Odysseus Geschrieben am 8. September 2008 Share Geschrieben am 8. September 2008 Hallo zusammen!Ich habe soeben ein Programm ausgeführt, das allen Benutzern, deren Passwort mit ihrem Benutzernamen identisch war, ein neues Passwort zuschickt. Das traf auf immerhin 220 Benutzerkonten zu... Die Gründe liegen auf der Hand: Es ist z.B. für Spam-Bots besonders einfach, in solche Accounts einzubrechen, und offensichtlich passiert so etwas in letzter Zeit vermehrt, weswegen der Hersteller unserer Foren-Software diese Vorgehensweise empfiehlt.Alle betroffenen Benutzer haben eine E-Mail mit einem neuen Zufalls-Passwort erhalten. Dieses kann (und sollte!) natürlich gleich wieder verändert werden. Allerdings ist es ab sofort eben nicht mehr möglich, den Benutzernamen als Passwort zu verwenden. Falls ein Betroffener keine E-Mail erhalten hat, soll er bitte wie folgt vorgehen:1. Prüfen, ob die Mail im Spamfilter hängen geblieben ist.2. Prüfen, ob die Mail womöglich an eine andere oder alte E-Mail Adresse ging. Falls möglich, dort abholen, neu einloggen und die E-Mail Adresse im Profil bei der Gelegenheit gleich mal aktualisieren.3. Falls keine andere Lösung ersichtlich ist, das Kontaktformular benutzen und mir eine Nachricht schicken - ich kann dann helfen. Das Foren-Team entschuldigt sich für alle Unannehmlichkeiten, die durch die Änderung der Passwörter entstanden sein könnten.Gruß,Odysseus (∩`-´)⊃━☆゚.*・。゚ Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Leutnant Kernt Geschrieben am 9. September 2008 Share Geschrieben am 9. September 2008 H Das traf auf immerhin 220 Benutzerkonten zu... Megalol! Also mal ganz ehrlich: Ich hätte nie gedacht, dass es soviele Leute gibt.Hab damals bei "Heavy Gear 2" mal bei einem Clanroom den clannamen als passwort eingegeben und bin direkt reingekommen. Die haben mich dann alle als Hacker beschimpft etc und ich hab mich schlappgelacht.Finde diesen Schritt aber gut. Wir haben auch schon so mehr als genug Spammer (mich zum Beispiel)Gruß Kernt Ich bin wieder da! Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Snoozer Geschrieben am 9. September 2008 Share Geschrieben am 9. September 2008 Nicht sehr kreativ muss ich ja sagen, vorallem mir dem Marktplatz dann sogar nicht ungefährlich. Ein bisschen Kreativität hat noch keinem geschadet Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
SirCartman Geschrieben am 14. September 2008 Share Geschrieben am 14. September 2008 Kann man den überprüfen ob die Accounts überhaupt benutzt wurden? Ich meine, dass ich sowas immer genau dann mache, wenn ich nur fix Zugang zu etwas brauche ohne das ich aber großartig Daten angeben müsste oder ähnliches. Wenn ich erwarte, dass ich das ganze doch noch brauche, dann wird das PW gegebenfalls geändert.mfgChristian Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
chiu Geschrieben am 15. September 2008 Share Geschrieben am 15. September 2008 In diesem Falle ging es einfach nur darum Sicherheit zu gewährleisten. Und ja, man kann sehen ob diese Accounts schon länger inaktiv sind. Wenn sie mal in irgendeiner Weise Platz wegnehmen, könnte Ody Accounts, die wirklich lange ungenutzt sind, löschen. "That guitar tone makes the hair on my sack stand on ends" - depecheme24 "Sich zu Tode arbeiten ist die einzige gesellschaftlich anerkannte Form des Selbstmordes." Mein WH 40k Projekt: SONS OF HATE Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Odysseus Geschrieben am 17. September 2008 Autor Share Geschrieben am 17. September 2008 Speicherplatzbedarf für Account: 200 BytesFestplattenkapazität des Servers: 800.000.000.000 Bytes... (∩`-´)⊃━☆゚.*・。゚ Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Svensemann Geschrieben am 17. September 2008 Share Geschrieben am 17. September 2008 Speicherplatzbedarf für Account: 200 BytesFestplattenkapazität des Servers: 800.000.000.000 Bytes...Ohhhh...Dann ist das Forum ja bald zu für neue Mitglieder;D Verkaufe WHFB und HDR Verkaufe 40K und Suche Faben&SM Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
glorin Geschrieben am 21. September 2008 Share Geschrieben am 21. September 2008 Lol, nur so wenig Platz noch, ihr müsst ja balt den Server wechseln... (Gibt es wirklich so viele, die so einfallslos sind... Mal ein paar System stichpropig durchkämmen, ob ich irgendwo ein Accaunt mir erschleichen kann, wo ich ncoh kein habe, Spaß bei seite echt einfalslos... (Hm, bin auch in der Schule so einfallslos mit meinem Password, na ja es probiert aber uch dort nciht jeder aus, ob mein online name ein Password ist... (Mein Bentzername heißt dort leider anderes :-()) Besucht meine Chaoszwergenhomepage! http://chaoszwerge.cms4people.de/index.html Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Appolyon Geschrieben am 21. September 2008 Share Geschrieben am 21. September 2008 Naja, ich frage mich, wieviele wohl als Passwort das allseits beliebte "Passwort" genommen haben. Man glaubt gar nicht, wie oft das doch tatsächlich noch der Fall ist. Wurden die Accounts eigentlich auch daraufhin überprüft, oder nur auf eine Übereinstimmung mit dem Usernamen? Projekte: SoB - Das wird riesig; IW - Iron within, Iron without; Imperial Militia - The Redcoats of Wellington CSM - Mit Feuer und Flamme; Orks - Die Horde rennt; Untote - Einladung zum Totentanz; Abenteurer in Mordheim Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Necronlord95 Geschrieben am 7. Oktober 2008 Share Geschrieben am 7. Oktober 2008 Finde das wirklich ein ,,wenig" Einfallslos^^. Also wenn einem nichts einfällt schreibt euch ne Tastenkombie auf. Werden denn dann bald user gelöscht die seit nen paar Jahren nicht mehr on waren oder Spamer? Tau & Echsen Im stetigen Aufbau(geplant...) Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Der Komtur Geschrieben am 30. November 2008 Share Geschrieben am 30. November 2008 Mein Passwort ist Geburtstag meiner Mutter (1.xx.xxxx) Geburtsmonat meines Vaters xx.02.xxxx) Anzahl meiner Hunde (3) Meine Hausnummer (4) und die erste Stelle meiner Postleitzahl (5xxxx) Da kommt keiner drauf(Zusammen ergibt das 12345)Ernsthaft: Der Server hier speichert die Passwörter Klartext ?!? Oder wie habt ihr die überprüft? "Wenn man merkt, dass der Gegner überlegen ist und man Unrecht behalten wird, so werde man persönlich, beleidigend, grob. Das Persönlichwerden besteht darin, dass man von dem Gegenstand des Streites (weil man da verlorenes Spiel hat) abgeht und den Streitenden und seine Person irgendwie angreift." Arthur Schopenhauer: Eristische Dialektik oder Die Kunst Recht zu behalten Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Deathlord Geschrieben am 30. November 2008 Share Geschrieben am 30. November 2008 Natürlich ist sowas für den Admin einsehbar. Es können ja auch Theoretisch die PM abgerufen werden "I like bunnies they taste crunchy" Meine p250 Projekte: Shields of Dorn, 3. Kompanie [WH40k] (P250) "Knowing is half the battle. The other half, Violence" -Isaac Toups Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Der Komtur Geschrieben am 1. Dezember 2008 Share Geschrieben am 1. Dezember 2008 So "natürlich" ist das nicht. Eigentlich eher im Gegenteil. "Wenn man merkt, dass der Gegner überlegen ist und man Unrecht behalten wird, so werde man persönlich, beleidigend, grob. Das Persönlichwerden besteht darin, dass man von dem Gegenstand des Streites (weil man da verlorenes Spiel hat) abgeht und den Streitenden und seine Person irgendwie angreift." Arthur Schopenhauer: Eristische Dialektik oder Die Kunst Recht zu behalten Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Berock Geschrieben am 1. Dezember 2008 Share Geschrieben am 1. Dezember 2008 Man kann diese Überprüfung (Passwort == Username) automatisiert durchführen lassen, wobei dann niemand die Passwörter in Klartext lesen kann (was meines Wissens bei vBulletin auch nicht geht).Gruß Ralf Teamaufbausammelthread • Göttinger BloodBowl Liga • Die wiederholte Gefangennahme von T'Koschi da Hurz Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Liktor Geschrieben am 1. Dezember 2008 Share Geschrieben am 1. Dezember 2008 Natürlich ist sowas für den Admin einsehbar. Es können ja auch Theoretisch die PM abgerufen werdenDas Passwort ist nicht vom Administrator einsehbar, da es in Form eines (ich glaube 32-stelligen) Codes gespeichert wird. Dadurch ist es auch nicht mehr rekonstruierbar, weswegen man im Übrigen auch, wenn das PW verloren geht, ein komplett neues zugeteilt bekommt. "Unbekleidetes Staubsaugen kann im Stolperfall zu unerwünschter Penisverlängerung führen!" Das Gobbovärsum ist grün! - Goblins auf dem Weg zum Frieden Koyaanisqatsi - Leben im Ungleichgewicht SpaceMarines/SpaceOrks im ewigen Kampf Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Der Komtur Geschrieben am 1. Dezember 2008 Share Geschrieben am 1. Dezember 2008 Die Dinger nennt man Hashzahlen - Gut das wollte ich nur wissen. Weil ich doch sonst recht ungehalten gewesen wäre, wenn hier jeder DB-Admin mein PW sehen könnte. *g* "Wenn man merkt, dass der Gegner überlegen ist und man Unrecht behalten wird, so werde man persönlich, beleidigend, grob. Das Persönlichwerden besteht darin, dass man von dem Gegenstand des Streites (weil man da verlorenes Spiel hat) abgeht und den Streitenden und seine Person irgendwie angreift." Arthur Schopenhauer: Eristische Dialektik oder Die Kunst Recht zu behalten Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
voodoo44 Geschrieben am 8. Dezember 2008 Share Geschrieben am 8. Dezember 2008 Zu meinen Zeiten hieß das mal MD5-Summe. Und diese Summe ist ein Hashwert und keine Hashzahl (kommen nämlich auch Buchstaben drin vor )In gängigen Forensystemen ist es aktuell so, dass die PWs eben als MD5-Hashwert abgespeichert werden - hat weniger mit den Admins zu tun, als mehr mit irgendwelchen "Hackangriffen", sollte die DB mal geklaut werden, so hat der geneigte User erstmal weniger zu befürchten.Natürlich gibt es findige Leute, die MD5 Cracker programmiert haben - alternativ gibt es auch noch die Wortlisten.Deshalb sollte das PW auch NIE ein Wort sein, sondern wirklich eine sinnlose aneinanderreihung von Groß-und Kleinbuchstaben, Zahlen, und Sonderzeichen. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Odysseus Geschrieben am 10. Dezember 2008 Autor Share Geschrieben am 10. Dezember 2008 Die Passwörter werden mehrfach hintereinander mit MD5 gehasht und mit einem sog. "salt" zusätzlich unkenntlich gemacht. Ein Angriff mittels Klartext-Tabellen wäre daher völlig aussichtslos. Trotzdem sollten Passwörter mindestens aus 8 Zeichen (Ziffern, Kleinbuchstaben, Großbuchstaben, Sonderzeichen) bestehen und in keinem Wörterbuch stehen. (∩`-´)⊃━☆゚.*・。゚ Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
voodoo44 Geschrieben am 11. Dezember 2008 Share Geschrieben am 11. Dezember 2008 Und wenn ich weiß, wie oft MD5 gehashed wird, dann kann ich trotzdem mein Wörterbuch nutzen, da sich aus dem Code auch ablesen lässt, wie dieser "SALT" aufgebaut ist - den kann ich nämlich einfach an das Wort vorn dran hängen und mit hashen.Sehe da gerade das exakte Problem nicht Der SALT ist bekannt und die Anzahl der Hashvorgänge auch.Dann tippe ich den SALT ein, hänge mein Wort dahinter und lasse das ganze x-mal hashen.Bringt auch nicht viel mehr. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Odysseus Geschrieben am 11. Dezember 2008 Autor Share Geschrieben am 11. Dezember 2008 Das denken viele, es ist aber nicht so. Du kennst das Salt, den Algorhythmus und das Ergebnis - das hilft dir aber nicht, denn du wirst keine Rainbow-Table finden, in der sich die Ergebnisse von z.B. md5(md5($text + md5($salt))) finden.Hash-Werte mit Salt sind sicher, solange niemand eine Rainbow-Table aller denkbaren String in Kombination mit diesem einen konkreten Salt und der konkret angewendeten Verschachtelung der Hash-Aufrufe generiert/hat. Und das macht keiner, denn der Aufwand ist exponenziell höher als bei einer "normalen" Rainbow-Table. (∩`-´)⊃━☆゚.*・。゚ Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
voodoo44 Geschrieben am 12. Dezember 2008 Share Geschrieben am 12. Dezember 2008 Das ist ja schön, nur bringen wird das ganze trotzdem nichts.Wie schon erwähnt - der SALT ist bekannt, die zahl der Verschlüsselungen auch.Jetzt nehme ich mein "Wörterbuch" (ohne die MD5-Summen), lasse aus dem entsprechenden SALT einfach neue MD5 Summen generieren und gehe dann wieder mit meiner Wörterbuchattake vor ...So eine Neugenerierung wird denke ich nicht ewig dauern. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Gast Crotaphytus Geschrieben am 12. Dezember 2008 Share Geschrieben am 12. Dezember 2008 Ihr redet da grad aneinander vorbei... voodoo spricht von Wörterbuch-Attacken, die funktionieren bei bekanntem System natürlich. (Wie leicht sich der Salt besorgen lässt steht natürlich noch auf einem anderen Blatt... Ich gehe ja doch davon aus, dass man den selbst wählen kann...)Ody dagegen spricht von Rainbow-Tabellen, was ja mehr oder weniger ein geschickter Bruteforce-Angriff ist. Das funktioniert nicht, weil zu aufwändig. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Empfohlene Beiträge