Die Mathe-Redaktion - 20.02.2019 08:31 - Registrieren/Login
Auswahl
ListenpunktHome
ListenpunktAktuell und Interessant ai
ListenpunktArtikelübersicht/-suche
ListenpunktAlle Links / Mathe-Links
ListenpunktFach- & Sachbücher
ListenpunktMitglieder / Karte
ListenpunktRegistrieren/Login
ListenpunktArbeitsgruppen
ListenpunktSchwätz / Top 15
ListenpunktWerde Mathe-Millionär!
ListenpunktFormeleditor fedgeo
Schwarzes Brett
Aktion im Forum
Suche
Stichwortsuche in Artikeln und Links von Matheplanet
Suchen im Forum
Suchtipps

Bücher
Englische Bücher
Software
Suchbegriffe:
Mathematik bei amazon
Naturwissenschaft & Technik
In Partnerschaft mit Amazon.de
Kontakt
Mail an Matroid
[Keine Übungsaufgaben!]
Impressum

Bitte beachten Sie unsere Nutzungsbedingungen, die Distanzierung, unsere Datenschutzerklärung und
die Forumregeln.

Sie können Mitglied werden. Mitglieder können den Matheplanet-Newsletter bestellen, der etwa alle 2 Monate erscheint.

Der Newsletter Okt. 2017

Für Mitglieder
Mathematisch für Anfänger
Wer ist Online
Aktuell sind 467 Gäste und 17 Mitglieder online.

Sie können Mitglied werden:
Klick hier.

Über Matheplanet
 
Zum letzten Themenfilter: Themenfilter:
Matroids Matheplanet Forum Index
Moderiert von matroid
Matroids Matheplanet Forum Index » Matheplanet » Meine Stellungnahme zu Passwort-Leaks
Druckversion
Druckversion
Antworten
Antworten
Autor
Kein bestimmter Bereich Meine Stellungnahme zu Passwort-Leaks
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13887
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Themenstart: 2019-01-26 13:33

\(\begingroup\)\(\newcommand{\IX}{\mathbb{X}} \newcommand{\IW}{\mathbb{W}} \)
Liebe Mitglieder,

da aufgrund von aktuellen Berichten über ein gigantisches Datenleck das Thema jetzt sehr viel Aufmerksamkeit erregt, möchte ich meine Stellungnahme zu einem Vorkommnis auf dem Matheplanet mit meinem gegenwärtigen Erkenntnisstand zusammenfassen.

Aus Anlass des gemeldeten Datenlecks "Collection1" prüfen nun viel Menschen bei dem Dienst sec.hpi.de/ilc/ des Hasso-Plattner-Instituts (HPI), ob sie betroffen sind.

Viele Mitglieder des Matheplaneten finden dort zu ihrer Mail-Adresse eine Information über ein Datenleck auf dem Matheplaneten.

Ich hatte bereits im Dezember dazu informiert, siehe LinkMeldung eines Datenleaks auf dem MP

Ich konnte in der Zwischenzeit eingrenzen, dass zwischen dem 20. und 28. Februar 2016 der Datendiebstahl stattgefunden haben muss, denn es sind anscheinend alle Mitglieder betroffen, die vor dem 20.2.2016 Mitglied geworden sind, aber es sind keine Mitglieder betroffen, die ab dem 28.2.2016 Mitglied geworden sind.

Bei diesem Datendiebstahl sind die Mail-Adressen und dazu die Passwörter, diese aber in verschlüsselter Form, gestohlen worden.

In der Zwischenzeit, nämlich am 20.3.2016, wurden Vorkehrungen getroffen, die Daten der Accounts besser zu schützen.
Diese zusätzlichen Maßnahmen sind offenbar wirksam, können aber das frühere Ereignis nicht wieder gutmachen.

Ich bedaure das Vorkommnis sehr.

<Hier beginnt eine etwas detailliertere Erläuterung>
Da ich häufig gefragt werden, was denn "verschlüsselte Form" beim Passwort bedeutet, möchte ich es so erklären:

Die Mail-Adresse hat man im Klartext in der Datenbank gefunden.

Das Passwort ist aber in der Datenbank nicht im Klartext sondern nur verschlüsselt gespeichert gewesen.

