Passwort/Hashing Schwachstelle im Dienst Privacybox.de

Vor einigen Tagen machte ich die Privacy Foundation auf eine Schwachstelle im Dienst Privacybox.de aufmerksam. Ich stellte fest, dass ich mich mit verschiedenen Passwörtern in meinen neu erstellten Privacybox.de Account einloggen konnte.

Das Problem ist mittlerweile behoben, die German Privacy Foundation berichtet in ihrem Blog von den Details der Schwäche im Hashing der Passwörter:

Ein Nutzer unserer PrivacyBox hat bemerkt, dass nur die ersten acht Zeichen des Benutzer-Passwortes gespeichert wurden. Bei einem mehr als acht Zeichen langen Passwort war daher ein Login möglich, auch wenn die Eingabe bei den letzten Zeichen vom eigentlichen Passwort abwich. Ursache war die Verwendung des veralteten DES-Algorithmus bei der Erzeugung der Passwort-Hashes mit der Funktion crypt().

Mit anderen Worten:
Bei einem Passwort „computerhabenmitdemKnackenlangerPasswörterProbleme“ wurde der Hash des Passworts „computer“ gespeichert.

Wir sind uns bewusst, dass dieses Problem weder mit unseren eigenen noch den Sicherheitsansprüchen der PrivacyBox-Nutzer vereinbar ist.

Ja, das kann man so sagen. 😉

Ein Gedanke zu „Passwort/Hashing Schwachstelle im Dienst Privacybox.de“

Kommentar verfassen