Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

News: "welkom01"

Dämliches Standardpasswort verursachte Megaloch in Niederlanden

Michael Nickles am 06.07.2012, 00:50 / 72 Antworten / Flachansicht

Eine recht dämliche hausgemachte Sicherheitslücke wurde beim niederländischen Internetanbieter KPN entdeckt. Der Benutzername der ADSL-Kunden war laut Bericht von Activepolitic sehr simpel zu erraten, weil er sich einfach aus dem Namen der Kunden, ihrer Postleitzahl und dem Straßennahmen zusammensetzte.

Garniert wurde das dann mit dem standardmäßigen Passwort "welkom01". Dieses Passwort hat KPN natürlich nur als Standardpasswort eingerichtet, die Kunden konnten das online bei ihren Einstellungen nach Belieben ändern.

Allerdings waren wohl geschätzt 140.000 Kunden zu faul dazu es zu ändern. Selbst Laien-Hacker hatten also exzellente Chancen, die Zugangsdaten von KPN-Kunden zu "knacken". Erfreulicherweise ist die Geschichte aber wohl noch mal gut ausgegangen und es ist kein Vorfall eines Missbrauchs bekannt geworden. So sagt es zumindest KPN.

Tatsächlich hätten Hacker problemlos auch die Bankkonten- und Kreditkartennummern der KPN-Kunden abgreifen können. Es bleibt also nur zu hoffen, dass diese Geschichte nicht noch ein schmutziges Nachspiel hat. Peinlich ist gewiss auch, dass KPN das mit dem billigen "welkom01"-Passwort laut Bericht von Telecompaper Jahre lang praktiziert hat.

Auch wurden die Kunden wohl auch nicht mit irgendeinem Mechanismus dazu gezwungen, ein anderes Passwort zu vergeben. Inzwischen gibt es eine Pressemitteilung von KPN. Darin wird mitgeteilt, dass 120.000 der 180.000 Kunden ihr Passwort nicht geändert hatten. Und jetzt nach Bekanntwerden der Sache, gibt es immer noch 20.000, die auf "welkom01" vertrauen.

Inzwischen werden wohl alle betroffenen Kunden dazu "gezwungen" ein eigenes Passwort zu vergeben.

Michael Nickles meint: Nein. Die Kunden waren nicht zu dumm. Die Arschkarte geht an KPN. Jeder ernstzunehmende Anbieter MUSS davon ausgehen, dass Kunden zu faul oder zu "dumm" zum Ändern von Passwörtern sind.

Und man muss die Menschen verstehen. Ich krieg schon immer das Kotzen, wenn irgendwelche Sicherheitsexperten (Trottel) "Tipps" zu "perfekten Passwörtern" geben. Das perfekte Passwort sollte möglicht lang und total verworren sein, Buchstaben, Ziffern und Sonderzeichen enthalten.

Perfekt wäre beispielsweise: "K65ö_ß=_rVli#4ü2". Natürlich darf man das perfekte Passwort auf keinen Fall irgendwo aufschreiben - man muss es im Kopf behalten. Und: für jede Webseite sollte man unbedingt ein eigenes dreckskompliziertes Passwort verwenden.

Selbst ein durchschnittlicher Mensch, muss inzwischen zig Passwörter und Codes im Kopf haben. Die Geheimzahl von der Bankkarte und die vom Handy sind da noch "Gimmicks". Und im Web muss man für fast jeden Dreck einen Account einrichten. Ja, es gibt schon lange "universelle" Login-Mechanismen. Aber davon leider zu viele und sie funktionieren auch jeweils nur mit bestimmten Webseiten. Irgendwas läuft da komplett schief.

