Passwort-Sync-Dienst des Webbrowsers Opera gehackt
Die norwegischen Macher des Webbrowsers Opera mussten zum Wochenende mit schlechten Nachrichten an die Öffentlichkeit treten. Einer Meldung im Opera-Hausblog zufolge wurde der Sync-Dienst des Browsers gehackt, alle Nutzer werden nun dazu aufgefordert, ihr Kennwort zu ändern.
Es handle sich hierbei um eine reine Vorsichtsmaßnahme. Man müsse zwar davon ausgehen, dass die Angreifer teils in den Besitz von Kennwörtern und Nutzerdaten gekommen sind, zumindest die Kennwörter seien allerdings allesamt nur verschlüsselt auf den Servern hinterlegt gewesen.
Although we only store encrypted (for synchronized passwords) or hashed and salted (for authentication) passwords in this system, we have reset all the Opera sync account passwords as a precaution.
Betroffene Nutzer können ihr Passwort für Opera Sync über diese Webseite zurücksetzen.
Der Marktanteil von Opera ist mit knapp 1,5 auf dem Desktop kaum der Rede wert, auf Mobilgeräten bringt es Opera Mini immerhin auf knapp 10 Prozent.
Was bedeutet „Hashed and Salted“?
„Hashed“ bezeichnet die verschleierte Speicherung eines Kennworts unter Verwendung spezieller Algorithmen. Salted steht für einem am Ende des gespeicherten Kennworts angehängten Zufallswerts, mit dessen Hilfe das Erraten von Passwörtern erschwert werden soll. Wikipedia dazu:
Salt (englisch für Salz) bezeichnet in der Kryptographie eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion angehängt wird, um die Entropie der Eingabe zu erhöhen. Es wird häufig für die Speicherung und Übermittlung von Computer-Passwörtern benutzt. Bei der Überprüfung eines Passworts wird jedoch nicht jedes Mal ein neuer Salt erzeugt, da sich sonst der entstandene Hashwert von dem gespeicherten unterscheiden und somit das Passwort abgelehnt würde. Deshalb wird bei der Generierung eines Passworts der dort verwendete Salt zusammen mit dem entstandenen Hashwert in einer Datenbank gespeichert.
Ich kann mich wirklich nicht so gut aus … aber ist App 1Passwort wirklich sicherer? Ich verstehe nämlich nicht warum man solchen Diensten das oder die Passwörter anvertrauen sollte.
+1
Sehe ich genau so: die eigenen Passwörter habe NICHTS auf fremden Servern oder Sync-Verbindungen über’s Internet zu suchen! Ganz einfach!
Mein Mitleid hält sich sehr stark in Grenzen…
Also ich halte 1Password schon für sehr sehr sicher, aber 1000% sicher ist nichts.
Das 1Password-Konto wird mit dem Master-Passwort und zusätzlich mit einem 26-stelligen, lokal gespeicherten Account Key gesichert. Im Falle eines Hacks, bei dem der Hacker das Passwort herausbekommt, bräuchte er zusätzlich noch den Account Key um auf das 1Password-Konto zugreifen zu können.
Wen es interessiert, 1Password hat ein „White Paper“ zum Thema Sicherheit mit allen relevanten Informationen veröffentlicht.
Im Übrigen sollte man überall, sofern möglich und angeboten, die 2-stufige Authentifizierung aktivieren um seine Web-Konten zusätzlich zu schützen.
Genau. Es kann keine 100% Sicherheit geben. Aber 1password scheint verdammt nah dran zu sein. Ich wüsste nicht, was ich ohne 1password machen sollte. 929 Logins kann man nicht im Kopf behalten. Und ich behaupte mal dass es sicherer ist 1password zu benutzen, als überall immer die selben 2 oder 3 Passwörter zu haben.
929 Logins? wtf ;)
Du musst bei 1Password deine Passwörter nicht auf fremde Server speichern. Eine Synchronisation ist dennoch möglich: Im eigenen Netzwerk, über WLAN. Daher halte ich 1Password für bedeutend sicherer. Mittlerweile bieten die Entwickler von 1Password auch einen eigenen Sync-Dienst an, den man aber ebenfalls nicht nutzen muss.
