Kurioses: AMD gehackt, weil Daten mit "Passwort" gesichert waren [Gerücht]

[PCGH-Redaktion]

Jetzt ist Ihre Meinung gefragt zu Kurioses: AMD gehackt, weil Daten mit "Passwort" gesichert waren [Gerücht]

Eine Gruppe von Datenerpressern namens "RansomHouse" machte nun einen Cyberangriff öffentlich, der bereits im Januar stattgefunden haben soll. Ziel war der Chiphersteller AMD und erbeutet wurden nach eigenen Angaben mehr als 450 Gb [sic!] an Daten. Der Großkonzern soll die Daten dabei unter anderem mit dem Passwort "Passwort" abgesichert haben.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: Kurioses: AMD gehackt, weil Daten mit "Passwort" gesichert waren [Gerücht]

 

[nitg]

Die sollten mal mit Microsoft reden, wie Passwort-Richtlinien gehen

 

[chill_eule]

Der Großkonzern soll die Daten dabei unter anderem mit dem Passwort "Passwort" abgesichert haben.

Die Idee als englischsprachiges Unternehmen einfach das deutsche Wort für "password" zu nehmen ist schon fast diabolisch

Oder:
Man sollte nicht einfach Alles durch google übersetzen lassen

[Gerücht]

 

[geist4711]

man sollte meinen, das solch grosser betrieb, eine ebenso grosse IT-abteilung hat, die dann, gerade für wichtige bereiche, die passwörter und user vorgeben und verwalten, d.h, user XY bekommt zugang und ein vorherautomatisch generierts möglichst sicheres passwort das der user nicht einfach umbenennen kann, weil er DAZU schlicht keine berechtigung hat.......

wenn die das nicht haben: aus solchen fehlern sollte man lernen......

 

[Kelemvor]

stimmts wirklich oder ist da eine Hackergrupope nur sauer weil sie keine Millionen absahnen konnten?

 

[Technologie_Texter]

man sollte meinen, das solch grosser betrieb, eine ebenso grosse IT-abteilung hat, die dann, gerade für wichtige bereiche, die passwörter und user vorgeben und verwalten, d.h, user XY bekommt zugang und ein vorherautomatisch generierts möglichst sicheres passwort das der user nicht einfach umbenennen kann, weil er DAZU schlicht keine berechtigung hat.......

Bis jetzt hat AMD es nicht bestätigt

 

[wuselsurfer]

Jemand soll auch einen viereckigen Mond in einem viereckigen Kasten gesehen haben der teuflisch geleuchtet und wechselnde Bilder angezeigt hat (Gerücht).

 

[SFT-GSG]

"AMD ist sich eines schlechten Schauspielers bewusst..."

Ja google Übersetzungen sind schon lustig. So wird aus einem bad actor schnell ein schlechter Schauspieler...

Liebe PCGH ist es so schlimm seine eigenen Artikel nochmal Korrektur zu lesen? Zumindest das was man sich mit Google oder deepL übersetzen lässt...

man sollte meinen, das solch grosser betrieb, eine ebenso grosse IT-abteilung hat, die dann, gerade für wichtige bereiche, die passwörter und user vorgeben und verwalten, d.h, user XY bekommt zugang und ein vorherautomatisch generierts möglichst sicheres passwort das der user nicht einfach umbenennen kann, weil er DAZU schlicht keine berechtigung hat.......

wenn die das nicht haben: aus solchen fehlern sollte man lernen......

Das funktioniert kaum. Der menschliche Faktor ist zu groß. Sind die Passwörter zu kompliziert, sind die Leute nicht arbeitsfähig. Sie vertippen sich ständig oder vergessen sie von heute auf morgen. Das sehe ich jeden Tag....und am Ende ist natürlich die IT schuld, nicht der Mitarbeiter.

 

[Waupee]

Was den da steht doch immer "geben sie ihr Passwort ein" werden wohl einige

sehr ernst genommen haben

 

[PCGH_Torsten]

Das funktioniert kaum. Der menschliche Faktor ist zu groß. Sind die Passwörter zu kompliziert, sind die Leute nicht arbeitsfähig. Sie vertippen sich ständig oder vergessen sie von heute auf morgen. Das sehe ich jeden Tag....und am Ende ist natürlich die IT schuld, nicht der Mitarbeiter.

