Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:
Druckversion
Aktueller Hinweis: Die GPF löst sich auf!
15.02.12

PrivacyBox: Passwort-Speicherung / Password Hashing

--- English version below ---

Ein Nutzer unserer PrivacyBox hat bemerkt, dass nur die ersten acht Zeichen des Benutzer-Passwortes gespeichert wurden. Bei einem mehr als acht Zeichen langen Passwort war daher ein Login möglich, auch wenn die Eingabe bei den letzten Zeichen vom eigentlichen Passwort abwich. Ursache war die Verwendung des veralteten DES-Algorithmus bei der Erzeugung der Passwort-Hashes mit der Funktion crypt().

Der Fehler wurde heute behoben, indem die Passwörter von nun an mit SHA-512 verschlüsselt werden. Dazu ist es leider notwendig, dass das Login-Passwort neu gesetzt wird. PrivacyBox-Nutzer mit einem alten unsicheren Passwort-Hash werden dazu beim nächsten Login automatisch aufgefordert.

Wir sind uns bewusst, dass dieses Problem weder mit unseren eigenen noch den Sicherheitsansprüchen der PrivacyBox-Nutzer vereinbar ist. Allerdings ist eine konkrete Gefahr für die Sicherheit der PrivacyBox-Accounts nicht gegeben.

Vielen Dank an Sebastian für das Auffinden des Sicherheitsproblems.

 

--- English version ---

A user of PrivacyBox recently noticed that only the first eight digits of his password had been saved. Because of this, with passwords longer than eight digits a login was possible even if the the last digits were incorrect. This was caused by the use of the outdated DES algorithm for generating the password hash with the function crypt().

The error has been corrected, passwords will from now on be encrypted with SHA-512 algorithm. For this, it is necessary to reset the password. Users of PrivacyBox that still use the unsecure old password hash will automatically be asked to do this.

We are aware that this error is inconsistent with both our own and our users security standards. Fortunately, this did and does not pose a direct threat to the security of your PrivacyBox account.

We thank Sebastian for pointing the problem out to us.

Zurück zur Übersicht

German Privacy Foundation e.V.