|
|
HostSuche.de | > Aktuelle News & Infos |
09.08.2012 | PSW GROUP GmbH & Co. KG |
| [Alle Meldungen des Anbieters] - [Kommentare] - [Newsletter] - [Newsflash] |
| Internet Security-Spezialist PSW GROUP fordert Konsequenzen |
| Internet Security-Spezialist PSW GROUP fordert Konsequenzen aus jüngsten Passwortskandalen bei Yahoo, LinkedIn & Co. |
| Fulda, 08.08.2012 - Sicherheitsmaßnahmen umgangen, hunderttausende Passwörter geknackt, zahlreiche Nutzer im Visier von Datendieben: Die Nachricht von einer der größten Passwort-Pannen in der Geschichte des Social Networking ging um die Welt. Unbekannten war es gelungen über 6 Millionen so genannte Passwort-Hashes von den Servern des globalen Business-Netzwerkes LinkedIn zu entwenden. Im Anschluss stellten sie diese Liste dann frei ins Internet. Besonders pikant: Anhand dieser Hashes ließen sich durch Anwendung etablierter Berechnungsverfahren schnell Rückschlüsse auf die tatsächlichen Passwörter der betroffenen LinkedIn-Nutzer ziehen. Selbst komplizierteste Passwörter waren binnen weniger Stunden geknackt und kursierten dann ebenfalls im Netz.
Christian Heutger, Geschäftsführer beim Internet Security-Spezialisten PSW GROUP, zeigt sich entsetzt angesichts der offenkundig gewordenen Sicherheitslücken bei LinkedIn, die das Knacken derart vieler Passwörter überhaupt erst ermöglicht hatten: "Schon die Tatsache, dass Unbekannte Zugriff auf die Passwort-Hashes erlangt haben, ist bemerkenswert. Doch dass die Passwörter anhand derer dann noch derart leicht rekonstruiert werden konnten, zeigt, dass sie nicht sicher genug gespeichert waren." Ähnliche Datenlecks traten in den vergangenen Wochen unter anderem auch bei Yahoo - hier wurden Mitte Juli rund 450.000 Passwörter von Nutzern entwendet - und der Dating-Plattform eHarmony auf. Erst vor wenigen Tagen wurde zudem ein entsprechender Passwortdiebstahl beim Cloud-Dienst Dropbox bekannt.
Tatsächlich sollten Website-Betreiber die Zugangsdaten ihrer Nutzer, insbesondere deren Passwörter, grundsätzlich unknackbar - sprich: nicht im Klartext sondern verschlüsselt - in ihren Datenbanken erfassen. Hierfür stehen kryptografische Hash-Funktionen parat. Mit diesen werden Passwörter nicht mehr im Klartext in den Datenbanken eines Web-Angebots gespeichert, sondern zuvor in einen Hashwert umgewandelt. Dabei handelt es sich um eine Zeichenkette, die für sich genommen keine Rückschlüsse mehr auf das ursprüngliche Passwort zulassen sollte. Wie der LinkedIn-Fall zeigt, reicht dies allein jedoch bei Weitem nicht aus.
Internet Security-Experten wie PSW GROUP empfehlen daher grundsätzlich die Passwörter zusätzlich zu "salzen". Dabei wird vor dem Hashen eine zufällig generierte Zeichenfolge - der so genannte Salt - an den Klartext des Passwortes angefügt und dessen Länge somit vergrößert. Durch das "Salzen" wird die Anzahl der Kombinationen für jedes einzelne mögliche Passwort somit stark aufgebläht. Zudem sollten Website-Betreiber den sich anschließenden Hash-Vorgang bei einem gesalzenen Passwort mehrfach ausführen. Im Fachjargon spricht man vom "Stretching", das etablierte Angriffsmethoden zum Cracken von Passwörtern für den Angreifer unwirtschaftlich macht. "LinkedIn hat es offenbar schlichtweg verpasst die Passwörter entsprechend zu salzen. Andernfalls wären gerade komplizierte Zugangsdaten nicht derart schnell geknackt worden", kritisiert Heutger.
Um gerade angesichts derartiger Datenpannen Vertrauen bei den eigenen Nutzern zu schaffen, sollten Website-Betreiber auf PCI-Scans zurückgreifen. Der Scan prüft die eigene Website regelmäßig auf die Einhaltung der hohen, elementaren Sicherheitsstandards der Kreditkartenindustrie und visualisiert deren Gewährleistung über ein Label, das auf der Website angebracht werden kann. "Der PCI-Standard trägt den hohen Anforderungen an Sicherheitsmanagement, Richtlinien, Prozesse, Netzwerk-Architektur, Software-Design und Schutzmaßnahmen Rechnung. Website-Betreiber werden durch regelmäßige Scans schnell auf Schwachstellen aufmerksam und können so die Daten ihrer Nutzer deutlich wirksamer schützen", erklärt der PSW-Geschäftsführer.
Über die PSW GROUP
Die PSW GROUP mit Sitz in Fulda ist einer der deutschlandweit führenden Full Service-Provider für Internetlösungen mit einem besonderen Schwerpunkt auf Internet Security. Als solcher bietet das Unternehmen - sowohl für den Web-Einsatz als auch für die E-Mail-Kommunikation - Zertifikats-, Signatur-, Verschlüsselungs- und Authentifizierungslösungen an. Das umfassende Produktportfolio reicht speziell in diesem Bereich von SSL-Zertifikaten über Code-Signing-Zertifikate bis hin zu qualifizierten elektronische Signaturen.
Aber auch Sicherheitslösungen wie das PCI-Scanning, Secure CDN und DNSSEC sowie Gütesiegel und Kundenbewertungssysteme speziell für E-Commerce-Anbieter finden sich im Repertoire der PSW GROUP. Neben der großen Produkt-Vielfalt verfügt das im Jahr 2000 gegründete Unternehmen über eine fast 11-jährige Expertise in den Bereichen Internet-Sicherheit, IT-Recht sowie Hosting- und Domaindienstleistungen.
Zu den Kunden der PSW GROUP zählen Webhoster sowie Webdesign- und Marketing-Agenturen, die als Reseller auf die Sicherheitslösungen des Full Service-Providers zurückgreifen, aber auch Betreiber von E-Commerce-Angeboten sowie Online-Shops. |
| Weitere Informationen finden Sie unter | http://www.psw.net/ |
|
| [Alle Meldungen des Anbieters] - [Kommentare] - [Newsletter] - [Newsflash] |
|
| Presseservice: Die obigen Pressemitteilungen geben wir unverändert an Sie weiter. Die jeweiligen Mitteilungen liegen ausschließlich in der rechtlichen Verantwortung des jeweiligen Anbieters.
| |