Password-Desaster bei LinkedIn
Reporter haben auf einem Server in Norwegen 6,5 Millionen Passwort-Hashes von dem Business-Netzwerk LinkedIn gefunden. Das entspricht etwa fünf Prozent der 150 Millionen Benutzer. Zwar sind die Passwörter einfach verschlüsselt (genauer gesagt „gehast“: eine Einweg-Verschlüsselung), jedoch fehlt bei der Verschlüsselung (Hash) das sog. „salt“ (engl. Salz). Ohne „Salz“ sind die Passwörter zwar verschlüsselt, jedoch kann anhand des Vergleichs des Schlüssels mit der Verschlüsselung aller möglichen Zeichenkombinationen das richtige unverschlüsselte Passwort herausgefunden werden.
Die Hashes wurden auf einer russischen Web-Seite gepostet mit der Bitte um Hilfe, diese gehashten Passwörter zu knacken. Von einigen Personen wurde bestätigt, dass die gefundenen Hashes auch wirklich deren Passwörtern zuzuordnen sind. Diese werden von ihnen auch nur bei LinkedIn verwendet.
LinkedIn:
We sincerely apologize for the inconvenience this has caused our members. We take the security of our members very seriously.
Naja, zumindest ab diesem Zeitpunkt, hoffentlich.
Artikel von SANS ISC Diary: 06.06.2012: Potential leak of 6.5+ million LinkedIn password hashes
Artikel von zdnet.com, 06.06.2012: LinkedIn password breach: How to tell if you’re affected