News Guild Wars 2: Hacker erraten mehr als 11.000 Zugangsdaten

[Xkeks]

Bin ich mir sogar ziemlich sicher. Das sind gerade mal 4 Wörter. Und Wörterbuch-Abgleich ist ziemlich üblich, wenn man bedenkt dass zum Beispiel die Passwörter des Sony-Hacks zu 2/3 eben durch Wörterbuch-Bruteforce-Attacken innerhalb von kürzester Zeit entschlüsselt hätten werden können ...

Ja nur 4 Wörter... ist aber, ums vereinfacht darzustellen ein Passwort mit 4 Stellen, wo pro Stelle mehrere Tausend Möglichkeiten vorhanden sind, wobei #0?nH:§ 7 Stellen hat mit 96 Möglichkeiten pro Stelle. Am besten nutzt man aber noch ein Wort mit deutschem Umlaut (ä,ö,ü,...)

 

[Point'n'Click]

Kommt der Spruch nicht aus ner Zeit, zu ders noch cool war eigene und fremde Kinder zu verprügeln (mit dem Spruch: das tut mir mehr weh als dir)?

Was musstest du nur als Kind erleben? o.0
Zur Veranschaulichung:
Elternteil: "Kind nicht auf die heiße Herdplatte greifen, dann verbrennst du dich." Kind greift auf die heiße Herdplatte -> Aua, Aua -> Lernprozess -> Kind wird vermutlich zukünftig nicht mehr auf heiße Herdplatte greifen. Alternativ kannst du natürlich 'Auf dem Randstein balancieren', 'im Gang rennen', 'schau wohin du läufst', ... einsetzen.
*und nein, natürlich legt kein Elternteil es darauf an, aber du kannst dein Kind auch nicht ständig kontrollieren, so muss es zwangsweise eigene Erfahrungen machen und auch mal auf die Fresse fallen, um daran zu wachsen.

 

[geislpxs]

Bin ich mir sogar ziemlich sicher. Das sind gerade mal 4 Wörter.

125k Wörter nur im deutschen Duden!
-> 2,5*10^20
->1000 guesses/s
/60/60/24/365
->8*10^9 Jahre.
Hab ich mich verechnet?

jetzt stell dir mal vor, Bruteforce würde alle möglichen Vierwortkombinationen der deutschen Sprache vor allem Anderen machen. Und dann mit Englisch und dann mit Französisch und dann mit Spanisch und dann mit Portugisisch, Türkisch, Chinesisch,.....
und dann alles wild durcheinander
Du bräuchtest gar kein Passwort mehr. Die sind Jahrhunderte, nein Jahrbillionen damit beschäftigt, Wörter zu kombinieren.

Ich glaub langsam, dass die, die von Wörterbüchern und einfach zu merkenden Passwörtern abraten, erheblich Dreck am Stecken haben. Wär ich Cyberkrimineller, ich würd den Leuten auch zu 8Zeichen Passwörtern mit möglichst vielen Sonderzeichen raten. Erstens können die sich davon nicht soviele merken und benutzen deshalb überall das Gleiche, zweitens fühlen die sich damit sicher und drittens sind die ruckzuck zu knacken (wobei ja das Umgehen noch viel beliebter zu sein scheint).

Zur Veranschaulichung:
Elternteil: "Kind nicht auf die heiße Herdplatte greifen, dann verbrennst du dich."

Hat sich vorher eher nach: "ich hoffe, du verbrennst dich so richtig, wenn du auf die Herdplatte fasst" angehört...

 

[r00t~]

Wenn ein PW erraten werden kann, dann ist es nicht sicher und der Nutzer fahrlässig. Punkt, Aus, Ende.

Ist doch nicht allzu schwer, sich ein PW auszudenken, das nicht im Wörterbuch steht. Und wenn es nur simples Leetspeak ist.

Sorry, aber der Titel hätte auch lauten können:
">11.000 GW-Nutzer waren nicht in der Lage, sich ein sicheres PW auszudenken."
oder ">11.000 GW-Nutzer haben waren nicht in der Lage, sich für ihren Acc ein neues PW auszudenken."
Bild lässt grüßen.

 

[geislpxs]

Wenn ein PW erraten werden kann, dann ist es nicht sicher und der Nutzer fahrlässig. Punkt, Aus, Ende.

Ist doch nicht allzu schwer, sich ein PW auszudenken, das nicht im Wörterbuch steht. Und wenn es nur simples Leetspeak ist.

Du liest nicht gerne, oder? 4Wörter klein geschrieben sind schon sicherer als leetspeak mit einem Zeichen weniger ...
Das mit den 125000 Wörtern alleine im deutschen Duden hast du gecheckt, oder?
Wenn man nur ein Wort daraus als Passwort nimmt, ist das klar bescheuert. Wenn du mehrere kombinierst, kannst du dir das a) merken ohne dich zu verschreiben und hast b) den maximalen Schutz, den dir ein Passwort bei Bruteforceattacken bieten kann.

Sorry, aber der Titel hätte auch lauten können:
">11.000 GW-Nutzer waren nicht in der Lage, sich ein sicheres PW auszudenken."

Du liest wirklich nicht gerne. Nicht die PW sind gehackt / geknackt worden, sondern wohl eine Fanseite, auf der die (zugegebenermaßen äußerst arglosen) Betroffenen registriert waren. Ich hoffe, du nutzt Email und PW exklusiv für ComputerBase. hast eh ne eigene Adresse mit zugehörigem Leetspeakpasswort für jeden einzelnen Sevice, den du nutzt, oder? *gg*

 

[r00t~]

@geislpxs

den maximalen Schutz, den dir ein Passwort bei Bruteforceattacken bieten kann.

Maximaler Schutz wäre mMn ein PW, das dieselbe Zahl Zeichen aufweist wie deine vorgeschlagene Kombination, sich dabei aber nicht nur aus Wörtern eines Wörterbuches zusammensetzt. Ich benutze selber nur selten (d.h. in unwichtigen Fällen wie Windows-Login) ein PW, dass auf einem einzigen Wort aufbaut. Meistens zwei oder mehrere, ergänzt um Sonderzeichen und durchsetzt mit Zahlen nach dem Leetspeak-Muster (leichter zu merken als wahllose Zahlen). Zu Not gibt es auch Papier und Stift! Es geht hier schließlich um einen Spiele-Acc, dessen Sicherheit einem ernsthaftem GW-Spieler an erster Stelle stehen sollte. Ich habe nie gesagt, dass Leetspeak und Co. sicherer wären als deine Methoden, kann aber nicht nachvollziehen, dass du so beleidigt reagierst. Ich lese sehr gerne, nur ging es mir nie um Passwortsicherheit im Allgemeinen oder worum sich dein voriger Post auch immer dreht, sondern um die Aussage der News und der altbekannten Tatsache, dass viele Nutzer Wörter aus Wörterbüchern nutzen.

Nicht die PW sind gehackt / geknackt worden, sondern wohl eine Fanseite, auf der die (zugegebenermaßen äußerst arglosen) Betroffenen registriert waren.

Das ist mir klar. An dieser Stelle liest dann wohl du nicht gerne, denn ich bezog mich auf den Titel, der da lautet: "Guild Wars 2: Hacker erraten mehr als 11.000 Zugangsdaten"

Ich hoffe, du nutzt Email und PW exklusiv für ComputerBase. hast eh ne eigene Adresse mit zugehörigem Leetspeakpasswort für jeden einzelnen Sevice, den du nutzt, oder?

Ich nutze mehrere Mails und verschiedene PWs, die sich ähneln, aber dennoch nicht voneinander abgeleitet werden können. Und nein, ich benutze keine Exklusiv-Mail für CB, da die Sicherheit meines CB-Accs nur gering am Herzen liegt. Wenn er "gehackt" würde, es würde für mich geringsten Schaden bedeuten. Bei GW nutze ich eine andere Mail, du "checkst" hoffentlich, dass dieser Acc hoher Sicherheit bedarf.

Made my day

 

[Xkeks]

Wenn ein PW erraten werden kann, dann ist es nicht sicher und der Nutzer fahrlässig. Punkt, Aus, Ende.

Ist doch nicht allzu schwer, sich ein PW auszudenken, das nicht im Wörterbuch steht. Und wenn es nur simples Leetspeak ist.

Leetspeak bringt dir einen deutlich kleineren Schutz als ein zusätzliches Wort, da B33r genauso in den Listen steht wie Beer . Theoretisch ist übrigens jedes Passwort erratbar, nur die Wahrscheinlichkeit der nötigen Versuche unterscheidet sich und da hat "DerMüllerträgteinSackMehl" die besseren Karten als "§4dfT&a/h".

 

[geislpxs]

Maximaler Schutz wäre mMn ein PW, das dieselbe Zahl Zeichen aufweist wie deine vorgeschlagene Kombination, sich dabei aber nicht nur aus Wörtern eines Wörterbuches zusammensetzt.

Ich will dir nicht widersprechen, dass das nicht noch länger dauern würde. Aber die Wörterbuchwörter sind bei ausreichender Anzahl mit aktueller Hardware und aktuellen Bruteforcemethoden wohl nicht knackbar, solange es den Planeten, auf dem wir uns hier befinden, noch gibt. Warum sicherer? Nicht das Passwort ist das Sicherheitsproblem, sondern der Ort, an dem es gespeichert wurde.

Ich benutze selber nur selten (d.h. in unwichtigen Fällen wie Windows-Login) ein PW, dass auf einem einzigen Wort aufbaut. Meistens zwei oder mehrere, ergänzt um Sonderzeichen und durchsetzt mit Zahlen nach dem Leetspeak-Muster (leichter zu merken als wahllose Zahlen).

leichter zu merken als 4 Wörter aus dem Wörterbuch?
IchmaggrüneKekse (da ist sogar ein Verb drin. Wird das bei der Attacke durchkonjugiert?)

Zu Not gibt es auch Papier und Stift! Es geht hier schließlich um einen Spiele-Acc, dessen Sicherheit einem ernsthaftem GW-Spieler an erster Stelle stehen sollte.

Das ist ne ganz berühmte Sicherheitslücke. Ganze Filme drehen sich darum. Da bringt dir die Passwortkarte mehr Sicherheit

dass du so beleidigt reagierst.

Beleidigt bin ich keinesfalls. Nur genervt, dass hier schon wieder der nächste kommt und das 0815 ComputerBILD/C't/Denkdirwasaus Passwortgefasel mit Sonderzeichen etc. predigt.

Aussage der News [...] Titel, der da lautet: "Guild Wars 2: Hacker erraten mehr als 11.000 Zugangsdaten"

Da hab ich jetzt selber den Überblick verloren, aber für mich war das Thema eher: Hacker knacken Fanportal, ergattern email+passwörter und testen die bei GW2.
So wie ich das verstanden habe (hab das allerdings nicht nur hier gelesen), haben die keine Passwörter erraten, sondern einfach alle ergatterten accounts mit zugehörigem Passwort getestet.

Und nein, ich benutze keine Exklusiv-Mail für CB, da die Sicherheit meines CB-Accs nur gering am Herzen liegt. Wenn er "gehackt" würde, es würde für mich geringsten Schaden bedeuten.

Jetzt stell dir mal vor, du würdest bei Amazon die selben Daten nutzen, wie hier. Computerbase wird gehackt, die kriegen deine Emailadresse+Passwort, testen das bei Amazon und kaufen ein. Da hat auch niemand dein Passwort gehackt.
edit: die testen dann nicht nur deinen Account bei Amazon, sondern jeden hier Registrierten. (wobei die Verbindung ComputerBase <-> Amazon mal wesentlich weniger deutlich als zwischen einem Fanportal und GW2 ist!).
Auf irgendeiner Newsseite steht dann: Amazon: Hacker erraten mehr als xx.xxx Zugangsdaten
witzig, oder?

 

[r00t~]

@geislpxs

Korrigiere mich, wenn ich dich falsch verstehe:
Du postulierst die Kombination von Wörtern aus dem Wörterbuch zur Schaffung leicht zu merkender PWs mit erheblich höherer Länge als kurze PWs mit Sonderzeichen.

In dem Falle stimme ich dir gerne zu, dass bspw. 52^20 >> 128^10.
Die PW-Länge zu erhöhen bringt ab einer geringen PW-Länge einen größeren Vorteil als die Erhöhung der Zeichenauswahl.

Um das Ganze abzukürzen:
Eine Kombination aus Wörtern (bspw. in Form eines Satzes) steht nicht im Wörterbuch.
Mit meinem ursprünglichen Post habe ich lediglich Kritik an all jenen geübt, die aus welchen Gründen auch immer
PWs aus dem Wörterbuch nehmen.

