Jump to content
TabletopWelt
Derzeitige Performance-Komplikationen

Unsichere Kennwörter wurden ersetzt

Odysseus

Von Odysseus
in Ankündigungen des Forums

 Share

Empfohlene Beiträge

Odysseus Senior-Benutzer

Odysseus

Geschrieben am
Geschrieben am

Hallo zusammen!

Ich habe soeben ein Programm ausgeführt, das allen Benutzern, deren Passwort mit ihrem Benutzernamen identisch war, ein neues Passwort zuschickt. Das traf auf immerhin 220 Benutzerkonten zu... :silly:

Die Gründe liegen auf der Hand: Es ist z.B. für Spam-Bots besonders einfach, in solche Accounts einzubrechen, und offensichtlich passiert so etwas in letzter Zeit vermehrt, weswegen der Hersteller unserer Foren-Software diese Vorgehensweise empfiehlt.

Alle betroffenen Benutzer haben eine E-Mail mit einem neuen Zufalls-Passwort erhalten. Dieses kann (und sollte!) natürlich gleich wieder verändert werden. Allerdings ist es ab sofort eben nicht mehr möglich, den Benutzernamen als Passwort zu verwenden. ;)

Falls ein Betroffener keine E-Mail erhalten hat, soll er bitte wie folgt vorgehen:

1. Prüfen, ob die Mail im Spamfilter hängen geblieben ist.

2. Prüfen, ob die Mail womöglich an eine andere oder alte E-Mail Adresse ging. Falls möglich, dort abholen, neu einloggen und die E-Mail Adresse im Profil bei der Gelegenheit gleich mal aktualisieren.

3. Falls keine andere Lösung ersichtlich ist, das Kontaktformular benutzen und mir eine Nachricht schicken - ich kann dann helfen. :)

Das Foren-Team entschuldigt sich für alle Unannehmlichkeiten, die durch die Änderung der Passwörter entstanden sein könnten.

Gruß,

Odysseus

(∩`-´)⊃━☆゚.*・。゚

Link zu diesem Kommentar
Auf anderen Seiten teilen
Leutnant Kernt Erfahrener Benutzer

Leutnant Kernt

Geschrieben am
Geschrieben am
H Das traf auf immerhin 220 Benutzerkonten zu... :silly:

Megalol! Also mal ganz ehrlich: Ich hätte nie gedacht, dass es soviele Leute gibt.

Hab damals bei "Heavy Gear 2" mal bei einem Clanroom den clannamen als passwort eingegeben und bin direkt reingekommen. Die haben mich dann alle als Hacker beschimpft etc und ich hab mich schlappgelacht.

Finde diesen Schritt aber gut. Wir haben auch schon so mehr als genug Spammer (mich zum Beispiel)

Gruß Kernt

Ich bin wieder da!

Link zu diesem Kommentar
Auf anderen Seiten teilen
SirCartman Erfahrener Benutzer

SirCartman

Geschrieben am
Geschrieben am

Kann man den überprüfen ob die Accounts überhaupt benutzt wurden? Ich meine, dass ich sowas immer genau dann mache, wenn ich nur fix Zugang zu etwas brauche ohne das ich aber großartig Daten angeben müsste oder ähnliches. Wenn ich erwarte, dass ich das ganze doch noch brauche, dann wird das PW gegebenfalls geändert.

mfg

Christian

Link zu diesem Kommentar
Auf anderen Seiten teilen
chiu Senior-Benutzer

chiu

Geschrieben am
Geschrieben am

In diesem Falle ging es einfach nur darum Sicherheit zu gewährleisten.

Und ja, man kann sehen ob diese Accounts schon länger inaktiv sind. Wenn sie mal in irgendeiner Weise Platz wegnehmen, könnte Ody Accounts, die wirklich lange ungenutzt sind, löschen. :)

"That guitar tone makes the hair on my sack stand on ends" - depecheme24

"Sich zu Tode arbeiten ist die einzige gesellschaftlich anerkannte Form des Selbstmordes."

 

Mein WH 40k Projekt: SONS OF HATE

Link zu diesem Kommentar
Auf anderen Seiten teilen
glorin Erfahrener Benutzer

glorin

Geschrieben am
Geschrieben am

Lol, nur so wenig Platz noch, ihr müsst ja balt den Server wechseln... :-)

(Gibt es wirklich so viele, die so einfallslos sind... Mal ein paar System stichpropig durchkämmen, ob ich irgendwo ein Accaunt mir erschleichen kann, wo ich ncoh kein habe, Spaß bei seite echt einfalslos... (Hm, bin auch in der Schule so einfallslos mit meinem Password, na ja es probiert aber uch dort nciht jeder aus, ob mein online name ein Password ist... (Mein Bentzername heißt dort leider anderes :-())

Besucht meine Chaoszwergenhomepage!

http://chaoszwerge.cms4people.de/index.html

Link zu diesem Kommentar
Auf anderen Seiten teilen
Appolyon Senior-Benutzer

Appolyon

Geschrieben am
Geschrieben am

Naja, ich frage mich, wieviele wohl als Passwort das allseits beliebte "Passwort" genommen haben. Man glaubt gar nicht, wie oft das doch tatsächlich noch der Fall ist. Wurden die Accounts eigentlich auch daraufhin überprüft, oder nur auf eine Übereinstimmung mit dem Usernamen?

Projekte: SoB - Das wird riesig; IW - Iron within, Iron without; Imperial Militia - The Redcoats of Wellington

Sig2.jpg.3ea208065df5740bf5523fe9f14ed315984f8992ed36_HH-Challenge2016.jpg.6664d4d710ed70fbf04fbdcb8c242108.jpg

CSM - Mit Feuer und Flamme; Orks - Die Horde rennt; Untote - Einladung zum Totentanz; Abenteurer in Mordheim

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen
Der Komtur Benutzer

Der Komtur

Geschrieben am
Geschrieben am

Mein Passwort ist Geburtstag meiner Mutter (1.xx.xxxx) Geburtsmonat meines Vaters xx.02.xxxx) Anzahl meiner Hunde (3) Meine Hausnummer (4) und die erste Stelle meiner Postleitzahl (5xxxx) Da kommt keiner drauf

(Zusammen ergibt das 12345)

Ernsthaft: Der Server hier speichert die Passwörter Klartext ?!? Oder wie habt ihr die überprüft?

"Wenn man merkt, dass der Gegner überlegen ist und man Unrecht behalten wird, so werde man persönlich, beleidigend, grob. Das Persönlichwerden besteht darin, dass man von dem Gegenstand des Streites (weil man da verlorenes Spiel hat) abgeht und den Streitenden und seine Person irgendwie angreift."

Arthur Schopenhauer: Eristische Dialektik oder Die Kunst Recht zu behalten

Link zu diesem Kommentar
Auf anderen Seiten teilen
Der Komtur Benutzer

Der Komtur

Geschrieben am
Geschrieben am

So "natürlich" ist das nicht. Eigentlich eher im Gegenteil.

"Wenn man merkt, dass der Gegner überlegen ist und man Unrecht behalten wird, so werde man persönlich, beleidigend, grob. Das Persönlichwerden besteht darin, dass man von dem Gegenstand des Streites (weil man da verlorenes Spiel hat) abgeht und den Streitenden und seine Person irgendwie angreift."

Arthur Schopenhauer: Eristische Dialektik oder Die Kunst Recht zu behalten

Link zu diesem Kommentar
Auf anderen Seiten teilen
Berock Senior-Benutzer

Berock

Geschrieben am
Geschrieben am

Man kann diese Überprüfung (Passwort == Username) automatisiert durchführen lassen, wobei dann niemand die Passwörter in Klartext lesen kann (was meines Wissens bei vBulletin auch nicht geht).

Gruß Ralf

Teamaufbausammelthread • Göttinger BloodBowl Liga • Die wiederholte Gefangennahme von T'Koschi da Hurz

Link zu diesem Kommentar
Auf anderen Seiten teilen
Liktor Erfahrener Benutzer

Liktor

Geschrieben am
Geschrieben am
Natürlich ist sowas für den Admin einsehbar. Es können ja auch Theoretisch die PM abgerufen werden
Das Passwort ist nicht vom Administrator einsehbar, da es in Form eines (ich glaube 32-stelligen) Codes gespeichert wird. Dadurch ist es auch nicht mehr rekonstruierbar, weswegen man im Übrigen auch, wenn das PW verloren geht, ein komplett neues zugeteilt bekommt.

"Unbekleidetes Staubsaugen kann im Stolperfall zu unerwünschter Penisverlängerung führen!"

Link zu diesem Kommentar
Auf anderen Seiten teilen
Der Komtur Benutzer

Der Komtur

Geschrieben am
Geschrieben am

Die Dinger nennt man Hashzahlen :) - Gut das wollte ich nur wissen. Weil ich doch sonst recht ungehalten gewesen wäre, wenn hier jeder DB-Admin mein PW sehen könnte. *g*

"Wenn man merkt, dass der Gegner überlegen ist und man Unrecht behalten wird, so werde man persönlich, beleidigend, grob. Das Persönlichwerden besteht darin, dass man von dem Gegenstand des Streites (weil man da verlorenes Spiel hat) abgeht und den Streitenden und seine Person irgendwie angreift."

Arthur Schopenhauer: Eristische Dialektik oder Die Kunst Recht zu behalten

Link zu diesem Kommentar
Auf anderen Seiten teilen
voodoo44 Benutzer

voodoo44

Geschrieben am
Geschrieben am

Zu meinen Zeiten hieß das mal MD5-Summe. Und diese Summe ist ein Hashwert und keine Hashzahl (kommen nämlich auch Buchstaben drin vor :P)

In gängigen Forensystemen ist es aktuell so, dass die PWs eben als MD5-Hashwert abgespeichert werden - hat weniger mit den Admins zu tun, als mehr mit irgendwelchen "Hackangriffen", sollte die DB mal geklaut werden, so hat der geneigte User erstmal weniger zu befürchten.

Natürlich gibt es findige Leute, die MD5 Cracker programmiert haben - alternativ gibt es auch noch die Wortlisten.

Deshalb sollte das PW auch NIE ein Wort sein, sondern wirklich eine sinnlose aneinanderreihung von Groß-und Kleinbuchstaben, Zahlen, und Sonderzeichen.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Odysseus Senior-Benutzer

Odysseus

Geschrieben am
  • Autor
Geschrieben am

Die Passwörter werden mehrfach hintereinander mit MD5 gehasht und mit einem sog. "salt" zusätzlich unkenntlich gemacht. Ein Angriff mittels Klartext-Tabellen wäre daher völlig aussichtslos. Trotzdem sollten Passwörter mindestens aus 8 Zeichen (Ziffern, Kleinbuchstaben, Großbuchstaben, Sonderzeichen) bestehen und in keinem Wörterbuch stehen. :)

(∩`-´)⊃━☆゚.*・。゚

Link zu diesem Kommentar
Auf anderen Seiten teilen
voodoo44 Benutzer

voodoo44

Geschrieben am
Geschrieben am

Und wenn ich weiß, wie oft MD5 gehashed wird, dann kann ich trotzdem mein Wörterbuch nutzen, da sich aus dem Code auch ablesen lässt, wie dieser "SALT" aufgebaut ist - den kann ich nämlich einfach an das Wort vorn dran hängen und mit hashen.

Sehe da gerade das exakte Problem nicht :)

Der SALT ist bekannt und die Anzahl der Hashvorgänge auch.

Dann tippe ich den SALT ein, hänge mein Wort dahinter und lasse das ganze x-mal hashen.

Bringt auch nicht viel mehr.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Odysseus Senior-Benutzer

Odysseus

Geschrieben am
  • Autor
Geschrieben am

Das denken viele, es ist aber nicht so. Du kennst das Salt, den Algorhythmus und das Ergebnis - das hilft dir aber nicht, denn du wirst keine Rainbow-Table finden, in der sich die Ergebnisse von z.B. md5(md5($text + md5($salt))) finden.

Hash-Werte mit Salt sind sicher, solange niemand eine Rainbow-Table aller denkbaren String in Kombination mit diesem einen konkreten Salt und der konkret angewendeten Verschachtelung der Hash-Aufrufe generiert/hat. Und das macht keiner, denn der Aufwand ist exponenziell höher als bei einer "normalen" Rainbow-Table.

(∩`-´)⊃━☆゚.*・。゚

Link zu diesem Kommentar
Auf anderen Seiten teilen
voodoo44 Benutzer

voodoo44

Geschrieben am
Geschrieben am

Das ist ja schön, nur bringen wird das ganze trotzdem nichts.

Wie schon erwähnt - der SALT ist bekannt, die zahl der Verschlüsselungen auch.

Jetzt nehme ich mein "Wörterbuch" (ohne die MD5-Summen), lasse aus dem entsprechenden SALT einfach neue MD5 Summen generieren und gehe dann wieder mit meiner Wörterbuchattake vor ...

So eine Neugenerierung wird denke ich nicht ewig dauern.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast Crotaphytus

Gast Crotaphytus

Geschrieben am
Geschrieben am

Ihr redet da grad aneinander vorbei... ;)

voodoo spricht von Wörterbuch-Attacken, die funktionieren bei bekanntem System natürlich. (Wie leicht sich der Salt besorgen lässt steht natürlich noch auf einem anderen Blatt... Ich gehe ja doch davon aus, dass man den selbst wählen kann...)

Ody dagegen spricht von Rainbow-Tabellen, was ja mehr oder weniger ein geschickter Bruteforce-Angriff ist. Das funktioniert nicht, weil zu aufwändig.

Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
 Share
Gehe zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Ihrem Gerät platziert, um die Bedinung dieser Website zu verbessern. Sie können Ihre Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Sie damit einverstanden sind.