Warum speichern Unternehmen Passwörter immer noch im Klartext?

Mehrere Unternehmen haben kürzlich zugegeben, Passwörter im Klartextformat zu speichern. Das ist, als würde man ein Passwort in Notepad speichern und als .txt-Datei speichern. Passwörter sollten aus Sicherheitsgründen gesalzen und gehasht werden. Warum passiert das nicht 2019?

Warum Passwörter nicht im Klartext gespeichert werden sollten

Wenn ein Unternehmen Passwörter im Klartext speichert, kann jeder mit der Passwortdatenbank – oder einer anderen Datei, in der die Passwörter gespeichert sind – sie lesen. Wenn ein Hacker Zugriff auf die Datei erhält, kann er alle Passwörter einsehen.

Das Speichern von Passwörtern im Klartext ist eine schreckliche Praxis. Unternehmen sollten Passwörter Salting und Hashing verwenden, was eine andere Art ist, um zu sagen, dass „dem Passwort zusätzliche Daten hinzugefügt und dann auf eine Weise verschlüsselt werden, die nicht rückgängig gemacht werden kann“. Normalerweise bedeutet dies, dass selbst wenn jemand die Passwörter aus einer Datenbank stiehlt, sie unbrauchbar sind. Wenn Sie sich anmelden, kann das Unternehmen überprüfen, ob Ihr Passwort mit der gespeicherten verschlüsselten Version übereinstimmt – aber es kann nicht von der Datenbank aus „rückwärts arbeiten“ und Ihr Passwort ermitteln.

  So machen Sie einen Screenshot auf dem iPhone X

Warum also speichern Unternehmen Passwörter im Klartext? Leider nehmen die Unternehmen die Sicherheit manchmal nicht ernst. Oder sie entscheiden sich, die Sicherheit im Namen der Bequemlichkeit zu gefährden. In anderen Fällen macht das Unternehmen beim Speichern Ihres Passworts alles richtig. Aber sie könnten übereifrige Protokollierungsfunktionen hinzufügen, die Passwörter im Klartext aufzeichnen.

Mehrere Unternehmen haben falsch gespeicherte Passwörter

Möglicherweise sind Sie bereits von schlechten Praktiken betroffen, weil Robin Hood, Google, Facebook, GitHub, Twitter und andere gespeicherte Passwörter im Klartext.

Im Fall von Google hat das Unternehmen Passwörter für die meisten Benutzer angemessen gehasht und gesalzen. Aber Passwörter für G Suite Enterprise-Konten wurden im Klartext gespeichert. Das Unternehmen sagte, dies sei eine Überbleibsel aus der Zeit, als es Domänenadministratoren Tools zur Wiederherstellung von Kennwörtern zur Verfügung gestellt hatte. Hätte Google die Passwörter richtig gespeichert, wäre das nicht möglich gewesen. Nur ein Vorgang zum Zurücksetzen des Kennworts funktioniert zur Wiederherstellung, wenn die Kennwörter korrekt gespeichert sind.

  Legen Sie minimale Wortziele fest, wenn Sie Kurzgeschichten oder Romane schreiben

Auch bei Facebook erlaubt, Passwörter zu speichern im Klartext wurde die genaue Ursache des Problems nicht angegeben. Sie können das Problem jedoch aus einem späteren Update ableiten:

… haben wir zusätzliche Protokolle von Instagram-Passwörtern entdeckt, die in einem lesbaren Format gespeichert wurden.

Manchmal macht ein Unternehmen beim ersten Speichern Ihres Passworts alles richtig. Und dann fügen Sie neue Funktionen hinzu, die Probleme verursachen. Neben Facebook, Robin Hood, Github, und Twitter versehentlich protokollierte Klartext-Passwörter.

Die Protokollierung ist nützlich, um Probleme in Apps, Hardware und sogar Systemcode zu finden. Wenn ein Unternehmen diese Protokollierungsfunktion jedoch nicht gründlich testet, kann dies mehr Probleme verursachen als sie lösen.

  Was ist der Punycode-Phishing-Angriff und wie schützt man sich?

Im Fall von Facebook und Robinhood konnte die Protokollierungsfunktion die Benutzernamen und Passwörter während der Eingabe sehen und aufzeichnen, wenn Benutzer ihren Benutzernamen und ihr Kennwort zur Anmeldung angaben. Es speicherte diese Protokolle dann an anderer Stelle. Jeder, der Zugriff auf diese Protokolle hatte, hatte alles, was er brauchte, um ein Konto zu übernehmen.

In seltenen Fällen kann ein Unternehmen wie T-Mobile Australia die Bedeutung der Sicherheit missachten, manchmal aus Gründen der Bequemlichkeit. In einem inzwischen gelöschter Twitter-Austausch, erklärte ein T-Mobile-Vertreter einem Nutzer, dass das Unternehmen Passwörter im Klartext speichert. Das Speichern von Passwörtern auf diese Weise ermöglichte es den Kundendienstmitarbeitern, die ersten vier Buchstaben eines Passworts zu Bestätigungszwecken zu sehen. Als andere Twitter-Nutzer angemessen darauf hinwiesen, wie schlimm es wäre, wenn einige

x