Felix Krull
19.07.2011, 23:11
Passwörter und Mail-Adressen von Rewe-Kunden stehen im Web
19.07.2011
[...] blah blah blah [..]
Rewes Dienstleister speicherte Passwörter unverschlüsselt
Laut Rewe hat der technische Dienstleister die Passwörter unverschlüsselt gespeichert. Ein Rewe-Sprecher sagte: "Leider mussten wir feststellen, dass die Anmeldedaten im Klartext vorlagen. Wir waren davon ausgegangen, dass die Daten in einem ausreichend gesicherten System untergebracht seien."
Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Web-Dienste wie Wordpress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. Dabei werden die Passwörter nicht nur einfach mit einem Algorithmus verschlüsselt, sondern auch um zufällige Zeichenfolgen ergänzt, damit Angreifer gängige Passwörter nicht einfach anhand von Wörterbüchern per Durchprobieren erraten können.
SPON (http://referer.us/www.spiegel.de/netzwelt/web/0,1518,775354,00.html)
Weiß zufällig jemand welcher "externe Dienstleister" in diesem Zusammenhang für REWE tätig war? Ich wüßte nämlich zu gern welchen komplett unfähigen, inkompetenten Geisteskrüppeln man an dieser Stelle einen herzlichen Glückwunsch aussprechen darf :D
Passwörter werden im übrigen NIE gespeichert - weder verschlüsselt noch unverschlüsselt. Stattdessen wird ein sogenannter Hash (http://de.wikipedia.org/wiki/Hashfunktion) gespeichert, der über das Passwort und einen zufälligen bzw. geheimen Zusatz ("Salz (http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29)") gebildet wurde. Wer sich auskennt nimmt bcrypt (http://de.wikipedia.org/wiki/Bcrypt), und wer sich richtig auskennt, der nimmt scrypt (http://www.daemonology.net/blog/2009-05-09-scrypt-key-derivation.html).
19.07.2011
[...] blah blah blah [..]
Rewes Dienstleister speicherte Passwörter unverschlüsselt
Laut Rewe hat der technische Dienstleister die Passwörter unverschlüsselt gespeichert. Ein Rewe-Sprecher sagte: "Leider mussten wir feststellen, dass die Anmeldedaten im Klartext vorlagen. Wir waren davon ausgegangen, dass die Daten in einem ausreichend gesicherten System untergebracht seien."
Passwörter unverschlüsselt in Datenbanken zu speichern, entspricht nicht dem Stand der Technik. Standard-Web-Dienste wie Wordpress speichern seit Jahren die Nutzer-Passwörter verschlüsselt in Datenbanken. Dabei werden die Passwörter nicht nur einfach mit einem Algorithmus verschlüsselt, sondern auch um zufällige Zeichenfolgen ergänzt, damit Angreifer gängige Passwörter nicht einfach anhand von Wörterbüchern per Durchprobieren erraten können.
SPON (http://referer.us/www.spiegel.de/netzwelt/web/0,1518,775354,00.html)
Weiß zufällig jemand welcher "externe Dienstleister" in diesem Zusammenhang für REWE tätig war? Ich wüßte nämlich zu gern welchen komplett unfähigen, inkompetenten Geisteskrüppeln man an dieser Stelle einen herzlichen Glückwunsch aussprechen darf :D
Passwörter werden im übrigen NIE gespeichert - weder verschlüsselt noch unverschlüsselt. Stattdessen wird ein sogenannter Hash (http://de.wikipedia.org/wiki/Hashfunktion) gespeichert, der über das Passwort und einen zufälligen bzw. geheimen Zusatz ("Salz (http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29)") gebildet wurde. Wer sich auskennt nimmt bcrypt (http://de.wikipedia.org/wiki/Bcrypt), und wer sich richtig auskennt, der nimmt scrypt (http://www.daemonology.net/blog/2009-05-09-scrypt-key-derivation.html).