Nach Berichten des Wall Street Journal wurde nun ein südkoreanisches Social Network erfolgreich angegriffen und dabei massiv Log-in Daten ausgespäht. Vor dem Hintergrund dieser aktuellen Meldung und den IT-Sicherheitsgefahren der Vergangenheit stellt sich immer wieder die Frage, wie sicher Log-in Daten im Internet sind. User sollten bei der Wahl der Log-in Daten wie Username, Passwort und E-Mail-Adresse immer beachten, dass diese nicht kontrollierbaren Gefahren beim jeweiligen Anbieter ausgesetzt sind.
Sichere Speicherung der Log-in Daten
Die Speicherung des Passwortes z.B. ist eine besonders heikle, vom User aber nicht zu beeinflussende oder kontrollierbare Gefahr. Systeme können Passwörter unter Verwendung von sogenannten Hashfunktionen speichern. Wird die Hashgenerierung dann noch mit einem SALT abgesichert, wird es für mögliche Angreifer annähernd unmöglich sein, das Passwort aus diesem Prüfhash zu erstellen.
Vor allem alte Systeme speichern das Passwort im Klartext. Der User kann solche Systeme nur daran erkennen, dass diese bei Passwortverlust das Originalpasswort zusenden können. Wäre ein Prüfhash gespeichert, wäre das Passwort auch dem Betreiber nicht bekannt und er müsste einen Rücksetzlink versenden.
Eine Gefahr dieser Klartext Passworte ist, dass bei einem oft verwendeten Usernamen der Angreifer zudem eines der verwendeten Passworte kennt und sich so in anderen Systemen, schlimmstenfalls im Firmennetz, anmelden kann.
Als Schutz kann man hier nur empfehlen, niemals das gleiche Passwort zweimal zu verwenden.