Die Konkurrenz des XXX verkrümelt sich

Na das ging aber schnell!

Meine Domain Registrierung von XXX, hat der Konkurrenz vom fickenVZ.net anscheinend eine solche Angst gemacht, dass der Gründer sich sofort von seinem Projekt verabschiedet hat und dieses nun bei eBay zum Kauf anbietet. Locker flockig lautet der Name des entsprechenden Blogs fickenVZ.net – Exit Blog
Interessant finde ich, dass das Projekt angeblich echte Nutzer besitzt, die nicht nur aus Deutschland, sondern auch aus Österreich, der Schweiz und den USA kommen. Der Käufer erwirbt nicht nur eine ganze Reihe an Domains, sondern auch den Programmcode des Projekts und vor allem die Datenbank mit angeblich rund 15200 Nutzern (btw, das wären mindestens das 14-fache von Shoppero in nur 2 Wochen längerer Laufzeit…)

Sicherheitsbedenken

Soweit, so schön. Ich sehe hier aber ein riesiges Problem auf einige Leute zu kommen. Ich gehe mal davon aus, dass die fickenVZ-Nutzer zu den stinknormalen Internetnutzern gehören und demnach dem Motto „One Size Fits All“ huldigen, wobei ich hier nicht von Kondomgrößen spreche, sondern von den Sicherheitsmaßnahmen.

Der Käufer bekommt Zugriff auf die fickenVZ Passwörter

Ich nehme an, dass die meisten fickenVZ-Nutzer auf jeder Webseite den gleichen Nutzernamen und das selbe Passwort verwenden. Kauft nun jemand fickenVZ mit samt der Nutzerdaten, so hat er natürlich auch Zugriff auf die Passwörter.
Gut, wahrscheinlich denkt jetzt jeder an die Mär von den verschlüsselten Passwörtern, etc. Zum einen werden Passwörter meist nicht verschlüsselt, sondern mittels einer Hash-Funktion in einen Hash-Wert verwandelt (das Verfahren nennt man Hashing), der sich mit genügend Zeit und der Kenntnis des Verwendeten Verfahrens errechnen lässt. Zum anderen hat der Käufer ja direkten Zugriff auf die Daten und den Programmcode des Projekts. Nichts hindert ihn also daran, eine kleine Funktion zu schreiben, die jedes Passwort beim einloggen im Klartext in der Datenbank abspeichert, egal ob diese gehasht, verschlüsselt oder anders geschützt sind.

Ist jemand so unvorsichtig und verwendet seine Logindaten des fickenVZ nicht nur dort, sondern zB auch bei eBay, payPal oder seinem Blog, so kann sich der neue fickVZ Benutzer dort gütlich tun und schalten und walten, ganz wie er will.
Natürlich gibt es diese Problematik nicht nur bei kleinen, obskuren Projekten wie fickenVZ. Das selbe gilt auch Amazon oder Digg, falls sie verkauft würden. Der Unterschied liegt aber im Preis. Amazon würde zig Milliarden, Digg etliche zehn Millionen kosten. fickenVZ wird deutlich billiger über den Tisch gehen. Momentan wird 10 Euro geboten, selbst wenn das Gebot auf 1000 Euro stiege, müsste der neue Besitzer bei 15.000 Accounts jedem Nutzer nur 10 Cent klauen, um 500 Euro Gewinn zu machen

Hier zeigt sich, mal wieder, die Problematik des Internets, wenn man es unvorsichtig nutzt. Man sollte für jede Webseite ein anderes Passwort und evtl durchaus auch einen anderen Benutzernamen nutzen. Das Nutzerdaten bei „VZ“ Verzeichnissen aber nicht sicher sind, ist ja schon mehrfach aufgefallen.

Den Spieß umdrehen

Man kann den Spieß aber auch umdrehen. Was, wenn ein Hacker das Blog eines unvorsichtigen fickenVZ-Nutzers hackt?
Wen wird man zuerst verdächtigen?
Die Chance, dass dies der Käufer des fickenVZs sein könnte, sind nicht unbedingt gering. Wie kann der fickenVZ-Käufer beweisen, dass er die Datenbestände des fickenVZ nicht „entschlüsselt“ und damit Schindluder treibt? Wie könnte der Käufer nachweisen, dass er die Datenbestände sofort nach Übernahme gelöscht hat?
Das wird für den Käufer nicht ganz einfach, da wird er sich etwas überlegen müssen.

Stichworte zu diesem Artikel: ,,,

9 Kommentare ↓

#1 Starkiller am 22.08.07 um 14:13

Deine Google-Hits werden demächst bestimmt lustig werden, das mal zum einen.

Zum Anderen, mit „Der Käufer bekommt Zugriff auf die fickenVZ Passwörter“ ist natürlich nur der Zugang zum System gemeint, und nicht jedes einzelne Userpasswort.
Natürlich hast du aber trotzdem recht, in den meisten Fällen ist es nicht wahnsinnig schwer an diese Passwörter heranzukommen, wer bei so einem Service quasi sein Masterpasswort eingibt, dem ist eh nicht mehr zu helfen.

Zusätzlich sollte man natürlich tatsächlich am besten für jede Seite ein eigenes Passwort verwenden, und dies natürlich auch nicht vom System speichern lassen, aber mal ehrlich, wer macht das den wirklich? Dann müsste ich mir mittlerweile 50 oder mehr Passwörter merken können, ich bin aber schon froh wenn ich mir eine handvoll Telefonnummern merken kann.

