Minecraft: Entwickler empfiehlt Passwort-Änderung

PC 360 XOne PS3 PS4 iOS Android Browser andere
Bild von Admiral Anger
Admiral Anger 83394 EXP - 27 Spiele-Experte,R10,S9,A10,J10
Dieser User unterstützt GG seit elf Jahren mit einem Abonnement.Alter Haudegen: Ist seit mindestens 10 Jahren bei GG.de registriertAlter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertRedigier-Guru: Hat 5000 EXP fürs Verbessern von Beiträgen gesammeltIdol der Massen: Hat mindestens 10.000 Kudos bekommenGold-Jäger: Hat Stufe 11 der Jäger-Klasse erreichtDebattierer: Hat 5000 EXP durch Comments erhaltenMeister-Poster: Sammelte 5000 EXP durch ForumspostsGold-Cutter: Hat 100 Videos gepostetDieser User war an Weihnachten 2020 unter den Top 100 der SpenderDieser User war an Weihnachten 2019 unter den Top 100 der SpenderDieser User war an Weihnachten 2017 unter den Top 100 der Spender

8. April 2014 - 21:45 — vor 9 Jahren zuletzt aktualisiert
Dieser Inhalt wäre ohne die Premium-User nicht finanzierbar. Doch wir brauchen dringend mehr Unterstützer: Hilf auch du mit!
Minecraft ab 24,99 € bei Amazon.de kaufen.

Das schwedische Indie-Studio Mojang empfiehlt allen Spielern von Minecraft, das Passwort ihres Accounts zu ändern. Grund dafür sei eine Sicherheitslücke in OpenSSL, einer freien Software, die unter anderem dazu genutzt wird, eine sichere Datenübertragung zu gewährleisten. Der sogenannte Heartbleed-Bug ermöglicht es Angreifern, unbemerkt Passwörter und Benutzernamen auszulesen. System Developer Kristoffer Jelbring äußerte über Twitter, dass die eigenen Server nicht davon betroffen seien. Allerdings benutzen die Entwickler die Dienste von Amazon Web Services zur Abwicklung des Datenverkehrs, die unter anderem auf OpenSSL basieren.

Obwohl der Fehler inzwischen behoben sei und nicht geklärt ist, ob tatsächlich Daten gestohlen wurden, solltet ihr aus Sicherheitsgründen dennoch ein neues Passwort vergeben. Falls ihr euer Benutzerkonto bereits in einen Mojang-Account umgewandelt habt, könnt ihr eure Zugangsdaten über diesen Link ändern. Verfügt ihr stattdessen nur über einen klassischen Minecraft-Account, könnt ihr euer Passwort auf der offiziellen Minecraft-Seite zurücksetzen.

firstdeathmaker 18 Doppel-Voter - 9333 - 9. April 2014 - 6:10 #

Es betrifft übrigens nicht nur Minecraft, sondern alle Server, die Openssh 1.1 genutzt haben. Wie sieht es eigentlich hier auf gg damit aus?

Boris 17 Shapeshifter - 7640 - 9. April 2014 - 12:52 #

Korrektur: betroffen ist openssl 1.0.1, nicht openssh 1.1.
Von openssh hat es wohl nie eine 1.1 gegeben, nicht dass jemand sich freut weil sein openssh deutlich neuer ist ;-)

> Wie sieht es eigentlich hier auf gg damit aus?

Anscheinend nicht betroffen. Es gibt bei gg laut ssltest auch nur TLS 1.0, wodurch man vermuten koennte, dass openssl in der Version 0.9.8 eingesetzt wird und die ist nicht betroffen. TLS 1.1 kam naemlich erst spaeter...

McGressive 19 Megatalent - 14300 - 9. April 2014 - 7:50 #

Danke für die Info. Wird alsbald erledigt.

Herachte 21 AAA-Gamer - 30415 - 9. April 2014 - 7:54 #

Dazu müsste es mir wieder einfallen...

Hemaehn 16 Übertalent - 4637 - 9. April 2014 - 9:11 #

Deshalb benutzt man ja überall dasselbe Passwort :P

immerwütend 22 Motivator - 31893 - 9. April 2014 - 11:13 #

Oder man geht ganz raffiniert vor: "Minecraft" für Minecraft, "GamersGlobal" für GG...
Lässt sich prima merken :-)

Admiral Anger 27 Spiele-Experte - P - 83394 - 9. April 2014 - 11:29 #

Ich nutze meistens "falsch". Wenn ich mich nicht mehr daran erinnern kann oder mich vertippe, sagen mir die meisten Seiten dann, dass mein Passwort falsch ist...

Novachen 19 Megatalent - 14947 - 9. April 2014 - 13:34 #

Wenn es lang genug ist, lässt sich dagegen auch ehrlich gesagt nichts sagen.

Ich nutze tatsächlich fast überall das selbe Passwort. Und das besteht, sofern die Möglichkeit dieser Länge besteht, aus einem leicht merkenden vollständigen Satz. Das ist eher schwierig rauszufinden. Ist leicht merkbar und der Aufwand es zu knacken geht in die Jahrzehnte.

Stuessy 14 Komm-Experte - 2520 - 9. April 2014 - 13:51 #

Sorry, dass ich das ausgerechnet dir sagen muss, aber auf die Länge kommt es nicht an. Dein Passwort kann aus fantastilliarden Zeichen bestehen. Wenn du es überall verwendest, dann muss es nur einmal irgendwo geklaut werden und schon kann auf alle deine Dienste zugegriffen werden. Wenn also "Angreifer unbemerkt Passwörter und Benutzernamen auslesen", dann steht da ja nichts von "Passwort knacken".

immerwütend 22 Motivator - 31893 - 9. April 2014 - 14:05 #

Auf die Länge kommt es nicht an? ^^

Decorus 16 Übertalent - 4286 - 9. April 2014 - 14:09 #

Normalerweise schon, aber in diesem Fall wird eine Technik verwendet, die die Länge irrelevant macht.... °_^
(....da die Klardaten direkt im Speicher ausgelesen werden)

firstdeathmaker 18 Doppel-Voter - 9333 - 10. April 2014 - 17:43 #

Nicht ganz richtig, es kommt darauf an, ob das Klartext-Passwort geklaut wurde. Das Problem dabei ist allerdings, dass Leute, die die Passwörter im Klartext gespeichert haben, extrem fahrlässig handeln und sich daher hüten werden, zuzugeben, dass sie es im Klartext gespeichert hatten.

Ein langer Passwortsatz ist allerdings auch nicht ganz das Wahre, wenn man ihn nicht noch etwas anpasst. Denn typische Hackertools probieren auch Wortkombinationen aus.

Transmunar Probe 2 (unregistriert) 15. April 2014 - 15:34 #

Naja recht praktisch ist es immer sich einen Satz zu bilden und dann wie folgt vorzugehen. Z.B. "Ich kaufe am Montag zwei Brote für 4 Euro." Daraus wird IkaM2Bf4€ kann man sich merken enthält Groß- und Kleinbuchstaben sowie Sonderzeichen und hat eine gute Länge. "In Amerika würde ich für die Brote nur 3 Dollar zahlen." IAwidB3$z

Dann hat man einen leicht zu merkenden Satz, den man einfach nach einem eigenen System in das eigentliche Passwort umwandelt.

Transmunar Probe 2 (unregistriert) 15. April 2014 - 15:35 #

im zweiten Passwort habe ich das kleine f für "für" vergessen

Nagrach 14 Komm-Experte - 2677 - 9. April 2014 - 17:48 #

Ich glaub ich weiß dein PW^^...

blobblond 20 Gold-Gamer - P - 24478 - 9. April 2014 - 11:28 #

"Passwort1234567890" lässt sich doch leicht merken!

gar_DE 19 Megatalent - P - 15990 - 9. April 2014 - 11:47 #

1234 reicht für den ganzen Planeten...

Stuessy 14 Komm-Experte - 2520 - 9. April 2014 - 13:01 #

Das wäre dann allerdings 12345. Dieselbe Kombination habe ich an meinem Koffer.

TValok 13 Koop-Gamer - 1749 - 9. April 2014 - 10:53 #

Wenn man noch nicht weiß ob der Fehler behoben wurde warum soll ich dann jetzt mein Passwort ändern? Hä? Wäre das neue dann nicht auch unsicher?

Decorus 16 Übertalent - 4286 - 9. April 2014 - 11:29 #

Der Fehler wurde behoben, es ist nur nicht sicher, ob damit Daten abgegriffen wurden.

TValok 13 Koop-Gamer - 1749 - 9. April 2014 - 12:07 #

Ups - verlesen, sorry :(

Anonhans (unregistriert) 9. April 2014 - 12:18 #

Es sind unglaublich viele Dienste betroffen und eigentlich sollte man seine Passwörter für so ziemlich alles im Netz ändern. Und am besten testet man vorm ändern auch, ob OpenSSL auf den Login-Servern geupdatet wurde ( filippo.io/Heartbleed/ ), damit das neue Passwort nicht direkt wieder aus dem Speicher des Servers im Klartext an jeden rausgegeben wird, der zum richtigen Zeitpunkt ne Anfrage schickt. Da der Bug auch schon seit 2 Jahren existiert (aber jetzt erst öffentlich gemacht und gepatcht wurde), ist es auch nicht unwahrscheinlich, dass irgendwer, der schon vorher davon wusste, sich in den letzten 2 Jahren bei diversen Diensten Login- und Kreditkarten-Daten besorgt und gesammelt hat.
Der Bug ist jetzt öffentlich und ist mit einfachsten Mitteln ausnutzbar. Eine solche Anfrage hinterlässt keine Spuren auf Servern und momentan sind ne Menge Leute unterwegs, die sich nen Spaß draus machen, so viel Daten wie möglich bei angreifbaren Servern abzuholen (ich hab gestern schon ne Menge Login-Daten für Banking-Websites gesehen...). Die großen Dienste werden wohl inzwischen gepacht haben, aber grade kleinere Webshops und -dienste usw. sind oft etwas nachlässig, wenn es um Sicherheitsupdates geht und werden das unter Umständen auch noch eine Zeit lang bleiben.
Man sollte im Moment ganz vorsichtig sein, wenns um die Eingabe von sensiblen Daten im Internet geht.

blobblond 20 Gold-Gamer - P - 24478 - 9. April 2014 - 13:18 #

Dieser Bug dürfte wohl die erklärung seinen,woher auf einmal die Mio Daten von Email+Password kamen die Mitte Februar und Anfang April entdeckt wurden.

Anonhans (unregistriert) 9. April 2014 - 13:56 #

Das wäre auf jeden Fall eine mögliche Quelle. Wenn man davon wusste, ein paar Bots zur Verfügung hatte und das ganze schön automatisiert und dauerhaft am Laufen hatte, wäre es defintiv möglich gewesen, ungestört und unbemerkt unter anderem ein paar Mio Login-Daten zu sammeln. Das Timing könnte ein Indiz dafür sein, dass da ein Zusammenhang besteht. Würde auch erklären, wieso man nie erfahren hat, woher die Daten kamen, vor denen das BSI gewarnt hat.
Wäre schön, wenn die (oder jemand anderes, der weiß, wo die Daten herkommen) sich mal dazu äußern würden.

Boris 17 Shapeshifter - 7640 - 9. April 2014 - 14:00 #

Nicht unbedingt. Es waere natuerlich eine weitere moegliche Erklaerung, aber in diesem Fall gab es auch schon vor dem bekanntwerden des openssl-bugs genug plausible Theorien wo diese Daten herkommen koennten.
Wovon man aber sicher ausgehen kann ist, dass gerade eifrig mit Hilfes des Bugs die naechsten Datensammlungen angelegt werden.

Decorus 16 Übertalent - 4286 - 9. April 2014 - 14:06 #

Naja, da hätte man doch eher Banken "abgegriffen". Da gab es ja auch einige Seiten die betroffen waren.

Anonhans (unregistriert) 9. April 2014 - 14:17 #

Und wer sagt, dass das nicht auch passiert ist? ;) Das Ausnutzen des Bugs hinterlässt keine Spuren und Logins für Banken werden vielleicht nicht ganz so öffentlich an einschlägigen Stellen im Internet (zum Verkauf) bereitgestellt. Könnte sein, dass die Behörden und Banken nichts davon wissen oder das Ganze einfach nicht öffentlich machen, weil das im Gegensatz zu "verlorenen" Mail + Passwörtern die Leute mal so richtig nervös machen würde und man da als Bank vielleicht auch Angst vor rechtlichen Konsequenzen haben muss. Die Banken sind ja momentan auch fleißig dabei, zu verkünden, dass "keinerlei Daten abhanden gekommen sind", obwohl es mindestens seit gestern völlig klar ist, dass das kompletter Unsinn ist und es auch genug Beweise dafür gibt.

Decorus 16 Übertalent - 4286 - 9. April 2014 - 14:44 #

Weil die Email + PW Sache viele ältere Daten enthält und wenn der Bug schon zu dieser Zeit ausgenutzt worden wäre, hätten wir von so manchen geplünderten Konten gelesen. Kann natürlich sein, dass das sehr Geduldige Angreifer sind, aber Geld jetzt sicher haben und Geld evtl. später haben..... Was würdest du nehmen?

Anonhans (unregistriert) 9. April 2014 - 14:04 #

Ich würde empfehlen, aus der ganzen Heartbleed-Geschichte ne allgemeinere News zu machen, da der Exploit nicht nur Minecraft, sondern einen großen Teil des Internets betrifft. Zwar ist das Thema inzwischen auch auf Seiten wie SPON aufgeschlagen, aber es kann sicherlich nicht schaden, hier auch noch einmal die "Allgemeinheit" über das Problem aufzuklären und nicht nur die Leute, die Angst um ihren Minecraft-Account haben.

Gnorkel (unregistriert) 10. April 2014 - 14:02 #

Um mal eine Zahl in den Raum zu werfen: 500 Millionen Websites sind betroffen (dunkelziffer vermutlich höher)

Auswirkungen: Erst in zwei bis drei Jahren wenn die abgefriffenen Daten, verarbeitet, verkauft, benutzt und weitergegeben wurden.

Mitarbeit
FreylisJörg Langer
News-Vorschlag:
Kreativ-Baukasten
7
18.11.2011 (PC, MacOS, Linux) • 07.10.2011 (Android) • 17.11.2011 (iOS) • 09.05.2012 (Xbox 360) • 18.12.2013 (Playstation 3) • 05.09.2014 (Playstation 4, Xbox One) • 15.10.2014 (PSVita) • 10.12.2014 (Windows Phone) • 17.12.2015 (WiiU) • 13.09.2017 (New 3DS) • 21.06.2018 (Switch)
Link
8.2
AndroidBrowser3DSiOSLinuxMacOSPCPS3PS4PSVitaSwitchWiiUandere360XOne
Amazon (€): 44,99 (), 69,95 (), 129,95 (), 24,99 (Nintendo Switch)