World of Warcraft: Hackern gelingt Zugriff auf Accounts

PC
Bild von Christoph Vent
Christoph Vent 126973 EXP - Redakteur,R10,S10,C10,A10,J10
Platin-Gamer: Hat den sehr hohen GamersGlobal-Rang 25 erreichtDieser User unterstützt GG seit sechs Jahren mit einem Abonnement.Xbox-Experte: Kennt sich mit Vollpreis-Spielen, DLC und Mediacenter ausAction-Experte: Wacht über alles, was mit dem Action-Genre zu tun hatAlter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertGold-Jäger: Hat 75 Erfolge erreicht -- Wahnsinn!Gold-Gamer: Hat den GamersGlobal-Rang 20 erreichtGold-Cutter: Hat 100 Videos gepostetAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertMeister-Antester: Hat 10 Angetestet-Artikel geschriebenMeister-Tester: Hat 10 Spiele-/Technik-Tests veröffentlichtRedigier-Guru: Hat 5000 EXP fürs Verbessern von Beiträgen gesammelt

25. Juni 2013 - 12:07 — vor 3 Jahren zuletzt aktualisiert
World of Warcraft ab 7,99 € bei Amazon.de kaufen.

Bereits gestern berichtete WOW Insider über unerlaubte Zugriffe auf eine "bedeutende Zahl" von World of Warcraft-Accounts. Über die offizielle Mobile Armory-App, mit der ihr unterwegs unter anderem auf das Auktionshaus zugreifen könnt, sollen sie Zugang zu den Konten erlangt haben und dort auf überteuerte Gegenstände geboten haben. Mittlerweile wurde der Vorfall offiziell von Blizzard bestätigt.

Laut einer Sicherheitswarnung seitens des Herstellers ist nicht nur die Mobil-App, sondern auch der Login über die Hauptseite betroffen. Das Auktionshaus wurde in der Folge für unbestimmte Zeit abgeschaltet. Derzeit sei man damit beschäftigt, die Kunden zu informieren, die das Authentifizierungs-Tool nicht installiert hatten und bei denen Zugriffe aus ungewöhnlichen IP-Bereichen verzeichnet wurden. In den offiziellen Foren melden sich mittlerweile aber auch Betroffene, die das zusätzliche Sicherheitsprogramm genutzt haben. Die genaue Vorgehensweise der Hacker ist derzeit nicht bekannt.

Auf Nachfrage werde Blizzard alle Ingame-Gegenstände und Gold auf ihre ursprünglichen Werte zurücksetzen. Der Hersteller weist darüber hinaus darauf hin, sein Passwort regelmäßig zu ändern.

maddccat 18 Doppel-Voter - 11284 - 25. Juni 2013 - 12:10 #

Bei dem Teaserbild bekomme ich direkt mal wieder Lust reinzuschauen. :)

Kirkegard 19 Megatalent - P - 15383 - 25. Juni 2013 - 12:12 #

Wo, bei Ausrufezeichen Online? ;-)

maddccat 18 Doppel-Voter - 11284 - 25. Juni 2013 - 12:15 #

Das "!" kann so schlecht ja nicht sein, wenn alle Welt es kopiert. =)

Keksus 21 Motivator - 25001 - 25. Juni 2013 - 12:19 #

Und der Erfinder selbst verflucht sich dafür, dass er diesen Kram erfunden hat.

ChuckBROOZeG 19 Megatalent - 18958 - 25. Juni 2013 - 17:26 #

Welcher Erfinder?

Green Yoshi 20 Gold-Gamer - 23765 - 25. Juni 2013 - 12:22 #

Metal Gear hatte es vorher, genauer gesagt seit 1987. ^^

Kirkegard 19 Megatalent - P - 15383 - 25. Juni 2013 - 12:23 #

Nur weil es kopiert wird, sagt das nix über die Schlechtigkeit aus ;-)
Außerdem hat WoW das aus AC 2 kopiert. Und da hat es, weil neu, für extreme Belustigung gesorgt.

maddccat 18 Doppel-Voter - 11284 - 25. Juni 2013 - 17:10 #

Wäre es so schlecht, würde es keiner freiwillig übernehmen. ;) Was ist AC 2? Btw. hast du WoW so bezeichnet, nicht ich. ;)

ChuckBROOZeG 19 Megatalent - 18958 - 25. Juni 2013 - 17:29 #

Ich denke mal er meint Asherons Call 2. Glaube das gabs noch vor oW ob die da aber Ausrufezeichen hatten weiss ich nicht.