Meine Realität sieht eher so aus, das ich für ein paar individuelle Accounts wie E-Mailaccount, Onlinebanking etc. eigenständige Passwörter habe, für andere Seiten die eine niedrige Prio haben (Foren z.B.) habe ich einfach 2-3 Passwörter die ich rotiere, sollten diese kompromittiert werden, habe ich aber kein Sicherheitsproblem, niemand kann auf meine Kosten einkaufen gehen, oder mein Blog löschen oder sowas.

#2 Marnem am 22.08.07 um 14:29

Natürlich hast Du recht, niemand, der aktiv im Netz unterwegs ist hat überall das ein anderes Passwort. Ich auch nicht, aber auch ich bin halt nicht perfekt.
blasen.VZ bedient sich zb von Flickr. Sevenload hab ich versucht, aber die Suchfunktion nach CC-Fotos ist absolut mieserabelst, die Fotoanzahl sehr gering und die Slideshow hat kein passendes Format.

Ich bin mir nicht sicher, was effektiver ist: Ein Artikel, in dem man schreibt, 3 + sensible Passwörter genügen oder alles braucht nach Möglichkeit ein eigenes. Das Ziel wäre erstmal, dass jeder 2-3 Passwörter hat, die nicht durch Wörterbuchattacken knackbar sind.

Auf jeden Fall sollte man eine Liste anlegen, wo man sich überall mit welchem Usernamen und welchem Passwort registriert hat. Ich bin dabei mir so eine Liste zu bauen, aber nach über 10 Jahren im Netz ist das so gut wie unmöglich, auch den letzten Account zu erwischen.

#3 Cordobo am 22.08.07 um 18:17

Warte nur ab, wenn mein PennerVZ.de erst mal online ist 😉 Dann versteigert sich Facebook selbst 😉

Zum Thema Passworte:
Ich habe 6 Wegwerf-Passworte. Wenn es ein Dienst ist, den ich nur mal testen möchte, muss eines dieser Passworte herhalten.
Lediglich für Dienste, die ich regelmäßig verwende und die personenbezogene Daten beinhalten könnten, bekommen jeweils ein eigenes Passwort, das den meisten Angriffen standhalten dürfte.

#4 Starkiller am 22.08.07 um 19:57

Marnem, du hast nicht wirklich vorgeschlagen eine Liste mit allen Passwörtern anzulegen, oder?

Vielleicht am besten noch als passwort.txt auf dem Desktop? O.o

Vielleicht könnte man es so ausdrücken das überall ein eigenes Passwort zu benutzen ein Ideal wäre nach dem man streben sollte, Hauptsache erstmal Leute hören auf 10 Jahre lang bei allem und jedem das exakt selbe Passwort zu benutzen.

Und btw: Den Abschnitt wo du schreibst das sich blasenVZ bei Flickr bedient, den hab ich mal komplett nicht verstanden.

#5 Marnem am 23.08.07 um 03:31

@Cordobo
Wegwerf-Passworte, auch ne nette Idee.

@Starkiller
Das mit der Passwortliste meine ich wirklich so. Ich würde sie vielleicht nicht so nennen und an einem anderen Platz platzieren, aber idr ist doch eh schon vieles im Argen, wenn die bösen Buben Zugriff auf deinen PC haben. Die Passwortdatei verschlüsseln und gut ists. Damit ist sie gegen den Schnellzugriff eines „Handwerkers“ gefeit und trotzdem leicht zugreifbar. Wobei ich hier natürlich von dem PrivatPC spreche. In der Firma oder auf dem Lappi würde ich das nicht tun.

Klar, für jeden Dienst ein eigenes Passwort ist eine Idealvorstellung, daruf können wir uns einigen.

Teile der deutschen Blogosphäre sind auf Flickr seit der Sperraktion und dem Aufkauf durch Yahoo nicht mehr gut zu sprechen. Ich wollte durch die Erwähnung im Zusammenhang mit dem blasen.VZ nur zeigen, dass auch ich nicht immer so handle, wie ich es fordere und eigentlich für richtig halte.

#6 Starkiller am 23.08.07 um 17:28

Bezüglich der Verwaltung von Passwörtern, gibt es auch noch das hier :-)
http://www.thinkgeek.com/gadgets/security/91a2/?cpg=57H

#7 Karl am 25.08.07 um 13:55

Mit meinen drei verschiedenen Passwörtern kann ich mich Gott sei Dank ja sicher fühlen.

#8 Samthammel am 27.08.07 um 21:59

Ich habe meine Paßwörter auch alle abgespeichert. Allerdings mit einem Verwaltungs-Programm, daß die Datei verschlüsselt.
Wiki bzw. die c’t empfiehlt wohl zwei Programme besonders: Link.

#9 Marnem am 28.08.07 um 04:34

Interessant, werd ich mir mal ansehen.

Hinterlassen Sie einen Kommentar


Kommentieren sie zum ersten Mal in diesem Blog? Dann wird Ihr Kommentar erst angezeigt, nachdem Marnem ihn freigeschalten hat. Bitte haben Sie dafür Verständnis.
Welche Daten über Sie gespeichert wurden, können Sie in der Datenschutzerklärung nachlesen.