Schwedischer Kennwortskandal

Bei dem bislang wohl größten Sicherheitsverstoß in Schweden, der nicht die Form einer Parlamentsentscheidung daherkam, sickerten 93.678 Kombinationen aus Kennwort und E-Mail-Adresse in die Öffentlichkeit durch. Betroffen sind die Benutzerkonten sämtlicher Top-Journalisten, -Politiker und -Blogger in Schweden.

Rick Falkvinge schreibt im Artikel OMGWTF: Passwords of 93,000 Politicians, Reporters, Bloggers Leaked über diesen Skandal, der möglicherweise der größten ist, den es in Nordeuropa jemals gegeben hat, und wendet sich dann der Frage zu, welche Lehren aus ihm zu ziehen sind.

Es sind zwar augenscheinlich nicht die Kennwörter selbst sondern nur die (mit einem nicht umkehrbaren Verfahren bestimmten) MD5-Prüfsummen bekannt geworden, mit denen diese Kennwörter verglichen werden, doch öffnet das Bekanntwerden einem Wörterbuchangriff Tor und Tür, bei dem spezielle Programmen wie z.B. John the Ripper schneller Folge die Prüfsummen vermuteter Kennwörter bestimmt und mit der vorliegenden Prüfsumme vergleicht.

Abhängig davon, wie schlecht Kennwörter gewählt sind und wie gut das Wörterbuch ist, kann man bereits mit dieser Methode einen erheblichen Teil der Kennwörter herausfinden, ohne mit brutaler Gewalt sämtliche Möglichkeiten durchzuprobieren. Die zentralen Verschlüsselungsfunktionen sind dabei teilweise in händisch hoch optimierter Maschinensprache kodiert, um die maximal mögliche Verarbeitungsgeschwindigkeit aus der vorhandenen Hardware herauszuholen.

Ehe seltsame Verdächtigungen aufkommen: Ich habe John the Ripper aus legitimen Gründen eingesetzt, Ziel war es, die Benutzer eines Universitäts-Computerraums zur Wahl sicherer Kennwörter zu erziehen. Da Ermahnungen nichts fruchteten, wurden alle neuen Kennwörter der Analyse durch John the Ripper unterworfen und bei gefundenen Kennwörtern der Account so lange gesperrt bis der Benutzer persönlich erschien um ein neues Kennwort einzugeben. Hintergrund war ein vorher erfolger Hackerangriff, bei dem ohne ein Backup sämtliche Daten vernichtet gewesen wären.