Viren, Spyware, Datenschutz 11.212 Themen, 94.141 Beiträge

Verfolgung starten Optionen
News: "welkom01"

Dämliches Standardpasswort verursachte Megaloch in Niederlanden

Michael Nickles / 72 Antworten / Flachansicht Nickles

Eine recht dämliche hausgemachte Sicherheitslücke wurde beim niederländischen Internetanbieter KPN entdeckt. Der Benutzername der ADSL-Kunden war laut Bericht von Activepolitic sehr simpel zu erraten, weil er sich einfach aus dem Namen der Kunden, ihrer Postleitzahl und dem Straßennahmen zusammensetzte.

Garniert wurde das dann mit dem standardmäßigen Passwort "welkom01". Dieses Passwort hat KPN natürlich nur als Standardpasswort eingerichtet, die Kunden konnten das online bei ihren Einstellungen nach Belieben ändern.

Allerdings waren wohl geschätzt 140.000 Kunden zu faul dazu es zu ändern. Selbst Laien-Hacker hatten also exzellente Chancen, die Zugangsdaten von KPN-Kunden zu "knacken". Erfreulicherweise ist die Geschichte aber wohl noch mal gut ausgegangen und es ist kein Vorfall eines Missbrauchs bekannt geworden. So sagt es zumindest KPN.

Tatsächlich hätten Hacker problemlos auch die Bankkonten- und Kreditkartennummern der KPN-Kunden abgreifen können. Es bleibt also nur zu hoffen, dass diese Geschichte nicht noch ein schmutziges Nachspiel hat. Peinlich ist gewiss auch, dass KPN das mit dem billigen "welkom01"-Passwort laut Bericht von Telecompaper Jahre lang praktiziert hat.

Auch wurden die Kunden wohl auch nicht mit irgendeinem Mechanismus dazu gezwungen, ein anderes Passwort zu vergeben. Inzwischen gibt es eine Pressemitteilung von KPN. Darin wird mitgeteilt, dass 120.000 der 180.000 Kunden ihr Passwort nicht geändert hatten. Und jetzt nach Bekanntwerden der Sache, gibt es immer noch 20.000, die auf "welkom01" vertrauen.

Inzwischen werden wohl alle betroffenen Kunden dazu "gezwungen" ein eigenes Passwort zu vergeben.

Michael Nickles meint: Nein. Die Kunden waren nicht zu dumm. Die Arschkarte geht an KPN. Jeder ernstzunehmende Anbieter MUSS davon ausgehen, dass Kunden zu faul oder zu "dumm" zum Ändern von Passwörtern sind.

Und man muss die Menschen verstehen. Ich krieg schon immer das Kotzen, wenn irgendwelche Sicherheitsexperten (Trottel) "Tipps" zu "perfekten Passwörtern" geben. Das perfekte Passwort sollte möglicht lang und total verworren sein, Buchstaben, Ziffern und Sonderzeichen enthalten.

Perfekt wäre beispielsweise: "K65ö_ß=_rVli#4ü2". Natürlich darf man das perfekte Passwort auf keinen Fall irgendwo aufschreiben - man muss es im Kopf behalten. Und: für jede Webseite sollte man unbedingt ein eigenes dreckskompliziertes Passwort verwenden.

Selbst ein durchschnittlicher Mensch, muss inzwischen zig Passwörter und Codes im Kopf haben. Die Geheimzahl von der Bankkarte und die vom Handy sind da noch "Gimmicks". Und im Web muss man für fast jeden Dreck einen Account einrichten. Ja, es gibt schon lange "universelle" Login-Mechanismen. Aber davon leider zu viele und sie funktionieren auch jeweils nur mit bestimmten Webseiten. Irgendwas läuft da komplett schief.