Ein solches verschlüsseltes Passwort sieht vielleicht so aus: $1$PutQ6.Ef$8ltlkgtMdk1OFgULgc5Ug/

Die Verschlüsselung ist eine one-way-Verschlüsselung. Kennt man den Key, so kann man das Passwort, das der Benutzer bei einer Anmeldung eingibt, damit ebenfalls verschlüsseln und wenn das Ergebnis mit dem früher gespeicherten Passwort-String übereinstimmt, erhält der Benutzer Zugang.

Wer die one-way-Verschlüsselung kennt, weiß aber nicht, welches Klartext-Passwort er eingeben müsste, um diesen one-way-String zu erhalten.

Man könnte natürlich anfangen zu raten, etwa indem  man sehr einfache und dennoch oft verwendete Passwörter nutzt. So soll z.B. 123456 das häufigste Passwort sein.
(Darum empfiehlt man heute ja stärkere Passwörter zu verwenden.)
Aber selbst das hat nur sehr geringe Aussichten, denn die Verschlüsselung zum one-way wird außerdem noch je Account mit einem geheimen, zweiten Key verschlüsselt. Diesen zweiten Bestandteil der Verschlüsselung nennt man „Salt“.

Was heißt das praktisch: Sollten 2 Accounts beide das gleiche Passwort 123456 haben, so sehen die one-way-Strings, die aus dem Passwort generiert werden und später zum Passwortvergleich verwendet werden,  verschieden aus. Der Hacker müsste also nicht nur das (mehr oder weniger gängige) Passwort raten, er muss zudem auch noch einen weiteren unbekannten Bestandteil, den zweiten Key, raten.

Was meine ich mit "raten"? Professionelle Angreifer würde das mit Hilfe von Computer-Programmen tun, mit denen sie in sehr kurzer Zeit Millionen von Kombinationen versuchen können. Die Sicherheit einer Verschlüsselung bemisst sich in der Anzahl der Jahre, die ein Angreifer benötigte, den Code durch Computerprogramme zu knacken.

Es müsste schon ein besonderes Interesse sein, das einen Angreifer dazu bringen könnte, diese Mühe für eine Passwortinformation, die er auf dem Matheplaneten gefunden hat, aufzuwenden. Übrigens: Der Matheplanet ist in guter, besser gesagt schlechter Gesellschaft. Dropbox oder Facebook haben Datenlecks, von denen jeweils viele Millionen Benutzer betroffen sind. Ich will hier nicht relativieren. Ich will damit sagen: Hacker haben so viel Auswahl.

Ärgerlicher und relevanter finde ich, dass Email-Adressen im Umlauf geraten sind.
Das kann zu unerwünschtem Spam führen. Spam wiederum ist mindestens lästig und manchmal sogar gefährlich, wenn sich darin Viren verstecken und man diese ungewollt aktiviert.
<<<Hier endet die etwas detailliertere Erläuterung>


Ich hoffe, die Informationen und Erklärungen, die ich hier mitteile, helfen den Mitgliedern, die Betroffenenheit bzw. das Risiko einzuschätzen.

Wer noch Fragen hat, kann sich gern an mich wenden, hier im Forum oder mit einer privaten Nachricht oder per Mail.

Viele Grüße
Matroid

\(\endgroup\)


  Profil  Quote  Link auf diesen Beitrag Link
Triceratops
Aktiv Letzter Besuch: im letzten Monat
Dabei seit: 28.04.2016
Mitteilungen: 3649
Aus: Berlin
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.1, eingetragen 2019-01-27 19:20


@matroid: Danke für die ausführlichen Informationen.

Tipp @alle: Nutzt Multi-Faktor-Authentifizierung bei den Diensten, die es anbieten (Authenticator Apps oder Security Tokens).

PS: Bin nur kurz eingeloggt, um das PW zu ändern.



  Profil  Quote  Link auf diesen Beitrag Link
matroid hat die Antworten auf ihre/seine Frage gesehen.
Neues Thema [Neues Thema] Antworten [Antworten]    Druckversion [Druckversion]

 


Wechsel in ein anderes Forum:
 Suchen    
 
All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © 2001-2019 by Matroids Matheplanet
This web site was made with PHP-Nuke, a web portal system written in PHP. PHP-Nuke is Free Software released under the GNU/GPL license.
Ich distanziere mich von rechtswidrigen oder anstößigen Inhalten, die sich trotz aufmerksamer Prüfung hinter hier verwendeten Links verbergen mögen.
Lesen Sie die Nutzungsbedingungen, die Distanzierung, die Datenschutzerklärung und das Impressum.
[Seitenanfang]