Viren, Spyware, Datenschutz 11.220 Themen, 94.262 Beiträge

News: "welkom01"

Dämliches Standardpasswort verursachte Megaloch in Niederlanden

Michael Nickles / 72 Antworten / Flachansicht Nickles

Eine recht dämliche hausgemachte Sicherheitslücke wurde beim niederländischen Internetanbieter KPN entdeckt. Der Benutzername der ADSL-Kunden war laut Bericht von Activepolitic sehr simpel zu erraten, weil er sich einfach aus dem Namen der Kunden, ihrer Postleitzahl und dem Straßennahmen zusammensetzte.

Garniert wurde das dann mit dem standardmäßigen Passwort "welkom01". Dieses Passwort hat KPN natürlich nur als Standardpasswort eingerichtet, die Kunden konnten das online bei ihren Einstellungen nach Belieben ändern.

Allerdings waren wohl geschätzt 140.000 Kunden zu faul dazu es zu ändern. Selbst Laien-Hacker hatten also exzellente Chancen, die Zugangsdaten von KPN-Kunden zu "knacken". Erfreulicherweise ist die Geschichte aber wohl noch mal gut ausgegangen und es ist kein Vorfall eines Missbrauchs bekannt geworden. So sagt es zumindest KPN.

Tatsächlich hätten Hacker problemlos auch die Bankkonten- und Kreditkartennummern der KPN-Kunden abgreifen können. Es bleibt also nur zu hoffen, dass diese Geschichte nicht noch ein schmutziges Nachspiel hat. Peinlich ist gewiss auch, dass KPN das mit dem billigen "welkom01"-Passwort laut Bericht von Telecompaper Jahre lang praktiziert hat.

Auch wurden die Kunden wohl auch nicht mit irgendeinem Mechanismus dazu gezwungen, ein anderes Passwort zu vergeben. Inzwischen gibt es eine Pressemitteilung von KPN. Darin wird mitgeteilt, dass 120.000 der 180.000 Kunden ihr Passwort nicht geändert hatten. Und jetzt nach Bekanntwerden der Sache, gibt es immer noch 20.000, die auf "welkom01" vertrauen.

Inzwischen werden wohl alle betroffenen Kunden dazu "gezwungen" ein eigenes Passwort zu vergeben.

Michael Nickles meint: Nein. Die Kunden waren nicht zu dumm. Die Arschkarte geht an KPN. Jeder ernstzunehmende Anbieter MUSS davon ausgehen, dass Kunden zu faul oder zu "dumm" zum Ändern von Passwörtern sind.

Und man muss die Menschen verstehen. Ich krieg schon immer das Kotzen, wenn irgendwelche Sicherheitsexperten (Trottel) "Tipps" zu "perfekten Passwörtern" geben. Das perfekte Passwort sollte möglicht lang und total verworren sein, Buchstaben, Ziffern und Sonderzeichen enthalten.

Perfekt wäre beispielsweise: "K65ö_ß=_rVli#4ü2". Natürlich darf man das perfekte Passwort auf keinen Fall irgendwo aufschreiben - man muss es im Kopf behalten. Und: für jede Webseite sollte man unbedingt ein eigenes dreckskompliziertes Passwort verwenden.

Selbst ein durchschnittlicher Mensch, muss inzwischen zig Passwörter und Codes im Kopf haben. Die Geheimzahl von der Bankkarte und die vom Handy sind da noch "Gimmicks". Und im Web muss man für fast jeden Dreck einen Account einrichten. Ja, es gibt schon lange "universelle" Login-Mechanismen. Aber davon leider zu viele und sie funktionieren auch jeweils nur mit bestimmten Webseiten. Irgendwas läuft da komplett schief.

bei Antwort benachrichtigen
mawe2 Ventox „Warum sollte ich das tun? Das Hauptkennwort befindet sich...“
Optionen
Warum sollte ich das tun?

Also jemand klaut (z.B.) Deinen Rechner. Dann müsstest Du doch von einem anderen Rechner aus auf Deine ganzen Accounts zugreifen. Wenn Du selbst die Kennwörter gar nicht kennst, kommst Du doch an diese Accounts gar nicht mehr ran. Oder habe ich jetzt einen Denkfehler?

Vielleicht ist deine Methode ja besser als meine.

Nein, das will ich nicht sagen.

Ich vermeide es aber grundsätzlich, Passwörter auf meinem lokalen Rechner zu speichern. Ein nicht gespeichertes Passwort kann von einem Angreifer nicht geknackt werden.

Ansonsten kenne ich die wichtigsten Passwörter, die ich oft brauche, auswendig. Unwichtigere Passwörter, die nur gelegentlich gebraucht werden, habe ich (ganz entgegen aller Ratschläge) auf Papier aufgeschrieben und sicher verwahrt.

Aber genau die immer größer werdende Zahl von Passwörtern, PINs, usw. nerven mich eben. Und nicht alle werden am PC benutzt. Z.B. die PINs für die diversen Kreditkarten usw. Da nützt mir das Passwort-Management meines Browsers gar nichts, wenn ich am Geldautomaten stehe. Und dreimal die falsche Nummer eingegeben provoziert neuen Ärger.

bei Antwort benachrichtigen