Mal wieder: Gehackte Accounts

Hier kann alles rund um Freewar diskutiert werden.
Abaddon_X
Feuerwolf
Beiträge: 114
Registriert: 22. Feb 2005, 19:05
Wohnort: L.E., SA, Germany
Kontaktdaten:

Beitrag von Abaddon_X » 20. Jul 2006, 01:00

@Kane: hab mich mal in der wiki schlau gemacht, was es mit hash auf sich hat, sofern ich das kapiert hab, wäre es ja immernoch möglich, den hash-wert eines Pws aus der DB zu ziehen, ein proggi schauen zu lassen, welche Zeichenkombinationen diesen Hash-wert ergeben und dann diese kombis mittels BF ausprobieren (nennt sich dann offenbar Preimage-Angriff ^^).
allerdings weiß ich nun immernoch nicht, ob diese hashwerte ausgelesen werden können oder nicht, daher frag ich doch lieber nochmal nach ^^
Die Forsche sind einzig ein orthographischer Lapsus seitens des Weltenlenkers.

Benutzeravatar
kane
Klauenbartrein
Beiträge: 1251
Registriert: 10. Apr 2005, 12:17

Beitrag von kane » 20. Jul 2006, 02:51

ja, das stimmt schon, auf diese art ist es immer noch möglich, aber da kannst du genausogut einfach auf die loginseite gehen und dein proggy so lange probieren lassen, bis es mit dem richtigen pw reinkommt. das ist viel leichter, weil man dazu net zusätzlich sotrax server knacken muss.
dazu braucht man dann auch keine phishing-seite, weil die würde einem nichts anderes geben ald den loginnamen eines unvorsichtigen users - der dann evtl ein leichter zu knackendes passwort hat, aber das ist schon das einzige was man damit erreicht.

sollte man natürlich sotrax server hacken können, dann hätte man zugriff auf ser viele verschlüsselte passwörter und könnte so mit stark erhöhter geschwindigkeit in der lage sein, überhaupt irgendeinen acc zu knacken. aber auch nur die, die mit nem schlechten pw geschützt sind ^^

mit preimage ist eigentlich nicht die methode gemeint, mit der man gehashte elemente wiederherstellt, sondern vortäuschung falscher tatsachen.
kurzer ausflug in die kryptologie :-)
hash funktionen sind funktionen f : Y -> Z, wobei Y die menge aller beliebigen texte ist. Z ist dagegen nur eine sehr kleine menge, z.b. die menge aller wörter mit 64 zeichen. was an hash-funktionen so besonders ist: f(x) ist sehr leicht und billig zu berechnen, aber aus einem wert y=f(x) das x wiederherzustellen ist so gut wie unmöglich, für jeden.
hash funktionen werden z.b. beim speichern von passwörtern verwendet. eine andere gebrauchsmethode, welche vermutlich überhaupt der grund der erfindung von hashs ist, ist das authentifizieren von dokumenten.
beispiel: du hast ne tolle erfindung gemacht und willst das ganze patentieren lassen. da deine idee leider noch erhebliche finanzielle mittel zur weiteren entwicklung bräuchte, bietest du einer firma deine idee an. gefahr dabei: die firma nimmt deine idee und dreht dir ne lange nase, weil sie behauptet, das wäre ihre eigene idee gewesen.
also willst du ein geheimes dokument sichern, das keiner lesen können soll, aber wo trotzdem jeder später überzeugt werden können soll, dass es von dir ist.
das machst du, indem du das dokument, sowie zusätzliche nur dir bekannte informationen zu einem text zusammenfasst, diesen steckst du in die hash-funktion und lässt das ergebnis öffentlich zugänglich irgendwo sichern. keiner kann das dokument lesen, da es nicht rekonstruiert werden kann. wenn jettz jemand deine dokumente klaut, kannst du von ihm verlangen, nachzuweisen, dass er damals den hash-wert angelegt hat. was ihm leider nicht gelingt, da er die nur die bekannten zusatzinformationen niocht kennt. nur du bist im nachhinein in der lage, nachzuweisen, dass du der urheber des dokuments bist, indem du diese zusatzinformation bekannt gibst, so dass jeder das überprüfen kann.

