Sicher gespeichert: Eure Kundenpasswörter bei Terrashop

SicherheitsschlossVor einer Weile machten Passwortlisten von LinkedIn, eHarmony und last.fm die Runde. Angreifern war es gelungen, aus der Datenbank der Anbieter die Kundenpasswörter zu entwenden. Zwar waren die Passwörter nicht im Klartext hinterlegt, aber sie waren unzureichend verschlüsselt.

Ehrlicherweise müssen wir zugeben, dass es auch uns hätte erwischen können. Auch wir haben die Passwörter für die Kundenkonten bisher nur mit MD5 gehasht. Um die Gefahr, dass ein Terrashop-Konto-Passwort entschlüsselt werden kann, zukünftig annähernd auszuschließen, verwenden wir nun das von heise Security vorgeschlagene PBKDF2-Verfahren.

Wir bemühen uns ständig, die Sicherheit unseres  Shops zu verbessern, und reagieren schnellstmöglich auf Hinweise zu Sicherheitslücken. Unsere Hauptstrategie ist es jedoch, die lohnenswerten Ziele auf unseren öffentlich zugänglichen Servern zu minimieren. Das heißt: Selbst wenn es einem Einbrecher gelingen würde, die gesamte Datenbank zu kopieren, würde er keine brauchbaren Kreditkartendaten, Kontonummern oder Passwörter finden.

Wenn ihr Fragen oder Anregungen zur Sicherheit unseres Shops haben, schreibt einfach an sicherheit@terrashop.de.

Dieser Beitrag wurde unter Von und über uns abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

 

2 Antworten auf Sicher gespeichert: Eure Kundenpasswörter bei Terrashop

  1. mc sagt:

    Schon komisch, dass ich mich ohne Passwortänderung normal einloggen kann. Wenn man die Hashingmethode ändert, sollte der Login normalerweise nicht mehr funktionieren.

  2. Peter Klein sagt:

    Hallo mc,

    gut, dass du die Frage noch einmal stellst. Vielleicht wundern sich noch mehr Kunden, warum diese Umstellung ohne Passwortänderung möglich war. Aber die Antwort ist ganz einfach. Wir haben die Hashmethode nicht geändert, sondern nur eine zusätzliche, deutlich sicherere hinzugefügt.
    In unserer Datenbank standen früher die MD5-Hashes der Kundenpasswörter. Nun sind wir hergegangen und haben diese MD5-Hashes noch einmal mit dem PBKDF2-Verfahren gehasht. Dieser neue, gesalzene Hashwert steht jetzt in der Datenbank. Wenn du dich einloggst, überprüfen wir das Passwort, indem wir genauso vorgehen. D.h. zuerst erzeugen wir einen MD5-Hash von deinem Klartextpasswort und rufen dann die PBKDF2-Methode auf. So war die Umstellung in einem Rutsch möglich. Ich hoffe damit, deine Bedenken beseitigt zu haben.

    Schöne Grüße
    Peter Klein