[Hinweis] Benutzeraccounts überprüfen

[Yuki-Neko]

Gerade Freeware/Open Source ist deutlich vertrauenswürdiger als proprietäre Software. Wenn die Passwortdatenbank mit einem speziellen, sicheren und langen Passwort gesichert ist und diese noch mit AES-256 verschlüsselt wird, ist die Datenbank nicht ohne weiteres zu knacken.

Klar es ist relativ sicher aber nicht unknackbar und das problem dabei ist eben wenn das geknackt wird dann hat der angreifer sofort zugriff auf alle PW´s, wenn man stattdessen das ganze in eigen regie macht und überall ein anders PW benutzt dann wird vielelicht mal eins geknackt das ist ja dann halb so wild anstatt eben sofort alles und ja freeware ist vertrauenswürdiger ABER durch open source können eben auch sicherheitslücken leichter gefunden und ausgenutzt werden, es ist nun mal ein zweischneidiges Schwert und in sachen Passwörter würde ich mich nicht auf programme zum erleichtern verlassen

 

[Atmaniac]

Klar es ist relativ sicher aber nicht unknackbar und das problem dabei ist eben wenn das geknackt wird dann hat der angreifer sofort zugriff auf alle PW´s, wenn man stattdessen das ganze in eigen regie macht und überall ein anders PW benutzt dann wird vielelicht mal eins geknackt das ist ja dann halb so wild anstatt eben sofort alles und ja freeware ist vertrauenswürdiger ABER durch open source können eben auch sicherheitslücken leichter gefunden und ausgenutzt werden, es ist nun mal ein zweischneidiges Schwert und in sachen Passwörter würde ich mich nicht auf programme zum erleichtern verlassen

AES-256 Verschlüsselung ist ein offener Standard der auch von der amerikanischen NSA oder anderen Geheimdiensten für Daten mit höchster Geheimhaltungsstufe genutzt wird. iOS auf den iPhones nutzt beim Verschlüsseln ebenfalls AES-256. Um das zu knacken müssten selbst die Supercomputer bei der Nasa ein paar hundert Jahre rechnen ... nur so zur Info

Open Source ist hier deshalb ganz klar die Präferenz. Mögliche Lücken können schnell gefunden und gefixt werden, während Lücken bei proprietärer Software lange unentdeckt bleiben oder totgeschwiegen werden können.

 

[Yuki-Neko]

Mir gehts jetzt dabei nicht wirklich ums AES^^ das ist mir schon bekannt XD aber wie gesagt das muss jeder für sich selbst wissen ob er sich auf ein programm verlassen will anstatt die PW´s eben selbst zu verwalten wenn man jetzt über 100 seiten mit PW´s hat kann ich es verstehen XD

 

[Lia]

Naja wie gesagt ich hatte ein gespräch mit ihm nachdem er mich ja angeschrieben hat und damit geprahlt hat das er jetzt so viel über mich weiß wollte ich ja genauer wissen was da hab ich ihn recht geschickt ihn ein gespräch verwickelt^^ und dabei hat er eben unter anderem auch gesagt das er mit brute force arbeitet und selber zugegeben das er noch ein totaler amateur ist

So ein Schwachsinn! Können wir bitte damit aufhören, diesen kleinen Jungen mit Aufmerksamkeitsdefizit als Hacker zu bezeichnen?
Kommt mir vor, als hätte er zu viele Hacker-Filme gesehen, bei denen man in einer 3D-Animation über vermeindliche Boxen ("Ordner") fliegt um die rote Box zu finden und sie zu hacken. Vielleicht war es aber auch einfach nur einer dieser schlechten Filme, in denen ein Hacker mit 40 Tastenanschlägen pro Sekunde versucht manuell ein Passwort zu knacken. Wie sonst käme man auf die Idee, zu behaupten, mit Bruteforce Webseiten hacken zu können?
Welcher Hacker stellt sich denn bitte im Anschluss hin und prahlt, dass ein pw, das er irgendwo her hat, auch auf einer anderen Seite funktioniert?
Jede vernünftige Authentifizierung erlaubt doch ohnehin nur eine bestimmte Anzahl an Anmeldeversuchen. Und wenn es auch nur pro IP ist, würde es Jahre dauern, mit so einem delay ein einzelnes halbwegs sicheres pw zu knacken. Außerdem ist es fraglich, ob man bei so einer primitiven Methode wirklich von Hacken sprechen darf. In meinen Augen darf sich nur jemand als Hacker bezeichnen, der in der Lage ist, einen Wurm zu entwickeln und sich damit Zugriff auf ein System zu verschaffen. Und ich lauf einen Monat ohne Unterwäsche rum, wenn Fufu überhaupt den Unterschied zwischen einem Virus und einem Wurm kennt!
Ich sehe den Fehler hier ganz klar bei jenen, die die Verantwortung für die DB haben. Mal ganz abgesehen davon, wie es passieren konnte, werden Passwörter nie im Klartext hinterlegt, sondern als Hash gespeichert. Wäre das der Fall gewesen, wäre es völlig egal gewesen, wenn jemand Zugriff auf die DB bekommt.

 

[redrooster]

Die Verantwortung für welche DB? WoH wurde nicht gehackt, sondern andere sites, und weil einige User so schlau waren, auf den gehackten sites denselben Nick UND dasselbe Passwort zu verwenden wie hier auf WoH war es möglich, sich mit diesen Daten hier reinzubringen. Im Falle FuFuKeks wäre die einzig richtige Verhaltensweise gewesen, den WoH-Staff sofort über die Tatsache zu informieren, dass man eben solche Daten findet und wo man sie findet, nicht aber mit diesen Daten hier im Forum rumzuspielen und die Privatsphäre und möglicherweise das Postgeheimnis zu verletzen, soweit man in solchen Fällen davon sprechen kann. Das ist aber offensichtlich geschehen, wie einige User sicher werden beweisen können. Schlimm genug, dass er sich auch noch damit mancherorts brüstete...

 

[Lia]

Ja, da bin ich auch bei dir. Ich weiß, dass WoH nicht betroffen ist. Ich meine auch jene DB, aus der die Benutzerdaten stammen.
Ich würde es "normalen" Benutzern aber eigentlich nicht wirklich zum Vorwurf machen, dass sie auf mehreren Seiten das gleiche pw verwenden. (Mal abgesehen davon, dass es vernünftiger ist, verschiedene Passwörter zu verwenden)
Wenn Passwörter jedoch im Klartext gespeichert werden, liegt der Hund in meinen Augen dort begraben.

 

[Yuki-Neko]

Also mir persönlich ist es mittlerweile ziemlich egal wie der herr möchtegern "hacker" da ran gekommen ist, mir gehts einzig und allein darum das so private gespräche mit Freunden von einem Fremden gelesen wurden den es dann noch amüsiert hat mir unter die Nase zu reiben was er nun alles über mich weiß, dreister gehts nicht mehr, meine Meinung

 

[mewslatter_bernd34]

Ich würde es "normalen" Benutzern aber eigentlich nicht wirklich zum Vorwurf machen, dass sie auf mehreren Seiten das gleiche pw verwenden. (Mal abgesehen davon, dass es vernünftiger ist)

Was ist daran vernünftiger? Es ist bestenfalls komfortabler. Es sei denn du meinst, der "normale" Nutzer tauscht ein mehrfach genutztes komplexes PW gegen individuelle schwache PW. Hier empfehle ich auch einen PW-Manager mit ordentlichem Generator.

Wenn Passwörter jedoch im Klartext gespeichert werden, liegt der Hund in meinen Augen dort begraben.

Als Hinweis, damit das nicht falsch verstanden wird: Zwischen PW im Klartext speichern und sicherer PW-Verwaltung liegen unzählige Fallen, die es einem Angreifer ermöglichen können, auch verschlüsselte/gehashte/gesalzene PW zu errechnen. Massiv parallele Berechnung auf GPUs und intelligente Wörterbuch-Attacken z.B. machen viele schwache/kurze PW inzwischen in akzeptabler Zeit knackbar.

 

[Lia]

Ah, danke. Ich meinte eigentlich, dass es vernünftiger sei, verschiedene Passwörter zu verwenden. Ich merke aber auch grad, dass sich das aus meiner Formulierung nicht wirklich erraten lässt. ^^

Als Hinweis, damit das nicht falsch verstanden wird: Zwischen PW im Klartext speichern und sicherer PW-Verwaltung liegen unzählige Fallen, die es einem Angreifer ermöglichen können, auch verschlüsselte/gehashte/gesalzene PW zu errechnen.

Ich versteh' nicht, was genau du meinst. Worin liegt die Falle? Dass es überhaupt möglich ist? Das ist es doch aber immer. Man sollte jedoch alle Möglichkeiten ausschöpfen, es so schwer wie möglich zu machen.

Massiv parallele Berechnung auf GPUs und intelligente Wörterbuch-Attacken z.B. machen viele schwache/kurze PW inzwischen in akzeptabler Zeit knackbar.

Ja, das mag schon sein. Allerdings ist das nicht der Fall, wenn du pro pw eine Anfrage an einen Server senden musst. Wenn du allerdings den Hash bereits kennst, ist das was anderes. Ich denke, darauf wolltest du hinaus.
Für gesalzene Passwörter wage ich allerdings zu bezweifeln, dass es sich selbst bei einem kurzem PW lohnen würde, dieses zu knacken. Du müsstest schon der DB-Administrator sein (oder sogar Zugang zum Quellcode der Webseite), um überhaupt die Möglichkeit zu haben, das Salz zu berechnen. Wenn das nicht der Fall ist, musst du für jeden Hash, den du für das PW, das du testen möchtest, berechnet hast, auch noch alle erdenklichen Kombinationen für das Salz durchprobieren. Der Aufwand wäre unermesslich, selbst für ein schwaches PW.
Außerdem weißt du doch vorher nicht, wie lang das Passwort ist. (Also ob es sich "lohnt" es zu probieren) Ein Wörterbuchangriff ist auch nur dann sinnvoll, wenn das PW ein daraus existierendes Wort ist. Allein schon manche Passwortrichtlinien machen diesen Angriff völlig nutzlos, weil du durch die Verwendung einer Zahl oder eines Sonderzeichens bereits kein PW mehr hast, welches in einem Wörterbuch zu finden ist.

 

[mewslatter_bernd34]

Mit Falle meinte ich allgemein Dinge, die der Admin/Entwickler der PW-Abfrage und der dahinterstehenden Datenbank falsch machen kann und damit ein prinzipiell funktionierendes d.h. sicheres System kompromittiert. Und da ist der technische Fortschritt noch nicht bedacht.

Wörterbuchattacken sind inzwischen auch schon deutlich intelligenter geworden. Einfache Systeme wie Buchstaben durch Zahlen oder Sonderzeichen ersetzen, Kombination von Wort und Zahlen etc. sind längst Standard.
Artikel von 2013
Wenn, wie inzwischen offenbar Normalität, ganze DB erbeutet werden, die dann "in Ruhe" durchprobiert werden, kriegt man damit (leider) immer eine gute Zahl an schwachen PW (password, 123456, etc. ) und eben auch kompliziertere, aber erratbare PW geknackt. Sicher ist man hier nur mit langen, echt zufälligen PW.

Da mein Fachgebiet aber ganz woanders liegt (außerhalb der IT) und ich nicht unbeabsichtigt Blödsinn verbreiten will , würde ich dieses spezifische Thema hier beenden. Ist ja auch nicht das richtige Forum für sowas.

 

[ghostzanza]

oh man. sind ferien? allein die leute dann noch anzuschreiben um denen das unter die nase zureiben und dann hier noch in den news posten....... ohne worte....... eigentlich hätte er als normal denkener mensch direkt den admin, mods, oder die betroffenen user darauf aufmerksam machen sollen.... aber nein direkt denken "dann schau ich mal was für "perverses" zeug die user hier so schreiben".

aber da er auch hier offen in den news geschrieben hat. (um wahrscheinlich es nochmal all den user unter die nase zureiben)
kann man eigentlich davon ausgehen das er noch mehr als ein account hat. und ich hoffe das die betroffenen user was daraus gelernt haben und ihre passwörter individuell anpassen oder noch diverse zeichen an sein übliches pw dran hängen. bsp board 1 - 12345 board 2 -12345woh usw.....

 

[Amuro]

hmm hätte mal ne frage.
seit mitte letzter woche kommt bei mir attention required cloudflare wenn ich auf eine seite zugreifen will die mit cloudflare beschützt wird. muss dann immer anklicken das ich kein roboter bin.
da ich heute den thread gelesen habe, habe ich mal meine e-mails gescheckt.
meine haupt e-mail ist nicht betroffen aber eine ausweich e-mail mit der ich seiten erstmal beschnuppern will wenn man sich anmelden muss.
bei der wurde mir angezeigt Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches).
kann es damit zusammen hängen?
wenn ja hat jemand ein tipp was ich da machen kann?
hab eine feste ip und antivire habe ich schon öfters jetzt durchlaufen lassen. den ccleaner allerdings noch nicht.
ist übrigens eine gmx e-mail.

 

[Xvid_User]

Wenn hier alle ZWEI FAKTOR AUTHENTIFIZIERUNG angehabt hätten, dann hätte es dem Angreifer nichts gebracht, dass PW von irgend jemandem zu kennen, weil man dann auch den Zugang zu den Mails braucht. Außer man kennt auch die Mailadresse der Person und die Person benutzt im WoH das gleiche PW wie für seine Mails. Aber das wäre ja nun selten d**f.

Ich kann ja mal schreiben was ich früher für Passwörter benutzt habe. Mein allgemeines Foren Passwort war:

573048

Einfach weil es einfach zu merken war und ich dachte bei Brute Force werden selten Zahlenkombinationen benutzt. Irgendwann hab ich dann immer die Seite genommen, irgendwie den Namen geändert und eine Zahl hinten dran gemacht. ZB:

WOH9944324

Immer noch schwer zu erraten, aber irgendwann wird man auch das knacken.
Heutzutage generiere ich meine Passwörter entweder über meinen PW Manager oder ich erstelle mir selbst eins.

Zuerst nehme man ein Wort dass man sich gut merken kann.
Nehmen wir "WoH" und "sexy" und eine Zahlenfolge "2016". Kommt raus "WoHsexy2016". Das ist aber nicht sicher. Also bauen wir an beliebigen Stellen noch Sonderzeichen und Zahlen ein:

W74o/_HsE#+120xYÖlg|!2016j

Unwahrscheinlich das das geknackt wird.
1. Viel zu lang. BruteForce dauert länger je länger das PW ist. Man versucht nie mehr als 6-10 Zeichen zu erraten.
2. Sonderzeichen sind richtig AUA für Hacker. Dictionary Attack (also Wörter die wir aus dem Wörterbuch kennen) können hier nicht greifen.
3. Es macht irgendwie keinen Sinn. Und genau da wird der Angriff fehlschlagen. Gerade PWs die keinen Sinn machen sind besonders gut.

So viel von mir dazu.
PS: Die Passwörter sind nur BEISPIELE und werden natürlich nicht von mir genutzt.

 

[Gromden]

Sofort im Forum und per Rundmail informiert zu werden ist ein vorbildliches Adminstratorenverhalten. Danke!

wenn ja hat jemand ein tipp was ich da machen kann?

Hachja, Cloudflare...
Wenn du das nächste Mal auf der Sicherheitsabfrageseite landest, schau mal im unteren Bereich der Seite nach deiner zugeordneten IP und schlag die mal bei Project Honeypot nach - ggf. kannst du anhand des Ergebnisses die Ursache einschränken. Half zumindest mal bei meiner Ursachenfindung.

Wenn hier alle ZWEI FAKTOR AUTHENTIFIZIERUNG angehabt hätten, dann hätte es dem Angreifer nichts gebracht, dass PW von irgend jemandem zu kennen, weil man dann auch den Zugang zu den Mails braucht. Außer man kennt auch die Mailadresse der Person und die Person benutzt im WoH das gleiche PW wie für seine Mails. Aber das wäre ja nun selten d**f.

Genau das ist ja passiert, wenn man hier die Beiträge liest. Un(zureichend)verschlüsselte Dumps von Fremdhacks nach Nicks von WoH-Usern durchsucht und dann die PWs probiert. Zack.
// Es würde mich nicht wundern, wenn da der eine oder andere Universalpasswortbenutzer dabei war.

 

[Amuro]

Sofort im Forum und per Rundmail informiert zu werden ist ein vorbildliches Adminstratorenverhalten. Danke!


Hachja, Cloudflare...
Wenn du das nächste Mal auf der Sicherheitsabfrageseite landest, schau mal im unteren Bereich der Seite nach deiner zugeordneten IP und schlag die mal bei Project Honeypot nach - ggf. kannst du anhand des Ergebnisses die Ursache einschränken. Half zumindest mal bei meiner Ursachenfindung.


Genau das ist ja passiert, wenn man hier die Beiträge liest. Un(zureichend)verschlüsselte Dumps von Fremdhacks nach Nicks von WoH-Usern durchsucht und dann die PWs probiert. Zack.

habe mal nachgeschaut. ja mit meine ip wurde anscheinend was gemacht über meine e-mailadresse gemacht.
wie war es den bei dir? auf der seite steht das man die ip wieder auf die whitelist setzen kann aber dafür muss man sich da anmelden. da steht noch was mit 90 tagen. kommt die ip dann wieder auf die whitelist wenn nicht mehr von ihr ausging?
das passwort habe ich geändert von der e-mailadresse.