Passwort/Account-Sicherheit in Freewar

[kapsonfire]

Sicherheit für MD5 - Sicher stimmt es, dass normale MD5 Hashes sich schnell knacken lassen. Hierbei ist es nicht relevant wie lang das Passwort ist. Denn MD5 ist seit mehreren Jahren in simpler Form unsicher. Grund hierfür sind nicht Brutefoorceprogramme oder Rainbowtables.
Nein, in MD5 kann man relativ einfach Kollisionen erzeugen. Eine Kollision ist, wenn zwei Strings/Dateien den gleichen MD5 Hash haben.
Doch um eine solche Kollision zu finden, muss man erst an den MD5 Hash in der Datenbank.


Nunja, hier kann ich euch beruhigen. Selbst wenn jemand an diese MD5 Hashes kommt, so bringen die einem hier nichts.
Denn Freewar benutzt seit einigen Monaten eine veränderte Verschlüsselungsmethode.
Hierbei wird dem original Passwort ein Salt beigefügt. Dieser verändert somit den ganzen MD5 Hash.
Wenn nun ein Hacker an die DB kommt, was ohne Admin Account denkbar unmöglich ist, so kommt er an die MD5 Hashes. Aber er kennt nur den gesalteten Hash. Eine Kollision mit diesem Hash bringt beim Login ebenfalls nichts, da er den Salt nicht kennt.
Hat der Hacker allerdingds SSH/FTP oder ähnliche Rechte erwirkt, so wird ihm eure Logindaten wenig interessieren. Trotzdem solltet ihr alle für jede Seite eine anderes Passwort nutzen. Zumindest privates und geschäftliches trennen. Also für private Angelegenheiten (z.B. freewar, forum, etc) ein Passwort und für Geschäftliches (PayPal, Alle Email Konten, Ebay etc).

Ich denke die Aktion des Hackers hat gestern gezeigt, dass manchmal durch ganz doofe Fehler ein imenser Schaden entstehen kann. Hier sollte JEDER seine Passwörter nochmal überdenken. Ich werde im Laufe des Tages nochmal einen Generator für Passwörter hier einstellen und ein Beispiel mit diesen Salts geben.




P.S. Burteforce direkt im Freewarlogin würde ewig dauern, da man nach einigen Versuchen immerwieder seine IP wechseln muss. Sollte also das Passwort nicht in einem Wörterbuch (ich meine nicht ein Duden oder so) stehen, so braucht man hierzu (bei herkömmlichen Passwörtern [kelinbuchstaben+zahlen]) schon Tage.

[Sotrax]

@Blizz: Ja, kann sein, dass es vor ein paar Jahren mal so war, das wurde aber schon recht lange geändert. Daher wollte ich es hier auch nochmal betonen, wenn ihr wollt könnt ihr gerne 25 Zeichen Passwörter verwenden.

Dennoch ist auch ein 20 Zeichen Passwort in der Regel sehr sicher.

Generell sollte man noch folgende Punkte beachten um eine Möglichst hohe Sicherheit zu gewährleisten:

1. Niemandem das PW sagen und ein absolut sicheres PW wählen.
2. Aktuellen Virenscanner auf dem Rechner haben.
3. Dafür sorgen, dass niemand zugriff auf die eigenen Emails hat (sonst kann jemand einen per PW vergessen funktion hacken).
4. Keinerlei Urlaubsvertretung einsetzen oder wählen.
5. Sich nicht von unsicheren oder fremden PCs aus einloggen.
6. Immer nur über www.freewar.de ins Spiel einloggen.

[kapsonfire]

So wie versprochen der PW-Gen.
Ihr könnt den Zeichenbereich auswählen und die Passwortlänge.
http://stats.kapsonfire.de/pwgen.php


Der Quellcode befindet sich hier: http://stats.kapsonfire.de/pwgen.zip



Kann frei nach belieben missbraucht werden

[Xartos]

Da Gesprächsbedarf besteht, kann der Thread gerne offen bleiben. Der Threadtitel wird jedoch angepasst. Bleibt daher bitte beim (neuen) Thema "Passwort/Account-Sicherheit in Freewar".

[Relinquished]

Da Gesprächsbedarf besteht, kann der Thread gerne offen bleiben. Der Threadtitel wird jedoch angepasst. Bleibt daher bitte beim (neuen) Thema "Passwort/Account-Sicherheit in Freewar".

Neeiiin ihr habt den vielen dank-thread kaputt gemacht

[Blue.Shark]

@Sotrax hat sich die Person welche eingedrungen ist noch bei dir gemeldet?

Würde mich auch interessieren

[Schmiddi]

Klingt ja so, als wäre auf dem Server eine Text-Datei mit dem Namen "Mein Passwort", wo Sotrax' Pw drinstand
Naja, war doch mal wieder ein wenig Abwechslung.

[ForTheLichKing!]

[ .. ]
3. Mittlerweile konnte ich rausfinden, wie der Hacker an mein Passwort kam, in der Tat war es nicht durch Bruteforcing und auch nicht einfach erraten, sondern durch einen blöden Fehler stand mein Passwort im Klartext an anderer Stelle in einem Dokument auf dem Server. Dieses Dokument wurde mittlerweile gelöscht und das Passwort eh geändert.
[ .. ]

Sorry wenn ich das jetzt so sage, aber das ist mal ein richtig epischer basic fail.
Sowas MUSS EINFACH NICHT SEIN, und darf eigentlich auch nicht sein, weil das ne tierisch schlechte Reputation auf freewar und Sotrax werfen tut (wenn ich boeswillig waere, wuerde ich hiermit die Kompetenz von Sotrax als Administrator in Frage stellen); der Imageschaden von dieser Aktion wuerde ich als ziemlich krass ansehen.
Ausserdem habe ich mitbekommen, dass das PW nur aus kleinbuchstaben+Zahlen bestand, das ist dann natuerlich noch doppelt nicht-besonders-sicher, das wird ja inzwischen bei jeder 2. Site notwendig gefordert, damit man sich ueberhaupt anmelden kann.

Ich persoenlich hab ein PW das aush Gross-kleinbuchstaben, Zahlen und Sonderzeichen bestehen tut, und das ist **************** (Aja, musste es erstmal abzaehlen, shame on me. ^^) 16 Zeichen lang, das ist, ich wage das mal zu behaupten, deutlich sicherer als das von Sotrax.

Wie dem auch sei,
(i) Gaaaanz schlechte Publicity fuer freewar
(ii) Ich hoffe alle haben ihre Lektion bei dieser Aktion gelernt,
und hoffen wir das solch ein episch-fail in absehbarer Zeit nicht nochmal passieren tut.

sofar,
forthelichking

[Blizz]

Übertreib es mal nicht Magic Karte ^^

Lücken gibt es überall.

[_Lotus_]

Also sooo schlimm war das jetzt auch nicht

[ForTheLichKing!]

Sag das dem Vorstand nachdem der Topmanager sein PW irgendwo oeffentlich rumstehen hatte und dadurch jeder XY Zugriff auf seine Sachen hatte ..

[Blizz]

Sag das dem Vorstand nachdem der Topmanager sein PW irgendwo oeffentlich rumstehen hatte und dadurch jeder XY Zugriff auf seine Sachen hatte ..

Der Vergleich passt nicht, es gibt nichts über Sotrax.
Kann passieren, ist halt passiert.
Schwamm drüber.

[ForTheLichKing!]

KANN, MUSS aber nicht passieren.

Und: Okay. Sag das den Aktionaeren. Die werden dich mindestens genauso lynchen wegen so ner Aktion.

Ist imho trotzdem seehr grobe Fahrlaessigkeit, und eher ein epischer fail.

[Blue.Shark]

Aber man muss sich doch auch eines Fragen: Wie konnte der Hacker auf den Server zugreifen um das Doukument mit dem PW darin zu öffnen?

Wenn das geht, hätte er ja einfach auch den Quellcode zum spiel öffnen koennen

[Latzhosenträger]

6. Immer nur über http://www.freewar.de ins Spiel einloggen.

Ist ja nicht so, dass man die Dateien mit Scripten manipulieren kann... muss man nur auf dem anderen Rechner installieren (lassen) und das Formular sendet das PW wo anders hin.