Skip to content

Ebay und die Sicherheit

Ebay ließ durch ein automatisiertes Programm die Sicherheit von Kundenpasswörtern überprüfen und schreibt derzeit die Kunden an, die nach Ebay-Meinung ein unsicheres Passwort verwenden.

Das Internet-Auktionshaus eBay fordert mehr als 100.000 deutsche Nutzer zur Wahl eines neuen Passworts auf. Eine Sicherheitssoftware habe anonym unsichere Zahlen- und Buchstabenkombinationen ermittelt, sagte eBay-Sprecherin Maike Fuest. Die betroffenen Mitglieder würden derzeit per automatisch generierter Mail angeschrieben. Ein neues Passwort muss dann über die offizielle eBay-Homepage eingerichtet werden.

So gut diese Aktion im eigentlichen Sinne ist, ich frage mich dabei aber vor allem anderen warum Ebay die Passwörter seiner Nutzer offenbar im Klartext und nicht verschlüsselt abspeichert. Dies sollte doch der erste Schritt zu mehr Sicherheit sein und ist nicht nur nett sondern notwendig.

Hätte Ebay die Passwörter verschlüsselt abgelegt, so könnte man nicht jetzt herausfinden, welche Passwörter unsicher sind, da man anhand der abgespeicherten Informationen nicht auf das ursprüngliche Passwort schließen können darf. Daher liegt der Verdacht sehr nahe, daß hier sensible Informationen unverschlüsselt in einer Datenbank liegen, die auch mit Sicherheit jemand auslesen kann.

Wenn das mal niemand in den nächsten Tagen zum gezielten Phishing ausnutzt, das ist quasi ne Steilvorlage direkt von Ebay.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

Jochen on :

Flcsah ;-) Auch wenn eBay die Passwoerter z.B. als MD5-Hash gespeichert hat, koennen sie einfach alle moeglichen unsicheren Klartextpasswoerter einmal verschluesseln und mit den gespeicherten Hashes vergleichen.

Marco on :

da ebay aber nicht zwischen groß und kleinschreibung beim passwort unterscheidet, der md5 string sich aber dadurch ändert, kämen schon ein paar mehr möglichkeiten raus. wenn sie denn überhaupt md5 einsetzen würden, was man ja nicht weiss... uNsIcHeReS pAsSwOrT . klar, brute force würde immer noch gehen, nur eben länger dauern. ansonsten könnte es theoretisch noch sein, dass bei einem unsicheren passwort zufällig der gleiche md5-hash entsteht wie bei einem sicheren passwort. ..ich sag ja: theoretisch... :-)
also wenn über md5, dann als dict-attacke.

Jens on :

ja, rainbow tables waren da wahrscheinlich die lösung....

Add Comment

Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.
BBCode format allowed
You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
Form options
tweetbackcheck cronjob