[LinuxOB] Wie sicher ist euer Passwort

[Rolf Kiessling]

Ich nehme unteren Artikel mal um ein Problem anzusprechen was nicht nur 
Linux betrifft.

Wie sicher sind EURE Passwörter ??

Vorweg.

Meine enthalten Sonderzeichen, sind länger als 10 Zeichen und keinen Teil 
meines oder irgendeinen aus meinem Bekanntenkreis.

Mit einer Ausßnahme (nämlich den Acount hier auf der LinuxOB) noch 
nichteinmal einen Bezug zu Perry Rhodan (hallo Michael)

Rolf

>Ulmer Sicherheitsexperten knacken dutzende eBay Accounts
>
>Der IT-Sicherheitsdienstleister und Penetrationstest-Experte IT.sec aus 
>Ulm hat mit einem Laptop und einem DSL-Anschluss in wenigen Stunden 
>dutzende von eBay Accounts geknackt und damit gezeigt, wie einfach es ist, 
>an Daten anderer eBay Mitglieder zu kommen.
>
>09.07.2004 - Der Diebstahl von Kontodaten und Identitäten aus eBay ist 
>möglich, wie die Ulmer Sicherheitsexperten von IT.sec herausfanden. Neben 
>der Offenlegung vertraulicher Daten wie Anschrift oder Kontodaten können 
>die ermittelten Informationen auch zu einem so genannten 
>"Identitäts-Diebstahl" herangezogen werden. Hierdurch können im Namen des 
>geschädigten Benutzers Käufe und Verkäufe durchgeführt werden. Ebenfalls 
>denkbar wäre auch das weitgehende Lahmlegen von eBay durch automatisiertes 
>Einkaufen mit gestohlenen Benutzerdaten.
>
>Man könnte zum Beispiel ein Robot- Programm losschicken, welches 
>Höchstgebote auf alles setzt, was ihm in die Quere kommt - natürlich in 
>fremdem Namen, so die Experten weiter.
>
>Auslöser des Versuchs war eine Mitgliedschaft einiger Mitarbeitern der 
>IT.sec, die sich Sorgen um die Sicherheit ihrer Daten machten. "Ein 
>Versuch lag da nahe", so Holger Heimann, Geschäftsführer des Unternehmens 
>und Lehrbeauftragter für "E-Commerce und IT-Sicherheit" an der 
>Fachhochschule Ulm: "Zwischen der Idee und der Umsetzung lag nur wenig 
>Aufwand. eBay hatte zwar einige Hürden eingebaut, diese konnten wir aber 
>erfolgreich umschiffen. Während eines Wochenendes war dann alles passiert."
>
>Über einen legalen eBay-Account wurde zunächst eine umfangreiche Liste von 
>eBay-Mitgliedesnamen erstellt. Dies wurde durch ein kleines Programm 
>ermöglicht, welches sich durch die eBay-ewertungen hangelte und so 
>innerhalb kurzer Zeit mehr als 120.000 Mitgliedernamen zu "Testzwecken" 
>sammelte.
>
>Mit einem anderen Programm und einer kleinen Auswahl der gesammelten Namen 
>wurden dann Anmeldeversuche an eBay durchgeführt. Für die Passwortabfragen 
>musste hierbei eine Liste weiblicher Vornamen herhalten. Die Wahl 
>weiblicher Vornamen war kein Zufall. Erfahrungsgemäß werden Namen von 
>Frau, Freundin, Kindern oder Tieren gerne als Passworte hergenommen. 
>Zusätzlich wurde noch die Benutzerkennung selbst als Passwort ausprobiert.
>
>Heimann: " Wenn man das Ganze weiterdenkt, könnte man eBay vermutlich 
>sogar durch automatisierte Massenkäufe von Artikeln mit gestohlenen 
>Accounts ernstlich gefährden".
>
>"Man stellt einmal mehr fest, dass die Benutzer einerseits ihre Passworte 
>viel zu unbesorgt wählen", so Heimann, "andererseits muss eBay den Nutzer 
>hier besser führen und solch einfache Passworte genauso verhindern wie die 
>Möglichkeit viele Passworte einfach durchzuprobieren. Zudem hätten wir 
>erwartet, dass auch jemand Kenntnis von unseren plumpen Eindringversuchen 
>nimmt." eBay wurde schon vor einigen Wochen über das Problem unterrichtet 
>und hat mittlerweile offenbar auch einige Änderungen durchgeführt. (mk