Passwort/Account-Sicherheit in Freewar

[BOWSER]

...dass das mit dem Hack so glimpflich und für die User folgenlos verlaufen ist.
Habe ich in dem immerhin 16 Seiten langen Thread kein einzigstes Mal gelesen und halte es dennoch für sehr erwähnenswert.

Von mir aus kann der Thread geschlossen werden :>



Edit von Xartos:
Threadtitel wurde wegen Gesprächsbedarf angepasst von "Dankeschön Sotrax..." in "Passwort/Account-Sicherheit in Freewar".

[maddi]

*zu stimm*

Danke Sotrax !

Jeder Spieler sollte aber dennoch darüber nachdenken was er für ein Passwort hat.

Freewar bietet euch bis zu 15 stellen an. Passwortgeneratoren gibt es wie Sand am Meer im Netz.

Jedes Passwort mit der Länge kleiner als 6 Zeichen ist mit einen normalen Pc in 10 Min geknackt.

[mick]

Freewar bietet euch bis zu 15 stellen an. Passwortgeneratoren gibt es wie Sand am Meer im Netz.

Alleine da Sollte Sotrax mal Anfangen, 15 Stellen? Richtig Sicher (vor Brute Force Programmen) ist das bei weitem nicht.

[Blizz]

Freewar bietet euch bis zu 15 stellen an. Passwortgeneratoren gibt es wie Sand am Meer im Netz.

Alleine da Sollte Sotrax mal Anfangen, 15 Stellen? Richtig Sicher (vor Brute Force Programmen) ist das bei weitem nicht.

Es sind 20

[Benu]

Es sind 20

Ja und das obwohl die DB viel mehr Stellen speichern kann und noch nichtmal ein Hinweis kommt, wenn man zu viele Zeichen eingibt. Also sicherheitstechnisch war FW ja noch nie gut aber wenn nichtmal die Passworterstellung einfach und sicher funktioniert, dann gibt einem das schon zu denken.

[bwoebi]

naja, ich nehme mal an dass da ein md5-Hash mitspielt und dann können die Passwörter noch immer geknackt werden egal wie lange sie sind…

[Galak]

Tiramon sagte vor langer Zeit mal, dass es md5 ist...ich hoffe sehr, dass Sotrax da inzwischen etwas sichereres eingebaut hat.


btw. das mit den 20 Zeichen scheint nicht zu stimmen, mein PW ist länger und funzt auch nur in voller Länge.

[CountZero]

Jedes Passwort mit der Länge kleiner als 6 Zeichen ist mit einen normalen Pc in 10 Min geknackt.

Das stimmt aber nur solange du die mögliche Zeichenmenge klein hältst bei vollem utf8 Umfang wünsche ich dir bei 6 Zeichen schon viel spaß.

Alleine da Sollte Sotrax mal Anfangen, 15 Stellen? Richtig Sicher (vor Brute Force Programmen) ist das bei weitem nicht.

Das kommt a) auf dein Passwort an und b) ist Sicherheit vor Bruteforce eigentlich(!) egal da vorher andere Sicherheitsamßnahmen ziehen müssen - Bruteforce darf gar nicht möglich sein auszuführen.
Und mal ehrlich wer nutzt denn wirklich die volle mögliche Zeichenanzahl?
Passwörter älterer Windowsversionen können im übrigen maximal 14 Zeichen fassen.

ich hoffe sehr, dass Sotrax da inzwischen etwas sichereres eingebaut hat.

Dann "knack" mir mal einen gesalzenen MD5 Hash ohne das Salt und damit dann auch ohne das die gängigen Rainbowtables funktionieren.

Natürlich gibt es "sicherere" Hash-Algos, es geht dabei aber nur darum das jemand der an DB kommt nicht gleich die klar Passwörter hat für diesen Zweck reicht meiner Meinung nach noch immer ein ordentlich gesalzener MD5.


Das soll natürlich alles nicht heißen das man die gegebenen Möglichkeiten nicht ausschöpfen soll. Ich denke die hier genannten Punkte sind aber zum großteil übertrieben und auch nicht üblich die größte Sicherheitslücke sitzt nämlich noch immer vor euren Monitor.

[maddi]

wir gehen mal von A-Za-z0-9 also grund menge aus - damit sind 6 Zeichen nichts, zumal du die berechnung nur 1 mal durchführen musst und dann nur noch suchst ... sprich einmal ne ordentliche datenbank gemacht und eben auch den speicherplatz dazu - oder eben Rainbowtables ...

