Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Microsoft erklärt: Kodiertes Passwort in Windows-Bibliothek ist keine Bedrohung

Wer "abc" als Passwort verwendet, bekommt früher oder später ein Problem. Microsoft hat es dennoch getan – und erklärt nun, warum.
/ Marc Stöckel
39 Kommentare News folgen (öffnet im neuen Fenster)
Microsoft hat die Zeichenfolge abc als vermeintliches Passwort im Code einer Bibliothek hinterlassen. (Bild: pixabay.com / Tumisu)
Microsoft hat die Zeichenfolge abc als vermeintliches Passwort im Code einer Bibliothek hinterlassen. Bild: pixabay.com / Tumisu

Ein Microsoft-Kunde hat in einer kryptografischen Bibliothek von Windows offenbar einen Hash eines hochgradig unsicheren Passwortes entdeckt, das lediglich aus der Zeichenfolge "abc" besteht. In einem kürzlich veröffentlichten Blogbeitrag(öffnet im neuen Fenster) hat der Windows-Entwickler Raymond Chen nun Stellung bezogen und erklärt, was genau es damit auf sich hat. Als echtes Passwort werde die Zeichenkette jedenfalls nicht genutzt, versichert Chen.

Genauer gesagt geht es um die Bytefolge "ba7816bf8f01cfea414140de5dae2223-b00361a396177a9cb410ff61f20015ad" , einem SHA256-Hash des wenig einfallsreichen Passwortes abc. Laut Chen sei dieser Hash jedoch lediglich Teil eines Selbsttests, den die Bibliothek durchführe.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Zu finden sind der Hash und das hart kodierte Passwort in den Dateien sha256.c(öffnet im neuen Fenster) respektive selftest.c(öffnet im neuen Fenster) der seit 2006 entwickelten kryptografischen Windows-Bibliothek Symcrypt(öffnet im neuen Fenster) . "Die Werte werden von der Funktion SymCryptSha256SelfTest(öffnet im neuen Fenster) verwendet, um zu überprüfen, ob der Algorithmus die erwartete Antwort liefert" , erklärt der Microsoft-Entwickler weiter.

Unsichere Passwörter gibt es auch in anderen Anwendungen

Ein vermeintlich unsicheres Passwort im Quellcode bedeutet nicht immer automatisch, dass dieses auch als echtes Passwort verwendet wird. In diesem Fall handle es sich laut Chen lediglich um Testdaten. Zugleich weist er darauf hin, dass unsichere Passwörter wie abc auch in zahlreichen anderen Anwendungen zu finden seien. "Suchen Sie einfach nach den Bytes '61 62 63' in einem beliebigen Binärprogramm, und wenn Sie sie finden, können Sie sich freuen: 'Hey, Ihre Binärdatei enthält das unsichere Passwort abc!'" , animiert er die Leser seines Beitrags.

Ein Kommentator namens Dave Gzorple ergänzte diesbezüglich, abc sei eine Standard-Testzeichenfolge für Hash-Funktionen und schon mindestens seit 1991 im Einsatz. Darüber hinaus gebe es noch andere, üblicherweise für solche Zwecke genutzte Zeichenfolgen, darunter "a" , "message digest" , "abcdefghijklmnopqrstuvwxyz" und "abcdbcdecdefdefgefghfghighijhijkijkljklmklmnlmnomnopnopq" . "Wenn Sie in anderen Krypto-Bibliotheken nach MD5-, SHA-1- und SHA-2-Hashes suchen, werden Sie diese ebenfalls finden" , so Gzorple.

Rein für Testzwecke sind einfache Passwörter natürlich grundsätzlich kein Problem. In anderen Situationen sollten Zugangsdaten jedoch gemessen am möglichen Schadenspotenzial stets mit Bedacht gewählt werden. Wer Probleme damit hat, sich ein sicheres Passwort auszudenken, findet im Netz inzwischen mindestens ein nervtötendes Spiel, das dabei gerne behilflich ist .

Zur Startseite 39 Kommentare

Relevante Themen

VerschlüsselungSoftwareSoftwareentwicklungSecurityDatensicherheitPasswortWindowsMicrosoft