Sicherheit ist eine Frage der Zeit

Was haben LinkedIn, eHarmony, last.fm, MyBB, 4chan, LoL und TweetGif gemeinsam? Richtig, diese Webseiten wurden erst kürzlich Opfer von Hackerangriffen. Zum Teil gerechtfertig, zum andern Teil auch wieder nicht. Egal, darum geht es mir nicht. Vor allem der Einbruch bei LinkedIn sorgt aktuell für Schlagzeilen. Die Verschlüsselung, die zum Einsatz kam, ist mehr oder minder veraltet. Es handelt sich um MD5. Der Programmierer des Algorithmus Poul-Henning Kamp stuft diesen nun selbst als veraltet ein.

Man nehme MD5 und salze es kräftig

Werden Passwörter als reine MD5 Hashes in einer Datenbank abgelegt und nicht weiter verändert, dann sind diese Werte nicht sicher. Heutzutage gibt es sehr viele Möglichkeiten um eine MD5 Checksumme zu entschlüsseln und das in relativ kurzer Zeit. Rainbow Tables stehen unter anderem immer noch sehr hoch im Kurs. Da drin stehen schon viele entschlüsselte Werte. Um MD5 nun etwas sicherer zu machen, greift man zum Salt, engl. Salz. Hierbei handelt es sich um einen kleinen Wert, der in die bereits bestehende MD5 Prüfsumme einbezogen wird und danach einen neuen Hash zurückgibt.

Salt
Salt (Quelle: DaGoaty, Liz. CC BY 2.0)

Aber auch das schützt nicht ausreichend. Dringt ein Angreifer in eine fremde Datenbank ein, dann kommt er meist auch an den Salt heran. Der steht oft direkt neben dem MD5 Wert. Schlau! Dann dauert es auch nicht lange und der Hacker hat das Passwort. Bei solchen Massendiebstählen geht es sowieso ums Geld. Was sich leicht und schnell entschlüsseln lässt, ist gut, da man in kürzester Zeit viele Accounts kompromittieren kann. Selten das für einen einzelnen Zugang viel Zeit verschwendet wird.

Immer wieder Runden drehen und sichere Passworte

Neben dem Salzen gibt es noch die Möglichkeit den MD5 Wert so oft es nur geht zu runden. Das erschwert das entschlüsseln maßgeblich. Jedoch ist auch dieses Verfahren umstritten. Auf Heise Security gibt es einen ausführlichen Artikel zu diesem Thema. Dort wird recht gut beschrieben wie man einen Hash so sicher machen kann, dass der Aufwand im Prinzip so hoch wäre, dass es sich wirtschaftlich eher weniger lohnt. In der Praxis wird das jedoch eher spärlich eingesetzt. Benutzer werden auch relativ selten dazu aufgefordert, ein sicheres Passwort zu wählen.

Achterbahn
Achterbahn (Quelle: foilman, Liz. CC BY-SA 2.0)

Im Blog von Errata Security gibt es ein recht anschaulichen Artikel, wie Hashwerte heute entschlüsselt werden können. Das grenzt an Massenabfertigung und das sollte sich jeder Nutzer vor Augen halten. Bei fast jedem Leak fällt auf, dass es sehr viele Nutzer gibt, die keine sicheren Passworte verwenden. Fünf bis sechs Zeichen sind sehr oft anzutreffen. Dies macht das entschlüsseln schon mal erheblich einfacher und schneller. Also, Grundregel No. 1: Wähle immer ein sicheres einzigartiges Passwort! Wie das geht, beschrieb ich bereits in einem früheren Artikel.

Gibt es Alternativen zu MD5?

Da gute Sicherheitsexperten und Webmaster seit Jahren wissen, das MD5 nicht mehr sicher ist, muss man sich zwangsläufig nach Alternativen umschauen. Zum einen gibt es da SHA, welches als sicherer gilt. Geknackt wurde aber auch SHA-1 im Jahre 2004. Theoretisch ist das aber nur in relativ geringer Zeit von Supercomputern zu schaffen. Das hat der Normalo Hacker nicht mal eben so rumstehen. Blowfish ist ein weiterer Verschlüsselungsalgorithmus. Dieser wird selbst in Webanwendungen vermehrt eingesetzt. Trotzdem ist der unausgesprochene Standard nach wie vor MD5. Meist mit Salz und wenn man Glück hat mit Rundungsfunktion. Als sicher gilt das trotzdem nur bedingt.

REWE Brötchen
REWE Brötchen (Quelle: yisris, Liz. CC BY 2.0)

Im professionellen und geschäftlichen Bereich darf MD5 jedoch nicht mehr zur Anwendung kommen. Das Risiko ist einfach zu hoch. Gerade dort muss der Wechsel auf eine andere und deutlich komplexere Verschlüsselung erfolgen. Bei Netzwerken wie LinkedIn sind zu viele Nutzerdaten in Gefahr. Es gab ja auch schon die Fälle, das keine Passwörter verschlüsselt wurden, siehe beispielsweise den Angriff auf REWE vor rund einem Jahr. So was darf nicht passieren.

IT Sicherheit ist wichtig und muss noch viel ernster genommen werden. Das schreibe und sage ich immer wieder.

Weitere Artikel zum Thema Sicherheit


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.