Wenn die PWs von einer Drittseite stammen, heißt das, dass die Nutzer ihre Daten freiwillig preisgaben oder einfach dieselben Daten ohne weiters Nachdenken verwendeten.
Dazu muss man nichts mehr sagen

Die Nutzung von Sonderzeichen habe ich nicht einem Artikel, sondern meinem gesunden Menschenverstand entnommen.
Ab einer bestimmten Zahl möglicher PWs ist Bruteforce schnell sinnlos, besonders bei online-Attacken
(Bandbreite, Sicherheitsmechanismen der Server). Ob das jetzt ein PW mit 10 Zeichen aus 52 oder 20 aus 128 ist da mehr oder weniger egal,
solange das Ganze nicht im Wörterbuch steht.

Dass ich für Amazon ein anderes PW nutze sollte klar sein.

Irgendwie bin ich bei meinem ersten Post vom Thema abgekommen, als ich im Titel "erraten" las.
Dass die nicht 11.000 PWs selbst erraten können, hätte mir auffallen müssen. Dann würden wir diese Diskussion hier nicht führen.

 

[vander]

...
Ist wie mit dem Kondom. Das schützt vor Schwangerschaften (auch nur zu 99,...%) und diversen Krankheiten (auch nur .. 99,...%) und kostet dabei erheblich Komfort. Wenn man aufpasst, mit wem man ins Bett steigt, hat man trotzdem 99,...% Schutz vor Schwangerschaften, 99,...% Schutz vor Krankheiten und vollen Komfort :x
...

Geiles Beispiel, auch wenn es IMHO absoluter BLödsinn ist

Das wurde eher klingen wie von Gulli geklaut
...

Sorry falls ich unbewußt eine ähnliche Formulierung wie auf Gulli konstruiert haben sollte. Weder arbeite ich für die, noch hab ich da abgeschrieben , aber danke für den Hinweis, werd mal in deren News Sektion gucken.

..., so muss es zwangsweise eigene Erfahrungen machen und auch mal auf die Fresse fallen, um daran zu wachsen.

Die angesprochenen Kindheitsprobleme sind ziemlich trivial verglichen mit dem sehr komplexen Problem "Richtiges Verhalten im Netz". Eure Beispiele sind daher untauglich.

 

[Creeed]

Ist wie mit dem Kondom. Das schützt vor Schwangerschaften (auch nur zu 99,...%) und diversen Krankheiten (auch nur .. 99,...%) und kostet dabei erheblich Komfort. Wenn man aufpasst, mit wem man ins Bett steigt, hat man trotzdem 99,...% Schutz vor Schwangerschaften, 99,...% Schutz vor Krankheiten und vollen Komfort :x

Erinnert mich an die Frage "Welche Zeitform ist das"

Der Igel hätte nie in der Kondomfabrik sein dürfen.

Lösung

Spoiler

Präservativ defekt

So aber jetzt mal im Ernst, wichtig ist die Länge. Nicht was ihr wieder denkt...
Ein langes Passwort schützt ja wohl eher als ein kurzes. Egal ob eine Wörterbuchattacke benutzt wird oder nicht. Die Standardpassworte wie Gott, Sex, 12345, etc. werden natürlich zuerst abgefragt. Aber dann muss in der Regel die Brechstange ran und dagegen sind die meisten Systeme ausreichend gesichert.

 

[geislpxs]

dass bspw. 52^20 >> 128^10.

Woher soll Bruteforce wissen, dass du nur 52 Zeichen nutzt? Weiß es nicht! 128^20

 

[Topdog]

Oh man, wenn ich mir einige Kommentare durchlese, kann ich nur noch mit dem Kopf schütteln.

Die ganzen "pros" und "Auskenner" haben wohl vergessen, dass es auch Leute gibt die keine Ahnung von IT haben. Es gibt Menschen die wollen nach einem Arbeitstag einfach abends mal eine Runde spielen. Die haben keinen Bock sich für jeden Account, jedes Postfach, jeden scheiss Forum und sonstigen anderen digitalen Müll sich ein eigenes Passwort zu merken, geschweige denn für jedes eine andere E-Mail zu benutzen. Das müssen sie im Alltag und auf der Arbeit schon zu hauf, sich 10 bis 20 verschiedene PINS und Passwörter merken.

Es gibt einfach ganz normale Menschen die einfach nur ab und zu mal Konsumieren möchten ohne sich eine Platte um allen möglichen Mist zu machen. Wer das nicht versteht, ist der wahre Idiot!

 

[sanni74]

GW2 ist und bleibt (trotz noch manch Baustelle) ein wirklich gutes Spiel.
Das man für seinen Account zum Einloggen nen halbwegs sicheres Passwort verwenden sollte, liegt nicht nur klar auf der Hand sondern es wurde Seitens A-Net auch mehrfach ausdrücklich darauf hingewiesen. Wenn der Account gehackt wird, weil´s Passwort zu unsicher war (oder bspw. die Zugangsdaten in mehreren Spielen, Foren etc. die selben waren), ist schlicht und einfach derjenige dafür verantwortlich, der sich das so angelegt hat.

Bei übrigens allein über 1 Million VORVERKÄUFEN (zu Vorbestellungen und zur heutigen Accountzahl liegen mir keine Daten vor, aber das wird wohl eine Vielzahl dessen sein) empfinde ich 11000 GW2 Spieler, die nicht in der Lage waren, über ein sicheres Passwort mal nachzudenken echt nicht der Rede wert. Daraus lernen, und es das nächste Mal besser machen.


@Topdog: Ev. einfach nochmal drüber nachdenken

 

[hurga_gonzales]

Ich verstehe irgendwie nicht, warum ArenaNet für die Blödheit der Spieler verantwortlich gemacht wird? Eher würde den Spielern mal eine Verwarnung erteilen, die für alles und jedes die gleiche E-Mail/Passwort Kombination verwenden und sich dann wundern, wenn ihre Daten futsch sind.

Sowas von dämlich....*kopfschüttel*.

Man muss keine "Ahnung" von IT haben, um zu erraten, dass die Daten, die man bei der Registrierung auf Webseiten vom Betreiber, meist auch von Dritten, ohne Probleme und unverschlüsselt ausgelesen und gespeichert werden können.

Ergänzung (10. September 2012)

solltet mal die die Kirche im Dorf lassen

Die Firma ist unfähig sowie bei Bioware der Support ist das letzte

Es ist doch nix neues das Hacker aus China Bots auspacken und versuchen an ACC ran zu kommen das Hätte Nsoft wissen müssen

das ist bei WoW und Diablo 3 Standard das versucht wird anhand der Email Adressen mit
Pishing mails bombardiert wird.

Teilweise sehr echt man erkennt es am header und an den Absender.

Man kann den Spielern keine schuld geben das ist ein Problem der Unternehmen

deswegen sollen die ihr Spiel sonnst wo hin Stecken wenn ich Opfer wäre würde ich den Dreck beim Händler Reklamieren ist ja nicht nur das Problem.

Man kam ja nicht mal auf die Server usw....

Nix kapiert, setzen, sechs.

 

[GuyIncognito]

Ich verstehe irgendwie nicht, warum ArenaNet für die Blödheit der Spieler verantwortlich gemacht wird? Eher würde den Spielern mal eine Verwarnung erteilen, die für alles und jedes die gleiche E-Mail/Passwort Kombination verwenden und sich dann wundern, wenn ihre Daten futsch sind.

Für viele ist das Internet halt immer noch eine schwarze Box, wo was reingeht und was anderes rauskommt. Die Tragweite einer immer gleichen Nutzer/Kennwort-Kombination ist vielen nicht so wirklich klar.

 

[vander]

Für viele ist das Internet halt immer noch eine schwarze Box, ...

Zuviel IT-Crowd geguckt oder was

 

[Vakuum Maximum]

Ist euch schon aufgefallen, dass zumindest gestern die Email Authentifizierung nicht gegriffen hat. Hab mir 3 mal ne neue IP zuweisen lassen und konnte mich problemlos anmelden.
Oder überprüft ANet nur die ersten 3 Oktette? Oder nur den Ort?

 

[GuyIncognito]

Die Emailauthentifizierung greift anscheinend nur, wenn sich die Adresse maßgeblich ändert. Wenn du eine neue Adresse aus deiner üblichen Adressenrange bekommst, scheint es dem System nichts auszumachen.

Ich bekomme zumindest im Büro immer sofort eine Authentifizierungsmail wenn ich mich in die Accountverwaltung einlogge, weil wir hier Adressen aus einem ganz anderen Block haben.

Wie allerdings genau bestimmt wird, ob eine neue Adresse im selben Netz ist, wie eine bereits authentifizierte, ist mir nicht bekannt.

 

[Vakuum Maximum]

Warum erzeugen sie nicht wie der Steam Guard Prüfsummen aus verbauter Hard und Software.
Wäre doch viel einfacher zu handhaben und zudem sicherer.