Ubisoft-Websites gehackt // Kontodatenbank betroffen

Bild von ChrisL
ChrisL 137429 EXP - 30 Pro-Gamer,R10,S9,C10,A10,J10
Pro-Gamer: Hat den ultimativen GamersGlobal-Rang 30 erreichtPlatin-Gamer: Hat den sehr hohen GamersGlobal-Rang 25 erreichtNews-Redaktion: Hat von der Redaktion weitere Rechte für das News-Redigieren erhaltenDieser User unterstützt GG seit vier Jahren mit einem Abonnement.Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertGold-Jäger: Hat 75 Erfolge erreicht -- Wahnsinn!Gold-Gamer: Hat den GamersGlobal-Rang 20 erreichtGold-Cutter: Hat 100 Videos gepostetGG-Gründungsfan: Hat in 2009 einmalig 25 Euro gespendetAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertScreenshot-Meister: Hat 5000 Screenshots hochgeladenDebattierer: Hat 5000 EXP durch Comments erhalten

2. Juli 2013 - 18:49 — vor 3 Jahren zuletzt aktualisiert

Vor etwa drei Monaten berichteten wir, dass der Launcher von Ubisofts uPlay-Plattform verändert und somit unerlaubter Zugriff auf das System des Unternehmens ermöglicht wurde. Unter anderem konnten sich die verantwortlichen Hacker auf diese Weise das seinerzeit noch nicht veröffentlichte Far Cry 3 - Blood Dragon (GG-Test 7.0, User-Wertung 8.1) verschaffen, das kurz darauf im Internet auffindbar war.

Seit kurzem muss sich Ubisoft erneut mit dem Thema Sicherheit auseinandersetzen: In einem offiziellen Forumsposting und via kürzlich versandter E-Mails (unter anderem an die GamersGlobal-Redaktion, auch wir haben natürlich einen uPlay-Account) weist der Entwickler und Publisher darauf hin, dass illegale Zugriffe auf die Ubisoft-Websites stattgefunden haben und Daten wie Benutzernamen und E-Mail-Adressen davon tangiert sind. Die Erklärung im Wortlaut:

Erst kürzlich fanden wir heraus, dass einige unserer Webseiten ausgenutzt wurden, um unerlaubten Zugriff auf unsere Onlinesysteme zu erlangen. Es wurden sofort alle erforderlichen Schritte eingeleitet, um weitere illegale Zugriffe zu unterbinden und die Sicherheit aller betroffenen Systeme wiederherzustellen. Wir wissen, dass Daten unserer Kontodatenbank wie Benutzernamen, E-Mail-Adressen sowie verschlüsselte Passwörter betroffen sind. Bitte beachten Sie, dass keinerlei Zahlungsinformationen im Ubisoft-System gespeichert werden. Dies bedeutet, dass mögliche Kreditkarteninformationen nicht betroffen sind. [...] Wir entschuldigen uns für die entstandenen Unannehmlichkeiten und danken euch für euer Verständnis.

Das Unternehmen weist euch abschließend darauf hin, als Vorsichtsmaßnahme euer Kennwort über diese Seite zu ändern. Darüber hinaus wird euch aus Sicherheitsgründen empfohlen, auch die Passwörter anderer Dienste/Websites auszutauschen.

Tr1nity 26 Spiele-Kenner - P - 73397 - 2. Juli 2013 - 18:18 #

Kurze Zusatzinfo: Das wissen die nicht erst seit heute, sondern im US-Forum ist so ein Post bereits am 28. Juni verfaßt worden:

https://support.ubi.com/en-US/FAQ.aspx?platformid=60&brandid=2030&productid=3888&faqid=kA030000000eYZ2CAM

(momentan überlastet)

ChrisL 30 Pro-Gamer - P - 137429 - 2. Juli 2013 - 18:32 #

Stimmt, die deutsche Version des Support-Hinweises trägt auch das Datum vom 28.6. [Argh, und den Link vergessen ...]

Tr1nity 26 Spiele-Kenner - P - 73397 - 2. Juli 2013 - 18:33 #

Hier :):

https://support.ubi.com/de-DE/FAQ.aspx?platformid=60&brandid=2030&productid=3888&faqid=kA030000000eYZCCA2

ChrisL 30 Pro-Gamer - P - 137429 - 2. Juli 2013 - 18:38 #

Hab meinen Kommentar zu früh abgeschickt: Meinte den Link zum Ändern des Kennwortes. :)

Tr1nity 26 Spiele-Kenner - P - 73397 - 2. Juli 2013 - 18:38 #

Gnihihi, achso :).

Pitzilla 18 Doppel-Voter - - 11143 - 2. Juli 2013 - 18:23 #

Ich hab mein Passwort vorsichtshalber geändert.

MaverickM 17 Shapeshifter - 7453 - 2. Juli 2013 - 18:29 #

Und wieder ein neues Passwort antrainieren... *facepalm*

DarthMajor 14 Komm-Experte - P - 2131 - 2. Juli 2013 - 18:29 #

Und ich dachte die Mail von heute sei ne Phishingmail, so schlecht wie die aussah *fg*

Blacksun84 17 Shapeshifter - P - 6531 - 2. Juli 2013 - 19:01 #

Hab ich eben auch erst gedacht. Gamersglobal bildet :D

Red Dox 16 Übertalent - 4123 - 2. Juli 2013 - 19:05 #

+1
Naja vielelicht dann doch mal PW ändern.

Michl Popichl 24 Trolljäger - 50611 - 3. Juli 2013 - 15:57 #

hab meines auch mal geändert

FreundHein 14 Komm-Experte - 1868 - 2. Juli 2013 - 20:14 #

Ging mir genauso.

Lostboy 13 Koop-Gamer - 1267 - 2. Juli 2013 - 20:32 #

/sign ;)

Decorus 16 Übertalent - 4246 - 2. Juli 2013 - 20:52 #

Kein Wunder, Rechtschreibfehler im ersten Wort des Betreffs - da gehen sofort alle Alarmglocken an.

Larnak 21 Motivator - P - 25589 - 2. Juli 2013 - 21:45 #

Und nicht nur da ...