Du sprichst ein interessantes und sehr wichtiges Problem an,... mawe2 06.07.2012, 11:27

Und du glaubst, das wird dann sicher genug sein? Weil man... IRON67 06.07.2012, 13:17

Das weiß ich auch nicht. Wenigstens ist dies nicht von der... mawe2 06.07.2012, 14:48

Ja. Das, was schief läuft, nennt sich allgemein Mensch bzw.... IRON67 06.07.2012, 12:01

Mit Bequemlichkeit hat das nichts zu tun. Das menschliche... mawe2 06.07.2012, 12:15

Die immer wieder auftauchenden Meldungen über gehackte... IRON67 06.07.2012, 13:12

Wenn jemand einen einzigen Account hat und dafür ein... mawe2 06.07.2012, 13:50

Naja aber das ist ja auch wieder ein Streitpunkt... robinx99 07.07.2012, 07:22

Wenn ich schreibe meine ich natürlich das PW selbst und... IRON67 07.07.2012, 10:23

Ich meinte jetzt eigentlich wirklich den Kompletten Satz "Der... robinx99 07.07.2012, 11:24

Mir ist ehrlich gesagt kein Beispiel bekannt, wo man derart... Olaf19 07.07.2012, 13:48

Also das sind doch gerade mal 26 zeichen. Zumindest mein GMX... robinx99 07.07.2012, 14:20

Eben :-) Das Passwort mit den 26 Zeichen passt da schon... Olaf19 07.07.2012, 14:53

Ich bekomme bei meiner Bank das Datum und die Uhrzeit meines... mawe2 07.07.2012, 15:00

Stimmt, das macht die Sparda auch so - gerade einmal... Olaf19 07.07.2012, 15:23

doch passt rein (auch wenn meines kürzer ist) hab gerade mal... robinx99 07.07.2012, 15:06

Das mit dem Passwortwechseln hab ich nie verstanden. Warum... Lütke 06.07.2012, 12:20

Nicht das Passwort wird dadurch sicherer, sondern das... IRON67 06.07.2012, 13:03

Das stimmt schon. Aber wenn man nicht wirklich JEDEN Tag ALLE... Lütke 06.07.2012, 13:22

Von täglichem Wechsel kann doch keine Rede sein. Das wäre... IRON67 06.07.2012, 14:05

OK, seh ich ein, ein Restrisiko bleibt jedoch (für den... Lütke 06.07.2012, 19:36

Kein Mensch ist in der Lage, sich für mehrere... Olaf19 06.07.2012, 15:57

Ich nutze für jeden Zugang ein eigenes, möglichst langes... Ventox 06.07.2012, 12:36

Und wie loggst Du Dich bei den jeweiligen Diensten ein, wenn... mawe2 06.07.2012, 18:12

Warum sollte ich das tun? Das Hauptkennwort befindet sich... Ventox 06.07.2012, 18:56

Also jemand klaut (z.B.) Deinen Rechner. Dann müsstest Du... mawe2 06.07.2012, 19:17

Ich kaufe mir einen neuen Rechner, installiere dort den... Ventox 06.07.2012, 19:28

An sowas ähnliches dachte ich auch schon. Aber IRON schrieb... mawe2 06.07.2012, 19:48

Dort wird es ganz gut erklärt:... Ventox 06.07.2012, 22:44

Vielleicht liegt es an der fortgeschrittenen Uhrzeit, aber da... Olaf19 07.07.2012, 01:36

Er müsste dafür wissen, wo ich überall einen Zugang habe,... Ventox 07.07.2012, 15:34

Ok, das kann man aus diversen Informationen (auch aus... mawe2 07.07.2012, 15:49

Amazon und ebay sind leicht zu erraten, Sparda-Bank und... Olaf19 07.07.2012, 22:42

Also das Programm speichert die einzelnen Passwörter gar... mawe2 07.07.2012, 14:34

Wenn ich es mal brauchen sollte, mich von einem anderen... Ventox 07.07.2012, 15:57

OK, das ist immer noch ein ganz gutes Mittel. mawe2 07.07.2012, 16:00

Seit ein Account von mir mal gehackt wurde und ich zu der... celsius 06.07.2012, 12:49

Nicht das erste mal, dass KPN Probleme mit der Sicherheit... mi~we 06.07.2012, 13:28

Alternativ kann man sich auch mit dem neuen Ausweis online... torsten40 06.07.2012, 13:58

Wir meinen schon sichere Alternativen. Was nützt es, die... mawe2 06.07.2012, 14:18

Weiter oben steht, es gibt keinerlei alternativen, und diese... torsten40 06.07.2012, 14:24

Also für mich ist das keineswegs irrelevant! Außerdem geht... mawe2 06.07.2012, 14:33

Es geht um Zugangsdaten zum Internetprovider. Quasi die... torsten40 06.07.2012, 14:42

