Um nochmal die Thematik verschlüsselt / nicht verschlüsselt aufzugreifen: Anscheinend wurden Passwörter nicht im Klartext abgespeichert.

Zitat Zitat
One other point to clarify is from this weekend’s press conference. While the passwords that were stored were not “encrypted,” they were transformed using a cryptographic hash function. There is a difference between these two types of security measures which is why we said the passwords had not been encrypted. But I want to be very clear that the passwords were not stored in our database in cleartext form. For a description of the difference between encryption and hashing, follow this link.
Quelle: PSN US-Blog

Kurz gesagt: Passwörter wurden nicht im Klartext abgespeichert, sondern nur der erzeugte Hash-Wert in der Datenbank abgelegt. Ein User hat beispielsweise das Password "playstation" eingegeben. Das System geht nun hin und erzeugt daraus einen einzigartigen Wert z. B. "Dm39JMF0923kfMD". Nur dieser Wert wird in der Datenbank abgelegt. Da Hash-Verfahren sog. Einweg-Verfahren darstellen, kann man aus dem Hash-Wert nicht das ursprüngliche Password ermitteln.

Da jeder Hash-Wert einzigartig ist (bzw. sein sollte), kann nur die Eingabe des Passwords "playstation" den Hash-Wert "Dm39JMF0923kfMD" ergeben. Andere Eingaben führen unweigerlich zu anderen Hash-Werten und der Zugang wird verweigert.

Ergo: Die Angreifer sind lediglich in dem Besitz genau dieser Hash-Werte. Leider stellt es trotzdem ein Problem dar, denn wenn ich im Besitz dieser Hash-Werte bin, kann ich mit genügend Aufwand trotzdem die ursprünglichen Passwörter ermitteln... indem verschiedene Kombinationen einfach ausprobiert werden, sog. Brute-Force-Methoden. Das heißt, ich nehme mir ein Hash-Verfahren, gebe verschiedene, zufällige Passwörter ein (beliebt sind Wörterbuch-Methoden, also Wörter aus dem Wörterbuch) und schau, was als Hash-Wert ausgegeben wird. Stimmt der von mir erzeugte Hash-Wert mit einem Hash-Wert der geklauten Daten zusammen, kann man sich da schon unautorisierten Zugang verschaffen.

Dies geht aber nur so leicht bei Passwörtern wie das o. g. "playstation". Wenn ich nun ein Passwort habe wie "f_"§904@fD|_+LäÄf+", dann läßt sich sowas natürlich schlecht durch reines Ausprobieren herausfinden. Ergo muss man andere Methoden finden, wie man aus dem Hash-Wert den ursprünglichen Wert ermittelt, was dank Einweg-Verfahren so erst mal nicht geht.

Fazit: Hat man ein sicheres Password eingegeben, was den nötigen Sicherheitskriterien entspricht, dürfte da wenig zu befürchten sein, ratsam ist es dennoch das Password zu ändern. Was die restlichen Daten (Name, Alter etc.) angeht: Da der Großteil der Nutzer bei Facebook etc. angemeldet ist, dürften diese Daten eh schon im Umlauf sein und daher besteht da eh kein Unterschied mehr.