Passwörter: Teile des Passsworts bei Aldi Talk unsicher gespeichert

Aldi Talk hat offenbar Zugriff auf die ersten vier Zeichen der Kundenpasswörter im Klartext.

Artikel veröffentlicht am , Hanno Böck
Aldi Talk speichert die ersten vier Zeichen der Passwörter ungehasht ab.
Aldi Talk speichert die ersten vier Zeichen der Passwörter ungehasht ab. (Bild: Aldi)

Die ersten Zeichen der Passwörter von Aldi-Talk-Kunden werden offenbar im Klartext gespeichert. Ein Golem.de-Leser wies uns darauf hin, dass ein Servicemitarbeiter am Telefon darum bat, die ersten vier Buchstaben des Passworts zu nennen. Das bedeutet, dass Mitarbeiter von Aldi Talk zumindest auf einen Teil des Passworts im Klartext zugreifen können.

Stellenmarkt
  1. Backend Entwickler - Webshop Plattformen (gn)
    HORNBACH Baumarkt AG, Bornheim / Landau in der Pfalz
  2. IT-System Engineer (m/w/d) - Endpoint Management
    Universitätsklinikum Frankfurt, Frankfurt am Main
Detailsuche

Aus Sicherheitsgründen werden Passwörter üblicherweise gehasht gespeichert. Dabei wird das Passwort nicht selbst gespeichert, sondern nur das Ergebnis einer Hash-Funktion. Früher wurden dafür teilweise normale kryptographische Hashfunktionen wie SHA1 verwendet, heute werden meist speziell für diesen Zweck entwickelte Funktionen wie Scrypt oder Argon2 genutzt.

Gehashte Passwörter: Selbst bei Datenleck ist nicht alles verloren

Der Vorteil dieser Methode: Selbst wenn ein Angreifer unberechtigt Zugriff auf die Nutzerdatenbank eines Services erhält, kann er nicht direkt alle Passwörter auslesen. Zwar kann er dann mittels Brute Force versuchen, die Passwörter zu raten, aber das ist rechenaufwendig und bei sicheren, langen Passwörtern praktisch nicht durchführbar.

Das bedeutet aber auch, dass es für den Betreiber eines Services keine Möglichkeit gibt, die Passwörter im Klartext einzusehen.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    9–13. Mai 2022, Virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Wir haben bei Aldi Talk nachgefragt. In einer ersten Antwort, die wir von Telefónica, dem Netzbetreiber hinter der Aldi-Mobilfunkmarke, erhielten, sagte man uns, dass die Passwörter verschlüsselt gespeichert wurden. Das verschlüsselte Speichern von Passwörtern ist sehr unüblich, da es deutlich weniger Sicherheit bietet als eine gehashte Speicherung.

Nachdem wir in der ursprünglichen Version dieses Artikels dies so wiedergegeben hatten, meldete sich Telefónica noch einmal telefonisch und berichtigte diese Darstellung. Demnach werden die vollständigen Passwörter gehasht gespeichert und separat die ersten vier Buchstaben für den Kundenservice abgelegt.

Unproblematisch ist das nicht. In vielen Fällen dürfte es möglich sein, bei Kenntnis der ersten vier Zeichen den Rest des Passworts zu erraten.

Das Speichern von ungehashten Passwörtern ist nicht nur sicherheitstechnisch problematisch, es kann auch rechtliche Konsequenzen haben. Der Chatanbieter Knuddels, bei dem es im vergangenen Jahr zu einem Datenleck kam, hatte seine Passwörter ebenfalls nicht gehasht gespeichert. Das war für den zuständigen Datenschutzbeauftragten Grund genug, ein Bußgeld nach der DSGVO zu verhängen. Ob auch eine teilweise ungehashte Speicherung von Passwörtern zulässig ist erscheint zumindest fragwürdig.

Nachtrag vom 19. Februar 2019, 12:57 Uhr

In der ursprünglichen Version dieses Artikels hatten wir berichtet, dass Aldi Talk die Passwörter verschlüsselt und nicht gehasht speichert. Dies hatte uns Telefónica ursprünglich so mitgeteilt. Nach der Artikelveröffentlichung hatte sich Telefónica telefonisch bei uns gemeldet und um eine Richtigstellung gebeten. Wir haben den Artikel entsprechend geändert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Olliar 21. Feb 2019

1. Kein Mensch? Lesegerät? Hallo? selbst bei Amazon kann (und sollte) man 2FA...

Olliar 21. Feb 2019

Das diese Schlamperei weit verbreitet ist, bedeutet nicht, das sie akzeptabel oder...

vollstorno 20. Feb 2019

Danke dem Forum für die bisherigen Antworten. Ich hab nicht die kriminelle Energie und Mu...

LinuxMcBook 20. Feb 2019

Ich gehe mal davon aus, dass die Mitarbeiter dort die PIN nur zur Authentifizierung...

Olliar 20. Feb 2019

Wenn die aber einfach keine Ahnung von der Materie haben? Was ist besser? "drop data...



Aktuell auf der Startseite von Golem.de
Raumfahrt
SpaceX-Rakete stürzt voraussichtlich im März auf den Mond

Ob sich Elon Musk so die erste Ankunft einer SpaceX-Rakete auf dem Mond vorgestellt hat?

Raumfahrt: SpaceX-Rakete stürzt voraussichtlich im März auf den Mond
Artikel
  1. G413 SE, G413 TKL SE: Logitech bringt zwei mechanische Tastaturen für weniger Geld
    G413 SE, G413 TKL SE
    Logitech bringt zwei mechanische Tastaturen für weniger Geld

    Normalerweise sind mechanische Tastaturen von Logitech sehr teuer - nicht so die G413 SE und TKL SE. Die verzichten dafür auf RGB.

  2. Deutschland: E-Commerce wird immer mehr zum Normalfall
    Deutschland
    E-Commerce wird immer mehr zum Normalfall

    E-Commerce wird immer mehr als das Normale und Übliche empfunden, meint der Bundesverband E-Commerce und Versandhandel.

  3. Letzte Meile: Telekom will Preise für VDSL-Vermietung stark erhöhen
    Letzte Meile
    Telekom will Preise für VDSL-Vermietung stark erhöhen

    Die Telekom will von 1&1, Vodafone und Telefónica künftig erheblich mehr für die Anmietung der letzten Meile.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • GOG New Year Sale: bis zu 90% Rabatt • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /