News Hijacking? Unbekannte plündern Diablo-3-Accounts

[DonConto]

Ach Leute, hängt euch doch nicht an den 8 Zeichen auf. Ich habe ein "mind." ergänzt.

Activison macht mit jedem verkauften Authenticator also Nasse? Ich dachte, es sei ein gewinnorientiertes Unternehmen, wie immer so gern behauptet wird. (Man schaue auch in den Thread bzgl. der Razzia in Korea)

Was hat die Razzia mit all dem zu tun? Glaubst du, du kannst einen Authenticator für weniger als 10 Euro einkaufen, verpacken und in den Handel bringen? Und wieso bieten sie den Mobile Authenticator umsonst an? Könnten sie doch auch für 10 Euro über iTunes verticken.

Vllt sollten sie sich erstmal drum kümmern, dass die Passwörter für das Battlenet auch case sensitive sind.

Nach Case Sensitiven Passwörten zu schreien ist quatsch. Nutzt die vorhandenen Möglichkeiten und gut ist. Wenn du das machst ist dein Passwort eh gegen BruteForce sicher. Es schützt dich aber nicht davor, wenn du es jemanden unfreiwillig verrätst. Denn Großbuchstaben können auch Chinesen eingeben.

Momentan seh ich ehr die Probleme auf seitens Activision.

Natürlich. Ist ja auch das einfachste die Schuld bei den anderen zu suchen.

Edit: Was macht ihr eigentlich alle mit Java? Entwickelt ihr alle? Ich hab den Kram noch nie (privat) gebraucht.

 

[::1]

gibt diverse programme/tools die java benötigen

 

[svenie25]

und was bringen casesensitive passwörter? so gut wie nichts!

Schon mal durchgerechnet, wieviele Möglichkeiten es mehr sind?

Natürlich. Es sind immer die anderen schuld. Immer!

Klar. Es gibt ja nur den Ober-Dau, der nicht sein System täglich neu aufsetzt, ständig Gold kauft, immer den neuesten Wallhack saugt, brav seine Logindaten nach jeder Emailaufforderung auf beliebigen Seiten eingibt, jedem der er kennt einfach seine Zugangsdaten gibt.

Nur Activision ist unfehlbar. Genau wie andere große Firmen, wie Sony und Co. sind sie vor Hackerangriffen absolut sicher.

 

[::1]

Schon mal durchgerechnet, wieviele Möglichkeiten es mehr sind?

durchlesen und verstehen
http://xkcd.com/936/

 

[Jesterfox]

Schöner Comic, blöd nur dass das dortige Passwort beim B.net nicht geht... nach dem was ich im Internet gefunden hab gehen dort maximal 16 Zeichen ;-)

 

[::1]

trotzdem sind 16 kleingeschriebene buchstaben als passwort sicherer als 8 stellen mit GROß- und kleinschreibung sowie !"§$%&/ und 123456

btw, ausm blizzard forum

Liebe Spielergemeinde, es ist mir mit großen Anstrengungen und nicht ganz ohne Verluste gelungen, die mehr als merkwürdigen derzeit stattfindenen Accountkompromittierungen zu entmystifizieren.

Konkret handelt es sich um einen sogenannten drive-by Download des Blackhole Exploit Kits, das sich Schwachstellen in Java, Flash und PDF zu Nutze macht. Die Dateien werden dynamisch, serverseitig mit sich abändernden Algorithmen generiert und schlagen deshalb bei Echtzeit-Antivirenscannern kaum an. Es darf bezweifelt werden, dass aktuelle Versionen von Flash Player, Adobe Reader und Java ausreichende Sicherheit bieten können.
Betroffen sind in erster Linie Benutzer des Internet Explorers und Firefox.

Verteilt wird das ganze über ingame Spambots, die mit verlockenden Angeboten im Diablo 3 Kontext versuchen Spieler auf präparierte Webseiten zu locken. Das Laden der Webseite ist bereits ausreichend um die Schadroutine auf den Rechner zu bekommen.

Selbst voll gepatchte Rechner können betroffen sein, Leute seid vorsichtig und besucht keine fragwürdigen Seiten die irgendwo gepostet werden, egal wie gut das Angebot auch klingen mag.

http://eu.battle.net/d3/de/forum/topic/4551588068?page=1

 

[hrafnagaldr]

Activison macht mit jedem verkauften Authenticator also Nasse? Ich dachte, es sei ein gewinnorientiertes Unternehmen, wie immer so gern behauptet wird. (Man schaue auch in den Thread bzgl. der Razzia in Korea)
Vllt sollten sie sich erstmal drum kümmern, dass die Passwörter für das Battlenet auch case sensitive sind.

Momentan seh ich ehr die Probleme auf seitens Activision.

Die Authenticator sind dazu da, den Supportaufwand und die Verärgerung beim Kunden gering zu halten, primär sind die nicht dazu da Geld zu verdienen. Man spart sich lediglich Geld beim Support. Dazu müssen aber auch zusätzliche RADIUS-Authentifizierungsserver betrieben werden (Hardware + Lizenzen). Die App muss natürlich auch programmiert werden. Und wie gesagt, der normale Einkaufspreis für so ein Token beträgt normal 20€ exkl. Mwst.

