Erhöhte rate an passwortknackern....

[Os-T23]

Servus com.

einige haben es bei mir damals nach meinen VW-post mitbekommen das mein passwort geknackt wurde und die signatur verwändert wurde und irgendwas in sachen: "Suche einen golf GTI" usw drinne stand....

anscheinend wurde auch jaschas geknackt denn der hat "I Love Volkswagen" in der signatur stehen....

ALSO: PASSWÖRTER ÄNDERN/ SCHWIERIGERES PASSWORT WÄHLEN

was haben wir für ne möglichkeit die seite mehr zu schützen/den server....?

wäre auch bereit ein paar euros zu spenden für die optimale schutz-software...

mfg willi

 

[Borstenhorst]

Die passworter SOLLTEN als hash gespeichert werden. nicht im klartext. Das heißt man kann sie auch nicht ohne weiteres auslesen. Man kann sie entschlüsseln mit sog. rainbowtables das ist aber recht aufwändig, wenn man jetzt 1000 Passwörter entschlüsseln will, naja das dauert ne weile. Es sein denn es handelt sich um ein standard PW das wird als erstest gecheckt. Was sein kann ist das wer irgendwie zugang zum administrationsberecih oder zur datenbank bekommen hat und dort sein unwesen treibt.

wer also 123 als PW hat sollte überlegen es evtl zu ändern. Sollten die Passwörter intern jedoch unverschlüsselt gespeichert worden sein (was aber entgegen der standardkonfiguration ist) und jemand hat sie geklaut wird das ganz sehr serh sehr sehr heikel !

 

[Os-T23]

also ich hatte vorher ein 6stelliges passwort nur aus zahlen und die waren nicht einfach angeordnet....

daher muss man es ja mehr als 999999 mal versuchen bis man es hat....

daher denke ich mal es war anders....das seltsame ist dass nur die signatur geändert wird....kann es sein dass man auf dem server die gespeicherten signaturen ändern kann ohne das userpasswort zu haben?

mfg

 

[Borstenhorst]

für einen Computer ist es aber kein Problem diese möglichkeiten durchzugehen, und nur zahlen sind eher ganz schlecht !!!!
musst dir überlegen wie viele möglichkeiten es bei einem 6 stelligen PW gibt wenn du alle buchstaben zahlen und sonderzeichen verwednden kannst. Dann wirste sehen das bei dieser zahl auch ein PC eine weile rechnen muss bzw rechnet er garnicht selbst sondern es wird in einer tabelle geguckt wo schonmal alle kombinationen durchgegangen wurden.


Nein du brauchst kein USer-PW um die daten ändern zu können.
Entweder du hast mod/adminrecht für dieses forum oder du hast zugriff zu der datenbank ind er die ganzen daten stehen.

 

[kosh]

also ich hatte vorher ein 6stelliges passwort nur aus zahlen und die waren nicht einfach angeordnet....

daher muss man es ja mehr als 999999 mal versuchen bis man es hat....

daher denke ich mal es war anders....das seltsame ist dass nur die signatur geändert wird....kann es sein dass man auf dem server die gespeicherten signaturen ändern kann ohne das userpasswort zu haben?

mfg

ist ein schwaches passwort!

beispiel bei einer (pass)wortlänge von 2 :

nur zahlen: 100 möglichkeiten (10 * 10)
zahlen und buchstaben 1296 möglichkeiten (36 * 36)
zahlen, buchstaben und (32) sonderzeichen: 4623 möglichkeiten (68 * 68)

ein halbwegs optimierter brutforce-angriff würde die ersten 100 zeichen zuerst testen, zumal das ja auch am wahrscheinlichsten ist.

bei n wählbaren zeichen und einer worltlänge von l ergeben sich n hoch l möglichkeiten.

also bei 8 zeichen(wortlänge) und
nur zahlen 10 hoch 8 = 100.000.000 möglichkeiten.
klingt viel, ist es aber nicht, wenn man bedenkt, dass ein rechner mit ner tacktrate von ca 3.000.000.000 hertz arbeitet... (beim knacken zaehlen natürlich noch andere faktoren)

8 zeichen und
zahlen, buchstaben und 32 sonderzeichen = 457.163.239.653.376 möglichkeiten

mal gegenüber gestellt:
100.000.000 vs
457.163.239.653.376

also 4 millionen mal so viele möglichkeiten
an deiner stelle würde ich mein passwort ändern

im übrgen ist mir gerade aufgefallen, dass ich großbuchstaben vergessne habe.

macht dann also 92 hoch 8 = 5.132.188.731.375.616 möglichkeiten
also 50 millionen möglichkeiten mehr, als nur mit zahlen.

für die interessierten:
das sind 2 hoch 52 möglichkeiten, ist also mit aktueller hardware (2 hoch 62 ist glaueb zur zeit die grenze) auch locker schaffbar, wenn man genug zeit udn geld hat.

 

[syn]

Kein Mensch wird hier hier User-PWs bruteforcen.

VBulletin hält viele andere Lücken bereit.

Das schöne Ding hier z.b. ist in der hier benutzten VBulletin Version ausnutzbar.

http://seclists.org/bugtraq/2008/Jan/54

Ein Angreifer kann darüber einfach eure Cookies klauen und dann kann jeder hier was schreiben ohne eurer PW auch nur einmal raten zu müssen.


Eine Lösung:
VBulletin updaten.

 

[Jascha]

Ich würde mir wünschen, dass mal einer das "Com-Logo" hacken würde

 

[SamWhiskey]

Kein Mensch wird hier hier User-PWs bruteforcen.

VBulletin hält viele andere Lücken bereit.

