< Browser-Tabs vom 05.02.2006 | Was für'n stressiger Tag >

Ebay und die Sicherheit


Ebay ließ durch ein automatisiertes Programm die Sicherheit von Kundenpasswörtern überprüfen und schreibt derzeit die Kunden an, die nach Ebay-Meinung ein unsicheres Passwort verwenden.

Das Internet-Auktionshaus eBay fordert mehr als 100.000 deutsche Nutzer zur Wahl eines neuen Passworts auf. Eine Sicherheitssoftware habe anonym unsichere Zahlen- und Buchstabenkombinationen ermittelt, sagte eBay-Sprecherin Maike Fuest. Die betroffenen Mitglieder würden derzeit per automatisch generierter Mail angeschrieben. Ein neues Passwort muss dann über die offizielle eBay-Homepage eingerichtet werden.

So gut diese Aktion im eigentlichen Sinne ist, ich frage mich dabei aber vor allem anderen warum Ebay die Passwörter seiner Nutzer offenbar im Klartext und nicht verschlüsselt abspeichert. Dies sollte doch der erste Schritt zu mehr Sicherheit sein und ist nicht nur nett sondern notwendig.

Hätte Ebay die Passwörter verschlüsselt abgelegt, so könnte man nicht jetzt herausfinden, welche Passwörter unsicher sind, da man anhand der abgespeicherten Informationen nicht auf das ursprüngliche Passwort schließen können darf. Daher liegt der Verdacht sehr nahe, daß hier sensible Informationen unverschlüsselt in einer Datenbank liegen, die auch mit Sicherheit jemand auslesen kann.

Wenn das mal niemand in den nächsten Tagen zum gezielten Phishing ausnutzt, das ist quasi ne Steilvorlage direkt von Ebay.

This entry was posted by Marco Gabriel on Thursday, February 9. 2006 at 14:21. and is filed under Tech-O-Rama. You can leave a response, or trackback from your own blog.

Vote for articles fresher than 30 days!
Current karma: 5 of 5, 1 vote(s) 2789 hits
Defined tags for this entry: , ,
Related entries by tags:
Google Chrome
Erschreckend
djangobuch.de gestartet
Canon 300D
Entwickler gesucht
Django Buch
Im Web suchen mit Ms. Dewey
Typographie für Webentwickler
Alte Bilder aus Paris
Django - ein Python Web Framework (künftig) genauer betrachtet

Comments

Display comments as (Linear | Threaded)

  1. Jochen says:
    #1 2006-02-09 17:29 (Reply)

    Flcsah ;-) Auch wenn eBay die Passwoerter z.B. als MD5-Hash gespeichert hat, koennen sie einfach alle moeglichen unsicheren Klartextpasswoerter einmal verschluesseln und mit den gespeicherten Hashes vergleichen.

  2. Marco says:
    #1.1 2006-02-09 20:00 (Reply)

    da ebay aber nicht zwischen groß und kleinschreibung beim passwort unterscheidet, der md5 string sich aber dadurch ändert, kämen schon ein paar mehr möglichkeiten raus. wenn sie denn überhaupt md5 einsetzen würden, was man ja nicht weiss... uNsIcHeReS pAsSwOrT . klar, brute force würde immer noch gehen, nur eben länger dauern. ansonsten könnte es theoretisch noch sein, dass bei einem unsicheren passwort zufällig der gleiche md5-hash entsteht wie bei einem sicheren passwort. ..ich sag ja: theoretisch... :-) also wenn über md5, dann als dict-attacke.

  3. Jens says:
    #2 2006-07-29 19:00 (Reply)

    ja, rainbow tables waren da wahrscheinlich die lösung....


Add Comment


Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

You can use [geshi lang=lang_name [,ln={y|n}]][/lang] tags to embed source code snippets
BBCode format allowed