- Horizonzero
- Beiträge: 13349
- Registriert: 29.01.2009, 18:08
- AoA: ab 8 aufwärts
- Wohnort: [email protected]
Passwörter und Sicherheit
Es ist vermehrt bemerkt worden, das sich das Chaptcha Modul beim Login meldet, ohne das man ein falsches Passwort eingegeben hat.
das muß als Warnzeichen wahrgenommen werden, es bedeutet nämlich das versucht wird die Passwörter auszutesten, um die Accounts zu übernehmen.
Die Datenbank speichert diese Fehlversuche ab, und gerade habe ich gesehen, das es ziemlich viele Konten betrifft.
Daher rate ich zum einen, allen denen das nicht passiert ist, und denen etwas an ihren Beiträgen oder Einstellungen aufällt, sofort das Passwort zu wechseln.
Alle die in die Chaptchanforderung laufen, könnten meinen das heißt das das PW nicht erraten wurde - aber leider kann man davon auch nicht ausgehen- denn
wenn ich sowas machen würde, würde ich das tarnen in dem ich nach dem richtigen PW einfach noch 3 mal ein falsches eingebe.
Es kann also kein fehler sein, wenn Ihr Euer Passwort zur Sicherheit wechselt.
Aber - was sind sichere Passwörter ??? (Das Thema hatten wir zwar schon mal woanders, aber Wiederholung hilft es sich zu merken ... )
Mind. 10 Stellig sollten PW hier sein (Soll ja keine Platte verschlüßeln, nur einen eh lesbaren Account)
Es sollten keine Begriffe sein, die als Wort in Lexika stehen, keine Namen usw.
Es sollten Groß und Kleinbuchstaben enthalten sein, darüber hinaus sollten auch Ziffern und Sonderzeichen verwendet werden.
Schlechtes Beispiel : 123456
gutes Beispiel :\MäDch3n\x1 (mit ableitbaren Schema, nicht die Zeichenkette muß man sich merken, sondern das eigene System)
gutes Beispiel:2^a1eD|uA)F8do*8 (zufällige Zeichenkette, aber schwer zu merken)
das muß als Warnzeichen wahrgenommen werden, es bedeutet nämlich das versucht wird die Passwörter auszutesten, um die Accounts zu übernehmen.
Die Datenbank speichert diese Fehlversuche ab, und gerade habe ich gesehen, das es ziemlich viele Konten betrifft.
Daher rate ich zum einen, allen denen das nicht passiert ist, und denen etwas an ihren Beiträgen oder Einstellungen aufällt, sofort das Passwort zu wechseln.
Alle die in die Chaptchanforderung laufen, könnten meinen das heißt das das PW nicht erraten wurde - aber leider kann man davon auch nicht ausgehen- denn
wenn ich sowas machen würde, würde ich das tarnen in dem ich nach dem richtigen PW einfach noch 3 mal ein falsches eingebe.
Es kann also kein fehler sein, wenn Ihr Euer Passwort zur Sicherheit wechselt.
Aber - was sind sichere Passwörter ??? (Das Thema hatten wir zwar schon mal woanders, aber Wiederholung hilft es sich zu merken ... )
Mind. 10 Stellig sollten PW hier sein (Soll ja keine Platte verschlüßeln, nur einen eh lesbaren Account)
Es sollten keine Begriffe sein, die als Wort in Lexika stehen, keine Namen usw.
Es sollten Groß und Kleinbuchstaben enthalten sein, darüber hinaus sollten auch Ziffern und Sonderzeichen verwendet werden.
Schlechtes Beispiel : 123456
gutes Beispiel :\MäDch3n\x1 (mit ableitbaren Schema, nicht die Zeichenkette muß man sich merken, sondern das eigene System)
gutes Beispiel:2^a1eD|uA)F8do*8 (zufällige Zeichenkette, aber schwer zu merken)
679KCNGQQ (Teleguard)
Re: Passwörter und Sicherheit
Es handelt sich dabei nicht um gezielte Angriffe auf das GLF oder bestimmte Nutzer sondern um willkürliche Attacken eines Bots auf PHPBB Foren.
Heute frisch erstellt: http://www.webwork-community.net/posting10938_46_0.html
Zitat:
Heute frisch erstellt: http://www.webwork-community.net/posting10938_46_0.html
Zitat:
Es läüft seit einigen Tagen ein Angriff auf Useracounts.
Wen die Meldung ähnlich "Sie haben die maximale zulässige Zahl von Anmeldeversuchen überschritten" angezeigt wird, so versucht jemand, den Account per ogin zu hacken.
