Netscape verschlüsselt Passwörter unzureichend

Der Netscape Navigator legt Passwörter für den Zugriff auf EMail-Server nur unzureichend verschlüsselt ab. Zwei Mitarbeiter des US-Softwarehauses Reliable Software Technologies (RST) brauchten lediglich acht Stunden, um den Algorithmus zu knacken. Nachahmer dürften wesentlich schneller zum Ziel kommen, da RST nun eine ziemlich genaue Beschreibung im Internet veröffentlicht hat. Der Algorithmus zerhacke die Passwörter zwar, es handle sich jedoch um keine starke Verschlüsselung, so Gary McGraw von RST. Durch die Eingabe einfacher Passwörter wie "a", "b" und so weiter sei man relativ schnell dahinter gekommen.

Netscape-Manager Chris Saito zeigte sich angesichts des Sicherheitsproblems, das alle aktuellen Versionen der Browser-Software betrifft, überrascht. Netscape plane aber vorläufig nicht, einen entsprechenden Patch zu veröffentlichen. RST weist darauf hin, daß die unzureichend geschützten Passwörter aufgrund einer weiteren Sicherheitslücke der Browser-Versionen 4.0 bis 4.04 beim Aufruf einer Webseite per JavaScript ausspioniert werden könnten. Das Problem sei auch deshalb besonders schwerwiegend, weil viele Anwender dasselbe Passwort mehrfach benutzten. So könne dann ein ausgespähtes E-Mail-Passwort beispielsweise den Zugriff auf firmeninterne Anwendungen erschließen. Der US-Sicherheitsexperte Bruce Schneier wertet die Entdeckung als weiteres Beispiel dafür, wie schädlich proprietäre Verschlüsselungsverfahren sein können. (ad)