Slaytanic 22 AAA-Gamer - P - 32794 - 3. Juli 2013 - 0:53 #

Hatte das zum Glück schon auf der Arbeit in der GameStarApp gelesen, ansonsten wäre das eine Mail gewesen die ich auch sofort gelöscht hätte.

Elton1977 19 Megatalent - P - 14662 - 3. Juli 2013 - 6:53 #

Ja, ich war auch sehr skeptisch, als ich die Mail im Postfach gesehen habe.

Cloud 17 Shapeshifter - 7698 - 3. Juli 2013 - 7:29 #

Ich auch. Das sah selbst für eine Phishingmail noch amateurhaft aus.

Wenn ich nicht eh schon keine Spiele mehr von Ubisoft kaufen würde, würde ich es spätestens jetzt nicht mehr tun.

Pitzilla 18 Doppel-Voter - - 11143 - 3. Juli 2013 - 8:04 #

Aus dem Grund bin ich dann auch übers offizielle UbiSoft Forum gegangen und nicht über den Link in der Mail. War mir zu suspekt.

Escalbryt 13 Koop-Gamer - P - 1681 - 3. Juli 2013 - 14:18 #

Genau das ging mir auch durch den Kopf :D

Grumpy 16 Übertalent - 4500 - 2. Juli 2013 - 18:32 #

ich hoffe nur, dass die passwörter gut verschlüsselt waren :P z.b. nur hashes ala md5 oder so, dann wärs mir bei meinem passwort zumindest egal weil ichs doch für lang und sicher genug halte:P

MaverickM 17 Shapeshifter - 7453 - 2. Juli 2013 - 19:01 #

"Hashes ala md5" nennst Du gut gesichert!?
Na dann Prost Mahlzeit...

Icy 12 Trollwächter - 1033 - 2. Juli 2013 - 19:05 #

Ich hoffe ja für alle beteiligten das die Passwörter nicht verschlüsselt waren, sondern gesalzen und gehasht.

http://stackoverflow.com/questions/326699/difference-between-hashing-a-password-and-encrypting-it/326706#326706

Grumpy 16 Übertalent - 4500 - 2. Juli 2013 - 19:07 #

mein ich doch ;)

Asto 15 Kenner - 2904 - 2. Juli 2013 - 19:04 #

Nunja hoffentlich gehashed (MD5, Sha) und gesalzen. Aber selbst die Methoden sind nicht mehr sicher… ;) Es gibt längst Datensätze mit milliarden Hash-Strings die nahezu jedes Passwort darstellen… nur mit der Länge könnte man noch Glück haben

Grumpy 16 Übertalent - 4500 - 2. Juli 2013 - 19:06 #

war auch nur speziell auf mein passwort bezogen, jetzt nicht auf andere die vielleicht nur standard passwörter, namen oder ähnliches benutzen :P

Icy 12 Trollwächter - 1033 - 2. Juli 2013 - 19:14 #

Rainbowtables von möglichen Passwörtern mit allen möglichen salts zu erstellen dürfte immer noch sehr schwierig sein, schon allein der Platzbedarf ist zu hoch. Vorallem da ein Salz schon eher um die 20 Zeichen lang sein sollte.

Als Hashalgorithmus sollte man dann sowas wie zum Beispiel Blowfish (ich meine der hies Blowfish kann mich auch grade vertun) nutzen. SHA und co. sind darauf optimiert möglichst schnell berechnet werden zu können. Bei Blowfish kann man noch einen "Komplexitätsgrad" angeben, durch diesen die Berechnung des Hashes länger dauert. Aber gut ich schweife ab ;)

KoffeinJunkie (unregistriert) 2. Juli 2013 - 22:00 #

Mit intelligenten Passwortlisten kann man heutzutage ca. 90% aller Passwörter knacken. Wenn es nur um die gehen würde, lohnt der Aufwand nicht. Vermutlich hat man, wie üblich eine dilettantische Sicherheitslücke ausgenutzt.

Icy 12 Trollwächter - 1033 - 2. Juli 2013 - 23:04 #

Moment, meine Aussage war das wenn gesalzen ist diese Passwortlisten NICHT funktionieren. Du sagst es geht.

Lass uns mal eine Liste von allen Passwörtern, allen Salzen und deren Hash "erstellen".

In der Liste braucht man:
Password | Salz | Hash

1 Password, Salz, Hash = 1 Byte*
Password = 4 Zeichen nur Kleinbuchstaben => 26^4 Kombinationen**
Salz = 10 Zeichen nur Kleinbuchstaben => 26^10 Kombinationen

=> 26^4 * 26^10 Kombinationen => 26^4 * 26^10 Bytes zu speichern.

Du hast was von intelligenten Passwordlisten geredet, also wohl sowas wo nur die meist genutzten Passwörter drin sind (oder meinst du die Art wie auf die Liste zugegriffen wird?)

Nehmen wir also weiterhin an das wir nicht 26^4 verschiedene Passwörter in unserer Liste brauchen sondern nur 10.

=> 26^10 * 10 Bytes

Rechnen wir einfach mal aus wie viel 26^10 Bytes (multiplizieren kann ja jeder selbst machen) sind:

26^10 Bytes = 141.167.095.653.376 Bytes
=~ 137.858.491.849 KiBytes
=~ 134.627.433 MiBytes
=~ 131.472 GiBytes
=~ 128 TiBytes

Soweit ich weis soll der Salz aber eher 20 Zeichen lang und aus Kleinbuchstaben / Großbuchstaben und Ziffern bestehen.

=> (26+26+10)^20 Bytes ~ 582.685.400.641 YiBytes. (Ähm das ist viel... Was wir so nutzen sind TiBytes, Danach kommen PiBytes, EiBytes, ZiBytes und dann erst YiBytes.)

Die NSA hat sicher genug Platz dafür, die brauchen den ja auch wenn die einfach alles speichern ;). Wer sonst? Selbst wenn eine 1 TiByte HDD 1€ kostet würde das speichern der ersten Liste nur ~128€ Kosten. Ok kann man machen.
Die zweite Liste zu speichern würde, wenn man 1€/YiByte (welches 1024^4 mal TiByte ist) zahlen müsste, immer noch 582 Milliarden! € kosten.

Nicht mit eingerechnet ist die dauer diese Liste zu erstellen, die eh so gut wie niemand abspeichern kann.

Nein das geht nicht mit Passwortlisten (wenn es richtig gemacht ist, was ich bei Ubisoft aber bezweifel :P). Was geht ist zum Beispiel kurze Passwörter zu Bruteforcen, deshalb braucht man halt die mindestens 8 Zeichen langen Passwörter.
Obwohl ich alles unter 12 Zeichen mit Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen nicht für langlebig halte.

* man braucht je Zeichen ein Byte, also mehr pro Password, Salz, Hash aber so ist das rechnen einfacher ;)
**sehr schnell via Bruteforce zu knacken, deshalb braucht längere Passwörter, darum ging es aber hier nicht.

EDIT: Ich bin abgeschweift...

Decorus 16 Übertalent - 4246 - 2. Juli 2013 - 23:32 #

Wenn ich mich recht erinnere, dann geht beim Ubi-PW nicht mehr als 16 Stellen.

Icy 12 Trollwächter - 1033 - 2. Juli 2013 - 23:55 #

Das bedeutet ja nicht das der Salz nicht trotzdem mehr als 16 Zeichen lang sein kann ;)

Des weiteren habe ich im Verlauf der Berechnung die Komplexität des Passwortes eh weggelassen.

firstdeathmaker 17 Shapeshifter - P - 6558 - 3. Juli 2013 - 9:51 #

Deshalb gibt es ja Salts, damit der Aufwand für die Passwortlisten gesteigert wird. Denn mit Salts muss man so für jeden Eintrag in der Liste nicht einmal den Hash berechnen, sondern für jeden vorkommenden Salt einmal den Hash berechnen.

Decorus 16 Übertalent - 4246 - 2. Juli 2013 - 19:13 #

Eher PBKDF-2 oder bcrypt/scrypt. md5 ist *meh*.

Jamison Wolf 17 Shapeshifter - P - 8037 - 2. Juli 2013 - 18:35 #

Gott sind die Blöd. Die wurden nicht gehackt, das war ein ganz normaler NSA Seitenabruf. Tsts, immer diese Aufregung.

Ganon 22 AAA-Gamer - P - 33821 - 2. Juli 2013 - 22:32 #

Harharhar!

Jörg Langer Chefredakteur - P - 324282 - 3. Juli 2013 - 8:39 #

*Kommentar des Morgens*. :-)

McSpain 21 Motivator - 27019 - 2. Juli 2013 - 19:04 #

Schon wieder? Ach Ubi. Lasst doch Uplay und geht wieder zu Steam zurück. ;)

Exec 14 Komm-Experte - P - 1821 - 2. Juli 2013 - 19:06 #

Die Website wurde gehackt und aus Sicherheitsgründen soll man nen Link in einer E-Mail anklicken und seine Account-Daten überprüfen oder ändern...

Wie jede x-beliebige Spam Mail. Richtig mies. Die Ubi-Seite ist nicht zu gebrauchen. Wegen Maintenance keine Links. Anstatt das die den Passwort-Reset Link einfach auf die Hauptseite knallen...

RomWein 14 Komm-Experte - 2102 - 3. Juli 2013 - 11:40 #

Ich habe der E-Mail gestern keine Beachtung geschenkt, weil ich angenommen hatte, dass das nur wieder eine Spam-Mail wäre. Umso mehr wundert es mich jetzt, dass die Meldung doch echt ist.

Cohen 16 Übertalent - 4453 - 2. Juli 2013 - 19:09 #

Oh, ich hatte sogar zwei U-Play-Accounts, war mir gar nicht mehr bewusst. ;)

Gibt es jetzt auch Gratisspiele für jeden Account wie damals bei Sony oder nur ein BP-Sorry?
https://www.youtube.com/watch?v=9u0EL_u4nvw

GrayFox 11 Forenversteher - 648 - 2. Juli 2013 - 22:10 #

Ich wette, dass man nichts bekommen wird.. :D

Labrador Nelson 27 Spiele-Experte - - 86523 - 2. Juli 2013 - 19:25 #

Jez gehn die mir von Ubisoft schon wieder aufn Sack! Ich fass es nich! Die Drecks-Website die das Ändern des Passworts vorsieht, spukt ständig die Meldung aus, ich hätte Cookies nicht aktiviert, dabei ist das völliger Schwachsinn! Nix, aber auch gar nix funzt bei denen! Scheissverein! Ubisoft is Arsch und UPlay stinkt! So!

John of Gaunt Community-Moderator - P - 58797 - 3. Juli 2013 - 10:35 #

Bei allem verständlichen Ärger: Lass doch bitte die Fäkalsprache weg. Muss doch nicht sein.

Das Problem hatte ich übrigens auch. Schau mal, ob du direkt von Ubisoft eine Mail bekommen hast und klick den Link darin an. So gelangt man direkt auf die Passwort-ändern-Seite. Ich vermute, die im Forum gelinkte Seite spinnt rum, wenn man bereits einen Link zur Wiederherstellung des Passworts bekommen hat.

Xalloc 15 Kenner - 2848 - 2. Juli 2013 - 19:31 #

Ich wusste schon, warum ich Far Cry 3: Blood Dragon nicht mal geschenkt nehme: Denn die wollten selbst beim Geschenk meine Rechnungsdaten haben.

jguillemont 21 Motivator - P - 26466 - 2. Juli 2013 - 20:14 #

http://static2.cdn.ubi.com/gamesites/uplay/ubi-com.html

Schon aufgefallen? Auf der Website, die anzeigt das UBI.com gewartet wird, steht ganz oben Werbung für "Watch Dogs" ... ;-)

Sermon 12 Trollwächter - P - 888 - 2. Juli 2013 - 20:44 #

Witzig. Ich habe kein Mail erhalten....

Valeo 15 Kenner - 2743 - 2. Juli 2013 - 21:10 #

Der Passwortwahnsinn nimmt kein Ende... Ich habe mal eine schriftliche Liste auf Papier angefangen... mittlerweile ist diese 4 Seiten lang und kein Ende in Sicht -.-

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 0:45 #

Steig mal auf ein Programm um, etwa KeePass.

Cubi 17 Shapeshifter - 6113 - 3. Juli 2013 - 8:21 #

+1
Ich bin auch irgendwann mal umgestiegen für jeden Account im Inet ein eigenes, langes Passwort mit Sonderzeichen zu haben. Dank Passwortsafes ist das absolut kein Problem und wenn dir dann doch ein Account/Passwort geklaut wird sind wenigstens nicht noch andere Sachen betroffen.

Es gibt leider in der heutigen Zeit, in denen Hackmeldungen leider nichts ungewöhnliches mehr sind immer noch viele Leute, die Multiaccounts mit gleicher eMail/Passwort-Kombination fahren. Das ist in meinen Augen purer Leichtsinn.
Dieses Keepass in Verbindung mit dem Firefoxaddon KeeFox ist recht schnell installiert/konfiguriert, einfach zu Bedienen und sehr empfehlenswert.

Larnak 21 Motivator - P - 25589 - 3. Juli 2013 - 9:58 #

Ist's auch sicher? :o

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 10:37 #

Verwende KeeFox nicht, hab ja nen beschnittenen Chrome, aber ja: Für deine Datenbank legst du dir ein ordentliches Master-Passwort fest, kannst zusätzlich auch noch eine Key File erstellen die fürs öffnen benötigt wird.

Hat noch viele weitere, nützliche Einstellungen. Der Passwortgenerator ist sehr umfangreich, lässt sich entsprechend anpassen und eigene Profile speichern. Wer mag, der lässt seine Einträge nach x Tagen als 'abgelaufen' markieren, als Reminder sein Passwort mal wieder aufzurfrischen.

Larnak 21 Motivator - P - 25589 - 3. Juli 2013 - 10:51 #

Ich befürchte eher, dass ich ein Problem bekommen kann, wenn jemand meine Tastatureingaben des Masterpassworts mitliest.

Zugegeben, ich bin kein Experte in Sicherheitsfragen (sonst hätte ich ja die Frage gar nicht erst gestellt), aber gerade deswegen könnte ich nicht garantieren, dass sich nicht irgendwann mal irgendwer mit einem Keylogger bei mir festsetzt und sich dann ganz gemütlich alles aus dem Programm auslesen kann, was ihn interessiert.

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 11:19 #

Also, wenn man sich einen Keylogger einfängt, dann läuft schon grundsätzlich etwas falsch / treibt man sich auf den falschen Seiten herum. Anders gesagt muss man es schon drauf ankommen lassen, damit es dazu kommt.

Zur Not wirfst du dir das Programm als portable Variante auf einen Stick, dein Key File am Rechner. USB Stick dann am Rechner angeschlossen haben, wenn du deine PWs brauchst, wenn du sie nicht mehr brauchst Stick abziehen. Geht der Stick verloren, fehlt die Key File der Datenbank.
Oder eben anders rum: Proggi am Rechner, Key File auf einem USB Stick. Den lässt du dann ebensowenig angesteckt, wenn du das Programm gerade nicht verwendest. Da kann dann jemand dein Master-PW kennen, bringt nur nichts.

Wie du deine Passwörter überträgst, hängt ja auch von dir ab. Die Auto-Type Funktion von KeePass nutze ich nicht, sondern arbeite schlicht mit Copy & Paste.
"If you worry about keyloggers, you have to use one of the other methods (drag&drop, copying to clipboard, KeeForm, ...)."

Ebenso lassen sich innerhalb des Programms Richtlinien erstellen, um z.B. zu unterbinden, dass deine Passwörter auf Knopfdruck im Klartext angezeigt werden können - standardmäßig zeigt KeePass die Passwörter natürlich nicht im Klartext an.

Ukewa 15 Kenner - P - 3689 - 3. Juli 2013 - 10:55 #

Um seine (Scherz-)Frage trotzdem zu beantworten: Nein, ist es nicht. Es gibt nur "relativ sicher".
Die Auf-einen-Zettel-Schreib-Methode ist tatsächlich sicherer.

Larnak 21 Motivator - P - 25589 - 3. Juli 2013 - 11:21 #

Das war keine Scherzfrage. Nur, weil ein Programm mir sagt "Hey, ich bin sicher, gib mir alle deine Passwörter!" glaube ich ihm das nicht einfach so :p

Und gerade, weil da Vorteile wie "einfach bedienbar" genannt wurden, kam ich nicht umhin, mal in den Raum zu werfen, ob es denn auch die wichtigste Funktion eines solchen Programms erfüllt, nämlich Sicherheit :)

Dass es keine absolute Sicherheit gibt, ist klar, daher habe ich das nicht extra erwähnt.

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 11:22 #

Auf KeePass hat mich letztendlich der Kollege Barkeeper gebracht. Er hatte dazu im letzten Jahr einen Artikel auf GG verfasst: http://www.gamersglobal.de/user-artikel/ein-leitfaden-fuer-die-eigene-passwortsicherheit

Happy reading :)

Larnak 21 Motivator - P - 25589 - 3. Juli 2013 - 12:17 #

Ah, richtig, da war ja was. Den *wollte* ich immer lesen, ehrlich! :D

Barkeeper 16 Übertalent - 4226 - 3. Juli 2013 - 13:43 #

Tu das mal :-)

Auch wenn ich den Artikel seit Ewigkeiten mal überarbeiten wollte weil einige Formulierungen zu ungenau sind oder zuviel IT-Vorwissen erfordern...

Ukewa 15 Kenner - P - 3689 - 3. Juli 2013 - 11:34 #

Oh, ok, nix für ungut! Dachte wegen dem ":o", daß es eine witzige Provokation war.

Wenn ein Trojaner deine Tastatureingaben mitliest, hat er dein Masterpasswort für den Keysafe und damit dann alle deine Passwörter auf einmal. Wenn Du sie dir hingegen einfach auf einen Zettel schreibst, müsste man schon physisch bei dir einbrechen..

Edit: Aber "sicher" ist er schon, vom geschilderten Trojaner abgesehen, wird es sehr schwer, das Teil per Bruteforce zu knacken, bzw sehr langwierig.

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 11:44 #

Für die ausartende Zettelwirtschaft hab ich so wenig Lust wie Zeit, mir vernünftige Passwörter mit mindestens 20 Zeichen zu überlegen ^^

Die Keylogger Angst setze ich gleich mit dem Einbruch in deine eigenen vier Wände..

Ukewa 15 Kenner - P - 3689 - 3. Juli 2013 - 11:54 #

"Die Keylogger Angst setze ich gleich mit dem Einbruch in deine eigenen vier Wände.."

Echt jetzt?

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 11:58 #

Jupp.

nova 19 Megatalent - P - 14037 - 3. Juli 2013 - 12:03 #

Bei meinem privaten PC, ja. Ein vernünftiger Internet-Nutzer fängt sich i.d.R. ja keinen Virus/Trojaner "mal eben" ein. Da muss man schon die Türen schon nicht abgeschlossen oder gar nur angelehnt lassen... (um in der Metapher zu bleiben).

Ukewa 15 Kenner - P - 3689 - 4. Juli 2013 - 11:30 #

@iceolation u nova: Nur damit ich das letzte Wort habe - Statistisch ist ein Trojaner viieel wahrscheinlicher, als ein Einbruch. Na gut, kommt auf die Gegend an, in der ihr wohnt :-)

icezolation 19 Megatalent - 19180 - 4. Juli 2013 - 12:05 #

Wohne in ner Sackgasse. Da wird laut Statistiken weniger eingebrochen werden. Aber wer hier einbricht, der würde einen PW-Zettel links liegen lassen und nimmt stattdessen Rechenknecht, Monitor und Fernseher mit ;)

Larnak 21 Motivator - P - 25589 - 3. Juli 2013 - 12:19 #

Das ":o" war nur Verwunderung darüber, dass die Sicherheit in dem Kommentar nicht erwähnt worden ist :)

blobblond 19 Megatalent - 17762 - 3. Juli 2013 - 11:55 #

Wenn man sich einen Keylogger einfängt,ist es egal wo man das Passwort aufgeschrieben hat,da ist das Blatt Papier auch nicht sicherer.;)

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 11:59 #

Ich wollte schon anfangen die Zeit zu stoppen, wann der erste den Hinweis gibt :D

MaverickM 17 Shapeshifter - 7453 - 3. Juli 2013 - 15:39 #

Ich empfehle LastPass

Barkeeper 16 Übertalent - 4226 - 3. Juli 2013 - 16:06 #

Nein! NEIN! NEIN! BITTE NIEMALS!

LastPass ist ein ONLINE-DIENST!

Was passiert dir wenn LastPass gehackt wird? Dann bist du komplett im Arsch.
Ich kann nur extremst von solchen Dienst abraten.

Klicke hier:
http://www.gamersglobal.de/user-artikel/ein-leitfaden-fuer-die-eigene-passwortsicherheit?page=0,1

Suche nach: "Finger weg von Online Passwortdiensten!" Lese den Absatz.
Dann lese: http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/

Dann mache dir Gedanken.

Bitte. Ich kann dir wirklich nur davon abraten.

Auch wenn es jedem selbst überlassen ist was er nutzt. Aber LastPass wird NIEMALS zugeben das die gehackt wurden meiner Meinung nach.
Weil es deren Geschäftsgrundlage vaporisieren würde. Und keine Firma schießt sich Kunden gegenüber bewußt selbst ins Knie. (Unbebwußt tun sie das oft genug..)

nova 19 Megatalent - P - 14037 - 3. Juli 2013 - 17:26 #

Weißt du überhaupt, wie LastPass funktioniert?

Die Daten werden lokal mit einem frei wählbarem Passwort verschlüsselt und dann erst zum Server geschickt/"in der Cloud" gespeichert. Umgekehrt wird nach der Anmeldung der aktuelle Tresor herunter geladen und kann erst mit dem Passwort lokal entschlüsselt werden.

LastPass hat niemals a) den Schlüssel und b) die entschlüsselten Daten.

Larnak 21 Motivator - P - 25589 - 3. Juli 2013 - 18:03 #

Wie lange dauert es wohl, ohne den Schlüssel zu kennen die Passwörter zu entschlüsseln?
Ich weiß nicht, ich finde ja schon den Gedanken ungemütlich, eine riesige Passwortsammlung rein lokal nur durch ein einziges Passwort geschützt abzuspeichern, aber den Gedanken, das auch noch in irgendeine Cloud zu schicken, finde ich noch ein Stück befremdlicher.
(Ich habe gesehen, dass die mobile Variante von KeePass, 7Pass, wohl auch so einen Service mit Microsofts SkyDrive unterstützt)

Das klingt für mich so, als würde ich an meinem Haus die Haustür mit einem modernen Sicherheitsschloss versiegeln und mir bei den Bauarbeiten ein unverschlossenes Scheunentor in die Seitenwand setzen.

edit: Eine Aktualisierung oder gar Ausweitung des User-Artikels mit Tipps und Tricks für Otto-normal-Menschen ohne NSA-Erfahrung würde ich in der Tat sehr begrüßen ;D
So gern ich einen eigenen Email-Server hätte, ich schätze das momentan doch eher als nur mäßig realistisch ein :)

Barkeeper 16 Übertalent - 4226 - 3. Juli 2013 - 23:54 #

Ich habe es nie genutzt. Evtl. erstelle ich mir am WE mal einen Testaccount und spiele mal herum.

Was die auf der Seite schreiben macht mein Gefühl aber nicht besser. Und egal was die Schreiben, eine Frage bleibt dann immer noch:
Wieso muss ich den Dienst von jemand anderen nutzen um meine Passwörter zu verwalten/sichern?
Kann ich mit KeePass doch genau so gut. Und die bieten eine Toolbar an damit ich meine Passwörter ohne das Risiko von Cross-Side-Scripting angriffen im Browser abrufen kann? Wahnsinn.
3 Angriffsvektoren mehr auf meine Passwörter(Online, Browser, Toolbar). KeePass läuft unabhängig von meinem Browser. Es gibt Addons/Plugins für KeePass damit der Firefox o.ä, sich das automatisch aus KeePass zieht, nutze ich aber bewußt nicht.

Und was die über Sicherheit schreiben sind für mich erstmal nur Versprechen die ich nicht im geringsten kontrollieren kann.

Was da sonst so steht:
- Automatisiertes Testen: Mir etwas unklar ob die Sicherheitstest (Metasploit & Co.) oder Applikationstests (Jenkins, etc.) meinen.
Ansonsten: Wenn nur niemand regelmäßig drüber guckt bzw. mit den Ergebnissen nichts anfangen kann? Zur Eignung der Mitarbeiter steht da nichts.

- Überprüfung des Quellcodes mit Mail
Ja ok. Ist aber nun auch kein Sicherheitsgarant. PHP hatte Jahrzehnte lang eine Funktion die witzige Hundebilder angezeigt hat, wenn man eine bestimmt SessionID angegeben hat. Ist niemanden aufgefallen, trotz garantierter hunderter Codereviews.

- Paketverwaltung: Apticron
Ok, hier wurde es für mich witzig. Hintergrund:
Apticron mehr oder weniger ein Cronjob für Debian der die lokalen Paketversionen gegen die verfügbaren aus dem Repository gegencheckt und dann eine Mail verschickt mit: "Ey, für die und die Pakete gibt es neue Versionen." Pro Server eine Mail. Standardmäßig 1x pro Woche.

Ich betreue auf Arbeit knapp 1.000 Server (tendenz stark steigend, die 1.500 dürften dieses Jahr noch voll werden) mit 4 Kollegen.
Wir haben apticron gerade runtergeworfen, da Mails als Benachrichtigung für sowas nicht taugen. Und wir davon auf einen Schlag 1.000 Mails bekamen. Ohne Zusammenfassung oder neudeutsch: Aggregierung.

Zudem: Benachrichtgungen schön und gut. Ohne begleitende Prozesse "Alá: Wir fahren alle 4 Wochen regelmäßig Updates und alle 2 Wochen Security-Updates" taugt das mal nichts. Apticron informiert nur, es ändert NICHTS. Insofern ist der eine Satz mehr Makulatur als alles andere.

Wir haben uns stattdessen ein DITA-System aufgebaut.
(http://de.wikipedia.org/wiki/Darwin_Information_Typing_Architecture, http://en.wikipedia.org/wiki/Enterprise_information_management etc.) das gekoppelt mit Puppet und an unsere anderen Configuration Management DBs angeschlossen wirft uns in 30min Statistiken über ALLES raus. Genutzte IPs pro Netze, RAM, CPU, Festplatten, Trends, Stromverbrauch, wieviele Euro wir die letzten 6 Tage für RAM ausgegeben haben (SAP rockt :-) ) etc.

Dann haben wir auf Monitoring Seite Icinga mit Graphite (http://www.aosabook.org/en/graphite.html) für bunte Bilder. Graphite erzeugt mir Echtzeitgraphen. D.h. wenn eine Bestellung oder HTTP-Anfrage reinkommt ist die 3 Sekunden später auf dem Graphen zu sehen.
(Für unsere Zwecke mehr als ausreichend.)

Solche Wörter lese ich auf der Seite aber nicht.

Ich werds testen. Aber ich kapier halt trotzdem nicht wieso ich einen Drittanbieter zwischen mich und meine Passwörter schalten muss.

Zudem: Ich bin paranoid. Ich war Admin von Servern die gehackt wurden. Hacks die teilw. in einem Nebensatz in der Tagesschau erwähnt wurden. Die Größenordnung, die (politische) Brisanz.

Für mich sind das alles da Versprechen von LastPass. Versprechen die NIEMAND überprüfen kann. Bis auf LastPass selbst. Und die werden den Teufel tun und die Wahrheit sagen wenn da mal eine Lücke ist.

nova 19 Megatalent - P - 14037 - 4. Juli 2013 - 7:34 #

"Wieso muss ich den Dienst von jemand anderen nutzen um meine Passwörter zu verwalten/sichern?"; siehe Kommentar weiter unten bzgl. Cloud Sync und mobile. Ich habe für jede Seite ein eigenes, generiertes Passwort; nutze aber zwei verschiedene Browser auf mindestens jeweils zwei PCs - plus ein Smartphone. Hast du da schon einmal versucht, ein 20-stelliges Passwort mit zig Sonderzeichen einzutippen? Geschweige denn, die aktuelle KeePassDB dort vorzuhalten und nachschlagen zu können? Und Passwörter im Zwischenspeicher (Copy&Paste) sind auch nicht das Wahre...

Es gibt zwar auch für KeePass ein Firefox-Addon, und auch eins in Chrome, aber das sind verschiedene Tools von verschiedenen Entwicklern, denen ich im Zweifel weniger vertraue als einem etabliertem Onlinedienst.

Sollte es eine OpenSource-self-hosted Möglichkeit geben, die ähnlich zu LastPass funktioniert, würde ich diese natürlich bevorzugen.

Barkeeper 16 Übertalent - 4226 - 4. Juli 2013 - 11:49 #

> nutze aber zwei verschiedene Browser auf mindestens jeweils zwei PCs - plus
> ein Smartphone. Hast du da schon einmal versucht, ein 20-stelliges Passwort
> mit zig Sonderzeichen einzutippen?

Ja, gräßlich. Deswegen habe ich für ein HTC Desire Z (auch: HTC Vision in anderen Ländern genannt) entschieden. Eines der wenigen Android Handys mit einer physikalischen Tastatur wo die Sonderzeichen nur den Druck einer FN-Taste entfernt sind. Ist halt mittlerweile bei Android 2.3.2 oder so stehengeblieben, werde deswegen wohl mal irgendwann auf CyanogenMod gehen oder so. Mal schauen.

Aber, auch hier habe ich wieder einen anderen Ansatz:
Ich will meine Passwörter gar nicht eintippen, dauert zulange. Die Tastatur habe ich hauptsächlich, weil:
- Ich damit schneller bin als mit diesen Wisch-Dingern
- Ich über Android per SSH auf privaten meine Server kann und du bei Linux sehr schnell Zeichen wie: $, |, <, >, ;, &, # etc. benötigst.

Ich nutze KeePass auf meinem Handy so:
KeePass DB öffnen, Username & Passwort rauskopieren, einfügen. Fertig.
Geht auch auf Smartphones ohne Tastatur fix (z.B. mein Bereitschafts Samsung Galaxy S2).

Icy 12 Trollwächter - 1033 - 4. Juli 2013 - 18:59 #

"- Automatisiertes Testen: Mir etwas unklar ob die Sicherheitstest (Metasploit & Co.) oder Applikationstests (Jenkins, etc.) meinen."

Jenkins hat doch erstmal rein gar nichts mit Applikationstests zu tun. Ich denke du meintest JUnit, falls es Java ist (da Jenkins ohne Plugins soweit ich weiß nur Java nutzen kann liegt dies Nahe).

Jenkins nimmt doch im Endeffekt nur den aktuellen Quellcode aus dem Versionsverwaltungssystem und erstellt die Binaries bzw. die Jar Archive.

Jenkins kann dann hingehen und unter anderem JUnit Tests ausführen.

MaverickM 17 Shapeshifter - 7453 - 4. Juli 2013 - 2:14 #

LastPass verschlüsselt lokal, wie schon geschrieben wurde. Selbst wenn LastPass gehackt wird, müssten sie immer noch die Verschlüsselung meines Passwort Safes knacken. Sehr unwahrscheinlich.

KeePass bietet dagegen deutlich weniger im Vergleich zu LastPass: Keine Zwei-Fakter-Authentifizierung, kein Fingerabdrucklesegerät, keine Cloud Sync, kein mobiler Zugriff.

Bevor man plärrt sollte man sich lieber mal etwas einlesen ins Thema...

icezolation 19 Megatalent - 19180 - 4. Juli 2013 - 8:53 #

KeePass lässt sich für Android problemlos in der Hosentasche dabei haben. Das Cloud Syncing kann ich mit drei Klicks selber machen.

Barkeeper 16 Übertalent - 4226 - 4. Juli 2013 - 11:42 #

> KeePass bietet dagegen deutlich weniger im Vergleich zu LastPass:

> Keine Zwei-Fakter-Authentifizierung
Private Key + Passphrase? Ist eine Zwei-Faktor Authentifizierung. So nutze ich KeePass. Klappt super.

> kein Fingerabdrucklesegerät
Ok, das hat KeePass nicht. Wenn man es braucht ist das natürlich ein Argument für LastPass, aber ich denke ein Großteil der User braucht es nicht.

> keine Cloud Sync
KeePass kann auf Adressen die im Internet liegen speichern. (Z.B. auf HTTP/HTTPS-Adressen wo WebDAV möglich ist.) Eine eingebaute Sync-Funktion ist ebenfalls da.
Ich schließe meine Handy per USB an, hab dann die SD-Karte verfügbar und sag dem KeePass auf meinem PC: Speicher mal in das KeePass-File auf der SD-Karte.
Tut problemlos.
Aber hier kollidieren halt wieder unsere Sichtweisen von Sicherheit. Ich versuche eben soviel wie möglich am Internet vorbei zu machen. Indem die Datei auf meinem PC & Smartphone habe. Ich will bewusst keinen Cloud-Anbieter, etc.
Wenn einem das egal ist, sieht es natürlich anders aus.

> kein mobiler Zugriff
KeePass auf Handy / Laptop, oder die Datei auf einem USB-Stick.

Barkeeper 16 Übertalent - 4226 - 3. Juli 2013 - 11:21 #

KeePass! It works! Bitches! :-)

http://www.gamersglobal.de/user-artikel/ein-leitfaden-fuer-die-eigene-passwortsicherheit

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 11:22 #

Ah - ich fragte mich schon, wann du dich zu Wort meldest :D

Barkeeper 16 Übertalent - 4226 - 3. Juli 2013 - 13:34 #

Ja, sorry.. Ich komm halt immer später.. *hust* Ok schlechtes Wortspiel.

Nee.. Aber mal im Ernst, ich muss auch arbeiten :-)

Aber ja.. Ubisoft ist wieder so ein typisches Beispiel wo: 1 einzigartiges Passwort für jeden Dienst. Einfach der beste Weg ist. :-)

Inso 15 Kenner - P - 3560 - 2. Juli 2013 - 22:09 #

Gibt doch nix schöneres als Kontenzwang in Verbindung mit laschen Sicherheitsvorkehrungen..

eQuinOx (unregistriert) 2. Juli 2013 - 23:22 #

Ubisoft gehackt
Ubisoft geknackt
Ubisoft beknackt
Ubisoft verkackt
Ubisoft im Sumpf der Unterwelt versackt
Ubisoft hat abgefuckt, mal platt gesagt

Sören der Tierfreund (unregistriert) 3. Juli 2013 - 7:28 #

Aha, also biste son Gangster HipHopper oder was?

rAmbAzAmbA 17 Shapeshifter - 7388 - 3. Juli 2013 - 9:59 #

Aber da steht doch garnichts von Ubisoft und "deine Mudda" :D Und auch keine Geschlechtsteile werden genannt :/

eQuinOx (unregistriert) 3. Juli 2013 - 21:36 #

Yo!

Es viel wichtiger, zwischen den Zeilen zu verweilen,
dran zu feilen, sie zu peilen und Gedankengut zu teilen.
Teil gute Gedanken und gehöre zu den Reichen,
Du wirst reicher durch Bereicherung in allen Bereichen.
Ging das zu schnell, dann scroll ein Stück,
hats Dir nicht gefallen, scroll noch weiter zurück.
Ich zeige auf den Himmel, sag von dort wird es kommen,
Du blickst hinauf, doch Du siehst zu verschwommen.
Die einen glauben an nen Sturm, die anderen an ein Beben.
Und ich behaupte eben: Es wird Regen geben.

Dumdidumdadubidum... :)

Thomas Barth 21 Motivator - 27449 - 3. Juli 2013 - 0:18 #

So langsam nervt es ein wenig. Wehe ich kriege dafür nicht mindestens ein PS3-Spiel meiner Wahl geschenkt!

nova 19 Megatalent - P - 14037 - 3. Juli 2013 - 7:42 #

Watch_Dogs!

rAmbAzAmbA 17 Shapeshifter - 7388 - 3. Juli 2013 - 10:02 #

Können ja einen kostenlosen DLC aus dem Vorfall machen für Watch Dogs :D

Tassadar 17 Shapeshifter - 7747 - 3. Juli 2013 - 0:26 #

Mal wieder und mal wieder so extrem diletantisch drauf reagiert. Alleine das wäre schon neben vielen anderen Gründen genug, um Uplay dauerhaft zu boykottieren, wie ich es auch tue, was bei so etwas wie Trials echt hart ist. Aber kann man nichts machen. Uplay muss weg.

Darth Spengler 18 Doppel-Voter - 9209 - 3. Juli 2013 - 0:42 #

"Wir entschuldigen uns für die entstandenen Unannehmlichkeiten und danken euch für euer Verständnis."

Nicht zu danken, Ubisoft.

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 0:46 #

Ich gönne es den uPlay Unterstützern :)

Cubi 17 Shapeshifter - 6113 - 3. Juli 2013 - 7:04 #

Ne, ist klar. Nur weil jemand einen Uplay Account hat, hat er es verdient, dass seine Daten geklaut werden? Was ist das denn bitte für ein intelligenter Kommentar?

Sören der Tierfreund (unregistriert) 3. Juli 2013 - 7:29 #

Es ist okay, mehr geht bei ihm nicht *g*

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 10:21 #

Ja, durchaus! :)

MaverickM 17 Shapeshifter - 7453 - 3. Juli 2013 - 15:44 #

Ist Okay, was ich ihm im Gegenzug wünsche behalte ich mal lieber aus Anstandsgründen für mich.

icezolation 19 Megatalent - 19180 - 3. Juli 2013 - 15:48 #

Lass ruhig alles raus. NudeMods sind auf lange Sicht kein gutes Ventil.

joernfranz (unregistriert) 3. Juli 2013 - 7:41 #

Sich in regelmäßigen Intervallen kompromittieren zu lassen ist auch ein interessanter Ansatz um seine Nutzer zum Wechsel der Zugangspasswörter zu bewegen.

Maddino 16 Übertalent - P - 4986 - 3. Juli 2013 - 9:09 #

Da ist was dran :D

MaverickM 17 Shapeshifter - 7453 - 3. Juli 2013 - 15:45 #

Man munkelt es würde reichen ein Limit für die Passwortgültigkeit zu setzen... Aber nun gut.

Tyntose 13 Koop-Gamer - 1677 - 3. Juli 2013 - 8:59 #

Wundert mich nicht, bei Uplay schimmelt der Code schon durch die GUI und sicher begegnet man den Datenbanken mit der gleichen Sorgfalt...

Rumi 17 Shapeshifter - 7609 - 3. Juli 2013 - 9:22 #

toll und nichtmal ne Entschädigung von UBI Soft, erinnert mich an die Southparkfolge wo BP (Billiges Petroleum^^) immer irgendwelche Löcher bohrt und am Ende Cthulhu freigelassen wird. Da kommt dann auch der CEO und sagt immer wieder "Tut uns leid" "Tut uns wirklich leid" macht aber immer weiter mit dem Mist

Guldan 17 Shapeshifter - P - 8309 - 3. Juli 2013 - 9:51 #

PW geändert, mach da aber eh kaum noch was.

Goldfinger72 15 Kenner - 3093 - 3. Juli 2013 - 9:52 #

Jetzt muss ich mein Passwort "Firefucker" schon wieder ändern. :-(

Ukewa 15 Kenner - P - 3689 - 3. Juli 2013 - 10:57 #

In was?

Icy 12 Trollwächter - 1033 - 3. Juli 2013 - 11:09 #

Firefucker2 würde sich direkt anbieten!

firstdeathmaker 17 Shapeshifter - P - 6558 - 3. Juli 2013 - 9:56 #

Wieso ist das Passwort auf 16 Zeichen begrenzt? Das ist doch schon Beweis für deren Inkompetenz. TrueCrypt meckert ja schon rum, wenn man weniger als 20 Zeichen verwendet...

rAmbAzAmbA 17 Shapeshifter - 7388 - 3. Juli 2013 - 10:04 #

Sonst wird die Datenbank zu groß für die NSA, die müssen auch irgendwo anfangen an Speicherplatz zu sparen ;)

Cubi 17 Shapeshifter - 6113 - 3. Juli 2013 - 12:19 #

Bei Blizzard war's (oder ist es noch?) so das Passwörter keine Case-Senitivity besitzen.
Soviel zum Stichwort Inkompetenz. ^^

Gut, anderseits war vielleicht auch die Marketingabteilung vom Blizzard-Authenticator an dieser Entscheidung nicht ganz unbeteiligt. :-)

Flopper 15 Kenner - 3503 - 3. Juli 2013 - 18:01 #

Schon jemand raus bekommen, wo ich meine E-Mail ändern kann? Bzw. wie bekomme ich mein Passwort geändert, wenn ich keinen Zugriff mehr auf meine dort angegebene Mailadresse habe?

Cubi 17 Shapeshifter - 6113 - 3. Juli 2013 - 18:35 #

Puh, das dürfte es nicht so leicht werden. Wie sollen die dich denn verifizieren?
Mir fällt da spontan mir nur der Weg mit einem verbundenen CD-Key den du aktiviert hast. Das wäre vielleicht eine Alternative. Fraglich ist aber, ob Ubi das überhaupt macht.

dragon235 18 Doppel-Voter - P - 11388 - 4. Juli 2013 - 18:11 #

So PW ist geändert.

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)
Mitarbeit