Offizielles Ubuntu-Forum wurde gehackt

Canonical gab bekannt, dass das offizielle Ubuntu-Forum unter www.ubuntuforums.org einen Sicherheitsvorfall erlitt.

Ubuntu Logo

Bereits am gestrigen 20.07.2013 habe sich der Vorfall ereignet, bis dahin wurde die Forenseite vom Netz genommen und die Benutzer über den aktuellen Zustand informiert. Laut Canonical wüsse man, dass:

  • Unfortunately the attackers have gotten every user’s local username, password, and email address from the Ubuntu Forums database.
  • The passwords are not stored in plain text. However, if you were using the same password as your Ubuntu Forums one on another service (such as email), you are strongly encouraged to change the password on the other service ASAP.
  • Ubuntu One, Launchpad and other Ubuntu/Canonical services are NOT affected by the breach.

Das heisst also, absolut jeder Benutzername, sowie die dazugehörige E-Mail Adresse, als auch das verschlüsselte Passwort sind in die Hände der Angreifen gefallen. Man rät seinen Benutzern dringend zur Passwortänderung bei allen Diensten, bei denen man die gleiche Kombination aus Benutzer und E-Mail, bzw. das identische Passwort wie in den Ubuntu-Foren nutzt!

Der Datenverlust bezieht sich „lediglich“ auf das Forum, andere Dienste von Ubuntu/Canonical sind nicht betroffen und man wollen die Benutzer weiter auf dem Laufenden halten.

Es ist also mal wieder an der Zeit, dass man sich seine Passwortstruktur überdenkt und möglichst sichere Passwörter generiert – möglichst für jeden Dienst ein eigenes! Wie man das bewerkstellige könnte, zeigt der folgende Artikel: Passwörter aufschreiben ist sicher!

 

Passwörter aufschreiben ist sicher!

Einen sehr guten Artikel zum Thema Passwörter habe ich im Weblog von F-Secure gefunden und werde den relevanten Teil wiedergeben. Der Tipp ist einer von vielen, wie man gute Passwörter generieren und merken kann.

Im Prinzip verhält es sich damit wie bei EC-Karten der Banken, zur Nutzung werden zwei Faktoren benötigt. Informationen wie Kontonummer und Bankleitzahl sind offen abgedruckt, sollte man also den Geldbeutel verlieren kennt der „Finder“ diese beiden Daten, was ihm jedoch fehlt ist die PIN, nur damit werden die Informationen auch einsetzbar.

Sehen wir uns das Beispiel von F-Secure an:

F-Secure: password on post it
F-Secure: password on post it

Im oben gezeigten Beispiel ist das Passwort nach folgendem Schema erstellt. Die ersten drei Stellen sind eine Identifizierung wozu das Passwort dient. aMA ist in diesem Fall für Amazons Webseite. Die Schreibweise kann variieren, aMa, AMa, amA und AMA sind natürlich ebenso möglich, das kann man sich ganz nach eigenem Gusto erstellen. Die nun 4 folgenden Stellen sind eine zufällige Zeichenfolge und der Grund dafür dass man sich das Passwort aufschreiben sollte, da sich keinerlei Zusammenhang haben. Zu guter Letzt kommt nun noch eine „PIN“, die man sich auswendig merken sollte, wie die PIN der EC-Karte. Die gemerkte PIN wird dann mit dem aufgeschriebenen Passwort kombiniert und dort einfach vorne, in der Mitte oder hinten angestellt und schon hat man, je nach Länge der PIN (gehen wir mal von einer vierstelligen PIN aus, wie bei den Bankkarten), ein 11-stelliges recht sicheres Passwort.

Um eines Beispiels Willen sagen wir die „PIN“ wäre: 4n$1

Kombiniert man diese nun mit dem ersten Post-it Beispiel von F-Secure lautet das Passwort also: 4n$1aMA2242, aMA4n$12242, oder aMA22424n$1, alles Passwörter die keine direkten Zusammenhänge haben und als recht sicher einzustufen sind, da sie 10 oder mehr Stellen haben, Buchstaben und Zahlen beinhalten, Gross- und Kleinschreibung sowie Sonderzeichen enthalten.

Das Schönste ist jedoch. Man muss sich nur die PIN merken und kann den Rest des Passwortes an den Monitor heften, in den Geldbeutel legen, all das, vovon man immer abgeraten bekommt, wenn es um Passwörter geht.