Das schöne Ding hier z.b. ist in der hier benutzten VBulletin Version ausnutzbar.

http://seclists.org/bugtraq/2008/Jan/54

Ein Angreifer kann darüber einfach eure Cookies klauen und dann kann jeder hier was schreiben ohne eurer PW auch nur einmal raten zu müssen.


Eine Lösung:
VBulletin updaten.

Man sollte auch zu Ende lesen:

Sorry this not work, tested only at localhost, but from remote host's it
doesn't work.

 

[micha]

man könnte sich hier ein sicherheitsleck schließen, wenn man einen "log out" button hinzu fügt. stört mich schon eine ganze weile. oder ich war bis jetzt zu blind um ihn zu finden

 

[T23_Nils]

man könnte sich hier ein sicherheitsleck schließen, wenn man einen "log out" button hinzu fügt. stört mich schon eine ganze weile. oder ich war bis jetzt zu blind um ihn zu finden

Gibt es doch? Ganz rechts unter Private Nachrichten: Ungelesen, insgesamt, da unter ist doch eine Leiste mit Kontrollzentrum usw. und da ganz rechts

Gruß Nils

 

[Borstenhorst]

man könnte sich hier ein sicherheitsleck schließen, wenn man einen "log out" button hinzu fügt. stört mich schon eine ganze weile. oder ich war bis jetzt zu blind um ihn zu finden

Der heißt hier "Abmelden" und ist oben rechts in der Navileiste

 

[servus]

Tja, im Land der Anglizismen versteht manch einer kaum mehr die deutsche Sprache

 

[kosh]

was hatter gesaid?

 

[micha]

werds genauer beschreiben. wenn ich zwischen den threats wechsel und gelegentlich eine antwort schreibe, bin ich noch angemeldet und erscheine dementsprechend grün markiert. aber oben rechts erscheint meistens Anmelden und nicht abmelden, obwohl ich schon angemeldet bin. demnach kann ich mich auch nicht abmelden.. wenn der browser geschlossen wird, man jedoch noch online ist, ist der account im netz relativ offen und angreifbar. wird in anderen foren gelegentlich ausgenützt. ist mir auch schon passiert. entweder es liegt an meinem firefox und den einstellungen, oder die erkennung bei mehreren seitenwechsel ist etwas buggy, weil nicht immer erkannt wird, daß man angemeldet IST. und sich nochmal anmelden muß. hab aber den verdacht, daß es daran liegt, daß ich nicht automatisch angemeldet sein will (aus sicherheitsgründen) und das system - oder meins - etwas allergisch auf die seitenwechsel reagiert oder entsprechend aktualisiert. wer also immer angemeldet sein will, hat dieses problem vermutlich nicht.

ps: wenn ich den text in der vorschau ansehen will, muß ich mich anmelden und es geht nicht. selbst nach 3x maliger aufforderung. vielleicht ein timeout? jedenfalls klappt die anmeldung nicht. der text muß kopiert werden und nochmal komplett neu bei antwort eingegeben werden. erst dann funzt es wieder.

pps: nächster versuch. bin angemeldet. doch das system will wieder daß ich mich anmelde, obwohl ich als "micha" angemeldet bin. lol
also alles wieder neu und weiter bei ps1. fragt nicht wie oft ich das schon erlebt hab - hier. dennoch, ihr systemops macht euren job ganz gut.

 

[alpincelica]

ich hatte noch überhaupt nie probleme mit dem ab-anmelden - seit ich hier bin und das ist seit 2006 oder so
hast du dem firefox eventuell erlaubt, die "anmeldedaten" zu speichern und "angemeldet zu bleiben"?`- sowas würd ich nie vertrauen.
Timeout ist mir nur aufgefallen, wenn du dich einloggst und ne gewisse zeit nichts machst (keine threads durchblätterst oder so was). Dann muss ich mich auch wieder neu anmelden. Das find ich aber auch gut so!

 

[micha]

hast du dem firefox eventuell erlaubt, die "anmeldedaten" zu speichern und "angemeldet zu bleiben"?`- sowas würd ich nie vertrauen.

Timeout ist mir nur aufgefallen, wenn du dich einloggst und ne gewisse zeit nichts machst (keine threads durchblätterst oder so was). Dann muss ich mich auch wieder neu anmelden. Das find ich aber auch gut so!

-daten, paßwörter, etc. werden selbstverständlich NIE gesichert ! das sollte JEDER in eigenem interesse tun

-also doch timeout. ich geb dir recht. die neuanmeldung ist manchmal lästig, aber sicherer

 

[Resor77]

wesentlich sicherer und aufweniger sind PW´s wie zB:

H4LoM47TeR!
Wesentlich schwieriger zuentschlüsseln.

Immer schön Groß und Kleinbuchstaben sowie zahlen zusammenwürfeln.

wer sich ein passwort erstellt um es sich leichter zumerken a´la:

wobistdut23
oder
wasweißich007

der hat schon verloren xD

 

[Borstenhorst]

prob is nur das die dann so komplex werden das man sie vergisst, meine firmen PKI habe ich mir heute erst gesperrt...

 

[Resor77]

Ahhh zuoft falsch eingegeben?

Du kannst natürlich auch:

Wo17TM31N3C3l1C4 nehmen... einfach Buchstaben durch zahlen ersetzen. Sowie groß-klein- Buchstaben verwenden.

4 = a
1 = i
7 = t
3 = e
und I2 = r
bischen kreativ werden

 

[Never]

prob is nur, das die dann so komplex werden, dass man sie vergisst, meine firmen PKI habe ich mir heute erst gesperrt...

Pin,dddskw.dmsv-mfPKIhimh1g

Komisches PW, kurzer Sinn: Wer absolut nicht auf Passwörter kann, soll sich nen Spruch ausdenken und den entsprechend kürzen. Auch wenn ein 30 Zeichen PW etwas lang ist, ja