Kirkegard 19 Megatalent - P - 15383 - 27. Juni 2013 - 7:43 #

Asherons Call 2, ist 2002 gestartet und hat sich im Jahre WoW abgeschaltet.
AC 1 war das Microsoft Pendant und Konkurrent zu Everquest, konnte sich aber nie durchsetzen. Obwohl es ein paar geile Ideen hatte.
Ich habe alle Games gezockt, davon EQ und WoW intensiv.
Meine alte Liebe ist und bleibt Everquest, die hat nämlich damals ganz ohne Herzschmerz meinen Liebling UO abgelöst.

ChuckBROOZeG 19 Megatalent - 18958 - 25. Juni 2013 - 17:28 #

Nur weil du es nicht anders Formulieren kannst sag das nix über deine Vorurteile aus.

Kirkegard 19 Megatalent - P - 15383 - 27. Juni 2013 - 7:45 #

Nur weil du es nicht anders interpretieren kannst, sagt das nix über deine Intention aus.

Starslammer 15 Kenner - 2756 - 25. Juni 2013 - 13:15 #

In Magicka sind die NPCs echt genervt damit rumzurennen! :P

ChuckBROOZeG 19 Megatalent - 18958 - 25. Juni 2013 - 17:27 #

Ist doch lustig :-D.

Apolly0n 12 Trollwächter - 901 - 25. Juni 2013 - 13:50 #

Da geht es mir ganz anders. Ich merke in letzter Zeit immer häufiger, dass ich Spiele schöner und interessanter in Erinnerung halte, als sie es dann tatsächlich sind :D
Nur ausgehend von diesem Teaserbild steigt in mir das Verlangen daher nicht wirklich :)

MrFawlty 17 Shapeshifter - P - 6424 - 25. Juni 2013 - 16:36 #

Das kenne ich auch. Ich glaube das liegt daran, dass Spiele nicht nur aus der Grafik bestehen, sondern ein Erlebnis bieten.
Jemand der WoW (oder andere Spiele) früher ernsthaft gespielt hat erinnert sich an die Erlebnisse, die er beim spielen hatte. Wie viel Spaß das ganze damals gemacht hat, die Atmosphäre, das Gameplay...
Alles zusammen bleibt dann positiv in Erinnerung.

bolle 17 Shapeshifter - 7613 - 26. Juni 2013 - 7:43 #

Man merkt sich nur die positiven Sachen, das heißt Nostalgie ;)

Leser 14 Komm-Experte - P - 1994 - 25. Juni 2013 - 12:20 #

Ist die "Mobile Armory-App" eine offizielle App von Blizzard oder eine App von einem Drittanbieter? Diese Information finde ich zur Bewertung der News recht wichtig.
Und wie wirkte sich die Lücke aus? Sind Nutzer der Mobile Armory-App betroffen direkt oder konnte durch eine Lücke in der Mobile Armory-App auf andere Nutzerkonten zugegriffen werden?

DomKing 18 Doppel-Voter - 9431 - 25. Juni 2013 - 12:28 #

Das ist eine offizielle Blizzard App, bei der man die Zugangsdaten eingeben muss.

Bin ganz froh, dass ich den Authenticator auf dem Handy hab. Ist ein zusätzlicher Schutz.

ChuckBROOZeG 19 Megatalent - 18958 - 25. Juni 2013 - 17:32 #

Ich hab die App vor 3 Monaten mal drauf gemacht, Seitdem nerfen sie mich damit das ich angeblich immer von einer anderen Lokation einlogge und sperren den (nur noch für SC2 und D3 genutzten) Account bis ich das PW ändere.
Also ich mach ne Mobile App drauf dannach geht der Ärger los, und deren Antwort darauf ist mach doch ne andere mobile App drauf die das Problem lösen soll.
Ich lach mich schlapp vor allem wenn ich jetzt lese das es massenweise erfolgreiche Angriffe geben soll egal ob Athentificator oder nicht.

Christoph Vent Redakteur - P - 126973 - 25. Juni 2013 - 12:29 #

Die App ist eine offizielle von Blizzard. Wie genau die Hacker auf fremde Accounts zugreifen konnten, ist nicht bekannt.

Thomas Barth 21 Motivator - 27682 - 25. Juni 2013 - 12:55 #

Wenn laut Blizzard nur Accounts betroffen sind von denjenigen, die diese Authenticator-App nicht genutzt haben, warum haben sie bei der Mobile Armory-App nicht gleich den Authenticator standardgemäß vorausgesetzt? Die Provider verschicken heutzutage doch auch keine Router mehr, ohne dass eine WPA 2-Verschlüsselung standardgemäß aktiv ist und erst optional deaktiviert werden kann. Genauso ist bei nahezu jedem Komplett-PC mit Windows eine Trial-Version von einem Virenscanner aktiv, der einen rechtzeitig genug darauf hinweist, dass der Schutz bald abläuft.

Toxe 21 Motivator - P - 27076 - 25. Juni 2013 - 13:21 #

Die nächste Frage wäre: Wenn man die Mobile Armory App hat, wieso hat man dann nicht auch die Authenticator App? Offensichtlich hat man ja schon ein Smartphone, ohne das die Armory App nicht läuft, da liegt es doch auch extrem nahe sich den Authenticator zu installieren.

Thomas Barth 21 Motivator - 27682 - 25. Juni 2013 - 13:26 #

Du gehst davon aus, dass der Kunde intelligent und weitsichtig genug ist, um die Gefahren der App ohne die Sicherheitsmaßnahmen der anderen App zu erkennen. Ich gehe vom Dümmsten anzunehmenden User aus. ;-)
http://de.wikipedia.org/wiki/D%C3%BCmmster_anzunehmender_User

Toxe 21 Motivator - P - 27076 - 25. Juni 2013 - 13:54 #

Ja so ungefähr. Meine Meinung ist wer ein Smartphone oder Tablet besitzt und die (kostenlose) Authenticator App, auf die Blizzard zu Recht bei jeder Gelegenheit hinweist, nicht benutzt, hat nicht alle Tassen im Schrank.

warmalAnonymous2 (unregistriert) 25. Juni 2013 - 15:06 #

das hat nichts mit "alle tassen im schrank" zu tun, sondern meist mit faulheit.

Stromsky 16 Übertalent - 4756 - 26. Juni 2013 - 13:02 #

stimmt

Moin Moin (unregistriert) 25. Juni 2013 - 21:40 #

...oder weiß ganz einfach was er tut!

warmalAnonymous2 (unregistriert) 26. Juni 2013 - 8:32 #

das hilft demjenigen aber original gar nichts, da er nicht weiß was die dienstleister tun, die seine daten auf den servern liegen haben.

ChuckBROOZeG 19 Megatalent - 18958 - 25. Juni 2013 - 17:34 #

Das kann mannigfaltige Gründe haben. Zb Accountsharing mit der Freundin/Frau.
Einfach Dummheit zu unterstellen ist nun ja eine ziemlich be/eingeschränkte Sichtweise.

Thomas Barth 21 Motivator - 27682 - 26. Juni 2013 - 8:49 #

Wo habe ich denn geschrieben das ich die User für Dumm halte? Der dümmste anzunehmende User ist das wichtigste theoretische Instrument für den Entwickler eines Produkts, da man ansonsten dazu neigt sein Produkt nur für eine sehr beschränkte Zielgruppe zu entwerfen. Das hat nichts damit zu tun, jemanden für Dumm zu halten.

Wäre meine Aussage DAU-Kompatibel gewesen, also wäre ich gleich darauf gekommen, dass jemand in meine Aussage interpretieren könnte, dass ich jemanden für Dumm halte, dann hätte ich meine Aussage anders formuliert und du hättest mir niemals geantwortet.

MoonPie88 (unregistriert) 25. Juni 2013 - 19:37 #

Vielleicht will man den Auth auch nicht?
Ich habe auch alle meine Online Games mit dem Auth verknüpft. Dann ist mir mein S+ abgeraucht und nicht mehr gestartet. Auf dem neuen Smartphone, mit gleichem Android Account, konnte ich mich dann mit den Authenticators nicht mehr einloggen -> Gerät nicht verknüpft...

ChuckBROOZeG 19 Megatalent - 18958 - 25. Juni 2013 - 17:33 #

Laut anderer Webseiten wie Golem zb sind auch Athentificator Nutzer betroffen.

b5swabl (unregistriert) 25. Juni 2013 - 13:28 #

Eine Sache werde ich an diesen Sicherheitstipps nie verstehen.
Was zur Hölle soll es bringen, dass Passwort regelmäßig zu wechseln.
Entweder mein Account wird gehackt oder nicht. Ist das Passwort einmalig und ausreichend sicher (absolut geht nicht), kann es auch ewig bestehen. Entweder ich knacke es oder nicht. Da kann ich auch mit einer Änderung nichts gegen machen. Im Zweifelsfall mache ich es nur einfacher zu knacken.
Oder wollen die mir jetzt erklären, dass die bösen Leute erstmal ein Jahr tatenlos mit in meinem Account sitzen und zuschauen?.

Ukewa 15 Kenner - 3689 - 25. Juni 2013 - 13:46 #

Nein, das ist schon ein guter Tipp. Allerdings ist der bessere: Echte Zufallspasswörter. Und auch solche können per Brute-Force gecknackt werden. Wenn man allerdings sein Passwort jeden Monat -oder so- ändert, und sie dein Passwort von vor der Änderung knacken (ja das wird gemacht, gibt extra Server-Farmen dafür!), bringt es ihnen nix.
Und doch, wenn dein Account geknackt wurde und Du das Passwort änderst, dann haben die Hacker keinen Zugriff mehr darauf. So z.B. wenn dein Email-Account als Spam-Schleuder missbraucht wird.

rcahkpc (unregistriert) 25. Juni 2013 - 14:01 #

Und wie sollen sie das Passwort VOR der Änderung nach der Änderung knacken?
Direkt beim Anbieter klappt das nicht, dazu brauchen sie die Datenbank mit den hoffentlich gesalzenen und gehashten Passwörtern des Anbieters, bei dem du das Passwort hast. Und der muss einfach informieren, wenn ihm die DB geklaut wird. Dass man dann das Passwort ändert sollte klar sein.

Aber ein Passwort in freier Wildban einfach mit Bruteforce knacken ist reichlich bescheuert. Insbesondere wenn sich der Anbieter an ein paar kleine Punkte hält.
3s zwischen jedem Loginversuch
5 bis 15min Sperre bei 5 falschen
nach 3 Zeitsperren Dauersperre bis zur Freischaltung durch den berechtigten Nutzer.
Nur so als grobe Zahlen.

Alleine schon durch die Wartezeit zwischen Loginversuchen verläuft jeder Bruteforce im Sande.

Und zu den echten Zufallspasswörtern. Nein, sie sind nicht besser. Es ist egal ob 20 sinnlose Zeichen oder 20 (für mich) halbwegs sinnvolle Zeichen aneinander reihe. Da werden dann halt ein paar der Zeichen ausgetauscht und hier und da was eingestreut. Selbst mit richtigen Wörtern ist es kein Problem, wenn sie etwas manipuliert sind. Denn dann darfst du mit einem Wörterbuchangriff rann, der alle Möglichen modifizierungen aller Wörter des Dudens beinhaltet, die zusammen auf 20 Zeichen kommen. Da kannst du gleich mit Bruteforce ran, nimmt sich dann auch nichts mehr.
Du könntest auch ein Passwört auf Binärcodebasis vergeben. So lange der Knacker keinen Hinweiß darauf hat, dass er nur 0 und 1 verwenden braucht ist das Teil so schwer zu knacken wie jedes andere Passwort gleicher Länge.

Es ist wirklich erstaunlich was die ganzen Experten geschafft haben. Wir machen Passwörter die wir uns selbst nicht mehr merken können, weswegen wir dann tolle lokale Datenbanken auf dem Rechner einsetzen (meine lokale Datenbank ist ein kleines Notizbuch), die von Rechnern aber einfach zu knacken sind.

Passwort:
möglichst lang >>>>>> Sonderzeichen, Zahlen, Case sensitiv >>>>>> alles andere
Bei irgendwelchen "Ihr Passwort ist Sicher" Anzeigen läuft es leider genau die andere Richtung...

