniger zeichen sind in angemessener zeit für die dort eingesetzten großrechner kein großes problem.

    die einzig sichere lösung ist sich nicht ans netz zu hängen und wie Wolfgang Schmidt es unten geschrieben hat "...dem Internet die Abwicklung von verbindlichen Rechtsgeschäften wieder zu entziehen...."

  • ThomasW

    Gast

    Wenn die Passworte durch Hashtabellen entschlüsselt werden konnten, dann waren sie schlampig in der Datenbank abgelegt worden. Diese Form des Angriffs auf Passworte ist seit vielen Jahren bekannt und ebenso, wie man dieses Problem vermeiden kann.

    Ich glaube auch nicht, dass Passworte verschwinden werden, einfach deswegen, weil sie im Gegensatz zu den vorgeschlagenen Alternativen, immer funktionieren. Eine Gesichtserkennung, ePersos usw. erfordern zusätzliche Hard- und Software. Aktuell erleben wir jedoch, dass in Form von Handys, Tablets, internettauglichen Fernsehern usw. stark zunimmt und dort werden solche Techniken in der Regel praktisch nicht funktionieren.

    Zudem bringen uns die angesprochenen Verfahren eine Fülle neuer Sicherheitsprobleme: Pseudonym-Passwort-Kombinationen erlauben es, dass man sich weitgehend auch anonym durch das Netz bewegt. Wenn die oben besprochenen Verfahren so breit eingesetzt werden, wie angesprochen, dann ist das das Ende von Anonymität aber nicht das Ende von Datendiebstählen auf unsicheren Websites. Nun wissen wir aber nicht erst seit der arabischen Revolution, dass sich auch Menschen aus Unrechtsstaaten wie z.B. dem Iran sich westlichen Webdienste bedienen. Wollen wir wirklich, dass dann trotz Phantasienamen sich eindeutig auf die Person rückführende Daten in diesen nicht immer sicheren Datenbanken befinden? Zudem betrifft dieses Problem auch uns, da durch einen breiten Einsatz dieser Identifizierungsmöglichkeiten einem Identitätsdiebstahl Tür und Tor geöffnet werden. Biometrische Daten sind weniger sicher, da ich mein Gesicht bei einer Komprimitierung nicht so leicht Austauschen kann, wie z.B. ein Passwort bzw. nicht für verschiedene Websites verschiedene Gesichter benutzen kann.

    Kurz: die Alternativen sind nichts weiter als Buzz.

  • Wolfgang Schmidt

    Gast

    Das Internet ist und bleibt eine riesengroße Spielwiese, die für jedermann weit offen steht. Daran werden auch die größten Sicherheitsvorkehrungen nichts ändern. Außerdem will man - zu recht - an vielen Stellen im Netz gerne Anonym bleiben. Aber mit Zugängen wie Stimmenerkennung, Geschichtserkennung oder Ausweiseinlesung funktioniert diese Anonymität nicht mehr. Außerdem können auch diese Daten "abgefangen" und anschließend missbraucht werden. Es ist also alles Quatsch!

    Besser wäre es die Spielwiese, Spielwiese sein zu lassen und stattdessen dem Internet die Abwicklung von verbindlichen Rechtsgeschäften wieder zu entziehen. Nur so landen keine empfindlichen Daten im Netz.

  • !"3as@&/

    Gast

    Bereits beim zweiten Überfliegen sollte Ihnen eigentlich aufgefallen sein, dass Herr Lindahl hier einer sehr zweifelhaften politischen Agenda folgt: keine Pseudonymität im Netz und "dummes" Verhalten von vornherein verhindern? Was habe ich mir darunter vorzustellen - hoffentlich nicht das, was unter dem Namen ACTA (http://www.youtube.com/watch?feature=player_embedded&v=citzRjwk-sQ) demnächst im EU-Parlament landet?

    Außerdem sagen sie doch im Artikel selbst, dass hier nur 711.772 Phrasen willkürlich ausprobiert werden!

    Alleine bei 8-Zeichen langen Passwörtern gibt es 72.057.594.037.927.936 Kombinationsmöglichkeiten von ASCII-Zeichen. Es dauert dementsprechend über 90 Jahre um ein solches Passwort zu knacken (9 Zeichen = 9.223.372.036.854.775.808 Kombinationen = 11.700 Jahre).

    Die Jahreszahlen beziehen sich auf einen 2.4Ghz-Pentium4-Prozessor und dürften heute bei ca. einem Drittel liegen, dass sind dann immernoch über 30 Jahre.

    Kombinationen aus bekannten Wörtern sämtlicher (menschlicher) Sprachen gibt es in dieser Länge weitaus weniger, daher der Erfolg des Hackers.

    Unknackbar,

    "3as@&/

    P.S.: Quelle (Zahlen): CHIP September 2003

  • Hunder ttausende

    Gast

    Die Programmierer machen diese Fehler.

    Es müsste Mindesanforderungen und Standard-Lösungen geben.

    Jedes Auto kann jeder ohne Führerschein fahren. Aber von Computern wird Sicherheit gefordert. Von denselben Leuten, die keine demokratischen Abstimmsysteme für alle Parteien, Vereine und Verbände fordern.

    Das klingt wie Verkaufssprüche der Chipkarten-Lobby.

    RFIDs als Token werden ja seit 10 Jahren zurückgehalten. Das Auto würde sich also die letzten 10 gescannten RFID-Führerschein merken. Und sich auch nicht von jedem Führerschein fahren lassen.

    Schwache Passworte gibt es seit es Passworte gibt. Und wenn ihr schon eine Headline wie "Nie im Leben" als unsicher abstempelt, dann bitte den Härtegrad mitteilen und wie viele Passworte noch schwächer sind.

    "Wenn Dein hartz4 nicht reicht, geh doch mehr arbeiten" ist wie "nimm ein tausendstelliges Passwort für zig Accounts wie amazon, gmx, arbeit, noch andere arbeit, Onlinebanking, EC-karten-Automat, Kreditkarte, Auto, Elster, Computer, Premiere-Box, Laptop, Netbook, PAD, Smartphone, Ersatz-Handy, Fahrrad-Schloss, Haustür, Wohnungs-Tür, ebay, myhammer, blauarbeit, zalando, hitflip, tauschticket, tazzahlich, ryanair, lufthansa, deutschebahn, ... "

    Die Studien gabs glaube ich von Microsoft: Die Leute dort dürfen die Passworte aufschreiben. Weil sie sonst immer dieselben benutzen. Seit Win95(?) hat jeder Microsoft-Arbeiter eine Chipkarte die zum Einloggen (zusätzlich zu Pins vermutlich) genutzt wird. Leider ist das für Privat unbezahlbar und unsicher ob man keine vom NSA präparierte Karte kriegt. Den Fosslern wars bisher auch ziemlich egal.

    Kreditkarten senden auch keine SMS wenn sie in einem anderen Land benutzt werden oder mehr als 100 Euro ausgeben wollen. Die Milliardenverluste durch Kreditkarten-Betrug könnten Griechenland vermutlich in einem Jahr schuldenfrei machen.

    Alle verzögerten Zahlungen (Hotel, Online-Shopping, Paypal, Flugreisen,...) könnten ohne Aufwand von den Kreditfirmen per Email oder SMS überprüft werden. Die Diebe muss jeder anständige Kunde mitbezahlen.