Sony läd Hacker ein

Fehlerhafte Passwortstärke-Bestimmung bei Sony-Community

Beim Registrieren auf der Community-Seite von Sony muss man sich ein Passwort ausdenken. Ich benutze für solche Zwecke einen Passwort-Generator und verwende für unterschiedliche Logins unterschiedliche Passworte in unterschiedlichen Längen. Je größer der Zeichenvorat eines für Passworte zu verwendenen Alphabets, desto mehr Möglichkeiten gibt es, ein Passwort zu generieren und so gleichsam aufwändiger ist es für Hacker ein Passwort zu erraten (üblicherweise lexikalische Begriff, wie Lieblingsmaler usw.) oder durch Permutation (Kombinatorik) zu ermitteln.

Bei Sony wurden folgende Passworte als schwach eingestuf: r2c^:?0a<rYZ2Iko$eup0H!¤ÔyÏñUÂß4®* und /<D.?x[A)Z){S&eGYVt)HR|$~[q<V$xCJz?W und die weitere Registrierung wurde automatisch unterbunden. Als stark eingestuft, wurden die von der Sony-Seite selbst generierten nur 15 Zeichen langen Passworte, wie diesem: 76rZ8F4Q6nKzezN. Es hat gegenüber den obigen einen sehr eingeschränkten Zeichensatz; nur große und kleine Buchstaben, sowie Ziffern, aber keine Sonderzeichen. Damit ist der Zeichenvorrat auf a-z (26 Zeichen) und A-Z (26 Zeichen) und 0-9 (10 Zeichen) auf 62 Zeichen begrenzt. Mit Einbeziehung von Sonderzeichen wären es erheblich mehr mögliche Zeichen und somit sehr viel schwerer, bzw. technisch aufwändiger, Passworte zu erraten oder durchzuprobieren.

Ich denke, nach eingen Fehlversuchen, werden die meisten Nutzer der Sony Communityseiten, wenn sie es nicht von vorn herein gewählt haben, ein von der Sony-Seite erzeugtes primitives Passwort mit 15 Zeichen wählen, weil es einfach furchbar nervt, wenn es nicht voran geht.

Ich kann nur jedem empfehlen, einen Paswort-Manager zu benutzen und Passworte gelegentlich zu ändern. Leider gibt es immer noch Seiten, welche die Länge von Passworten zu sehr begrenzen. Sony begrenzt auf 30 Zeichen, ich habe schon kürzere Vorgaben gesehen. Die Einschränkung des nutzbaren Alphabets auf ANSI-Buchstaben (also ohne ß und Umlaute) und Ziffern ist in meinen Augen ein schwerer Sicherheitsfehler.

Hacker sind heute nicht mehr nur Nerds und Skript-Kiddies. China, Russland und sicher auch sogenannte westliche Geheimdienste betreiben Hacking hochprofessionell mit hohem technischen Potential. Da kann sich niemand schwache Passworte leisten. Zu oft mussten Unternehmen, mitteilen, dass ihre Seiten gehackt wurden. Darunter Zeiss und Save-TV (zwei Unternehmen, bei denen ich einen Account besitze). Weitere gingen durch die Presse. Wann folgt Sony?

Ergänzung: Telekom Magenta Cloud. Max. 16 Zeichen a-z (26 Zeichen), A-Z (26 Zeichen), 0-9 (10 Zeichen) und !#$%&()*+-./<=>?@[]_{|}~ (24 Zeichen) macht einen Zeichenvorat von 86 Zeichen. Damit geringfügig besser als bei Sony Community.

Big Brother – jetzt gratis aushorchen lassen

Da mein Lieblings-PDF-Reader, Foxit, bei PDFs von E-Mailangängen dauernd abstürzte und auch ein Update keine Besserung brachte, habe ich kürzlich wieder den Adobe PDF-Reader installiert. Ungefragt wurde gleich wieder ein Mac Affee-Virenscanner und ein Programm von Intel Namens “True key” installiert.

Nun habe ich mal nachgeschaut, was das eigentlich ist. Ganz toll! Nie wieder Passworte merken müssen! Das Programm ist kostenlos, Du meldest Dich künftig mit Deinem Gesicht, Deinem Fingerabdruck an! Das System lernt all Deine biometrischen Merkmale und vieles mehr, sowie alle Deine Geräte kennen! Das muss einen bei einer kostenlosen App doch stutzig machen. Wenn man bedenkt, dass die USA die Bilder der Hälfte ihrer Bürger ungefragt in eine Gesichtserkennungsdatenbank eingespeist hat (Heise News 20.10.2016), erscheint die Erfassung diverser biometrischer Merkmalen von Bürgern der ganzen Welt nur noch als logische Konsequenz. Wenn diese Daten vielleicht nicht unmittelbar an die NSA weiter gegeben werden, so kann man doch zumindest damit Geld verdienen oder diese zur Terrorabwehr beschlagnahmen lassen. Gretchenfrage: Wie viele Terroristen werden diese Software nutzen?

Immer wieder die selbe Lehre: Wer US-Firmen sein persönlichen Daten anvertraut, ist selber schuld. Oder ins gewissen zu reden: Passwörter sollen es gerade ermöglichen, seine Daten zu schützen. Wer darauf verzichtet, gibt diese Schutzmöglichkeit auf.