Wenn du „ordentliche“ Passwörter (PW) nutzen willst, kommst du (fast) gar nich an 1Password oder dergleichen Softwares vorbei.
Wer merkt sich schon PW mit diversen Sonderzeichen und geschweige die Eingabe von 14-18-stelligen PW auf dem iPhone. Da bekommt man eher einen Knoten im Kopf und in den Fingern.
Naja, wenn man für jeden Webdienst, für jeden Account ein anderes, sicheres Passwort verwenden soll, dann wird es recht schwer, sich die Passworte (nicht Passwörter) zu merken.
Ich habe noch nicht einmal sonderlich viele Account, aber aktuell etwa 150 unterschiedliche Passworte im PasswordSafe liegen … die sich alle merken und die Zuordnung zur WebSite merken ist fast unmöglich.
Bitte, es heißt natürlich Passwörter und Night Worte… Oder hast du einen zusammenhängenden Text als Passwort gewählt?
„Night Worte“ ? Dein Ernst?
Wenn du schon andere korrigierst, dann bitte mach selber keine Schreibfehler.
Dein Ernst? :D
Was willst du mit „Passworte“ und wieso betonst du das auch noch extra?
Das ist doch einfach nur dumm und ergibt überhaupt keinen Sinn :D
Das Plural von Passwort lautet Passwörter!
Wenn man schon klugscheissen will, sollte man sich vorher erkundigen ob die eigenen Informationen auch richtig sind. ;-)
Ich gebe meine langen „versalzenen“ Passwörter immer selbst ein.
Kein Passwort ist gleich.
Einige Unternehmen nehmen aber meine Passwortsystematik nicht an – dann muss ich mir etwas anderes ausdenken.
„Versalzen“ tust deine Passwörter aber nicht du, sondern der Dienst, der dein Passwort speichert.
Der Saltwert wird als zufällige Zeichenkombination im Klartext als Schlüssel in der Datenbank gespeichert.
Wenn du dich jetzt einloggen willst, wird dieser Wert an das eingegeben Passwort angehängt, und von diesem gesamten Paket wird dann ein Hash-Wert gebildet.
Und dieser Hashwert wird dann mit dem in der Datenbank gesicherten Hash-wert verglichen.
Und genau das ist das Problem: Mein eigenes Sicherheitsgefühl und etliche Services fordern z. B. ein Sonderzeichen im Passwort, andere lassen genau das nicht zu oder haben Beschränkungen bei der Länge u. ä. An diesen nicht harmonisierten Passwortbestimmungen ist seinerzeit mein Versuch einer hoffentlich nur für mich durchschaubaren Systematik gescheitert. Daher verlasse ich mich seit längerem auf Apples Schlüsselbund, in der Hoffnung nicht irgendwann verlassen zu sein. Und ganz kritische Passwörter, z. B. für’s Banking, tippe ich nach wie vor manuell.
Der Salt soll auch verhindern, dass man an dem Hash-Wert erkennen kann, welche Benutzer dieselben Passwörter verwenden. Soll ja vorkommen. Mich interessiert in solch einem Zusammenhang aber auch immer, welche Hash-Funktion verwendet wurde. Bei einem Brute-Force-Angriff muss man nämlich nicht zwangsläufig das vom Benutzer ausgesuchte Passwort erraten, es reicht, wenn man eine Kollision findet (ein anderes Passwort das zum selben Ergebnis der Hash-Funktion führt). Außerdem sind typische Hash-Funktionen (SHA-2) eher weniger für Passwörter geeignet. Ziel dieser Hash-Funktionen ist nämlich, so schnell wie möglich aus einer großen Datei eine Prüfsumme zu erhalten. Bei Passwörtern sollte die Berechnung länger dauern. Deshalb wird die Hash-Funktion üblichweise mehrere tausend Mal hintereinander ausgeführt. Oder man verwendet gleich eine Hash-Funktion die für die Verwendung von Passwörtern gedacht ist (z.B. bcrypt).
Und genau deshalb „salze“ ich mit meinen eigenen Zufallszahlen (alles händisch) kein Online-Dienst oder sonst irgendwelche „Verräter“. Und wenn ich mir eine Zahlenkombi nicht merken kann, würfele ich nochmals.