[Daepilin]

Bevor ich alle Passwörter auf einen kritischen Punkt fixiere, bleibe ich lieber bei meiner Satzbautechnik. Pro Seite einen Satz, dessen Anfangsbuchstaben das Passwort ergeben. Und für unwichtige Seiten immer dasselbe Standardpasswort.

mit entsprechend sicherer passphrase für die verschlüsselte Datei ist das schon sehr sicher. Meine hat 112Bit Entropie bei 24 Zeichen, das zu Bruteforcen dauert ewig, und es gibt viele leute die noch deutlich komplexere verwenden. Dazu gibt man das passwort nirgends ein, ist also gut geschützt gegen phisingversuche.
Und da man allgemein kaumnoch passwörter von hand eintippt ist man auch besser gegen keylogger gewappnet, wobei die natürlich das KeePass Passwort abfangen könnten.

Und zumindest bei mir habe ich gemerkt, dass ich seitdem deutlich weniger faul bin bei einer seite ein gutes, einmaliges passwort zu nehmen, weil ich mir eben nicht alle merken oder aufschreiben muss.

Dazu ist die software open source, wenn da also was drinstecken würde wäre es längst bekannt.

So hat mich das passwort ändern (hier) grade keine 2 minuten gekostet und es ist für mich erledigt. Sonst müsste ich mir jetzt n neues passwort ausdenken und dann auchnoch merken, was schon nicht ganz so trivial ist.

Nicht zufallspasswörter nutze ich nurnoch an ganz wenigen stellen wo ich auf jeden Fall zugriff brauche, z.B. um vergessene passwörter wiederherzustellen, falls ich die db ausversehen lösche, oder wegen etwas anderem nicht rankomme. (aka e-mail provider und meine dropbox)

[GT-Schorsch]

Dazu ist die software open source, wenn da also was drinstecken würde wäre es längst bekannt.

*hust*

Es ist nur ein komischer Zufall, dass die seit Jahren existierende Hintertür in OpenSSL nicht funktionsfähig war. Hingegen ist es kein Zufall, dass der Pseudo-Zufallszahlen-Generator praktisch nicht verwendet wurde. Gott sei Dank, will man meinen.

[Rhaglion]

*hust*

Es ist nur ein komischer Zufall, dass die seit Jahren existierende Hintertür in OpenSSL nicht funktionsfähig war. Hingegen ist es kein Zufall, dass der Pseudo-Zufallszahlen-Generator praktisch nicht verwendet wurde. Gott sei Dank, will man meinen.

Naja in dem Fall war bekannt das der Zufall evtl. nicht so zufällig ist wie er sein sollte und deshalb wurde das auch nicht genutzt. Also kein Glück sondern Ahnung.

[Thoronador]

Kurze Information, da ich dazu zuvor noch nichts gesagt hatte:

Ich weiß wo die Sicherheitslücke ist, und diese ist IMMERNOCH vorhanden sowie alle Passwörter der Admins und die Datenbank liegt auch Blank und somit alle Userdaten.

Die Sicherheitslücke ist inzwischen natürlich geschlossen.

Zugriff bestand aufgrund der Sicherheitslücke auch nur auf die Datenbank von World of Risen (kurz: WoR), das Forum war davon zu keiner Zeit betroffen, da dieses einen anderen Server und eine andere Datenbank nutzt. (Wer bei WoR keinen Account hat, kann hier im Prinzip schon mit dem Lesen aufhören.) Durch die Sicherheitslücke bestand auch die Möglichkeit, auf Userdaten von WoR zuzugreifen, allerdings liegen die Passwörter der WoR-Nutzer natürlich nicht "blank", da diese verschlüsselt in der Datenbank von World of Risen eingetragen sind. Die benutzte Verschlüsselung (MD5 + Salt) gilt im Allgemeinen als sicher, sodass es unwahrscheinlich ist, dass jemand die Passwörter entschlüsseln kann. Völlig ausschließen kann man es aber nicht, mit genug Zeit und Rechenpower könnte man die Passwörter herausfinden. Daher ist es angeraten, dass Nutzer auf WoR ihr Passwort ändern. Sollte jemand außerdem so unvorsichtig gewesen sein und bei WoR das gleiche Passwort wie auf anderen Seiten zu nutzen (z.B. hier im Forum), empfehle ich dort sicherheitshalber auch eine Passwortänderung. Außerdem ist's eine schlechte Idee^TM, auf mehreren Seiten das gleiche Passwort zu nutzen. Vermeidet das bitte in eurem eigenen Interesse, nicht nur hier sondern auch ganz allgemein an anderen Stellen, wo ihr ein Passwort benutzt.

[Blue Force]

was bringt eigentlich ein Account bei World of Risen an zusätzlichen Möglichkeiten, ich kann ja mit meinem WoP-Account schon auf Foren, Downloads und alles mögliche zugreifen.

[Milgo]

Du kannst Kommentare für News schreiben und wahrscheinlich auch News einschicken. Und Mitarbeiter an der Webseite brauchen sowas auch.

[Kylex]

Bevor man sich als User hier aber zu Mutmaßungen und Theorien hinreißen lässt, sollte man lieber mal abwarten.

lustig - das problem wird seit mind. 2 tagen für angriffe ausgenutzt, wie lange soll man denn da bitte "abwarten"?

angeblich wurde die sicherheitslücke geschlossen (#18), DANACH wurde die seite aber nochmals "gehackt" (#19)
auf grund von post #44 erscheint mir sql-injection als wahrscheinlichste angriffsmethode
dass solche lücken hier und heute noch in relevant eingesetzter software bestehen, bestätigt meine vermutungen über die qualität - vor allem, wenn ein solcher angriffsvektor offenbar 2 mal geschlossen werden musste, weil man beim ersten mal nicht gründlich genug war

eine erklärung seitens von WoP gibt es nur nach erheblichem druck und das auch noch fachlich eher fragwürdig

unterdessen gibt eine unzahl von nutzern lieber eine in zahl und art illustre sammlung von passwortempfehlungen ab, an der sich der erklärende admin auch noch beteiligt, was einfach in diesem context ziemlich unpassend ist, da bei sowas nie der eindruck entstehen sollte, einen teil der verwantwortung an eventuell zu schaden kommende nutzer abgeben zu wollen

[meditate]

@ kylex, die aussage ist falsch. wir haben die seite sofort vom netz genommen und damit konnte in der zeit keiner angreifen. als die seite mit einem backup wieder online ging, war kurzzeitig die sicherheitslücke wieder da. und dass wir so was nicht in 10 minuten erledigen ist ja wohl klar.

wir arbeiten alle und betreiben das forum und die seiten in unserer Freizeit. und dass unsere systeme gut und sicher funktionieren, zeigt ja wohl, dass so was bei uns zum ersten mal passiert ist. aber wir sind nun mal nicht rund um die uhr präsent. das solltest du bei aller kritik berücksichtigen.

wir sind ein netzwerk für spiele und bei uns geht es weder um geld noch sonst welche extrem wichtigen sachen. bei uns gibts keine kontodaten und auch keine gelder abzugreifen. also nehmt es doch einfach etwas gelassener.

und welche erklärung erwartest du, außer dass wir gehackt wurden und das problem in arbeit war? die information kam umgehend. und als alles wieder lief, kam auch eine information, sogar zur art und methode.

ansonsten verweise ich auf die erklärung von don-esteban auf der seite. immerhin war das ganze kein problem des forums sondern einer netzwerkseite

[Gorn12]

Waren bestimmt die Inder uns chinesen Sie gelten ja komplett alsHacker weil es viele milionen von innen gibt die mit den pc sehr gut klar kommen

[Thoronador]

angeblich wurde die sicherheitslücke geschlossen (#18), DANACH wurde die seite aber nochmals "gehackt" (#19)

Die Sicherheitslücke war zu dem Zeitpunkt entgegen der dortigen Aussage noch nicht geschlossen. Klar, dass die dann noch ausgenutzt werden konnte. medis Aussage kam vermutlich deshalb zustande, weil sie wusste, dass zu dem Zeitpunkt hinter den Kulissen gearbeitet wurde und die ausgenutzte Lücke schon eingekreist war.

Und bevor jetzt die Frage "Warum war die Lücke noch nicht geschlossen?" kommt:
Wir sind hier kein technischer Dienstleister, der 24 Stunden am Tag, sieben Tage die Woche sofort zur Stelle sein muss, wenn's irgendwo Schwierigkeiten gibt. Unsere Techniker haben nebenbei auch noch eine Arbeit, der sie tagsüber nachgehen. Für das Forum ist also "nur" in der Freizeit Zeit übrig, und die ist manchmal sehr knapp bemessen. Wenn dir das zu langsam ist, kannst du ja mal versuchen, das Geld aufzubringen, was man bräuchte, um rund um die Uhr einen Techniker zu bezahlen, und uns das dann zukommen lassen.

auf grund von post #44 erscheint mir sql-injection als wahrscheinlichste angriffsmethode
[...]
eine erklärung seitens von WoP gibt es nur nach erheblichem druck und das auch noch fachlich eher fragwürdig

Es war eine SQL-Injection, ja. Wo die obige Erklärung aber "fachlich eher fragwürdig" sein soll, kann ich nicht erkennen. Dass wir hier nicht öffentlich bis ins kleinste Detail ausbreiten, über welchen Weg der Angriff auf World of Risen erfolgt ist, sollte eigentlich selbstverständlich sein. Außerdem nutzen die Informationen hier auch nicht wirklich - es sei denn, man arbeitet am Server an der Behebung des Problems. Auch den angeblichen Druck kann ich nicht finden, wenn ich mir den Thread ansehe. Bei mir entsteht eher der Eindruck, dass du dir hier ein klein wenig mehr zusammenreimst als in den Beiträgen drin steht. Die Tatsache, dass erst im späteren Verlauf ein paar genauere Informationen genannt wurden, lag einerseits daran, dass man sich erstmal einen Überblick über den angerichteten Schaden verschaffen wollte und die technischen Arbeiten zur Behebung der Sicherheitslücke und der Auswirkungen des Angriffs bei den technischen Verantwortlichen wichtiger waren als hier eiligst irgendwas zu verkünden, nur damit hier möglichst früh irgendeine Information kommt. Ich denke, die Motivation kann (fast) jeder verstehen. Hinzu kommt die oben genannte Sache mit der Freizeit.

dass solche lücken hier und heute noch in relevant eingesetzter software bestehen, bestätigt meine vermutungen über die qualität

Vermutungen ist hier das Stichwort, denn stichhaltige Begründungen sehe ich in deinem Beitrag nicht. Ja, es gab eine Sicherheitslücke, und diese wurde inzwischen behoben. Ist das etwa Kriterium, was es dir erlaubt, gleich mal pauschal über die Qualität zu urteilen? Eigentlich solltest du es doch besser wissen, denn ich schätze dich zumindest als jemanden ein, der auch etwas Ahnung im Bereich Webseitenentwicklung hat. Bei Software, die nicht völlig trivial ist, sondern eine gewisse Komplexität hat, lässt sich nicht ausschließen, dass da auch Fehler und/oder Sicherheitslücken drin sind. Das gilt unter anderem auch (aber nicht nur) für jedes CMS. Wenn man sich die Changelogs gängiger Content Management Systeme ansieht, da tauchen dort mit schöner Regelmäßigkeit Einträge zu Sicherheitslücken auf. Sind die deswegen alle schlecht?
Egal wie deine Antwort auf die Frage ausfällt, kann ich dich beruhigen: Die Lücke war nicht im eigentlichen CMS, sondern in nachträglich vom Webseitenteam hinzugefügten Scripten, sodass auf anderen Seiten des World of Players-Netzwerks mit gleichem CMS dieser Angriffsweg gar nicht existiert.

[Multithread]

Durch die Sicherheitslücke bestand auch die Möglichkeit, auf Userdaten von WoR zuzugreifen, allerdings liegen die Passwörter der WoR-Nutzer natürlich nicht "blank", da diese verschlüsselt in der Datenbank von World of Risen eingetragen sind. Die benutzte Verschlüsselung (MD5 + Salt) gilt im Allgemeinen als sicher, sodass es unwahrscheinlich ist, dass jemand die Passwörter entschlüsseln kann. Völlig ausschließen kann man es aber nicht, mit genug Zeit und Rechenpower könnte man die Passwörter herausfinden.

Ist leider nur ne Sache von Minuten einen MD5 Hash zu knacken.
Zumindest mit der Richtigen Software und mit GPU's vom schlage mehrere GK110/Tahiti/Hawaii.

Link

Selbst mein Gaming/Home PC-System packt mit dieser Softwarekombination gute 30 Milliarden MD5 Hashes/Sekunde (rein Rechnerisch aufgrund der angaben aus dem Link, habs bisher nicht getestet).

[Lehona]

Ist leider nur ne Sache von Minuten einen MD5 Hash zu knacken.
Zumindest mit der Richtigen Software und mit GPU's vom schlage mehrere GK110/Tahiti/Hawaii.

Link

Selbst mein Gaming/Home PC-System packt mit dieser Softwarekombination gute 30 Milliarden MD5 Hashes/Sekunde (rein Rechnerisch aufgrund der angaben aus dem Link, habs bisher nicht getestet).

Bin kein Profi in dem Gebiet, aber der Artikel erscheint mir widersprüchlich, denn wenn der genannte Cluster 348*10⁹ NTLM/s schafft und dann ein achtstelliges Passwort in ungefähr 6 Stunden knackt, warum schafft man dann mit 20*10⁹ LM/s ein 14-stelliges Passwort in 6 Minuten?
Oder hat NTLM einfach weniger Kollisionen?


Außerdem wird der Salt hier im Forum sicherlich auch nicht nur aus 2 Buchstaben bestehen, da wird ein vernünftiges Passwort schon an die 20 Stellen haben (Annahme: Der Salt ist nicht bekannt) und dementsprechend wohl auch nicht in 10 Minuten zu knacken sein (bis der statische Salt dann bekannt ist ).

[Ranayna]

Das Salt wird bekannt sein, denn das steht in der Datenbank. Muss es ja auch, denn es wird ja gebraucht um das eingegebene Passwort mit diesem zusammen zu hashen, damit man den Vergleich mit dem Hash in der Datenbank machen kann.
Ein Salt wird oft als ein Wundermittel hervorgehoben, aber er schützt (richtig angewendet) nur gegen eins:
Wenn man eine ungesalzene Hash Liste hat, haben zwei Benutzer die das gleiche Passwort verwenden auch den gleichen Hash. Man sucht sich also den Hash aus der am häufigsten vorkommt, und hat gleich einen grossen Anteil der Accounts geknackt. Wenn dann noch ein als geknackt geltener Hash, wie zB MD5, mit gar nur einem Durchlauf genommen wird, muss man garnicht mehr gross selber ran: den Hash aus der Datenbank einfach bei Google eingeben und oft hat man direkt das Passwort. Es gibt viele online verfügbare Hashlisten. Aber auch dann ist erstmal nur der WoR Account geknackt.
Richtig übel wird es, wenn die betroffenen Benutzer die gleiche Username/Passwort Kombination auf mehreren Seiten, oder gar auf dem E-Mail Account verwenden. Und genau dieser Punkt kommt leider zu oft vor. Spätestens wenns den E-Mail Account erwischt ist die digitale Identität in höchster Gefahr, denn an der Sicherheit des E-Mail Accounts hängt die Sicherheit aller Accounts die diese E-Mail als aktive benutzen und keine Zwei-Faktor Authentifizierung benutzen. Der Hacker kann sich dann nämlich simpel über die Passwort reset Funktion die Accounts kapern.
Bei einer gesalzenen Passwortliste muss man jedes Passwort einzeln knacken, ob der Salt bekannt ist ist dann relativ irrelevant. Das erhöht den Aufwand natürlich erheblich, und senkt das Risiko einzelner User, aber wie oben geschrieben, auch ein solcher Hash ist, wenn eine unsichere Hashfunktion benutzt wurde, schnell geknackt.

Daraus folgend gilt vorallem eins:
Wer auf anderen Seiten die gleiche Username/Passwort Kombo verwendet wie auf der World of Risen, sollte diese Passwörter dringend ändern!
Und nicht wieder alle auf das gleiche
Zudem sollte natürlich auf WoR, wenn man dazu nicht eh gezwungen wird, sein Passwort sofort ändern wenn die Seite wieder online ist.


