LivingSocial will Passwörter besser schützen
Der Groupon-Konkurrent will nach dem Diebstahl von 50 Millionen Passwörtern ein besseres Hash-Verfahren für deren Schutz einsetzen. Bisher nutzte er SHA1, das seit längerem als für Passwörter nicht mehr geeignet gilt.
- Christian Kirsch
Nachdem Hacker Daten von 50 Millionen Kunden des Rabatt-Portals LivingSocial gestohlen haben, stellt das Unternehmen den Schutz der Benutzerpasswörter um, wie es in einem FAQ-Eintrag mitteilt. Bislang nutzte es den SHA1-Algorithmus zum Berechnen eines Hash aus dem Passwort, der dann um einen 40 Bit langen, zufällig ermittelten Salt-Wert ergänzt wurde.
LivingSocial fordert jetzt alle Nutzer auf, neue Passwörter festzulegen. Diese werden mit dem sichereren bcrypt-Verfahren verschlüsselt. Es wurde speziell für das Berechnen sicherer Passwort-Hashes entwickelt und arbeitet relativ langsam, während bei SHA1 seine Hash-Werte sehr schnell berechnet. Deshalb können Angreifer in kurzer Zeit viele damit gesicherte Passwörter durchprobieren.
LivingSocial wurde 2007 als Hungry Machine gegründet. 2010 investierte Amazon 175 Millionen US-Dollar in die Firma und hält seitdem einen Anteil von 29 Prozent, 2011 flossen von ungenannten Investoren weitere 176 Millionen Dollar. Weltweit will die Firma 70 Millionen Kunden in 19 Ländern haben. In Europa ist sie in Großbritannien, Irland, Frankreich, Portugal, Spanien und Italien vertreten. 2011 fuhr das Unternehmen nach einem Medienbericht rund 500 Millionen US-Dollar Verlust ein, 2012 waren es schon 650 Millionen. Im selben Jahr lag der Umsatz bei 536 Millionen US-Dollar. Im ersten Quartal 2013 lag der Verlust bei 44 Millionen. Amazon bewertete seine Beteiligung Ende 2012 noch mit 52 Millionen Dollar. (ck)
