Sind WordPress-Passwörter nicht gehasht?

Was beim Anmeldern hier bei wordpress.com sofort auffällt: Das eingegebene Passwort wird unverschlüsselt – also im Klartext – noch einmal groß auf dem Monitor angezeigt und dann noch per E-Mail zugeschickt. Ebenfalls unverschlüsselt. Ersteres ist nicht nur ein Problem, weil hinter mir ein Glasschrank steht, sondern weil “unethische Hacker” bzw. Cracker dadurch vielleicht leichtes Spiel haben. Warum erklärt dieser Artikel.

Bei Diensten mit Anmeldung, wie etwa hier wordpress.com, muss logischerweise eine Datenbank im Hintergrund ackern. Üblicher Weise werden Passwörter in Form von gesalzenen Hashes (salted Hash) in diesen Datenbanken abgelegt. Der Vorteil liegt auf der Hand: Der Benutzer gibt sein Passwort zum Anmelden in ein Forumlar ein. Dann wird es per definiertem Hash und Salt umgewandelt und es sollte die in der Datenbank stehende Zeichenkette herauskommen. Das ist übrigens auch der Grund dafür, warum viele Foren einem ein vergessenes Passwort nicht wieder zuschicken können – es handelt sich ja um nicht umkehrbare Funktionen!

Nun stelle man sich mal das Szenario vor, jemand gelangt an eine solche Datenbank – sei es halt ein großer Anbieter wie web.de, für unser Beispiel belanglos. Nun erhält der Dieb oder Einbrecher eine Datenbank mit vielen gehashten Kennworten. Er wird sich also nicht einloggen können, da er das Ursprungspasswort nicht herausfinden kann.

Datenbankansicht mit gehashtem Passwortfeld
Bild 1: Datenbankansicht mit gehashtem Passwortfeld

Da WordPress mir mein Passwort anzeigen und zuschicken kann, muss es mindestens kurzzeitig, wenn nicht dauerhaft im Klartext in der Datenbank stehen. Die Folge: Der Dieb kommt an die Datenbank, sieht (m)ein Passwort, loggt sich mit meinem Benutzernamen ein – steht ja i.d.R. praktischerweise daneben – und kann unter meinem Namen Schindluder treiben.

Das macht mir irgendwie Angst. Hat jemand eine Idee, wie es hier wirklich ist? Das darf doch bei einem solch großen Anbieter nicht sein! Wobei… selbst MySpace ist zumindest etwas ähnliches passiert. Da bringt es auch nichts, dass die Passwörter gut waren. Prinzipiell sollte aber jeder Dienst, und jedes Loginformular kritisch beliebäugelt werden. Vor allem dann, wenn man sich das Passwort im Klartext zuschicken lassen kann. Wird bekannt, das so ein Dienst kompromittiert wird: Erstellt euch ein gutes neues Passwort! Und ſeid wachſam!

Über Benjamin Marwell

Hallo, mein Name ist und ich bin Wirtschaftsinformatiker. In meiner Freizeit bin ich Musiker, Ruderer und enthusiastischer Android- und Linux-Nutzer. Meine Interessen liegen daher vor allem im Bereich Open Source-Software, aber auch im Bereich Webentwicklung.

Kommentare

4 Kommentare zu “Sind WordPress-Passwörter nicht gehasht?

  1. Ziemlich nett dein Artikel. Es gibt wirklich einige Dienste bei denen mir schon das Passwort wieder Klartext zurück geschickt wurde. War mir bis eben auch nicht bewusst. Aber jetzt weiß ich es, vor allem für Websiten die mache ist es natürlich von Bedeutung aber bei mir werden sie sofort verschlüsselt in die Datenbank geschrieben.
    Weiter so !

    • Ja, es gibt da so einige. Leider habe ich vergessen welche, aber ein paar Boards (bzw. Foren) machen das heute noch so. Darum melde ich mich immer erst mit meinem alten, nicht ganz so sicheren Passwort an, und schaue dann, ob es über “Passwort vergessen” zugeschickt wird. Im Idealfall wird nur angeboten, ein neues zu erstellen.

  2. Wenn du dich dann mit dienem “alten, nicht ganz so sicheren Passwort” anmeldest, verrät mir das, dass du Passwörter mehrfach und ggf. sogar bei mehreren Diensten benutzt.

    Das ist vom Sicherheitslevel 100mal gefährlicher als ein Passwort unverschlüsselt zu speichern, denn auch ein perfekt ge-hash-tes Passwort kann beim Login selbst noch vom Hacker abgefangen werden. Bei einem absolut einmaliges Passwort je Dienst kann der Hacker jedoch mit deinem Account nur kompromitieren, was er eh schon unter Kontrolle hat (nämlich einen Dienst).

    Programme wie Keepass helfen dir dabei, gibt es für Linux und Windows und speichert selbst verschlüsselt ab.

    • Hi, danke für deinen Kommentar.

      Es geht darum, dass ich mich bei Diensten erst mit einem einfachen Passwort anmelde, welches ich sonst nicht mehr benutze. Dann lass ich es mir zuschicken. Falls das nicht geht (was der Normalfall sein sollte), änder ich es auf ein sicheres (s.o.). Sonst wär ja das, was ich im Artikel geschrieben habe, ad absurdum geführt.
      Unsicherer halte ich es, sich überall sofort mit seinem sicheren Passwort anzumelden. Ein Dieb sieht es, wenn er es abfängt. Erkennt er das Schema, ist es aus.

      Keeppass kenne ich nicht, Firefox speichert die Passwörter schließlich auch. Unsicherer ist das nicht: In jedem Fall müsste ein Angreifer ja auf meinem System sein – und dann wäre es eh zu spät.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Loading Facebook Comments ...
Loading Disqus Comments ...

No Trackbacks.