Zweifel an der Sicherheit der Blizzard-Kennwörter
Wie Ars Technica berichtet, gibt es auch in Sicherheitskreisen erhebliche Zweifel, dass die kopierten Kennwörter von Blizzards Online-Dienst Battle.net sicher sind. Zwar hat Blizzard modifizierte SRP-Spezifikationen (Secure Remote Password) mit größeren Schlüsseln angewandt, um die Kennwortentschlüsselung zu erschweren, doch ist dies
angesichts der mittlerweile vorherrschenden Rechenleistung nicht ausreichend. Weil Blizzard nicht die zugrunde liegende Hash-Methode bekannt gibt, befürchtet Ars Technica, dass noch das relativ simple SHA1 der SRP-Spezifikationen zum Einsatz kommt. Empfehlenswerter sind dem Bericht nach aber aufwendigere Algorithmen wie Bcrypt, PBKDF2 und Scrypt, welche von einigen großen Diensten wie Twitter verwendet werden und darauf ausgelegt sind, die Entschlüsselung zeitlich in praxisuntaugliche Längen zu ziehen.
Unterdessen überlegen Entwickler von Hacker-Tools bereits, neue Funktionen zur beschleunigten Entschlüsselung von SRP zu integrieren. Ein einzelner Radeon-Grafikchip bietet laut dem Bericht genügend Leistung, um eine Milliarde SHA1-Kennwörter pro Sekunde für einen Brute-Force-Angriff zu generieren. Berücksichtigt man individuelle Salts wie bei SRP, braucht ein derartiges System für die Entschlüsselung einer Million Kennwörter ungefähr 16 Minuten Es dürfte daher nur eine Frage der Zeit sein, bis die von Blizzard gestohlenen Kennwörter auch vollständig im Klartext vorliegen. Ars Technica empfiehlt daher jedem Nutzer des Battle.net, dass Kennwort zu ändern. Für Blizzards Aussage, dass die Kennwörter sehr schwer zu entschlüsseln sind, gibt es nämlich keine überzeugenden Anhaltspunkte.
Weiterführende Links: