Was ist passiert?
Ein russischer Hacker soll Millionen von Twitter-Logins erbeutet haben und bietet sie für zehn Bitcoins zum Verkauf an, rund 6000 Dollar. Die Suchmaschine für Leaks von Zugangsdaten LeakedSource behauptet in einem Blogpost, es handele sich um knapp 33 Millionen Accounts, die vor allem russischen Nutzern gehörten.
Twitter wiederum reagiert und bestreitet, Ziel eines Hackerangriffs geworden zu sein. „Wir sind zuversichtlich, dass diese Nutzernamen und Zugangsdaten nicht aus einem Datenleck bei Twitter stammen – in unsere Systeme wurde nicht eingebrochen“, sagte ein Sprecher gegenüber The Next Web. Das Thema Server-Sicherheit der großen sozialen Netzwerke ist gerade sehr heikel.
Die Meldung über den Hack ist nur die neueste in einer ganzen Welle an Berichten über Datenlecks. Vergangene Woche tauchten hunderte Millionen von Zugangsdaten für Myspace und Tumblr zum Verkauf im Darknet auf. Das selbe passierte mit Informationen von 117 Millionen LinkedIn-Accounts, die vermutlich von einem Hack aus dem Jahr 2012 stammen. Sogar die Social-Media-Accounts von Facebook-Gründer Mark Zuckerberg wurden vor einigen Tagen gehackt.
Warum ist das wichtig?
Die augenscheinliche Antwort wäre wohl: Weil wir jetzt ganz schnell unsere Passwörter ändern sollten. Das stimmt, aber da ist noch mehr: Das System der Online-Sicherheit wie es gerade besteht, scheint die Zugangsdaten seiner User nicht richtig schützen zu können.
Das Interessante am angeblichen Twitter-Hack: Die feilgebotenen Zugangsdaten liegen offenbar im Plain-Text vor, also unverschlüsselt. Das bedeutet, jeder könnte die Daten kaufen und direkt auslesen. Normalerweise ist das anders, bei einem Hack erbeuten Eindringlinge in der Regel Pakete mit sogenannten Hashes. Dabei handelt es sich um verschlüsselte Passwörter, die nur aus Strichen und Zeichen bestehen.
Der Twitter-Sprecher sagt also wohl die Wahrheit. Die Wahrscheinlichkeit, dass User im aktuellen Fall direkt mit einer Malware angegriffen wurden, scheint größer zu sein, als dass es ein Leak gab. Der Punkt ist: Es spielt eigentlich keine Rolle. Angreifer lernen mit jedem neuen Passwort, das sie kennen, dazu. Und das macht es ihnen einfacher, große Datenleaks auch mit verschlüsselten Passworten auszuwerten.
Wie hackt man ein verschlüsseltes Passwort?
Hashes sind Verschlüsselungen in eine Richtung. Wenn wir etwa ein E-Mail-Passwort anlegen, legt unser Anbieter einen Hash für dieses Passwort an. Eine verschlüsselte Version. Wenn wir unsere Zugangsdaten erneut eingeben, produzieren wir den selben Code automatisch noch einmal. Der Anbieter vergleicht und lässt uns auf unseren Account.
Knacken lässt sich so eine Verschlüsselung durch Ausprobieren. Der Einbrecher baut ein Passwort nach dem anderen und verschlüsselt es genau so wie der Provider. Er vergleicht sein Ergebnis mit dem des erbeuteten Hashs. Sind sie gleich, hat er das Passwort geknackt.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
Je komplizierter der Hash, desto länger dauert das Knacken auf diese Weise. Aber bei einfachem Raten belassen es die Programmierer nicht mehr. Längst benutzen sie semantisch sinnvolle Kombinationen aus Wörtern, um schneller fündig zu werden („Dictionary Attacks“) und legen riesige Listen aus vorgefertigten Passwort-Hash-Kombinationen an („Rainbow Tables“).
Sie verwenden auch Datensätze mit bereits ausgelaufenen Passwörtern bei ihren Versuchen. Die finden sie entweder offen im Netz, oder eben in Leaks wie dem der Twitter-Userdaten. Solche bereits geknackten Codes finden über mehrere Websites hinweg Verwendung. Je mehr dieser Codes ein Hacker kennt, desto schneller wird er auch in Zukunft Treffer beim Erraten von Passwörtern bekommen.
Wie kann man sich wehren?
Die von LinkedIn gestohlenen Daten benutzen eine Hashing-Funktion mit dem Namen SHA1, sie enthält keine gesonderte Schutzfunktion. Die oben beschriebene Abgleichmethode macht solche Passwörter zur leichten Beute.
Andere Seiten benutzen kompliziertere Hashing-Systeme, etwa Bcrypt. Die Daten der Crowdfunding-Plattform Patreon blieben so etwa im vergangenen Jahr trotz eines Einbruchs relativ sicher. Je besser die Software, die beim Hashing zum Einsatz kommt, desto mehr Zeit haben die User, um ihre Passwörter nach einem Hack zu verändern. Solche Sicherheitsstandards werden aber nicht immer eingehalten.
Die Systeme Bcrypt oder auch Argon2 setzen auf mehrere hintereinander geschaltete Hashings, bei denen der Abgleich im Nachhinein schwieriger wird. Auch sind einige Unternehmen dazu übergegangen, willkürliche Daten an ein Hash zu hängen, so genanntes „salting“, dass den Abgleich schwieriger macht.
Wie geht es weiter?
Mit jedem neuen Leak werden die Datenbanken als Vorlage für das Knacken von Hashes größer. Anders gesagt: Die Hacker werden immer schlauer. Das Sicherheits-Verhalten der User wird sich nicht ohne weiteres ändern, Passwörter bleiben zu einfach und werden zu häufig auf mehreren Seiten verwendet.
Deshalb können Angreifer allein mit statistischer Auswertung ihrer bisherigen Beute immer schneller in die Accounts ihrer Opfer eindringen. Nur wenn das Bewusstsein für dieses Problem bei großen Plattformen steigt, werden bessere Hashing-Methoden zum Einsatz kommen. Immer mehr Kritiker fordern auch, das Prinzip des Passworts als solches zu überdenken.
Ein Cheat Sheet ist mehr als ein Spickzettel. Studenten packen Gleichungen darauf, kritzeln Aufzählungen, listen Infos. Während sie den Zettel für ihre Klausur zusammenschreiben, lernen sie die Materie. Am Ende brauchen sie ihn vielleicht gar nicht mehr. Wir wollen euch so einen Cheat Sheet für aktuelle Debatten zur Hand geben.