OK, hatte ich falsch verstanden. Zumindest geht es bei der... mawe2 06.07.2012, 14:51

Ich weiss wohl was du mir sagen willst. Mit dem Routerpw... torsten40 06.07.2012, 15:26

Ich habe für beide Seiten wenig Verständnis. Als ich bei... Olaf19 06.07.2012, 16:05

Für den, der sich für sowas interessiert. Leider ja. Frag... IRON67 06.07.2012, 16:12

Ganz ehrlich: um das richtig befriedigend erklären zu... Olaf19 06.07.2012, 16:44

Et tu, brute! Und beim Rest isset noch viel schlümma.... IRON67 06.07.2012, 17:30

Nun ja - hätte durchaus schlimmer kommen können:... Olaf19 07.07.2012, 01:30

Ja, ganz toll, wenn man dann noch berücksichtigt. das KPN... Fridi1 06.07.2012, 22:31

Lang? Ja, auf jeden Fall. Verworren und komplex? Nein.... the_mic 07.07.2012, 09:47

Olaf19

the_mic „Lang? Ja, auf jeden Fall. Verworren und komplex? Nein....“

07.07.2012, 13:58 Optionen

Das verlinkte Comic ist interessant... klar, für einen Brute-Force-Algorithmus, der einfach Trilliarden Zeichenkombinationen durchtackert, ist es egal, ob da etwas Sinnvolles steht oder nur wirrer Zeichensalat. Die Idee hinter den komplexen Passwörtern ist aber, dass kein anderer Mensch sie erraten kann, und das halte ich schon für sinnvoll.

Weiterhin könnte man die Brute-Force-Algorithmen so optimieren, dass sie am Anfang lediglich die Kombinationen checken, die nur aus Buchstaben bestehen und erst später die Satz- und Sonderzeichen. Dann wäre das CorrectHorse... schon viel früher an der Reihe.

Was die Länge angeht - wie ich weiter oben schon schrieb, darauf hat man keinen Einfluss, wenn man großes Glück hat 16 Zeichen, oft sind es aber nur 8.

CU
Olaf

Nun, zu oft lassen sich passwords und besonders PINs gar... connexione 07.07.2012, 12:43

Bei uns alle 10 Wochen, und wieder verwenden darf man ein... Olaf19 07.07.2012, 14:04

"..das gleiche Paßwort zu vergeben.." Erinnert an Windows ab... Xdata 07.07.2012, 17:28

Naja, Windows stellt es dem User frei, ob er sein Passwort... Olaf19 07.07.2012, 22:37

Das erste, was ich in meiner neuen Wohnung gemacht hatte,... Ventox 07.07.2012, 19:46

Moin moin Zumindest ist es eine gute Einstellung, wenn der... Fridi1 08.07.2012, 16:45

Naja das Sperren von Accounts, auch wenn es nur zeitweise... robinx99 08.07.2012, 16:52

Nun, man könnte ja die Zahl der Fehlversuche auf einen... Xdata 10.07.2012, 19:33

Wenn Du einfach die Liste der 1000 beliebtesten Passwörtern... Borlander 10.07.2012, 19:44

Das Problem bleibt aber. Bestehen man kann nach wie vor... robinx99 11.07.2012, 10:50

Oder man schickt nach mehreren erfolglosen Anmeldeversuchen... Ventox 11.07.2012, 16:36

Naja zumindest für Email Anbieter unpraktisch, da dort im... robinx99 11.07.2012, 16:49

Wieso Brief? Eine Mail an die betreffende E-Mail Adresse, auf... Ventox 11.07.2012, 17:18

Ja Moment es war davon die rede Konten zu sperren und du hast... robinx99 11.07.2012, 17:24

Stimmt, da ist was dran. Da ich noch nie das Problem hatte,... Ventox 11.07.2012, 17:41

Man sieht, das Problem ist im praktischen Betrieb oder... Xdata 11.07.2012, 19:18

Also gehackt wurde ich auch noch nicht, mein Email Passwort... robinx99 11.07.2012, 19:20

Das hier könnte dich interessieren... IRON67 11.07.2012, 19:23

Ich sage Relativ sicher nicht Perfekt sicher. Aber zumindest... robinx99 11.07.2012, 19:47