Das ist ein BOT, der unter sehr vielen unterschiedlichen IP-Adressen und Browserkennungen versucht, durch Brute Force zu Passwörten zu gelangen.. Die meisten admins eines phpbb-Forums bemerken das vermutlich nicht, da lediglich die Anzahl der ungültigen Anmeldeversuche der User steigt und der user je nach Einstellung des Forums irgendwann einmal ein captcha lösen muss.
Also gut gesehen !Fast kein admin eines phpbb3-Forum hat es bisher bemerkt!
Life is unfair. Kill yourself or get over it.
- Schumpelchen
- Beiträge: 535
- Registriert: 08.10.2010, 07:01
Re: Passwörter und Sicherheit
Hallo Hori
Ich musste gerade so komische krumme Buchstaben und Zahlen in ein Feld eintippen, um her zu kommen. War es das, was du meinst?
Ich musste gerade so komische krumme Buchstaben und Zahlen in ein Feld eintippen, um her zu kommen. War es das, was du meinst?
- Perma
- Beiträge: 7399
- Registriert: 19.08.2009, 21:42
- AoA: 8-14
- Wohnort: [email protected]
- Kontaktdaten:
Re: Passwörter und Sicherheit
Genau das meinte er. Das ist das "Captcha" mit den krummen Buchstaben.
Bei einem Pädo wäre das nicht passiert.
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
- Schumpelchen
- Beiträge: 535
- Registriert: 08.10.2010, 07:01
Re: Passwörter und Sicherheit
Aha! Ich mach ein neues Passwort. Ich schreibe Perma rückwärts. Amrep! Da kommt keiner drauf.
Re: Passwörter und Sicherheit
Zum Glück das niemand weiß, das mein Passwort 654321 heißt.Horizonzero hat geschrieben:123456
Die staatliche Vernichtung von Puppen muss sich für ihre Besitzer wie die Ermordung eines geliebten Familienmitgliedes anfühlen. Konsequent gegen die politische Verfolgung und Inhaftierung von unschuldigen Menschen!
Meine TeleGuard-ID: YHB6PWGT9
Meine TeleGuard-ID: YHB6PWGT9
- Perma
- Beiträge: 7399
- Registriert: 19.08.2009, 21:42
- AoA: 8-14
- Wohnort: [email protected]
- Kontaktdaten:
Re: Passwörter und Sicherheit
Das ist total lieb von dir.Schumpelchen hat geschrieben:Da kommt keiner drauf.
Bei einem Pädo wäre das nicht passiert.
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
Re: Passwörter und Sicherheit
Jupp. Das war übrigens vor ein paar Wochen schon einmal.
Sind alle Useraccounts gleichermaßen betroffen oder nur bestimmte?
Sind alle Useraccounts gleichermaßen betroffen oder nur bestimmte?
- gelöscht_23
- Beiträge: 1019
- Registriert: 23.05.2012, 20:45
- AoA: 10+ oder so
Re: Passwörter und Sicherheit
Mir ist das vorhin passiert. Ich habe jetzt ein neues Passwort, und dann ist es wieder passiert, wenn ich es richtig folgere, dann heißt das, ich bin nicht gehackt worden (nehme ich an).
- Schumpelchen
- Beiträge: 535
- Registriert: 08.10.2010, 07:01
Re: Passwörter und Sicherheit
Perma hat geschrieben:Das ist total lieb von dir.Schumpelchen hat geschrieben:Da kommt keiner drauf.
Dafür schuldest du mir einen Wang auf die Kusse!
Re: Passwörter und Sicherheit
Nein. Die bunten Buchstaben (Captachs) kommen immer, wenn man sich zu oft mit falschem Passwort versucht einzuloggen.suliko hat geschrieben:Mir ist das vorhin passiert. Ich habe jetzt ein neues Passwort, und dann ist es wieder passiert, wenn ich es richtig folgere, dann heißt das, ich bin nicht gehackt worden (nehme ich an).
- Horizonzero
- Beiträge: 13349
- Registriert: 29.01.2009, 18:08
- AoA: ab 8 aufwärts
- Wohnort: [email protected]
Re: Passwörter und Sicherheit
Es sind grob geschätzt bisher 20 % der Konten betroffen, auffällig ist, das meist mit dem 3. Versuch aufgehörtwird, bei einigen aber auch 5 Versuche verzeichnet sind. Ich werde das die nächsten Tage im Auge behalten.
Bei mir war es heute auch bereits 2 mal.
Bei mir war es heute auch bereits 2 mal.
679KCNGQQ (Teleguard)
- Perma
- Beiträge: 7399
- Registriert: 19.08.2009, 21:42
- AoA: 8-14
- Wohnort: [email protected]
- Kontaktdaten:
Re: Passwörter und Sicherheit
*Schumpelchen kusswange*
Bei einem Pädo wäre das nicht passiert.
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
Re: Passwörter und Sicherheit
Ich wollte gerade eben eine Frage deshalb stellen, weil ich nun auch schon einige Male ein CAPTCHA eingeben musste. Offenbar passiert das immer dann, wenn ich mal für eine Weile nicht im GLF aktiv bin, das Forum loggt mich dann aus und beim Versuch, mich neu einzuloggen, wird mein Login zunächst nicht akzeptiert, sondern zusätzlich das CAPTCHA gefordert.
Allerdings kann das ja nur heißen, dass durch den Bot/Hackerangriff/was auch immer derweil eine ganze Reihe von Passwörtern zum Login ausprobiert wurden, während ich nicht aktiv war, und der Account daher sicherheitshalber erstmal gesperrt wurde. Sofern ich im Moment ein sicheres Passwort verwende, bringt es meiner Meinung nach nichts, selbiges nun zu wechseln, denn ein BruteForce-Angriff würde auf lange Sicht auch dieses irgendwann "erraten".
Es könnte zwar sein, dass ein Angreifer zur Tarnung noch ein paarmal ein falsches Passwort eingibt, nachdem das richtige gefunden wurde, aber wäre es nicht viel effektiver, wenn das Passwort nach einem erfolgreichen Login sofort geändert wird, um den legitimen Benutzer definitiv auszusperren? Ich werde daher zunächst einmal beobachten, sofern sich irgendwelche Dinge ereignen, die mir suspekt vorkommen, werde ich mich über geeignete Kanäle mit den GLF-Admins in Verbindung setzen.
Allerdings kann das ja nur heißen, dass durch den Bot/Hackerangriff/was auch immer derweil eine ganze Reihe von Passwörtern zum Login ausprobiert wurden, während ich nicht aktiv war, und der Account daher sicherheitshalber erstmal gesperrt wurde. Sofern ich im Moment ein sicheres Passwort verwende, bringt es meiner Meinung nach nichts, selbiges nun zu wechseln, denn ein BruteForce-Angriff würde auf lange Sicht auch dieses irgendwann "erraten".
Es könnte zwar sein, dass ein Angreifer zur Tarnung noch ein paarmal ein falsches Passwort eingibt, nachdem das richtige gefunden wurde, aber wäre es nicht viel effektiver, wenn das Passwort nach einem erfolgreichen Login sofort geändert wird, um den legitimen Benutzer definitiv auszusperren? Ich werde daher zunächst einmal beobachten, sofern sich irgendwelche Dinge ereignen, die mir suspekt vorkommen, werde ich mich über geeignete Kanäle mit den GLF-Admins in Verbindung setzen.
Re: Passwörter und Sicherheit
Kein Wunder. Der Bot kann keine Captchas lösen und gibt dann einfach auf. lolHorizonzero hat geschrieben:auffällig ist, das meist mit dem 3. Versuch aufgehörtwird, bei einigen aber auch 5 Versuche verzeichnet sind.
Bzw. er versucht es später noch einmal.
Bei der niedrigen Versuchs-Rate sollte man sich keine Sorgen machen, vorausgesetzt man hat kein superleichtes Passwort, welches man in Wörterlisten finden könnte.
Bei BruteForce:
Angenommen man hat nur ein 6-stelliges Passwort und nur Kleinbuchstaben. (richtig richtig schlechtes Passwort).
Und der Bot schafft 100 Passwörter pro Minute. (was total und völlig unrealistisch schnell ist, wenn er keine Captchas kann)
Dann braucht der Bot 6 Jahre um das schlechte Passwort zu erraten... bei 6-stelligen Passwörtern mit Groß-und Kleinbuchstaben 12 Jahre...
Und das auch nur, wenn er durchgängig probieren kann die ganzen Jahre lang.
Edit: Wenn man statistisch gesehen davon ausgeht, dass das Passwort nach der Hälfte der Zeit geknackt ist, dann sind es 3 respektive 6 Jahre.
Zuletzt geändert von Ovid am 14.06.2012, 21:11, insgesamt 2-mal geändert.