Sony läd Hacker ein

Fehlerhafte Passwortstärke-Bestimmung bei Sony-Community

Beim Registrieren auf der Community-Seite von Sony muss man sich ein Passwort ausdenken. Ich benutze für solche Zwecke einen Passwort-Generator und verwende für unterschiedliche Logins unterschiedliche Passworte in unterschiedlichen Längen. Je größer der Zeichenvorat eines für Passworte zu verwendenen Alphabets, desto mehr Möglichkeiten gibt es, ein Passwort zu generieren und so gleichsam aufwändiger ist es für Hacker ein Passwort zu erraten (üblicherweise lexikalische Begriff, wie Lieblingsmaler usw.) oder durch Permutation (Kombinatorik) zu ermitteln.

Bei Sony wurden folgende Passworte als schwach eingestuf: r2c^:?0a<rYZ2Iko$eup0H!¤ÔyÏñUÂß4®* und /<D.?x[A)Z){S&eGYVt)HR|$~[q<V$xCJz?W und die weitere Registrierung wurde automatisch unterbunden. Als stark eingestuft, wurden die von der Sony-Seite selbst generierten nur 15 Zeichen langen Passworte, wie diesem: 76rZ8F4Q6nKzezN. Es hat gegenüber den obigen einen sehr eingeschränkten Zeichensatz; nur große und kleine Buchstaben, sowie Ziffern, aber keine Sonderzeichen. Damit ist der Zeichenvorrat auf a-z (26 Zeichen) und A-Z (26 Zeichen) und 0-9 (10 Zeichen) auf 62 Zeichen begrenzt. Mit Einbeziehung von Sonderzeichen wären es erheblich mehr mögliche Zeichen und somit sehr viel schwerer, bzw. technisch aufwändiger, Passworte zu erraten oder durchzuprobieren.

Ich denke, nach eingen Fehlversuchen, werden die meisten Nutzer der Sony Communityseiten, wenn sie es nicht von vorn herein gewählt haben, ein von der Sony-Seite erzeugtes primitives Passwort mit 15 Zeichen wählen, weil es einfach furchbar nervt, wenn es nicht voran geht.

Ich kann nur jedem empfehlen, einen Paswort-Manager zu benutzen und Passworte gelegentlich zu ändern. Leider gibt es immer noch Seiten, welche die Länge von Passworten zu sehr begrenzen. Sony begrenzt auf 30 Zeichen, ich habe schon kürzere Vorgaben gesehen. Die Einschränkung des nutzbaren Alphabets auf ANSI-Buchstaben (also ohne ß und Umlaute) und Ziffern ist in meinen Augen ein schwerer Sicherheitsfehler.

Hacker sind heute nicht mehr nur Nerds und Skript-Kiddies. China, Russland und sicher auch sogenannte westliche Geheimdienste betreiben Hacking hochprofessionell mit hohem technischen Potential. Da kann sich niemand schwache Passworte leisten. Zu oft mussten Unternehmen, mitteilen, dass ihre Seiten gehackt wurden. Darunter Zeiss und Save-TV (zwei Unternehmen, bei denen ich einen Account besitze). Weitere gingen durch die Presse. Wann folgt Sony?

Ergänzung: Telekom Magenta Cloud. Max. 16 Zeichen a-z (26 Zeichen), A-Z (26 Zeichen), 0-9 (10 Zeichen) und !#$%&()*+-./<=>?@[]_{|}~ (24 Zeichen) macht einen Zeichenvorat von 86 Zeichen. Damit geringfügig besser als bei Sony Community.