Schon seit längerer Zeit stelle ich mir die Frage, warum der Filehoster Rapidshare scheinbar sämtliche Kundenpasswörter im Klartext abspeichert.
Für alle denen Rapidshare kein Begriff ist: Rapidshare ist ein Internetdienstleister mit Sitz in der Schweiz und bietet den Usern an, Dateien auf deren Server hochzuladen. Dann bekommt man einen Link und kann diesen an andere weiterschicken, die die Datei dann von Rapidshare wieder runterladen können. Praktisch ist dies zum Beispiel, wenn man einen Emailanhang verschicken möchte, dieser aber zu groß ist, oder eine Datei an mehrere Personen schicken will, ohne das die Datei jedesmal über die eigene langsame Internetverbindung hochgeladen werden muss.
Dies funktioniert zum einen für “anonyme” Benutzer, wobei es da allerdings eine Beschränkungen gibt (Datei wird nach 10x runterladen gelöscht, man kann nur eine Datei parallel runterladen, hat ein Limit in MB pro Zeiteinheit und muss vor jedem Download warten). Diese Beschränkungen werden alle aufgehoben, wenn man sich einen Kundenaccount zulegt.
Die Anmeldung dafür ist denkbar einfach. Username, Email und Passwort eingegeben, Bestätigungsmail geklickt und schon ist man dabei:
Wie du sehen kannst, wird bereits in der Mail mit der Anmeldebestätigung das Passwort im Klartext übermittelt. Dies ist zwar aus meiner Sicht sehr unschön, denn wenn jemand unberechtigten Zugriff auf den Emailaccount bekommt, hat er auch gleich Zugriff auf Rapidshare, sollte diese Mail nicht gelöscht worden sein. Normalerweise sollte dort ein standardspruch wie Passwort ist bekannt stehen, um eine höhere Sicherheit zu gewährleisten.
Aber da diese Mail im Zuge des Anmeldeprozesses verschickt worden ist, kann es ja durchaus sein, das mein Passwort noch nach dem Abschicken verschlüsselt wurde. Um das zu prüfen, habe ich einfach mal mein Passwort vergessen und es neu angefordert. Einfach meine Emailadresse eingegeben und folgende Mail fand sich Sekunden später in meinem Postfach wieder:
Und auch hier steht mein Passwort im Klartext. Wenn es sicher verschlüsselt abgespeichert worden wäre, beispielsweise mit MD5 oder Sha1, hätte Rapidshare mir mein Passwort nicht zuschicken können, da beide Algorithmen keine Funktion zum entschlüsseln haben. Abgesehen natürlich, wenn man Bruteforce-Attacken über die Hashes laufen lässt. Aber man kann ja auch etwas Salz benutzen
Daraus ziehe ich die Schlussfolgerung, das Rapidshare mein Passwort nicht verschlüsselt hat oder nur mit einem schwachen Algorithmus wie Base64 oä., die genauso schnell wieder entschlüsselbar sind.
Aus den letzten Jahren sind viele Datenverluste großer Firmen bekannt, entweder durch sogenannte Dienstleisterfirmen, deren Sicherheitsstandard nicht so hoch war, oder durch tatsächliche Sicherheitslecks bei den betroffenden Firmen. Konkret erinnern kann ich mich an Schlecker mit 150.000 bzw. 7 Millionen Kundendaten und die Telekom.
Hätten bei einer dieser Datenpannen alle Passwörter im Klartext mit dabei gestanden, wäre ein noch viel größerer Schaden entstanden. Denn mal ganz ehrlich, wieviele haben leider schonmal das gleiche Passwort was sie für Ihren Emailaccount benutzen auch bei einem anderen Dienst eingetragen? Schon wäre der Zugriff auf lauter Emailaccounts da, und damit höchstwarscheinlich auch noch weiteren wie zum Beispiel Accounts von Bezahldiensten.
Und als Kunde würde ich mich auch sehr viel sicherer fühlen, wenn ich weiß, das eine Firma keine Mühen scheut, um meine Kundendaten abzusichern, gerade wenn ich an die schönen CDs mit den Steuersündern aus der Schweiz denke. Die hätten bestimmt auch einiges dafür gegeben, wären ihre Daten sicherer gewesen.
Also, was denkst du darüber? Ist dies eher Kundenservice oder ein reelles Datenschutzproblem? Und kennst du noch andere Seiten, wo die Passwörter offensichtlich auch im Klartext gespeichert werden?
Auch, wenn dies in MD5 oder SHA1 gespeichert würden werde, könnte man dies zu 90% knacken.
Du hast schon Recht. RapidShare legt keinen großen Wert auf Sicherheit, solange die damit keine schlechte Erfahrung machen.
Das man verschlüsselte Passwörter knacken kann, will ich nicht bestreiten (gerade mit aktuellen Grafikkarten, da diese auf vielfache Parallelbearbeitung ausgerichtet sind, anders als normale Prozessoren). Jedoch bedeutet dies oft einen Mehraufwand, als wenn die Passwörter im Klartext gespeichert werden. Und mit Salt kannst du den Mehraufwand soweit erhöhen, das es sich der Aufwand irgendwann nicht mehr lohnt. Gerade das aktuelle Beispiel Sony zeigt ja, was passieren kann wenn diese Daten in falsche Hände geraten. In dem Zusammenhang wäre dann der Imageverlust und auch der entstandene Schaden durch diesen Datenverlust geringer, wenn das Unternehmen von sich behaupten könnte, es habe alles getan, um die sensiblen Kundendaten zu schützen.