Datensicherheit ist unter Pokerspielern als Thema ein absoluter Dauerbrenner. Ein aktuelles Vorkommen hat das Thema erneut in den Fokus gerückt.Der Autor des folgenden Texts möchte anonym bleiben, er ist der Redaktion aber persönlich bekannt. In seinem Text analysiert er zuerst aktuelle Vorkommnisse und gibt anschließend Ratschläge für Verbesserungen.
Auf dem IntelliPoker-Server unter www.intellipoker.com.ua waren für einige Stunden neben den Daten der öffentlich zugänglichen Benutzerprofile auch noch sogenannte Debug-Informationen zu sehen. Diese Informationen werden von Entwicklern genutzt, um mögliche Probleme zu erkennen und beheben zu können.
IntelliPoker hat prompt reagiert und die Seite zunächst vom Netz genommen. Zu diesem Zeitpunkt hatte Google die Profile bereits indiziert und so waren noch Archiv-Versionen verfügbar. Diese sind mittlerweile aber ebenfalls verschwunden.
Insgesamt 495 Profile konnten gesichert werden, in denen neben Usernamen und Emailadresse auch statistische Daten wie die Anzahl der IntelliPoker-Punkte und Ähnliches zu finden waren.
Die Passwörter sind in den Profilen nur als MD5-Hashes zu finden und so zunächst unbrauchbar, da der Wert nur eine Prüfsumme darstellt, aus der sich nicht auf das ursprüngliche Passwort schließen lässt. Ein Beispiel: Der MD5-Hash zum Passwort ‘bond007’ liest sich cbdb7e2b1ed566ceb796af2df07205a3Bei einem Login errechnet das System aus der Passworteingabe diesen Hashwert und vergleicht ihn mit der in der Datenbank gespeicherten. Sind die Werte identisch, muss der User das richtige Passwort eingegeben haben und der Login war erfolgreich.
Natürlich hat die Sache einen Haken und das sind – wie üblich – schwache Passwörter. Ein Passwort wie ‘bond007’ ist auf einem heimischen Computer binnen einer Minute geknackt, indem sämtliche Kombinationen im Brute-Force-Verfahren durchprobiert werden.
Ein Beispiel in Zeitraffer mit einem echten Passwort:
Um Zeit zu sparen wurde bereits vor Jahren damit begonnen, sogenannte Rainbow Tables zu erstellen, die eben jede erdenkliche Kombination nebst ihrem entsprechenden Hash-Wert vorhalten sollen. Dazu gibt es im Netz passende Suchmaschinen, die es erlauben binnen Sekunden zu einem Hashwert das entsprechende Passwort zu erhalten. Im Falle ‘bond007’ vergehen gerade mal zwei Sekunden bis zur Ausgabe.
Ein Zwischenfall wie bei IntelliPoker ist natürlich unangenehm, aber hundertprozentige Sicherheit lässt sich eben nicht garantieren und vor allem dann nicht, wenn Anwender ihren Teil einfach nicht beitragen wollen.
Passwörter sollten mindestens 8 Zeichen lang sein und aus Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Den zeitlichen Unterschied für das Knacken eines Passwortes vermittelt zum Beispiel diese Seite:
(Dort wird von 2,8 Milliarden möglichen Kombinationen pro Minute und Computer ausgegangen. Auf unserem Rechner waren es immerhin noch 1,02 Milliarden.)
Für ‘bond007’ sind es geschätzte 27 Sekunden, für ‘Bond$$7’ bereits über 6 Stunden und für ‘Bond$$7&’ über 24 Tage – wenn nur ein Computer mit der Aufgabe betraut ist. Natürlich sollte für das eigene Passwort nicht gerade eine Filmfigur herhalten, aber das Beispiel verdeutlich wie durch die Verwendung sämtlicher Zeichen die Komplexität eines Passwortes steigt.
Zudem sollte nicht dasselbe Passwort für Internetforen, Emailaccounts und andere Angebote genutzt werden. Nicht jeder Zwischenfall wird bekannt, aber im Falle von IntelliPoker wurde angemessen reagiert. Die User wurden informiert und mit neuen Passwörtern versorgt. Wie viele von ihnen werden es aus Bequemlichkeit sofort wieder in ihr altes ändern?
Als Anreiz, es nicht bei dem alten Passwort zu belassen und in Zukunft bessere zu wählen, hier noch die ersten 145 Passwörter, die innerhalb von 70 Minuten geknackt wurden:
| 00105182 007horst 00zfddnb 01797567 01daniel 02bochum 04acid07 0706dbkg 08121982 08150808 08joem31 | 0chermer 100makka 10hhhfff 1100101a 11011989 11061986 1118owen 111biwie 111timmy 11235813 11bochum | 11frosch 11werder 12121212 12345678 12345hps 12348765 1234giga 1234rein 123h0lub 123jonas 123kosak | 123lachs 123lerch 123ok123 123spast 12464235 12qwertz 12werder 13071972 130875ks 1314kw58 139venus | 13locker 14kiddy5 15041966 15krezip 1766ihec 17nicola 18061988 19091981 19691979 1988fabi 1988vefi |
| 1990fabi 1antones 1boedele 1botgr27 1classic 1deadeye 1fischer 1glasgow 1hallo59 1harmsch 1jericho | 1julchen 1kesrin1 1kokusho 1lapalma 1legolas 1m2i3r4o 1patient 1patrick 1pauline 1q2w3e4r 1qayxsw2 | 1sbccrew 1schulke 1slodown 1trigger 2000afti 2000monk 20011941 200277tb 2009sira 20111987 20mane21 | 210868as 21carbev 22qwertz 230681ml 23232323 23blacky 25061976 2612xy18 27namron 28111965 29095131 | 2drogen2 2kxinxan 30111986 33hannes 34blabla 35413541 3a7mj4oy 444sting 47alpha1 4hafen01 4pokersp |
| 5070andi 54133897 56jjwk19 5erbmwt3 61319mig 61423050 66ibbirt 678nacht 68hheine 6fotzen6 74jungle | 75qwertz 77arrack 78marion 7campino 7gewinnt 7sieben7 7stauder 82berlin 82nitram 83tobies 84hutgut | 84sandoz 84zahlen 857achat 888fmpdi 88diablo 88plaggi 8wsopwin 91coreco 92512840 9936drok babylon5 | erfolg88 robin123 |
(Anmerkung der Red.: Selbstverständlich können die Passwörter nur in Kombination mit den Usernamen benutzt werden und sind mittlerweile geändert)
Dieser Artikel erschien auf PokerOlymp am 02.11.2009.