Gruß,

Ranayna

[Lehona]

Aber wenn zusätzlich zum dynamischen Salt auch noch ein statischer Salt hinzugefügt wird, muss der doch dem Angreifer nicht zwangsläufig bekannt sein - er hat ja vermutlich zwar Zugriff auf die Datenbank, aber nicht zwangsläufig auf den PHP-Code, oder? (Sowas sollte man vermutlich nicht hardcoden, aber in diesem Fall hätte es geholfen?)

[Ranayna]

Das Schema heist dann Salt and Pepper glaube ich.
Einen statischen Salt bekommt man bei einem schwachen Hash auch raus, indem man einfach selber einen Account anlegt, dessen Passwort man dann ja kennt. Sobald man den Pepper hat gibt es effektiv keinen Unterschied mehr zum Salt alleine.
All das steht und fällt mit dem Hash, nicht umsonst gibt es soviele kryptografische Hashfunktionen. Neue waren nötig nachdem die älteren als geknackt galten. Indem man das Passwort dann auch noch viele male hintereinander hasht, erhöht man den benötigten Aufwand nocheinmal deutlich.

[mainclain]

und wie soll ich raus bekommen, welcher von den 1000. Kollisionen des mehrfach gehashten Passwords nun das richtige ist und welcher Teil davon wiederrum der statische Hash ist?

[Lookbehind]

und wie soll ich raus bekommen, welcher von den 1000. Kollisionen des mehrfach gehashten Passwords nun das richtige ist und welcher Teil davon wiederrum der statische Hash ist?

Einfach mal versuchen mit dem Ergebnis ein zu loggen is so mit die simpelste Möglichkeit. Geht aber auch schneller, wenn man sich die Hash-Funktion nach baut.

[Deathweaver]

Noch ein Update zu der Sache, wobei wir ja schon erwaehnt haben, dass bitte alle User die dort angemeldet waren ihr Passwort aendern, falls das gleiche Password auf anderen Seiten verwendet wurde.

Natuerlich kann mit etwas Aufwand ein einzelnes Password per brute-force geknackt werden. Wobei das auch bei MD5 und einem ausreichend langem Password immer noch einigen Aufwand - sprich spezielle Hardware - bedeutet. Fuer Passworter wie "test" oder Sachen die in Woerterbuechern stehen ist es in der Tat nur eine Frage von Sekunden. Das waere es aber sowieso mit jedem Verfahren, sei es SHA1, bcrypt oder PBKDF2. Mehr Infos gibt es hier:
http://www.codinghorror.com/blog/201...d-hashing.html

Wir ueberlegen gerade, wie wir auf den Webseiten zu einem besseren Verfahren fuer die Passworter wechseln koennen, aber bitten um euer Verstaendnis, dass unsere Zeit fuer dieses Hobbyprojekt begrenzt ist.

[mainclain]

Einfach mal versuchen mit dem Ergebnis ein zu loggen is so mit die simpelste Möglichkeit. Geht aber auch schneller, wenn man sich die Hash-Funktion nach baut.

Bringt nichts, da doppelt gehasht, dadurch würdest dein hash nochmal doppelt hashen lassen bei der überprüfung und der sagt immer noch Fehlerhaftes Password.
Wenn das nicht der Fall wäre, würde das doch auch nichts bringen, da jede Kollision ein Okay ergeben würde.

[Lookbehind]

Bringt nichts, da doppelt gehasht, dadurch würdest dein hash nochmal doppelt hashen lassen bei der überprüfung und der sagt immer noch Fehlerhaftes Password.
Wenn das nicht der Fall wäre, würde das doch auch nichts bringen, da jede Kollision ein Okay ergeben würde.

Da kann ich dir jetzt irgendwie nicht ganz folgen. In wie weit soll mich das davon abhalten, die Richtigkeit der möglichen Ergebnisse einfach durch einsetzen zu verifizieren? Selbst wenn ich mehrere "richtige" Ergebnisse bekomme (was bei einem Hash ja zumindest noch theoretisch möglich ist), so what?