Also, noch mal.
Warum soll ich mein Passwort regelmäßig ändern, wenn die Datenbank meines Anbieters nicht kompromitiert wurde.
Nach der Antwort auf diese Frage suche ich nun schon seit langem. Und überall heißt es nur, mach oder mir beschreiben Leute wie oft sie es machen. Ein Warum, dass nicht in sich zusammenfällt hörte ich noch nie. Vielleicht klappt es ja hier.

PS, einige meiner Passwörter bestehen nun schon seit 10 Jahren. Nie geändert und trotz diverse Einbruchsversuche auch nie geknackt.

Ukewa 15 Kenner - 3689 - 25. Juni 2013 - 15:11 #

"Und zu den echten Zufallspasswörtern. Nein, sie sind nicht besser."
Das ist faktisch falsch.

"Warum soll ich mein Passwort regelmäßig ändern, wenn die Datenbank meines Anbieters nicht kompromitiert wurde."

Woher weißt Du denn, ob die Datenbank nicht schon gehackt wurde? Oft erfahren das die Anbieter selbst erst sehr spät. Oder garnicht.

Ansonsten hast Du ja Recht.

emlx3dd (unregistriert) 25. Juni 2013 - 15:46 #

aninummitnachvonzubeitrenneniedassvomtdennestutdenbeidenweh
Ist ein sichereres Passwort als
A9(UTi9ß

ftnknpa (unregistriert) 25. Juni 2013 - 15:48 #

Ok, da hat es den Post gefressen. Ich bringe das Passwort mal unten rein, scheint so als könnte die Software hier gewisse Probleme mit diversen Zeichen haben.

aninummitnachvonzubeitrenneniedassvomtdennestutdenbeidenweh
Ist ein sichereres Passwort als
A9(UTi9ß (siehe unten)
Warum?
Wenn du ohne jegliche Vorkenntnis über das Passwort rangehst, dann bleiben dir 3 Möglichkeiten.
1. Du nutzt eine Tabelle mit bekannten Passwörtern und läßt die gegenchecken. Daher, verwende nie das gleiche 2 mal.
2. Du verwendest ein Wörterbuch, in der Hoffnung, dass jemand einen Namen oder ein anderes Wort (lies ein! Wort) als Passwort genommen hat. Funktioniert nicht mehr bei mehreren Wörtern hintereinander. Außer die stehen so in deinem Wörterbuch.
3. Du machst den Bruteforce.
Je länger das Passwort ist, je schwieriger wird der Brute. Einfach weil jedes neue Zeichen, je nach verwendeter Zeichenmenge, die Möglichkeiten mit einem großen Faktor erhöht.
Natürlich kann ich einschränken und dem System nur sagen, dass es kleine Buchstaben nehmen soll. Aber wenn ich da 20 oder 30 Zeichen lange Teile vor mir habe, dann werde ich lieber gleich die volle Breitseite nehmen.
Alleine ein Großbuchstabe würde die Möglichkeiten, die der Brute bei dem Beispiel oben durchgehen muss vervielfachen. Und baust du noch eine Leertaste oder " ein oder ersetzt ein i mit ! oder ein o mit 0 und du schreibst daß, Umlaute oder è. Dann machst du das Passwort für jeden Bruteforce nicht mehr in annehmbarer Zeit knackbar. Einfach weil die komplette Zeichenmenge genutzt werden muss.

Ohne jegliche vorkenntnis und wenn wirklich auf alle nur Table und Brute angewendet wird, dann ist sogar 100101100110111100101000101101101100101100101011000101010010 sicherer als das Zufallsding oben. Es ist länger und alle Möglichkeiten durch zu probieren dauert einfach länger.
Wenn du also wirklich Spaß haben willst, schreib ein Wort in Binär. Der Hacker muss schon ziemlich quer denken um ein Wörterbuch zu verwenden in dem die Wörter binär stehen.

