LinkedIn und die Passwörter
Wie der Betreiber des sozialen Netzes mit Sicherheit umgeht, ist geradezu unverschämt: Anwender sollen überzogenen Regeln folgen und er selbst missachtet einfachste Standards. Das muss sich ändern.
Die bei LinkedIn offensichtlich vorherrschende Vorstellung von Sicherheit ist gelinde gesagt eine Unverschämtheit. Einerseits fordert man da von seinen Nutzern die Einhaltung unmenschlicher Standards. Sichere Passwörter sollen wir wählen: mindestens 10 Zeichen, möglichst zufällig, selbstverständlich nirgends anders verwendet und auf gar keinen Fall dürfen wir es aufschreiben. Auf der anderen Seite schlampt der Betreiber selbst beim Umgang mit diesen Passwörtern auf eine Art und Weise, die sprachlos macht.
Als Konsequenz wurden – nachdem Unbekannte diese Hashes vom Server geklaut hatten – sogar eigentlich unknackbare Passwörter wie "386126miata?" und "parikh093741239" innerhalb weniger Stunden kompromittiert. Da hätte LinkedIn auch gleich Klartextpasswörter abspeichern können. So oder so bleibt die Botschaft: "Eure Sicherheit ist uns egal – wir investieren unser Geld lieber in Fernsehspots."
Dass reine Hashes ein leichtes Opfer für das Knacken mit vorberechnete Rainbow-Tabellen oder neuerdings auch Google-Cracking sind, ist seit vielen Jahren bekannt. Unix-Betriebssysteme erzeugen deshalb Passwort-Hashes seit über 10 Jahren mit einem zusätzlichen Salz; Stand der Technik ist Password-Based Key Derivation Function 2 (PBKDF2), mit der sich Passwörter nach aktuellem Kenntnisstand nahezu unknackbar abspeichern lassen. Doch nichts davon setzte LinkedIn ein.
Wie wäre es, wenn wir zukünftig jeden Hersteller und Dienstleister, der uns zur Einhaltung von Sicherheitsvorkehrungen mahnt, zunächst auffordern, selbst nachzuweisen, dass er zumindest elementare Sicherheitsstandards erfüllt? Wenn etwa ein Betreiber eines sozialen Netzes, dem wir unsere privaten Daten anvertrauen sollen, sich zumindest zur Einhaltung von Basisregeln wie sie das Kreditkartengewerbe mit PCI-DSS formuliert hat, verpflichten müsste? Ich weiß natürlich, dass das noch längst nicht bedeutet, dass sie sicher wären und das Alles in der Praxis natürlich nicht so einfach ist. Aber zumindest will ich die nächste Zeit keine Software-Hersteller (ja, Microsoft: MD5 ist seit Jahren gebrochen!), keine Bank, und erst recht keine Social-Networking-Company über DAUs (Dümmst Anzunehmender User), PEBKAC (Problem Exists Between Keyboard And Chair) oder generell fehlendes Sicherheitsbewusstsein der Anwender jammern hören. Fasst Euch erstmal an die eigene Nase.
Update: eHarmony und Last.fm sollten sich übrigens genauso angesprochen fühlen. (ju)