Bei Blizz bekommst das für 9,99€ frachtfrei. Wo da noch Gewinn sein soll (trotz sicher guter Einkaufspreise der Tokens).

nö... da jeder die 16 stellen nutzen KANN muss ich diese eh voll berechnen lassen... dass ich deine 8 stellen vor meinen 16 stellen knacke sollte jedem klar sein

Wenn ich trotz max. 16 Stellen weiß, dass ich bei Person x nur exakt acht berechnen muss, schmälert das den Bruteforce Rechenaufwand beträchtlich. Es sei denn ich hab da irgendwo einen Denkfehler versteckt.

 

[Cool Master]

So ich melde mich noch mal:

@morphium

Danke für den Post und wieder lag ich richtig: Der User ist schuld. Natürlich werden jetzt (fast) alle sagen ich war NIE auf so einer Seite....

 

[::1]

Wenn ich trotz max. 16 Stellen weiß, dass ich bei Person x nur exakt acht berechnen muss, schmälert das den Bruteforce Rechenaufwand beträchtlich. Es sei denn ich hab da irgendwo einen Denkfehler versteckt.

nein, da hast du recht... wenn ich aber weiß dass es 16 zeichen sind, dann muss ich eh 16 berechnen - weiß ich es nicht, sind und bleiben es weiter 16 stellen die berechnet werden müssen (bei blizzard)... das meinte ich damit

 

[Jesterfox]

Bei einem vernünftig programmierten System könnte man den vollen Unicode-Zeichensatz nehmen. Aber ich befürchte ja fast das Blizzard schon an Umlauten scheitern wird (habs noch nicht probiert)

Für mich als Programmierer stellt sich halt immer die Frage: wieso macht man sowas überhaupt? Solche komischen Einschränkungen klingen für mich immer nach Leuten die Angst vor SQL-Injections oder ähnliches haben weil sie keinen Plan vom Programmieren haben...

 

[Sturmwind80]

Die meisten Sonderzeichen sind ja auch nicht möglich oder wurde das mittlerweile erweitert?

- ging z.B. nicht.

 

[::1]

steht alles in den accounteinstellungen

• Ihr Passwort muss 8–16 Zeichen lang sein.
• Ihr Passwort darf nur Buchstaben (A–Z), Zahlen (0–9) und Interpunktion beinhalten.
• Ihr Passwort muss mindestens einen Buchstaben und eine Zahl enthalten.
• Sie können nicht Ihren Accountnamen als Passwort nutzen.
• Die Passwörter müssen übereinstimmen.

 

[wei3nicht_T]

• Die Passwörter müssen übereinstimmen.

Scheint für einige eine ziemlich große Hürde zu sein .. schon witzig was man alles erwähnen muss, damit der Zocker es schnallt.

 

[DonConto]

Schon mal durchgerechnet, wieviele Möglichkeiten es mehr sind?

Schonmal durchgerechnet wieviel Jahrtausende du (im theoretischen Mittel) brauchst um ein nicht casesensitives Passwort mit 8-16 Stellen, Interpunktion und Zahlen zu knacken? Kleiner Hinweis: Eine Tendenz findest du in meiner Fragestellung. Und jetzt möchtest du diesen Zeitraum um noch ein paar Jahre verlängern um genau was zu erreichen?

Wieso Blizzard keine case sensitiven Passwörter nutzt, darüber kann man prima diskutieren. Aber zu glauben, dass sich dadurch die Sicherheit merklich erhöht ist, sorry, schwachsinn. Nutzt die gegebenen Möglichkeiten und gut ist.

 

[Sturmwind80]

Dank Grafikkartenunterstützung geht das Knacken von Passwörtern allerdings bedeutend schneller.
Da schafft man mit normalen Systemen schon 1,5 Milliarden Versuche pro Sekunde.

 

[hrafnagaldr]

nein, da hast du recht... wenn ich aber weiß dass es 16 zeichen sind, dann muss ich eh 16 berechnen - weiß ich es nicht, sind und bleiben es weiter 16 stellen die berechnet werden müssen (bei blizzard)... das meinte ich damit

Achso alles klar

 

[DonConto]

Dank Grafikkartenunterstützung geht das Knacken von Passwörtern allerdings bedeutend schneller.
Da schafft man mit normalen Systemen schon 1,5 Milliarden Versuche pro Sekunde.

Wenn du das verschlüsselte Passwort hast...

 

[::1]

@sw80
und diese 1,5 milliarden versuche hämmern dann pro sekunde auf die eh schon überlasteten server?

 

[Konti]

DU bist nicht in der Lage deinen Account sicher zu halten. Dazu gehört nunmal das Ändern des Passworts in regelmässigen Abständen.

Ich bin sicher, dass die Angreifer von allen gehackten Accounts die Logindaten hatten.

Das halte ich nach all den Berichten, die davon sprechen, daß man aus dem Game geworfen und darauf hin die Session gekapert wird, doch eher für unwahrscheinlich.

 

[Doom Squirrel]

@morphium

Danke für den Link, nun kann man wieder aufatmen. Irgendwann schnallt es auch der letzte Hater und hat die Eier in der Hose es zuzugeben wieder mal auf "Gold in der Ferne" hereingefallen zu sein.