PC & Internet Gestohlene Nutzerkennwörter von Adobe lassen sich entschlüsseln

Einer der größten Datendiebstähle des Jahres könnte weitreichendere Folgen haben, als bislang angenommen. Wie Adobe einräumt, waren die entwendeten 130 Millionen Nutzerkennwörter nicht mit einem üblichen Einweg-Hash gesichert, sondern stattdessen mit Triple-DES verschlüsselt. Dadurch brauchen die Angreifer die Kennwörter nicht einzeln erraten, sondern können diese vollständig entschlüsseln, sobald der verwendete Schlüssel anhand eines Kennwortes bekannt ist. Den Angreifern dürfte dabei in die Hände spielen, dass zu vielen Nutzern auch Kennworthinweise wie "Social Security Number" hinterlegt sind. Die Entschlüsselung der Kennwörter ist damit nur eine Frage der Zeit.

Ob die Angreifer diese Hinweise überhaupt benötigen, ist jedoch unklar. Neu aufgetauchte Datensätze zeigen, dass die Angreifer sogar an das gesicherte LDAP-Adressbuch mit Telefonnummern aller Adobe-Mitarbeiter herankamen. Es ist also möglich, dass die Angreifer im Adobe-Netzwerk bereits den Schlüssel für die Kennwörter erbeutet haben. Unterdessen hat eine größere Analyse der Datensätze ergeben, dass nur 56 Millionen der 130 Millionen erfassten Nutzer ein einzigartiges Kennwort verwenden. Zudem finden sich unter den Nutzern auch Sicherheitsexperten und Regierungsstellen wie das FBI.

Quelle: MacTechNews

 

[josef.13]

Passwörter von Adobe-Kunden geknackt

Beim

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

wurde auch eine Liste von 150 Millionen Nutzer-IDs und ihre verschlüsselten Passwörter entwendet. Die ersten wurden bereits geknackt. Die Passwörter waren anscheinend mit 3DES und einem geheimen Schlüssel verschlüsselt.

Ohne Kenntnis dieses Schlüssels lässt sich diese Liste somit kaum dekodieren. Auch das normalerweise in solchen Fällen eingesetzte Durchprobieren von Passwörtern scheitert daran, dass man nicht weiß, womit man die Passwörter verschlüsseln muss. Und weil Adobe den Zugang zu den Konten gesperrt hat, kann man seine Vermutungen auch nicht online validieren. Das könnte höchstens der Einbrecher, wenn er neben der Liste auch den 3DES-Schlüssel entwendet hat.

Trotzdem hat ein Hacker jetzt eine Liste der häufigsten Adobe-Passwörter

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

. Erstellt hat er sie vor allem mit Hilfe der ebenfalls bekannten Passwort-Erinnerungen. Mit Tipps wie "numbers", "123..." und "1-6" kann man schon recht zuversichtlich sein, dass 123456 gemeint war.

Es bleibt natürlich eine Restchance, dass man daneben liegt. Ebenfalls weit oben auf der Liste "password", "adobe123" und "qwerty" (aber wer bitte sind "daniel" und "michael", die noch beliebter als "jessica" sind?). In vielen Kommentaren herrscht vor allem Entsetzen vor, wie schlecht diese Passwörter doch seien. Das sieht Jürgen Schmidt, Chefredakteur von heise Security ganz anders. Er findet

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

und verortet das Problem vielmehr bei Adobe & Co.

Quelle: heise

 

[josef.13]

Adobe-Hack: Gestohlene Passwörter ohne Hashes

Der

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

beim Software-Konzern

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

könnte deutlich schlimmere Auswirkungen haben, als bisher erwartet. Denn die Passwörter waren wohl nur unzureichend geschützt.

Wie ein Sprecher des Unternehmens inzwischen bestätigte, waren die Passwörter nicht über sichere Hashes geschützt. Entsprechende Sicherheits-Technologien wurden bei Adobe zwar vor etwas über einem Jahr eingeführt, doch das entsprechend aufgerüstete Produktiv-System war gar nicht das Ziel des Angriffes, von dem Anfang Oktober erstmals berichtet wurde.

Statt dessen hatten die Angreifer Zugang zu einem Backup-System erlangt, auf dem Informationen aus der Zeit vor der Umstellung lagen, berichtete das

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

. Auf diesem lag offenbar noch eine Datenbank, in der die Passwörter im Klartext gespeichert und anschließend per Triple DES-Verschlüsselung geschützt waren. Im Gegensatz zu salted Hashes, wie sie eigentlich schon länger Standard sind, genügt es also, wenn die Angreifer den Key zu der Verschlüsselung herausbekommen. Dies ist zwar nicht trivial, aber eben doch um ein Vielfaches einfacher, als das Brechen der Hashes.

Denn im besten Fall hätten die Angreifer quasi jedes Passwort über Brute-Force-Angriffe separat entschlüsseln müssen. Denn auch gleiche Zeichenfolgen ergeben bei salted Hashes andere Prüfsummen. Damit wäre die Entschlüsselung der ganzen Datenbank oder zumindest signifikanter Teile kaum machbar. Nun würde es allerdings reichen, ein einzigen Key herauszufinden. Ob ihnen dies bisher gelungen ist, bleibt erst einmal ungeklärt.

Die gesamte Datenbank soll laut früheren Angaben Adobes die Logins von rund 38 Millionen Accounts beinhalten. Weiterhin hatten die Angreifer weitergehende Datensätze von rund 2,9 Millionen Adobe-Kunden erbeutet. Hinzu kamen außerdem Teile der Quellcodes einer ganzen Reihe von Produkten des Software-Unternehmens.

Quelle: winfuture