Zur Datenbank.
Siehe oben. Wenn dein Passwort zu denen in der DB gehören, die sich nicht in annehmbarer Zeit knacken lassen (Voraussetzung die Datenbank ist verschlüsselt und enthält die Passwörter nur als zufallsgesalzenen Hash, was Standard sein sollte), dann kann es dir reichlich egal sein, ob der Anbieter früh oder spät was mitbekommt.
Das was im Busch ist, dass merkst du dann dank der Versuchskaninchen mit schwachen (kurzen Zufalls)Passwörtern, weil während bei deinem noch der Brute läuft werden deren Accounts schon übernommen. Und spätestens dann werden Anbieter und Nutzer hellhörig.
Dazu kommt bald ein nettes kleines EU-Gesetz, dass Anbieter verpflichten wird die Nutzer zu informieren.
Wenn du dich allerdings auf eine Glückspielwebseite aus Togo registrieren musst, da braucht es keinen Hacker um deinen Account zu übernehmen.

ug´094it:Ä=I?o krepIrek=O Test1

Ukewa 15 Kenner - 3689 - 25. Juni 2013 - 16:39 #

Du unterschätzt ganz gewaltig die Algorythmen, die da heut am Werke sind und die Rechenpower, die für jedermann (dank Cloud) verfügbar ist. Deine Aussagen treffen nur auf veraltete Software(Hackertools) oder Hacker-Laien zu.

"aninummitnachvonzubeitrenneniedassvomtdennestutdenbeidenweh"

Das ist sogar fast die denkbar schlechteste Art von Passwort, denn es besteht aus einer Kette häufig benutzter Wörter. Nur Namen/Bezeichnungen/Dinge, Geburtsdatum, Orte usw. sind noch schlechter.
Nur die schiere Länge würde es evtl retten :-)

"Ist ein sichereres Passwort als
A9(UTi9ß (siehe unten)"

Prinzipiell nicht, warum auch? Aber es ist auf jeden Fall zu kurz, es ist gerade das absolute Minimum.

Keldar 12 Trollwächter - 1082 - 25. Juni 2013 - 21:30 #

Von daher ist der beste Kompromiss ein Passwort wie zum Beispiel
1HundStadtFußpflegerennenDieb!
Einerseits ist es sehr lang, und daher durch Brute Force so gut wie nicht knackbar.
Zweitens kommen Zahlen, Groß-, Kleinbuchstaben und Sonderzeichen darin vor, was einen Brute Force Angriff nochmal schwieriger (ich würde sagen: unmöglich) macht.
Drittens stehen die Wörter in keinem direkten Zusammenhang, und durch die Ausrufezeichen am Ende wird man auch durch eine Wörterbuchattacke nicht zum Ergebnis kommen.
Viertens kennt der Angreifer in den seltensten Fällen die Länge des Passwortes, noch etwas über dessen genaue Beschaffenheit. Somit wäre Prinzipiell auch 2Bäume!!!!!!!!!!!!!!!!!!!!!!!!! ein sicheres Passwort; denn der Angreifer weiß nicht, dass die letzten x Zeichen immer nur Ausrufezeichen sind und muss daher alles ausprobieren.
Und, meiner Meinung nach dennoch sehr wichtig: Es lässt sich trotzdem viel leichter merken, als irgendwelche kryptischen Zeichen (z.B. mit einer kleinen Geschichte: "Als ich neulich mit meinem EINEN HUND durch die STADT ging, kam ich an der FUSSPFLEGE vorbei. Dort RANNTE mir ein DIEB entgegen!")

Warum man sich das ganze unnötig kompliziert machen sollte, frage ich mich auch immer wieder...

Aladan 22 AAA-Gamer - - 31380 - 26. Juni 2013 - 8:40 #

Hey, was ein Zufall. Das ist genau mein Passwort..das muss ich wohl mal ändern... :-p

Ukewa 15 Kenner - 3689 - 26. Juni 2013 - 12:51 #

"Von daher ist der beste Kompromiss ein Passwort wie zum Beispiel
1HundStadtFußpflegerennenDieb!"

Nein, das ist es tatsächlich nicht! Aber wie gesagt, die große Länge würde das Passwort wahrscheinlich "retten".
Es ist auch schlecht, die Anfangs- oder Endbuchstaben von berühmten Sprüchen /Zitaten/Liedern zu nehmen, oder Bibelstellen usw. Aber wie gesagt, für 0815-Hacker reichen lange Passwörter allermeist (noch) aus.
Normale Wörter, in Kombination mit Zahlen/Sonderzeichen am Anfang und am Ende, sind für die Algos kein Problem mehr. Und zwar deshalb, weil bekannt ist, daß die Leute sowas gerne machen. Es ist quasi ein Sport in der Szene, echte Passwort-Datenbanken zu knacken - und zwar deshalb, um zu erfahren, wie die Menschen ticken.
Selbst ein Passwort ohne echte Wörter ist nicht schwer zu knacken, da das menschliche Gehirn immer zu ähnlichen Kombinationen neigt. Da geht es dann um Wahrscheinlichkeiten u sowas, aber auch um unglaubliche Rechenkraft. Millionen und Milliarden Tests pro Sekunde sind machbar.