bei Antwort benachrichtigen
Du sprichst ein interessantes und sehr wichtiges Problem an,... mawe2
Und du glaubst, das wird dann sicher genug sein? Weil man... IRON67
Das weiß ich auch nicht. Wenigstens ist dies nicht von der... mawe2
Ja. Das, was schief läuft, nennt sich allgemein Mensch bzw.... IRON67
Mit Bequemlichkeit hat das nichts zu tun. Das menschliche... mawe2
Die immer wieder auftauchenden Meldungen über gehackte... IRON67
Wenn jemand einen einzigen Account hat und dafür ein... mawe2
Naja aber das ist ja auch wieder ein Streitpunkt... robinx99
Wenn ich schreibe meine ich natürlich das PW selbst und... IRON67
Ich meinte jetzt eigentlich wirklich den Kompletten Satz "Der... robinx99
Mir ist ehrlich gesagt kein Beispiel bekannt, wo man derart... Olaf19
Also das sind doch gerade mal 26 zeichen. Zumindest mein GMX... robinx99
Eben :-) Das Passwort mit den 26 Zeichen passt da schon... Olaf19
Ich bekomme bei meiner Bank das Datum und die Uhrzeit meines... mawe2
Stimmt, das macht die Sparda auch so - gerade einmal... Olaf19
doch passt rein (auch wenn meines kürzer ist) hab gerade mal... robinx99
Das mit dem Passwortwechseln hab ich nie verstanden. Warum... Lütke
Nicht das Passwort wird dadurch sicherer, sondern das... IRON67
Das stimmt schon. Aber wenn man nicht wirklich JEDEN Tag ALLE... Lütke
Von täglichem Wechsel kann doch keine Rede sein. Das wäre... IRON67
OK, seh ich ein, ein Restrisiko bleibt jedoch (für den... Lütke
Kein Mensch ist in der Lage, sich für mehrere... Olaf19
Ich nutze für jeden Zugang ein eigenes, möglichst langes... Ventox
Und wie loggst Du Dich bei den jeweiligen Diensten ein, wenn... mawe2
Warum sollte ich das tun? Das Hauptkennwort befindet sich... Ventox
Also jemand klaut (z.B.) Deinen Rechner. Dann müsstest Du... mawe2
Ich kaufe mir einen neuen Rechner, installiere dort den... Ventox
An sowas ähnliches dachte ich auch schon. Aber IRON schrieb... mawe2
Dort wird es ganz gut erklärt:... Ventox
Vielleicht liegt es an der fortgeschrittenen Uhrzeit, aber da... Olaf19
Er müsste dafür wissen, wo ich überall einen Zugang habe,... Ventox
Ok, das kann man aus diversen Informationen (auch aus... mawe2
Amazon und ebay sind leicht zu erraten, Sparda-Bank und... Olaf19
Also das Programm speichert die einzelnen Passwörter gar... mawe2
Wenn ich es mal brauchen sollte, mich von einem anderen... Ventox
OK, das ist immer noch ein ganz gutes Mittel. mawe2
Seit ein Account von mir mal gehackt wurde und ich zu der... celsius
Nicht das erste mal, dass KPN Probleme mit der Sicherheit... mi~we
Alternativ kann man sich auch mit dem neuen Ausweis online... torsten40
Wir meinen schon sichere Alternativen. Was nützt es, die... mawe2
Weiter oben steht, es gibt keinerlei alternativen, und diese... torsten40
Also für mich ist das keineswegs irrelevant! Außerdem geht... mawe2
Es geht um Zugangsdaten zum Internetprovider. Quasi die... torsten40
OK, hatte ich falsch verstanden. Zumindest geht es bei der... mawe2
Ich weiss wohl was du mir sagen willst. Mit dem Routerpw... torsten40
Ich habe für beide Seiten wenig Verständnis. Als ich bei... Olaf19
Für den, der sich für sowas interessiert. Leider ja. Frag... IRON67
Ganz ehrlich: um das richtig befriedigend erklären zu... Olaf19
Et tu, brute! Und beim Rest isset noch viel schlümma.... IRON67
Nun ja - hätte durchaus schlimmer kommen können:... Olaf19
Ja, ganz toll, wenn man dann noch berücksichtigt. das KPN... Fridi1
Lang? Ja, auf jeden Fall. Verworren und komplex? Nein.... the_mic
Das verlinkte Comic ist interessant... klar, für einen... Olaf19
Nun, zu oft lassen sich passwords und besonders PINs gar... connexione
Bei uns alle 10 Wochen, und wieder verwenden darf man ein... Olaf19
"..das gleiche Paßwort zu vergeben.." Erinnert an Windows ab... Xdata
Naja, Windows stellt es dem User frei, ob er sein Passwort... Olaf19
Das erste, was ich in meiner neuen Wohnung gemacht hatte,... Ventox
Moin moin Zumindest ist es eine gute Einstellung, wenn der... Fridi1
Naja das Sperren von Accounts, auch wenn es nur zeitweise... robinx99
Nun, man könnte ja die Zahl der Fehlversuche auf einen... Xdata
Wenn Du einfach die Liste der 1000 beliebtesten Passwörtern... Borlander
robinx99 Xdata „Nun, man könnte ja die Zahl der Fehlversuche auf einen...“
Optionen

Das Problem bleibt aber. Bestehen man kann nach wie vor Fremde Accounts sperren. Ob es jetzt 10 oder 1000 Fehlversuche sind. Bei Email Anbietern ist der Benutzername meistens identisch mit der Email Adresse also ist der nicht geheim und auch wenn ich dass Passwort nicht kenne brauche ich dann nur x Fehlversuche und der rechtmäßige Besitzer kommt auch nicht mehr rein.
Man kann den Ganzen Spass verlangsamen, z.B.: nur 10 Versuche pro Stunde pro IP. Aber da man die IP Adressen wechseln kann bzw. Botnetze Viele IP Adressen haben kann man da nicht wirklich einen Brauchbaren Schutz haben. Außer man sorgt auch noch dafür dass der Benutzername auch noch geheim ist. Also mehr wie verlangsamen klappt da meiner Meinung nach nicht. Aber selbst wenn es auf 1000 Versuche pro Stunde gesenkt wird dürfte ein gutes Passwort >8 Zeichen wohl Praktisch nicht Knackbar sein, wenn dass Passwort nicht in einem Wörterbuch zu finden ist.

bei Antwort benachrichtigen
Oder man schickt nach mehreren erfolglosen Anmeldeversuchen... Ventox
Naja zumindest für Email Anbieter unpraktisch, da dort im... robinx99
Wieso Brief? Eine Mail an die betreffende E-Mail Adresse, auf... Ventox
Ja Moment es war davon die rede Konten zu sperren und du hast... robinx99
Stimmt, da ist was dran. Da ich noch nie das Problem hatte,... Ventox
Man sieht, das Problem ist im praktischen Betrieb oder... Xdata
Also gehackt wurde ich auch noch nicht, mein Email Passwort... robinx99
Das hier könnte dich interessieren... IRON67
Ich sage Relativ sicher nicht Perfekt sicher. Aber zumindest... robinx99