signieren und v.a. authentifizieren, da werden hashs heutzutage angewandt. wo preimage angewandt werden könnte: du hast in bälde eine große transaktion bei der bank vor, willst aber noch nicht bekannt geben, welche, und gibst daher der bank einen hashwert - und zwar h=f("passwort|gewünschte transaktion"). du könntest später mit nem öffentlichen brief oder am telefon, ohne dass du dich identifizieren musst, der bank mitteilen, was sie tun soll: du gibst ihnen einfach das pw plus die gewünschte transaktion. möglicherweise will aber jemand nicht, dass du eine luxusyacht kaufst, sondern dass du 10mio euro auf sein konto überweist. preimage wäre es jetzt, wenn derjenige einen text y findet, in dem etwas von 10mio euro überweisen drinsteht und zwar derart, dass f(y)=h (angenommen, du hast damals mitbekommen, welchen wert h hat). würdest du das schaffen, würde die bank keinen verdacht schöpfen und dem "feind" die 10 mio euro überweisen.

realistischer ist es heutzutage, eine öffentlich zugängliche information bei nur einer übertragung als echt zu markieren:
du schickst an die bank: text@f(text@userid@pw), wobei @ die textkonkatenation darstellen soll und die bank deine userid sowie ein festes passwort unzugänglich für andere abgespeichert hat. da sonst niemand das pw kennt, ist niemand in der lage, das gleiche f zu erzeugen. würde jemand die nachricht abfangen und den text ändern wollen, dann muss er auch den hashwert anpassen. was aber ohne kenntnis des passworts nicht klappt. es sei denn, man schafft einen erfolgreichen preimage angriff (das ist jedoch um ein gigantisch vielfaches schwieriger, als DES-verschlüsselungen zu knacken, ....)

Benutzeravatar
Tiramon
Administrator
Beiträge: 2972
Registriert: 11. Nov 2003, 15:23
Wohnort: auf ner Larafplantage
Kontaktdaten:

Beitrag von Tiramon » 20. Jul 2006, 10:39

also mal ganz ehrlich wenn es jemand schafft den server zu hacken wird er wenn er auch nur halbwegs clever ist nicht anfangen die verschlüsselten Passwörter auslesen um sie mittels brute force zu knacken, er würde ganz einfach die Passwörter durch eigene ersetzen oder noch cleverer sich direkt die items und das gold geben was er haben will.

Und jemand login und pass rausfindet indem man nur eine andere Seite besucht glaub ich nach wie vor nicht.
Ich bin ja auch nicht unbedingt ein neuling was html, php und die ganzen anderen web sachen angeht und mir fällt nichts ein wo man ohne eingabe des benutzers an diese daten kommt
There are 10 types of people, those that understand binary and those that don't
BildBild

Abaddon_X
Feuerwolf
Beiträge: 114
Registriert: 22. Feb 2005, 19:05
Wohnort: L.E., SA, Germany
Kontaktdaten:

Beitrag von Abaddon_X » 20. Jul 2006, 19:10

Nja, Tira, es würde doch aber auch irgendwo auffallen, wenn da plötzlich einer 500 mille gold und fünfzig zk-schneider für die grünen hat ^^
manche leute knacken ja auch nen acc, nur um dort alles wegzuschmeißen, abzubauen, etc. pp. (siehe letztens w2), agieren also ohne jeglichen "nutzen" für denn acc des angreifers.

@kane: ich gebe jetzt mal einfach zu, dass ich die hälfte nicht kapiert hab, aber den grundgedanken hab ich glaube gefunden ;) aber ok, ich bin noob auf dem gebiet
Die Forsche sind einzig ein orthographischer Lapsus seitens des Weltenlenkers.

LordNatla aus W5
Beiträge: 3631
Registriert: 3. Mär 2006, 09:38

Beitrag von LordNatla aus W5 » 20. Jul 2006, 19:18

Abaddon_X hat geschrieben:Nja, Tira, es würde doch aber auch irgendwo auffallen, wenn da plötzlich einer 500 mille gold und fünfzig zk-schneider für die grünen hat ^^
manche leute knacken ja auch nen acc, nur um dort alles wegzuschmeißen, abzubauen, etc. pp. (siehe letztens w2), agieren also ohne jeglichen "nutzen" für denn acc des angreifers.
Was Tira eher meint, man kann den Transfer von Gold besser in der DB machen, anstatt sich bei jemanden einzuloggen und dann das Gold zu überweisen.