Edit: Ich habe mir vor ein paar Monaten mal eine Liste mit geknackten (und echten!) Passwörtern angeschaut, mit der Zeit, wie lange es bei jedem gebraucht hat. Da staunt man nicht schlecht - und Passwörter, die auch ich immer für sehr sicher hielt, sind da alle mit dabei gewesen!

Keldar 12 Trollwächter - 1082 - 26. Juni 2013 - 20:27 #

Angenommen, ich wähle mir fünf beliebige Wörter aus dem Duden, und hänge diese hintereinander.
Der Duden enthält etwa 135.000 Wörter. Das ergibt 135.000^5 Möglichkeiten. Falls ich diese Wörter zufällig ausgewählt habe, ist die Wahrscheinlichkeit gleichverteilt, und keines wird bevorzugt.
Wenn ich nun also durch einen Algorithmus alle Möglichkeiten von Wortkombinationen von fünf Wörtern ausprobieren möchte (was der Angreifer ja eigentlich auch gar nicht genau weiß), und pro Sekunde eine Billion Möglichkeiten ausprobieren kann (was schon nicht mehr normal ist), so benötige ich dafür dennoch über eine Million Jahre.
Falls ich nun zwischen zufällige Wörter davon noch Sonderzeichen setze, so kann ich mit einem Vielfachen davon rechnen.
Es könnte höchstens sein, dass, falls ich zu kurze Wörter gewählt habe, ein Brute Force auf die Zeichen effektiver sein könnte. Dann wähle ich eben zehn (nicht zu kurze) Wörter, und schon habe ich auch dieses Problem nicht mehr.
Merken kann ich mir das ganze dennoch leichter.

Ukewa 15 Kenner - 3689 - 27. Juni 2013 - 11:44 #

Ich sage ja, die schiere Länge würde ein solches Passwort im Moment noch retten, wenn Du 5 Wörter nimmst und jedes etwa 5-8 Zeichen lang ist, ist das PW min 25 Zeichen, das reicht in jedem Fall!
Außerdem sagst Du ja auch selbst, daß die Wörter per Zufall ausgesucht sind. Ohne Zufall wird ein gutes Passwort schwierig. Mir wäre es ja auch lieber, wenn es einfach wäre, aber das ist es im speziellen Fall (Profi-Hacker) eben nicht.

mj8tqkc (unregistriert) 25. Juni 2013 - 15:50 #

An die GG Admins
Eure Software scheint nicht in der Lage die Pfeile darstellen zu können. Also die Dinger auf der Tastatur rechts neben der linken Shift Taste.
Alles was nach den Pfeilen kommt wird von der Software in einem Beitrag abgeschnitten.
Diesem Beitrag sollten ein Pfeil nach rechts und ein Pfeil nach links folgen.
>
<

wz72ypi (unregistriert) 25. Juni 2013 - 15:52 #

Oder es sind die Pfeile im Zusammenhang mit einem Buchstaben
Erste, rechts und schrift, dann links und schrift.
Und fühlt euch frei Beiträge zu löschen ;).
>test1

d3dthmh (unregistriert) 25. Juni 2013 - 15:53 #

Pfeil links direkt mit einem Zeichen dahinter führt dazu, dass der Pfeil und alle Zeichen nach dem Pfeil nicht mehr abgespeichert, übertragen oder was auch immer werden.

Fühle mich geehrt einen Bug gefunden zu haben.

Taris 13 Koop-Gamer - P - 1499 - 25. Juni 2013 - 15:55 #

Also ich sehe deine Pfeile.

Erskine 10 Kommunikator - 514 - 25. Juni 2013 - 22:34 #

Reine Spekulation: Wahrscheinlich wird versucht das als Htmltag auszuwerten.

Mein Test: 123

Ok alles was irgendwie wie ein Htmltag wird gnadenlos rausgeparst. Typisch für Drupal ;)

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit