Bereits gestern berichtete WOW Insider über unerlaubte Zugriffe auf eine "bedeutende Zahl" von World of Warcraft-Accounts. Über die offizielle Mobile Armory-App, mit der ihr unterwegs unter anderem auf das Auktionshaus zugreifen könnt, sollen sie Zugang zu den Konten erlangt haben und dort auf überteuerte Gegenstände geboten haben. Mittlerweile wurde der Vorfall offiziell von Blizzard bestätigt.
Laut einer Sicherheitswarnung seitens des Herstellers ist nicht nur die Mobil-App, sondern auch der Login über die Hauptseite betroffen. Das Auktionshaus wurde in der Folge für unbestimmte Zeit abgeschaltet. Derzeit sei man damit beschäftigt, die Kunden zu informieren, die das Authentifizierungs-Tool nicht installiert hatten und bei denen Zugriffe aus ungewöhnlichen IP-Bereichen verzeichnet wurden. In den offiziellen Foren melden sich mittlerweile aber auch Betroffene, die das zusätzliche Sicherheitsprogramm genutzt haben. Die genaue Vorgehensweise der Hacker ist derzeit nicht bekannt.
Auf Nachfrage werde Blizzard alle Ingame-Gegenstände und Gold auf ihre ursprünglichen Werte zurücksetzen. Der Hersteller weist darüber hinaus darauf hin, sein Passwort regelmäßig zu ändern.
Bei dem Teaserbild bekomme ich direkt mal wieder Lust reinzuschauen. :)
Wo, bei Ausrufezeichen Online? ;-)
Das "!" kann so schlecht ja nicht sein, wenn alle Welt es kopiert. =)
Und der Erfinder selbst verflucht sich dafür, dass er diesen Kram erfunden hat.
Welcher Erfinder?
Metal Gear hatte es vorher, genauer gesagt seit 1987. ^^
Nur weil es kopiert wird, sagt das nix über die Schlechtigkeit aus ;-)
Außerdem hat WoW das aus AC 2 kopiert. Und da hat es, weil neu, für extreme Belustigung gesorgt.
Wäre es so schlecht, würde es keiner freiwillig übernehmen. ;) Was ist AC 2? Btw. hast du WoW so bezeichnet, nicht ich. ;)
Ich denke mal er meint Asherons Call 2. Glaube das gabs noch vor oW ob die da aber Ausrufezeichen hatten weiss ich nicht.
Asherons Call 2, ist 2002 gestartet und hat sich im Jahre WoW abgeschaltet.
AC 1 war das Microsoft Pendant und Konkurrent zu Everquest, konnte sich aber nie durchsetzen. Obwohl es ein paar geile Ideen hatte.
Ich habe alle Games gezockt, davon EQ und WoW intensiv.
Meine alte Liebe ist und bleibt Everquest, die hat nämlich damals ganz ohne Herzschmerz meinen Liebling UO abgelöst.
Nur weil du es nicht anders Formulieren kannst sag das nix über deine Vorurteile aus.
Nur weil du es nicht anders interpretieren kannst, sagt das nix über deine Intention aus.
In Magicka sind die NPCs echt genervt damit rumzurennen! :P
Ist doch lustig :-D.
Da geht es mir ganz anders. Ich merke in letzter Zeit immer häufiger, dass ich Spiele schöner und interessanter in Erinnerung halte, als sie es dann tatsächlich sind :D
Nur ausgehend von diesem Teaserbild steigt in mir das Verlangen daher nicht wirklich :)
Das kenne ich auch. Ich glaube das liegt daran, dass Spiele nicht nur aus der Grafik bestehen, sondern ein Erlebnis bieten.
Jemand der WoW (oder andere Spiele) früher ernsthaft gespielt hat erinnert sich an die Erlebnisse, die er beim spielen hatte. Wie viel Spaß das ganze damals gemacht hat, die Atmosphäre, das Gameplay...
Alles zusammen bleibt dann positiv in Erinnerung.
Man merkt sich nur die positiven Sachen, das heißt Nostalgie ;)
Ist die "Mobile Armory-App" eine offizielle App von Blizzard oder eine App von einem Drittanbieter? Diese Information finde ich zur Bewertung der News recht wichtig.
Und wie wirkte sich die Lücke aus? Sind Nutzer der Mobile Armory-App betroffen direkt oder konnte durch eine Lücke in der Mobile Armory-App auf andere Nutzerkonten zugegriffen werden?
Das ist eine offizielle Blizzard App, bei der man die Zugangsdaten eingeben muss.
Bin ganz froh, dass ich den Authenticator auf dem Handy hab. Ist ein zusätzlicher Schutz.
Ich hab die App vor 3 Monaten mal drauf gemacht, Seitdem nerfen sie mich damit das ich angeblich immer von einer anderen Lokation einlogge und sperren den (nur noch für SC2 und D3 genutzten) Account bis ich das PW ändere.
Also ich mach ne Mobile App drauf dannach geht der Ärger los, und deren Antwort darauf ist mach doch ne andere mobile App drauf die das Problem lösen soll.
Ich lach mich schlapp vor allem wenn ich jetzt lese das es massenweise erfolgreiche Angriffe geben soll egal ob Athentificator oder nicht.
Die App ist eine offizielle von Blizzard. Wie genau die Hacker auf fremde Accounts zugreifen konnten, ist nicht bekannt.
Wenn laut Blizzard nur Accounts betroffen sind von denjenigen, die diese Authenticator-App nicht genutzt haben, warum haben sie bei der Mobile Armory-App nicht gleich den Authenticator standardgemäß vorausgesetzt? Die Provider verschicken heutzutage doch auch keine Router mehr, ohne dass eine WPA 2-Verschlüsselung standardgemäß aktiv ist und erst optional deaktiviert werden kann. Genauso ist bei nahezu jedem Komplett-PC mit Windows eine Trial-Version von einem Virenscanner aktiv, der einen rechtzeitig genug darauf hinweist, dass der Schutz bald abläuft.
Die nächste Frage wäre: Wenn man die Mobile Armory App hat, wieso hat man dann nicht auch die Authenticator App? Offensichtlich hat man ja schon ein Smartphone, ohne das die Armory App nicht läuft, da liegt es doch auch extrem nahe sich den Authenticator zu installieren.
Du gehst davon aus, dass der Kunde intelligent und weitsichtig genug ist, um die Gefahren der App ohne die Sicherheitsmaßnahmen der anderen App zu erkennen. Ich gehe vom Dümmsten anzunehmenden User aus. ;-)
http://de.wikipedia.org/wiki/D%C3%BCmmster_anzunehmender_User
Ja so ungefähr. Meine Meinung ist wer ein Smartphone oder Tablet besitzt und die (kostenlose) Authenticator App, auf die Blizzard zu Recht bei jeder Gelegenheit hinweist, nicht benutzt, hat nicht alle Tassen im Schrank.
das hat nichts mit "alle tassen im schrank" zu tun, sondern meist mit faulheit.
stimmt
...oder weiß ganz einfach was er tut!
das hilft demjenigen aber original gar nichts, da er nicht weiß was die dienstleister tun, die seine daten auf den servern liegen haben.
Das kann mannigfaltige Gründe haben. Zb Accountsharing mit der Freundin/Frau.
Einfach Dummheit zu unterstellen ist nun ja eine ziemlich be/eingeschränkte Sichtweise.
Wo habe ich denn geschrieben das ich die User für Dumm halte? Der dümmste anzunehmende User ist das wichtigste theoretische Instrument für den Entwickler eines Produkts, da man ansonsten dazu neigt sein Produkt nur für eine sehr beschränkte Zielgruppe zu entwerfen. Das hat nichts damit zu tun, jemanden für Dumm zu halten.
Wäre meine Aussage DAU-Kompatibel gewesen, also wäre ich gleich darauf gekommen, dass jemand in meine Aussage interpretieren könnte, dass ich jemanden für Dumm halte, dann hätte ich meine Aussage anders formuliert und du hättest mir niemals geantwortet.
Vielleicht will man den Auth auch nicht?
Ich habe auch alle meine Online Games mit dem Auth verknüpft. Dann ist mir mein S+ abgeraucht und nicht mehr gestartet. Auf dem neuen Smartphone, mit gleichem Android Account, konnte ich mich dann mit den Authenticators nicht mehr einloggen -> Gerät nicht verknüpft...
Laut anderer Webseiten wie Golem zb sind auch Athentificator Nutzer betroffen.
Eine Sache werde ich an diesen Sicherheitstipps nie verstehen.
Was zur Hölle soll es bringen, dass Passwort regelmäßig zu wechseln.
Entweder mein Account wird gehackt oder nicht. Ist das Passwort einmalig und ausreichend sicher (absolut geht nicht), kann es auch ewig bestehen. Entweder ich knacke es oder nicht. Da kann ich auch mit einer Änderung nichts gegen machen. Im Zweifelsfall mache ich es nur einfacher zu knacken.
Oder wollen die mir jetzt erklären, dass die bösen Leute erstmal ein Jahr tatenlos mit in meinem Account sitzen und zuschauen?.
Nein, das ist schon ein guter Tipp. Allerdings ist der bessere: Echte Zufallspasswörter. Und auch solche können per Brute-Force gecknackt werden. Wenn man allerdings sein Passwort jeden Monat -oder so- ändert, und sie dein Passwort von vor der Änderung knacken (ja das wird gemacht, gibt extra Server-Farmen dafür!), bringt es ihnen nix.
Und doch, wenn dein Account geknackt wurde und Du das Passwort änderst, dann haben die Hacker keinen Zugriff mehr darauf. So z.B. wenn dein Email-Account als Spam-Schleuder missbraucht wird.
Und wie sollen sie das Passwort VOR der Änderung nach der Änderung knacken?
Direkt beim Anbieter klappt das nicht, dazu brauchen sie die Datenbank mit den hoffentlich gesalzenen und gehashten Passwörtern des Anbieters, bei dem du das Passwort hast. Und der muss einfach informieren, wenn ihm die DB geklaut wird. Dass man dann das Passwort ändert sollte klar sein.
Aber ein Passwort in freier Wildban einfach mit Bruteforce knacken ist reichlich bescheuert. Insbesondere wenn sich der Anbieter an ein paar kleine Punkte hält.
3s zwischen jedem Loginversuch
5 bis 15min Sperre bei 5 falschen
nach 3 Zeitsperren Dauersperre bis zur Freischaltung durch den berechtigten Nutzer.
Nur so als grobe Zahlen.
Alleine schon durch die Wartezeit zwischen Loginversuchen verläuft jeder Bruteforce im Sande.
Und zu den echten Zufallspasswörtern. Nein, sie sind nicht besser. Es ist egal ob 20 sinnlose Zeichen oder 20 (für mich) halbwegs sinnvolle Zeichen aneinander reihe. Da werden dann halt ein paar der Zeichen ausgetauscht und hier und da was eingestreut. Selbst mit richtigen Wörtern ist es kein Problem, wenn sie etwas manipuliert sind. Denn dann darfst du mit einem Wörterbuchangriff rann, der alle Möglichen modifizierungen aller Wörter des Dudens beinhaltet, die zusammen auf 20 Zeichen kommen. Da kannst du gleich mit Bruteforce ran, nimmt sich dann auch nichts mehr.
Du könntest auch ein Passwört auf Binärcodebasis vergeben. So lange der Knacker keinen Hinweiß darauf hat, dass er nur 0 und 1 verwenden braucht ist das Teil so schwer zu knacken wie jedes andere Passwort gleicher Länge.
Es ist wirklich erstaunlich was die ganzen Experten geschafft haben. Wir machen Passwörter die wir uns selbst nicht mehr merken können, weswegen wir dann tolle lokale Datenbanken auf dem Rechner einsetzen (meine lokale Datenbank ist ein kleines Notizbuch), die von Rechnern aber einfach zu knacken sind.
Passwort:
möglichst lang >>>>>> Sonderzeichen, Zahlen, Case sensitiv >>>>>> alles andere
Bei irgendwelchen "Ihr Passwort ist Sicher" Anzeigen läuft es leider genau die andere Richtung...
Also, noch mal.
Warum soll ich mein Passwort regelmäßig ändern, wenn die Datenbank meines Anbieters nicht kompromitiert wurde.
Nach der Antwort auf diese Frage suche ich nun schon seit langem. Und überall heißt es nur, mach oder mir beschreiben Leute wie oft sie es machen. Ein Warum, dass nicht in sich zusammenfällt hörte ich noch nie. Vielleicht klappt es ja hier.
PS, einige meiner Passwörter bestehen nun schon seit 10 Jahren. Nie geändert und trotz diverse Einbruchsversuche auch nie geknackt.
"Und zu den echten Zufallspasswörtern. Nein, sie sind nicht besser."
Das ist faktisch falsch.
"Warum soll ich mein Passwort regelmäßig ändern, wenn die Datenbank meines Anbieters nicht kompromitiert wurde."
Woher weißt Du denn, ob die Datenbank nicht schon gehackt wurde? Oft erfahren das die Anbieter selbst erst sehr spät. Oder garnicht.
Ansonsten hast Du ja Recht.
aninummitnachvonzubeitrenneniedassvomtdennestutdenbeidenweh
Ist ein sichereres Passwort als
A9(UTi9ß
Ok, da hat es den Post gefressen. Ich bringe das Passwort mal unten rein, scheint so als könnte die Software hier gewisse Probleme mit diversen Zeichen haben.
aninummitnachvonzubeitrenneniedassvomtdennestutdenbeidenweh
Ist ein sichereres Passwort als
A9(UTi9ß (siehe unten)
Warum?
Wenn du ohne jegliche Vorkenntnis über das Passwort rangehst, dann bleiben dir 3 Möglichkeiten.
1. Du nutzt eine Tabelle mit bekannten Passwörtern und läßt die gegenchecken. Daher, verwende nie das gleiche 2 mal.
2. Du verwendest ein Wörterbuch, in der Hoffnung, dass jemand einen Namen oder ein anderes Wort (lies ein! Wort) als Passwort genommen hat. Funktioniert nicht mehr bei mehreren Wörtern hintereinander. Außer die stehen so in deinem Wörterbuch.
3. Du machst den Bruteforce.
Je länger das Passwort ist, je schwieriger wird der Brute. Einfach weil jedes neue Zeichen, je nach verwendeter Zeichenmenge, die Möglichkeiten mit einem großen Faktor erhöht.
Natürlich kann ich einschränken und dem System nur sagen, dass es kleine Buchstaben nehmen soll. Aber wenn ich da 20 oder 30 Zeichen lange Teile vor mir habe, dann werde ich lieber gleich die volle Breitseite nehmen.
Alleine ein Großbuchstabe würde die Möglichkeiten, die der Brute bei dem Beispiel oben durchgehen muss vervielfachen. Und baust du noch eine Leertaste oder " ein oder ersetzt ein i mit ! oder ein o mit 0 und du schreibst daß, Umlaute oder è. Dann machst du das Passwort für jeden Bruteforce nicht mehr in annehmbarer Zeit knackbar. Einfach weil die komplette Zeichenmenge genutzt werden muss.
Ohne jegliche vorkenntnis und wenn wirklich auf alle nur Table und Brute angewendet wird, dann ist sogar 100101100110111100101000101101101100101100101011000101010010 sicherer als das Zufallsding oben. Es ist länger und alle Möglichkeiten durch zu probieren dauert einfach länger.
Wenn du also wirklich Spaß haben willst, schreib ein Wort in Binär. Der Hacker muss schon ziemlich quer denken um ein Wörterbuch zu verwenden in dem die Wörter binär stehen.
Zur Datenbank.
Siehe oben. Wenn dein Passwort zu denen in der DB gehören, die sich nicht in annehmbarer Zeit knacken lassen (Voraussetzung die Datenbank ist verschlüsselt und enthält die Passwörter nur als zufallsgesalzenen Hash, was Standard sein sollte), dann kann es dir reichlich egal sein, ob der Anbieter früh oder spät was mitbekommt.
Das was im Busch ist, dass merkst du dann dank der Versuchskaninchen mit schwachen (kurzen Zufalls)Passwörtern, weil während bei deinem noch der Brute läuft werden deren Accounts schon übernommen. Und spätestens dann werden Anbieter und Nutzer hellhörig.
Dazu kommt bald ein nettes kleines EU-Gesetz, dass Anbieter verpflichten wird die Nutzer zu informieren.
Wenn du dich allerdings auf eine Glückspielwebseite aus Togo registrieren musst, da braucht es keinen Hacker um deinen Account zu übernehmen.
ug´094it:Ä=I?o krepIrek=O Test1
Du unterschätzt ganz gewaltig die Algorythmen, die da heut am Werke sind und die Rechenpower, die für jedermann (dank Cloud) verfügbar ist. Deine Aussagen treffen nur auf veraltete Software(Hackertools) oder Hacker-Laien zu.
"aninummitnachvonzubeitrenneniedassvomtdennestutdenbeidenweh"
Das ist sogar fast die denkbar schlechteste Art von Passwort, denn es besteht aus einer Kette häufig benutzter Wörter. Nur Namen/Bezeichnungen/Dinge, Geburtsdatum, Orte usw. sind noch schlechter.
Nur die schiere Länge würde es evtl retten :-)
"Ist ein sichereres Passwort als
A9(UTi9ß (siehe unten)"
Prinzipiell nicht, warum auch? Aber es ist auf jeden Fall zu kurz, es ist gerade das absolute Minimum.
Von daher ist der beste Kompromiss ein Passwort wie zum Beispiel
1HundStadtFußpflegerennenDieb!
Einerseits ist es sehr lang, und daher durch Brute Force so gut wie nicht knackbar.
Zweitens kommen Zahlen, Groß-, Kleinbuchstaben und Sonderzeichen darin vor, was einen Brute Force Angriff nochmal schwieriger (ich würde sagen: unmöglich) macht.
Drittens stehen die Wörter in keinem direkten Zusammenhang, und durch die Ausrufezeichen am Ende wird man auch durch eine Wörterbuchattacke nicht zum Ergebnis kommen.
Viertens kennt der Angreifer in den seltensten Fällen die Länge des Passwortes, noch etwas über dessen genaue Beschaffenheit. Somit wäre Prinzipiell auch 2Bäume!!!!!!!!!!!!!!!!!!!!!!!!! ein sicheres Passwort; denn der Angreifer weiß nicht, dass die letzten x Zeichen immer nur Ausrufezeichen sind und muss daher alles ausprobieren.
Und, meiner Meinung nach dennoch sehr wichtig: Es lässt sich trotzdem viel leichter merken, als irgendwelche kryptischen Zeichen (z.B. mit einer kleinen Geschichte: "Als ich neulich mit meinem EINEN HUND durch die STADT ging, kam ich an der FUSSPFLEGE vorbei. Dort RANNTE mir ein DIEB entgegen!")
Warum man sich das ganze unnötig kompliziert machen sollte, frage ich mich auch immer wieder...
Hey, was ein Zufall. Das ist genau mein Passwort..das muss ich wohl mal ändern... :-p
"Von daher ist der beste Kompromiss ein Passwort wie zum Beispiel
1HundStadtFußpflegerennenDieb!"
Nein, das ist es tatsächlich nicht! Aber wie gesagt, die große Länge würde das Passwort wahrscheinlich "retten".
Es ist auch schlecht, die Anfangs- oder Endbuchstaben von berühmten Sprüchen /Zitaten/Liedern zu nehmen, oder Bibelstellen usw. Aber wie gesagt, für 0815-Hacker reichen lange Passwörter allermeist (noch) aus.
Normale Wörter, in Kombination mit Zahlen/Sonderzeichen am Anfang und am Ende, sind für die Algos kein Problem mehr. Und zwar deshalb, weil bekannt ist, daß die Leute sowas gerne machen. Es ist quasi ein Sport in der Szene, echte Passwort-Datenbanken zu knacken - und zwar deshalb, um zu erfahren, wie die Menschen ticken.
Selbst ein Passwort ohne echte Wörter ist nicht schwer zu knacken, da das menschliche Gehirn immer zu ähnlichen Kombinationen neigt. Da geht es dann um Wahrscheinlichkeiten u sowas, aber auch um unglaubliche Rechenkraft. Millionen und Milliarden Tests pro Sekunde sind machbar.
Edit: Ich habe mir vor ein paar Monaten mal eine Liste mit geknackten (und echten!) Passwörtern angeschaut, mit der Zeit, wie lange es bei jedem gebraucht hat. Da staunt man nicht schlecht - und Passwörter, die auch ich immer für sehr sicher hielt, sind da alle mit dabei gewesen!
Angenommen, ich wähle mir fünf beliebige Wörter aus dem Duden, und hänge diese hintereinander.
Der Duden enthält etwa 135.000 Wörter. Das ergibt 135.000^5 Möglichkeiten. Falls ich diese Wörter zufällig ausgewählt habe, ist die Wahrscheinlichkeit gleichverteilt, und keines wird bevorzugt.
Wenn ich nun also durch einen Algorithmus alle Möglichkeiten von Wortkombinationen von fünf Wörtern ausprobieren möchte (was der Angreifer ja eigentlich auch gar nicht genau weiß), und pro Sekunde eine Billion Möglichkeiten ausprobieren kann (was schon nicht mehr normal ist), so benötige ich dafür dennoch über eine Million Jahre.
Falls ich nun zwischen zufällige Wörter davon noch Sonderzeichen setze, so kann ich mit einem Vielfachen davon rechnen.
Es könnte höchstens sein, dass, falls ich zu kurze Wörter gewählt habe, ein Brute Force auf die Zeichen effektiver sein könnte. Dann wähle ich eben zehn (nicht zu kurze) Wörter, und schon habe ich auch dieses Problem nicht mehr.
Merken kann ich mir das ganze dennoch leichter.
Ich sage ja, die schiere Länge würde ein solches Passwort im Moment noch retten, wenn Du 5 Wörter nimmst und jedes etwa 5-8 Zeichen lang ist, ist das PW min 25 Zeichen, das reicht in jedem Fall!
Außerdem sagst Du ja auch selbst, daß die Wörter per Zufall ausgesucht sind. Ohne Zufall wird ein gutes Passwort schwierig. Mir wäre es ja auch lieber, wenn es einfach wäre, aber das ist es im speziellen Fall (Profi-Hacker) eben nicht.
An die GG Admins
Eure Software scheint nicht in der Lage die Pfeile darstellen zu können. Also die Dinger auf der Tastatur rechts neben der linken Shift Taste.
Alles was nach den Pfeilen kommt wird von der Software in einem Beitrag abgeschnitten.
Diesem Beitrag sollten ein Pfeil nach rechts und ein Pfeil nach links folgen.
>
<
Oder es sind die Pfeile im Zusammenhang mit einem Buchstaben
Erste, rechts und schrift, dann links und schrift.
Und fühlt euch frei Beiträge zu löschen ;).
>test1
Pfeil links direkt mit einem Zeichen dahinter führt dazu, dass der Pfeil und alle Zeichen nach dem Pfeil nicht mehr abgespeichert, übertragen oder was auch immer werden.
Fühle mich geehrt einen Bug gefunden zu haben.
Also ich sehe deine Pfeile.
Reine Spekulation: Wahrscheinlich wird versucht das als Htmltag auszuwerten.
Mein Test: 123
Ok alles was irgendwie wie ein Htmltag wird gnadenlos rausgeparst. Typisch für Drupal ;)