WeBLOG
Facebook speicherte Passwörter im Klartext (21.03.2019)
Ja geht`s noch? Wir leben im Jahre 2019 und ein Laden wir Facebook hat es noch nicht mitbekommen, dass man Passwörter einwegverschlüsselt mit Salt speichert. Das ist grob fahrlässig, um nicht zu sagen absolute Stümperei!

Aber es geht noch mehr: Offenbar konnten zudem viele Tausend Facebook-Mitarbeiter die Passwörter einsehen, weil diese selbst intern nicht unkenntlich gemacht wurden. Dies betrifft Nutzer von Facebook, Facebook Lite und Instagram!

Facebook ging offensichtlich nur deshalb an die Öffentlichkeit mit dieser Information, weil zuvor ein entsprechender Bericht vom IT-Sicherheitsexperten Brian Krebs in seinem Blog erschien.
Soll man so einem Unternehmen noch trauen? Nun, wer dort "ansässig" ist, sollte sich seine Gedanken machen und unbedingt Konsequenzen ziehen! Auf jeden Fall das Passwort ändern und wenn woanders dasselbe Passwort verwendet wird, auch dort (und zwar mit einem anderen!).

Laut der DSGVO muss jeder noch so kleine Betrieb die Sicherheit seiner IT-Infrastruktur gewährleisten und die entsprechenden Massnahmen, die dafür getroffen wurden, dokumentieren und hat bei Pannen entsprechende Meldepflichten. Wir hoffen, für diese Facebook-Schlappe gibt es von der EU eine saftige Strafe!

Jedes Programm, welches wir vertreiben, speichert Passwörter einwegverschlüsselt mit Salt (mit dem Salz in der Suppe), um folgendes zu gewährleisten:

  • da die Speicherung nicht im Klartext erfolgt, können Dritte (z.B. Mitarbeiter der Webhoster oder der Betreiber und seine Beschäftigten selbst) die Passwörter nicht einsehen bzw. sehen nur einen kryptischen Hashwert.

  • selbst schwache Passwörter können nicht mit sog. Rainbow-Tables geknackt/verglichen werden (man vergleicht Hashwerte zu bekannten Passwörtern wie z.B. "123", "password"... über vorgefertigte Tabellen), weil ein ellenlanges, individuelles Salt (Anhängsel) vor der Einwegverschlüsselung angehängt wird. So wird aus

    "password"

    z.B. die Zeichenkette (rot ist das Salt)

    "passwordl5*]%veC-O6dIJ.9NrKP&lk4.l[r~OL.Iju[bt.l6M-Z?|GLC5.sEQ)#I.{~2BXm.(tv.8KG~wp9.K6DtSajUb!-KmpD.G&XjXIPHnuW#+JQ"

    und wird erst dann einwegverschlüsselt. D.h. ein bekannter Hashwert mit einem bestimmten Verschlüsselungsalgorithmus für den Wert "password" wäre dank des Salts nichts wert (da der Hashwert völlig anders lautet und in keiner Rainbow-Tabelle vorkommt). Natürlich schützt diese Vorgehensweise nicht vor dem Ausprobieren schwacher Passwörter (dies ginge in diesem Fall schnell, siehe unseren Passwort-Check) aber schützt die Speicherung desselbigen nachhaltig und zuverlässig durch absolute Unkenntlichmachung!

  • eine Einwegverschlüsselung lässt keine Rückverschlüsselung zu (only One-Way). Die Prüfung, ob das richtige Passwort eingegeben wurde, kann demnach nur erfolgen, indem man die Eingabe (das Passwort) mit dem gleichen Salt an gleicher Stelle versieht und anschliessend mit dem gleichen Algorithmus einwegverschlüsselt und dann mit dem gespeicherten Hash-Wert vergleicht (muss dann äquivalent sein). Folglich können solche Passwortspeicherungen nur per Reset (Vergabe eines neuen Passworts) rückgängig gemacht aber niemals eingesehen werden. Auch nicht durch den Programmierer selbst!

Warum machen wir das aber nicht Facebook? Evtl. sollte man diesen Beitrag an Facebook als Hilfestellung weiterleiten.

Wir erinnern uns an die Datenpanne von Yahoo im Jahr 2014, auch dort wurden Passwörter als Klarname gespeichert. Die ganzen aktuell kursierenden Passwort-Leaks von rund 2,2 Milliarden Accounts würde es nicht geben, wäre man so vorgegangen. Traurig.

Siehe auch:
Kommentare (1) zu diesem BLOG-Eintrag