Und das es manche Leute gibt, die was knacken, nur damit sie es geknackt haben, darüber brauchen wir eh nicht reden. Ist halt auch eine Form von sinnlosem Vandalismus :?

Benutzeravatar
-=blade=-
Zauberer der Bergwiesen
Beiträge: 424
Registriert: 27. Jul 2006, 12:49
Wohnort: auf tira´s larafplantage (illegal)

Beitrag von -=blade=- » 27. Jul 2006, 19:14

:cry: :cry: :cry: :cry:

Mir erging es in w8 so,

ein kerl redete mich nur so für freewar ideen an, er wollte kein passwort oder so wissen, nur wie oft ich on gehe und wie lange, mehr nich

als ich aber am nächsten tag on gegangen bin, war mein ganzer acc. leer
keine waffen,kein geld, ich konnte nichtmal weitergehn
auch via chat konnte ich es keinen mitteilen

:( also vorsicht :cry:
Kayphes hat geschrieben:ich bin dafür dass Strogohold gebannt werden soll das es ein noob sondergleichen ist und meine tolle Idee beleidigt hat.

Benutzeravatar
langeweile
großer Laubbär
Beiträge: 2599
Registriert: 28. Jul 2004, 18:36
Wohnort: Bochum

Beitrag von langeweile » 31. Jul 2006, 14:58

@tiramon
was ich bis heute nie verstanden habe bei dem ganzen geschreihe um gehackte accs, warum ihr bis heute noch nicht ingame-name und login-name getrennt habt
Es ist unzweckmäßig ein Kugelfisch zu sein, den die haben keine opponierbaren Daumen.

LordNatla aus W5
Beiträge: 3631
Registriert: 3. Mär 2006, 09:38

Beitrag von LordNatla aus W5 » 31. Jul 2006, 17:52

langeweile hat geschrieben:@tiramon
was ich bis heute nie verstanden habe bei dem ganzen geschreihe um gehackte accs, warum ihr bis heute noch nicht ingame-name und login-name getrennt habt
Sowas bringt effektiv keine Sicherheit. Es schützt zwar vor so Kiddies, die "ach der hat sicher als Passwort seinen Vornamen" mal eben kurz was ausprobieren, aber ansonsten nicht.

Das grösste Problem sind nun einmal die DAU's und wenn die irgendwo ihr Passwort abgeben, dann haben die sicherlich auch kein Problem den richtigen Login-Name auch gleich mit abzugeben :twisted:

Knecht Ruprecht
Zauberer der Bergwiesen
Beiträge: 687
Registriert: 4. Jun 2005, 12:51

Beitrag von Knecht Ruprecht » 1. Aug 2006, 10:45

Tiramon hat geschrieben:also mal ganz ehrlich wenn es jemand schafft den server zu hacken wird er wenn er auch nur halbwegs clever ist nicht anfangen die verschlüsselten Passwörter auslesen um sie mittels brute force zu knacken, er würde ganz einfach die Passwörter durch eigene ersetzen oder noch cleverer sich direkt die items und das gold geben was er haben will.

Und jemand login und pass rausfindet indem man nur eine andere Seite besucht glaub ich nach wie vor nicht.
Ich bin ja auch nicht unbedingt ein neuling was html, php und die ganzen anderen web sachen angeht und mir fällt nichts ein wo man ohne eingabe des benutzers an diese daten kommt
was ich weiss (a la gerüchteküche) gab es bei den allerersten tab fähigen browsern mal ein sicherheitsleck das man auf cookies von anderen domains zugreifen konnte. aber was da wirklich dran war weiss ich nicht. müsste man vielleicht mal googeln.
mit den aktuellen browsern gehts mal sicher nicht.

wenn jemand den pw hash wirklich haben sollte würde es mit BF sehr sehr lange dauern das rückzuführen. somit würde ich mir wegen den hashes keine sorgen machen.
Bild

Gesperrt

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 20 Gäste