Insbesondere wäre die Vergabe vorgefertigter Passwörter durch die IT eine grundlegende Verletzung zahlreicher Sicherheitsprinzipien. Denn das bedeutet auch, dass einer zentralen Stelle sämtliche Passwörter bekannt sind und dass diese von dort aus in einer leicht (mit-)lesbaren Form übertragen werden müssen. Ein Passwort sollte dem Nutzer bekannt sein – wie kompliziert es dafür sein darf und sollte ist allerdings sehr umstritten. Extrem einfache Passwörter kennt bald jeder, der sich Mühe gibt; zu komplexe jeder den Zettel sieht. Eine vernünftige IT-Infrastruktur schafft zwischen beiden Extremen aber großzügige Möglichkeiten und etwas so simples wie "Passwort" sollte allgemein nur in sicherheitsunkritischen Systemen zulässig sein, deren Software zu unflexibel ist um ganz ohne Eingabe zu arbeiten.

 

[Technologie_Texter]

Bald werden in der IT eh mindestens mehrer Milliarden Menschen arbeitslos, weil der WEF-Chip unter der Haut das Passwort beim Arbeitsvolk ersetzen wird

Was aber egar sein sollte, weil die KI den Menschen in 10-20 Jahren eh fast überall ersetzen wird!

 

[SFT-GSG]

Insbesondere wäre die Vergabe vorgefertigter Passwörter durch die IT eine grundlegende Verletzung zahlreicher Sicherheitsprinzipien. Denn das bedeutet auch, dass einer zentralen Stelle sämtliche Passwörter bekannt sind und dass diese von dort aus in einer leicht (mit-)lesbaren Form übertragen werden müssen. Ein Passwort sollte dem Nutzer bekannt sein – wie kompliziert es dafür sein darf und sollte ist allerdings sehr umstritten. Extrem einfache Passwörter kennt bald jeder, der sich Mühe gibt; zu komplexe jeder den Zettel sieht. Eine vernünftige IT-Infrastruktur schafft zwischen beiden Extremen aber großzügige Möglichkeiten und etwas so simples wie "Passwort" sollte allgemein nur in sicherheitsunkritischen Systemen zulässig sein, deren Software zu unflexibel ist um ganz ohne Eingabe zu arbeiten.

Wie haben bei und die simple Regel: mindestens 10 Zeichen inkl. Großbuchstaben und Zahl. Keines der letzten 10 Passwörter darf verwendet werden. Passwörter mit "Klarnahmen" des Mitarbeiters werden vom System auch nicht akzeptiert.

Und natürlich laufen die Passwörter nach einer festgelegten Zeit ab und müssen geändert werden. Das ist "relativ" sicher.

Aber alleine diese simple Vorgabe ist für bestimmten Menschen schon zuviel oder kompliziert. Da werden Passwörter auf Zetteln in das Notebook geklebt oder gleich innerhalb von 24h vergessen. Ich frage mich dann immer wie solche Menschen durchs leben kommen.

 

[PCGH_Torsten]

Solange es nur ein Passwort ist, sollte man damit klarkommen. Aber wenn man in multiplen Umgebungen unterwegs ist, wird es gerade mit zeitlich befristeten Passwörtern schnell unübersichtlich. Ich habe zum Beispiel Passwörter für vier verschiedene Systeme, die ich mehrmals die Woche benutze und unzählige weitere, auf die gelegentlich zugegriffen werden muss. Wenn die alle jeden Monat ein komplett neues verlangen würden, wäre das ohne Zettel auch nicht mehr praktikabel, denn einige davon müssen als redundanter Kommunikationsweg auch dann nutzbar sein, wenn z.B. ein Passwort-Manager hinter dem ersten Passwort gerade nicht zur Verfügung steht. Von daher bin ich sehr froh, dass die weniger sicherheitskritischen Elemente keine unnötig hohen Anforderungen stellen.

 

[Incredible Alk]

Und natürlich laufen die Passwörter nach einer festgelegten Zeit ab und müssen geändert werden. Das ist "relativ" sicher.

Das ist der größte Unsicherheitsfaktor überhaupt. Hauptsächlich deswegen weil man Passwörter ständig (ohne konkreten Grund) ändern muss gehen die Leute hin und schreiben sie überall hin auf oder überlegen sich Systeme um sich Änderungen zu merken ("Passwort5" zu "Passwort6" usw).

Wer einmal ein kryptografisch sicheres Passwort hat (nicht zwingend kompliziert sondern vor allem lang!), dieses nicht aufschreibt und niemandem verrät kann das Ding sein Leben lang verwenden sofern ihn keine unsinnige Passwortpolicy daran hindert. Ich hab seit über 20 Jahren das gleiche Passwort für meine verschlüsselten Daten - das KANN ich gar nicht mehr vergessen selbst wenn ichs wollte.

Beruflich muss ich auch alle 90 Tage das PW ändern (letzte 5 nicht erlaubt). Was passiert? Ich hab mirn Tastaturmuster überlegt das ich alle 90 Tage um eine Taste verschiebe um die beknackte policy zu erfüllen und aufschreiben muss ichs mir auch. Die meisten Kollegen haben ihr Passwort auf irgendnem post-it da rumliegen seit wir die PWs ändern müssen (war früher nicht so).

 

[SFT-GSG]

Ja, das mach ich ich nicht anders, da wird am Ende Numerisch aufgezählt. Natürlich wäre ein sicheres Passwort besser also ständig dieses ändern zu müssen. Aber auch hier ist faktor Mensch entscheident: @PCGH_Torsten du wirst auch nicht unbedingt dein Passwort Kollegen mitteilen damit diese an deine Daten kommen, welche du lokal auf C gepeichert hast weil du gerade im Urlaub, Krank oder aufm Klo bist.

Der normale Büromensch macht das leider. Und Kollegen verlassen das Unternehmen...teilweise "nicht einvernehmlich". Und wenn ein solcher das Account Passwort eines aktiven Kollegen kennt werden schnell mal Daten mitgenommen. Das passiert gar nicht so selten.

Auch wird eben das Passwort nicht nur im Unternehmen sondern auch gleich für GMX, PCGH, Keyseller usw. benutzt. Wird ein Anbieter gehackt oder verkauft gar die Account details ist das Passwort nichts mehr wert.

Um mal bei Thema zu bleiben:

Ein Passwort ist nur so sicher, wie der Mensch der es verwaltet/benutzt.

Aber Password als Passwort sollte eigentlich in keinem Großen Unternehmen möglich sein...

 

[RyzA]

Ich hab seit über 20 Jahren das gleiche Passwort für meine verschlüsselten Daten - das KANN ich gar nicht mehr vergessen selbst wenn ichs wollte.

Ich hatte mal meinen 4 stelligen EC-Karten Pin vergessen als ich in der Tankstelle bezahlt habe.
Völliger Blackout. Aber beim 3. Versuch (und kurz vor der Sperrung) ist er mir wieder eingefallen.

Ansonsten weiß ich von ein paar Seiten, welche ich regelmäßig nutze , meine Passwörter auswending. Aber ich habe alles auch noch auf einen Zettel ausgedruckt zur Sicherheit.
Von PW Managern halte ich nicht viel. Wenn man da mal das PW vergisst oder verlegt kommt man nicht mehr an die Daten.

 

[Incredible Alk]

Aber Password als Passwort sollte eigentlich in keinem Großen Unternehmen möglich sein...

Bei uns geht das - also "Passwort1" geht (weil ne Zahl drin sein muss). Unternehmen mit 10k+ Mitarbeitern.
Es gibt auch interne Programme ganz ohne Policy - da haben manche Leute einen einzelnen Buchstaben als Passwort eingegeben.

Die "Sicherheit" basierte bei den Systemen bisher eher darauf, dass sie von außen nicht erreichbar waren bzw. man erst mal aufs Werksgelände kommen, in Gebäude eindringen und Terminals starten/einloggen musste um überhaupt Zugriff zu haben. Da ist wohl auch nie irgendwas passiert.
Problem: Seit Corona gibts massivst ausgebautes Homeoffice mit VPN usw. - wenn jemand da einen offenen VPN unbeaufsichtigt lässt könnte ein böser Bube da mächtig Schaden anrichten.
Die IT hat da wirklich noch viele viele Baustellen aber ist wie in gefühlt allen großen Unternehmen natürlich gnadenlos unterbesetzt.

Ansonsten weiß ich von ein paar Seiten, welche ich regelmäßig nutze , meine Passwörter auswending. Aber ich habe alles auch noch auf einen Zettel ausgedruckt zur Sicherheit.

Den berühmten Zettel habe ich auch - allerdings enthält der das Passwort von dem ich oben rede als einziges nicht. Wer den Zettel findet/klaut kann bereits sehr viel Schaden anrichten (da email, amazon, steam usw draufstehen - nebenbei auch das Passwort mit dem man hier das halbe Forum weglöschen könnte, zu vBulletin Zeiten war das ganz extrem, bei Xenforo können wir praktisch kaum wirklich dauerhaften Schaden anrichten) aber das Passwort meiner Datenverschlüsselung existiert nur ausschließlich in meinem Kopf.
Darum gehts halt - auf digitale Art und Weise gibts keine (relevante) Chance an meine PWs zu kommen. Um echten Schaden zu erzeugen müsste man schon bei mir einbrechen und den Zettel finden und ausnutzen (bevor ich was sperren kann). Das Restrisiko gehe ich bisher ein.

 

[RyzA]

Darum gehts halt - auf digitale Art und Weise gibts keine (relevante) Chance an meine PWs zu kommen. Um echten Schaden zu erzeugen müsste man schon bei mir einbrechen und den Zettel finden und ausnutzen (bevor ich was sperren kann). Das Restrisiko gehe ich bisher ein.

Sieht bei mir genauso aus.

 

[HighEnd111]

Bei meinem Arbeitgeber gab's Ende letzten Jahres auch nen Hackerangriff (bevor jemand suchen will: nein, es kam nicht in den Medien) und seitdem wurden unsere Sicherheitsrichtlinien auch nochmal verschärft.

Passwörter für Windows und das Zeitkontensystem müssen nun mindestens 15 Zeichen haben, Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen enthalten. Die Gültigkeit beträgt 180 Tage und alte Passwörter oder welche, die dem alten stark ähneln, sind nicht zulässig (da funktioniert meine seitherige Methode "ich hänge einfach ne Zahl ans alte Passwort dran" nicht mehr )

Außerdem dürfen USB-Sticks und andere Speichermedien nur noch dann angeschlossen werden, wenn der PC vom Netzwerk getrennt ist. Dann muss man sie erstmal auf Viren etc. prüfen lassen und erst dann darf der PC wieder ans Netz.

Klar ist das etwas nervig, aber viel schlimmer wäre es, wenn sensible Daten geklaut werden (bei uns waren es keine allzu wichtigen Daten, großartig geschäftsschädigend war der Angriff nicht - nur die IT hatte keine Feiertage ).

Aber eins ist klar: wenn man ein durchweg sicheres, komplexes Passwort hat, das lang ist und aus willkürlicher Reihenfolge von Zeichen besteht, dann ist die ständige Aktualisierung des Passworts eigentlich unnötig.

 

[Incredible Alk]

Außerdem dürfen USB-Sticks und andere Speichermedien nur noch dann angeschlossen werden, wenn der PC vom Netzwerk getrennt ist.

Externe Datenträger sind bei uns generell gesperrt bzw. kein USB-Port der Firma akzeptiert USB-Sticks.
Wenn sowas zwingend erforderlich ist gehts nur über spezielle Systeme die erstmal in ner Sandbox laufen. Mit verseuchten USB-Sticks gab es in (längerer) Vergangenheit derart viele probleme dass man das generell unterbunden hat.