GLF

Es ist vermehrt bemerkt worden, das sich das Chaptcha Modul beim Login meldet, ohne das man ein falsches Passwort eingegeben hat.

das muß als Warnzeichen wahrgenommen werden, es bedeutet nämlich das versucht wird die Passwörter auszutesten, um die Accounts zu übernehmen.

Die Datenbank speichert diese Fehlversuche ab, und gerade habe ich gesehen, das es ziemlich viele Konten betrifft.

Daher rate ich zum einen, allen denen das nicht passiert ist, und denen etwas an ihren Beiträgen oder Einstellungen aufällt, sofort das Passwort zu wechseln.

Alle die in die Chaptchanforderung laufen, könnten meinen das heißt das das PW nicht erraten wurde - aber leider kann man davon auch nicht ausgehen- denn
wenn ich sowas machen würde, würde ich das tarnen in dem ich nach dem richtigen PW einfach noch 3 mal ein falsches eingebe.

Es kann also kein fehler sein, wenn Ihr Euer Passwort zur Sicherheit wechselt.

Aber - was sind sichere Passwörter ??? (Das Thema hatten wir zwar schon mal woanders, aber Wiederholung hilft es sich zu merken ... )

Mind. 10 Stellig sollten PW hier sein (Soll ja keine Platte verschlüßeln, nur einen eh lesbaren Account)
Es sollten keine Begriffe sein, die als Wort in Lexika stehen, keine Namen usw.
Es sollten Groß und Kleinbuchstaben enthalten sein, darüber hinaus sollten auch Ziffern und Sonderzeichen verwendet werden.

Schlechtes Beispiel : 123456

gutes Beispiel :\MäDch3n\x1 (mit ableitbaren Schema, nicht die Zeichenkette muß man sich merken, sondern das eigene System)

gutes Beispiel:2^a1eD|uA)F8do*8 (zufällige Zeichenkette, aber schwer zu merken)

Es handelt sich dabei nicht um gezielte Angriffe auf das GLF oder bestimmte Nutzer sondern um willkürliche Attacken eines Bots auf PHPBB Foren.

Heute frisch erstellt: http://www.webwork-community.net/posting10938_46_0.html
Zitat:

Es läüft seit einigen Tagen ein Angriff auf Useracounts.
Wen die Meldung ähnlich "Sie haben die maximale zulässige Zahl von Anmeldeversuchen überschritten" angezeigt wird, so versucht jemand, den Account per ogin zu hacken.
Das ist ein BOT, der unter sehr vielen unterschiedlichen IP-Adressen und Browserkennungen versucht, durch Brute Force zu Passwörten zu gelangen.. Die meisten admins eines phpbb-Forums bemerken das vermutlich nicht, da lediglich die Anzahl der ungültigen Anmeldeversuche der User steigt und der user je nach Einstellung des Forums irgendwann einmal ein captcha lösen muss.

Fast kein admin eines phpbb3-Forum hat es bisher bemerkt!

Also gut gesehen !

Hallo Hori

Ich musste gerade so komische krumme Buchstaben und Zahlen in ein Feld eintippen, um her zu kommen. War es das, was du meinst?

Aha! Ich mach ein neues Passwort. Ich schreibe Perma rückwärts. Amrep! Da kommt keiner drauf.

Horizonzero hat geschrieben:123456

Zum Glück das niemand weiß, das mein Passwort 654321 heißt.

Schumpelchen hat geschrieben:Da kommt keiner drauf.

Das ist total lieb von dir.

Jupp. Das war übrigens vor ein paar Wochen schon einmal.
Sind alle Useraccounts gleichermaßen betroffen oder nur bestimmte?

Mir ist das vorhin passiert. Ich habe jetzt ein neues Passwort, und dann ist es wieder passiert, wenn ich es richtig folgere, dann heißt das, ich bin nicht gehackt worden (nehme ich an).

Perma hat geschrieben:

Schumpelchen hat geschrieben:Da kommt keiner drauf.

Das ist total lieb von dir.

Dafür schuldest du mir einen Wang auf die Kusse!

suliko hat geschrieben:Mir ist das vorhin passiert. Ich habe jetzt ein neues Passwort, und dann ist es wieder passiert, wenn ich es richtig folgere, dann heißt das, ich bin nicht gehackt worden (nehme ich an).

Nein. Die bunten Buchstaben (Captachs) kommen immer, wenn man sich zu oft mit falschem Passwort versucht einzuloggen.

Es sind grob geschätzt bisher 20 % der Konten betroffen, auffällig ist, das meist mit dem 3. Versuch aufgehörtwird, bei einigen aber auch 5 Versuche verzeichnet sind. Ich werde das die nächsten Tage im Auge behalten.

Bei mir war es heute auch bereits 2 mal.

Ich wollte gerade eben eine Frage deshalb stellen, weil ich nun auch schon einige Male ein CAPTCHA eingeben musste. Offenbar passiert das immer dann, wenn ich mal für eine Weile nicht im GLF aktiv bin, das Forum loggt mich dann aus und beim Versuch, mich neu einzuloggen, wird mein Login zunächst nicht akzeptiert, sondern zusätzlich das CAPTCHA gefordert.

Allerdings kann das ja nur heißen, dass durch den Bot/Hackerangriff/was auch immer derweil eine ganze Reihe von Passwörtern zum Login ausprobiert wurden, während ich nicht aktiv war, und der Account daher sicherheitshalber erstmal gesperrt wurde. Sofern ich im Moment ein sicheres Passwort verwende, bringt es meiner Meinung nach nichts, selbiges nun zu wechseln, denn ein BruteForce-Angriff würde auf lange Sicht auch dieses irgendwann "erraten".

Es könnte zwar sein, dass ein Angreifer zur Tarnung noch ein paarmal ein falsches Passwort eingibt, nachdem das richtige gefunden wurde, aber wäre es nicht viel effektiver, wenn das Passwort nach einem erfolgreichen Login sofort geändert wird, um den legitimen Benutzer definitiv auszusperren? Ich werde daher zunächst einmal beobachten, sofern sich irgendwelche Dinge ereignen, die mir suspekt vorkommen, werde ich mich über geeignete Kanäle mit den GLF-Admins in Verbindung setzen.

Horizonzero hat geschrieben:auffällig ist, das meist mit dem 3. Versuch aufgehörtwird, bei einigen aber auch 5 Versuche verzeichnet sind.

Kein Wunder. Der Bot kann keine Captchas lösen und gibt dann einfach auf. lol
Bzw. er versucht es später noch einmal.

Bei der niedrigen Versuchs-Rate sollte man sich keine Sorgen machen, vorausgesetzt man hat kein superleichtes Passwort, welches man in Wörterlisten finden könnte.

Bei BruteForce:
Angenommen man hat nur ein 6-stelliges Passwort und nur Kleinbuchstaben. (richtig richtig schlechtes Passwort).
Und der Bot schafft 100 Passwörter pro Minute. (was total und völlig unrealistisch schnell ist, wenn er keine Captchas kann)

Dann braucht der Bot 6 Jahre um das schlechte Passwort zu erraten... bei 6-stelligen Passwörtern mit Groß-und Kleinbuchstaben 12 Jahre...

Und das auch nur, wenn er durchgängig probieren kann die ganzen Jahre lang.

Edit: Wenn man statistisch gesehen davon ausgeht, dass das Passwort nach der Hälfte der Zeit geknackt ist, dann sind es 3 respektive 6 Jahre.