Aldi Talk speichert Teile des Passworts im Klartext

Der Prepaid-Mobilfunkanbieter Aldi Talk des bekannten Discounters speichert den ersten Teil des Kundenpasswortes in einer extra Datenbank ohne dieses zu hashen.

Wie die Kollegen von Golem herausfanden, speichert Aldi Talk einen Teil des Kundenpasswortes in einer extra Datenbank um dieses bei Bedarf von den Kunden abfragen zu können. Dieses System hat allerdings den Nachteil, dass zuständige Mitarbeiter von Aldi Talk einen Zugriff auf diese Daten komplett unverschlüsselt haben.

Normalerweise werden Passwörter in Datenbanken nur noch in Hash-Form gespeichert, sodass sie nicht direkt im Klartext zur Verfügung stehen, selbst wenn eine Datenbank von Dritten kompromittiert wird. Im Falle von Aldi Talk sind zumindest die ersten vier Stellen des Passwortes konkret einem Anwender zuzuordnen, was das Erraten des Passwortes mittels Brute-Force-Angriffen deutlich einfacher gestaltet. Eine direkte Gefahr für die Kunden geht durch die unsichere Speicherung der Teilpasswörter aktuell nicht aus.

Aldi Talk realisiert das Mobilfunkangebot über das Netz von Telefónica.