EDIT: btw egal wie lang dann passwort ist wenn es zu einer kollision kommt ( 2 unterschiedliche quellen haben den selben hashwert)
dann hast du auch ein problem.

[Sotrax]

Ich muss hier denke ich kurz ein paar Gerüchte klarstellen, weil einige Daten hier so nicht stimmen:

1. Ihr könnt natürlich ein Passwort wählen das länger als 15 oder 20 Stellen ist. Auch ein Passwort mit 30 Stellen ist in Freewar kein Problem. (Das Gerücht, man könnte nur 15 Stellen in FW nehmen, kommt wohl daher, dass das Eingabefeld die Size=15 hat, das sagt aber nur aus, dass eben nur 15 Zeichen dargestellt werden, dann scrollt es nach links. Das macht aber nichts aus man kann dennoch in dieses Feld ohne Probleme 30 Zeichen eingeben. Das ist nur eine rein optische Anpassung).

Es stimmt also nicht, dass man in FW nur 15 oder 20 Zeichen als Passwort verwenden kann.

2. Wir haben Sicherungen und Sperren gegen Brute-Forcing Angriffe.

3. Mittlerweile konnte ich rausfinden, wie der Hacker an mein Passwort kam, in der Tat war es nicht durch Bruteforcing und auch nicht einfach erraten, sondern durch einen blöden Fehler stand mein Passwort im Klartext an anderer Stelle in einem Dokument auf dem Server. Dieses Dokument wurde mittlerweile gelöscht und das Passwort eh geändert.

Dennoch haben die Leute natürlich recht, die sagen, mein Passwort war mit 9 Stellen zu kurz. In der Tat hatte ich für die Datenbanken und Server auch sehr viel komplexere und längere Passwörter, die Server waren daher sicher. Es ging lediglich um das Login-Passwort. Wie gesagt konnte es aber im Klartext eingesehen werden, was das eigentliche Problem war. Dabei muss ich auch nochmal betonen, dass das nicht mit den Passwörtern von Spielern ging, sondern lediglich mit meinem Passwort.

Nach aktuellem Kenntnisstand sind die Passwörter der Spieler also sicher, es von Zeit zu Zeit mal zu ändern und ruhig sehr lange Passwörter zu verwenden, schadet allerdings nicht.

[CountZero]

wir gehen mal von A-Za-z0-9 also grund menge aus - damit sind 6 Zeichen nichts, zumal du die berechnung nur 1 mal durchführen musst und dann nur noch suchst ... sprich einmal ne ordentliche datenbank gemacht und eben auch den speicherplatz dazu - oder eben Rainbowtables ...

EDIT: btw egal wie lang dann passwort ist wenn es zu einer kollision kommt ( 2 unterschiedliche quellen haben den selben hashwert)
dann hast du auch ein problem.

Ich habe mich nur auf die Aussage von dir bezogen, ein < sechs Zeichen Passwort wäre (per Bruteforce immer) in 10 Minuten geknackt und das stimmt eben nur mit den passenden Rahmenbedingungen.

Du vermischt sowieso ein wenig das "knacken" eines Hashs und das eines Passworts - ich hätte da zumindest ganz unterschiedliche Herangehensweisen.

Willst du einen passenden String zu einem Hash finden schaffst du das unabhängig von der Stringlänge garantiert nicht in 10 Minuten bzw nur mit verdammt viel Glück und sowieso nur wenn du passende Tables hast.

[Sotrax]

@Galak van Charro: Auch da kann ich dich beruhigen, Freewar ist da bereits seit vielen Monaten deutlich sicherer.

Und wie du richtig bemerkt hast, haben wir auch kein Limit bei 20 Zeichen für Passwörter, wie manche hier vermuten

[Relinquished]

@Sotrax hat sich die Person welche eingedrungen ist noch bei dir gemeldet?

[Rober]

Der Pro-PvP Beutel, ein Beutel aus den guten alten Zeiten.

[Blizz]

Also früher war es aber defintiv auf 20 Zeichen begrenzt Sotrax

Ich hatte mir ein 30 Zeichen Passwort erstellt, das lief auch alles reibungslos ab, mit dem abändern. Nur als ich mein Passwort dann kopierte und einfügen wollte, kam Passwort oder Name falsch.

Habe dann das letzte zeichen entfernt, und wieder versucht mich einzuloggen, als mein Passwort mit dieser Methode dann nur noch 20 zeichen aufwieß, ließ mich der Server auch in meinen Acc.

Ist schon ein paar Jahre her, aber es war so.