Gestohlene Nutzerkennwörter von Adobe lassen sich entschlüsseln
Einer der größten Datendiebstähle des Jahres könnte weitreichendere Folgen haben, als bislang angenommen. Wie Adobe einräumt, waren die entwendeten 130 Millionen Nutzerkennwörter nicht mit einem üblichen Einweg-Hash gesichert, sondern stattdessen
mit Triple-DES verschlüsselt. Dadurch brauchen die Angreifer die Kennwörter nicht einzeln erraten, sondern können diese vollständig entschlüsseln, sobald der verwendete Schlüssel anhand eines Kennwortes bekannt ist. Den Angreifern dürfte dabei in die Hände spielen, dass zu vielen Nutzern auch Kennworthinweise wie "Social Security Number" hinterlegt sind. Die Entschlüsselung der Kennwörter ist damit nur eine Frage der Zeit.
Ob die Angreifer diese Hinweise überhaupt benötigen, ist jedoch unklar. Neu aufgetauchte Datensätze zeigen, dass die Angreifer sogar an das gesicherte LDAP-Adressbuch mit Telefonnummern aller Adobe-Mitarbeiter herankamen. Es ist also möglich, dass die Angreifer im Adobe-Netzwerk bereits den Schlüssel für die Kennwörter erbeutet haben. Unterdessen hat eine größere Analyse der Datensätze ergeben, dass nur 56 Millionen der 130 Millionen erfassten Nutzer ein einzigartiges Kennwort verwenden. Zudem finden sich unter den Nutzern auch Sicherheitsexperten und Regierungsstellen wie das FBI.
Weiterführende Links: