Dann soll nach jedem Buchstabe ein Leerzeichen und das Wort "Brötchen" kommen, es ist nicht mein Problem wenn die Leute sich das bescheuerste Passwort raussuchen. Also wer "Passwort" oder "Freewar" als Passwort hat... der ist einfach selber Schuld.
Und glaub mir, es kommen auf 150 Leute min. 2 die so etwas als Passwort haben...
--
static
Was gegen Acc Hacking unternehmen?
-
Estron Dekal
- Gelbbart-Yeti
- Beiträge: 2153
- Registriert: 4. Apr 2006, 18:49
- Kontaktdaten:
Wie kann jemand einen fremden Freewar-Account übernehmen?
--> Der ursprüngliche Benutzer gibt sein Passwort an (eventuell RL-)Freund, Freundin, was auch immer. In ersteren beiden Fällen merkt man dann, dass besagter Freund oder besagte Freundin doch nicht so freundlich waren.
Selber Schuld!
In diesem Falle würde auch ein Zusatzbankpasswort nichts nützen, da Freund oder Freundin dieses sicher auch bekommen hätten.
--> Das Passwort ist einfach miserabel. So zum Beispiel persönliche Dinge, die (eventuell RL-)Freund, Freundin oder Geschwister erraten können. Genauso auch zahlreiche DAU-Passwörter, wie Passwort, 123456 oder Gib hier dein Passwort ein.
Selber Schuld!
In diesem Falle wäre das Bankpasswort des ursprünglichen Benutzers vermutlich ebenfalls so einfach gestrickt, also nützlos.
--> Ein Phisher fängt den ursprünglichen Benutzer ein und entlockt ihm sein Passwort. Meist sind Phishing-Attacken allerdings sehr leicht zu erkennen, besonders bei einem Spiel, bei dem es nur um virtuelle Goldmünzen geht.
Selber Schuld!
Juhu, die Phisher haben mehr Arbeit, auf ihren "neuen Servern" müssen sie dann auch das Bankpasswort abfragen.
--> Der ursprüngliche Benutzer wird wirklich von einem Hacker angegriffen. Dieses ist erstens unwahrscheinlich, da die virtuellen Goldmünzen diesen Aufwand nicht rechtfertigen, zweitens hat ein echter Hacker es umso leichter, umso einfacher das Passwort aufgebaut ist. Deswegen ist man mit einem gut zwischen Zahlen, Buchstaben und Sonderzeichen abwechselnden Passwort, welches zudem sehr lang ist, sehr gut gegen solche Hacker geschützt. Im Falle eines solchen Spieles versuchen Hacker es, denke ich, nur mit einfacheren Programmen, welche also auch nur einfache Passwörter hacken können.
Selber Schuld!
Ein wirklicher Hacker schafft es wohl auch, ein zweites Passwort des gleichen Benutzers zu hacken.
--> Ein wirklicher Hacker hackt sich in den Server ein und schafft es, die dort nur verschlüsselt vorhandenen Passwörter zu entschlüsseln. Dies ist meines Wissens nach fast absolut unmöglich, und da der Aufwand absolut nicht gerechtfertigt wäre, kann man davon ausgehen, dass so etwas nie vorkommen wird.
Das wird nie passieren!
Ein Kommentar zum Bankpasswort erübrigt sich hier.
Weiteres zu dieser Idee:
Wie man sieht, entspräche der Nutzen meiner Meinung nach genau Null. Was sind die Nachteile? Zum Einen müsste dies mit einem gewissen (bei allen Änderungen zumindest im Minimum vorhandenen) Programmierungsaufwand eingebaut werden, zum Weiteren würde es fast alle Spieler enorm behindern, da der zeitliche Aufwand steigen würde, Geschäfte an der Bank zu tätigen. Alles in allem denke ich, meine Argumente sprechen klar dafür, welche Meinung ich vertrete.
-->Dagegen
Kommentar zu der Sache oben: Ein DAU ist ein Dümmster Anzunehmender User, ein DAU-Passwort daher ein sehr unklug gewähltes Passwort.
--> Der ursprüngliche Benutzer gibt sein Passwort an (eventuell RL-)Freund, Freundin, was auch immer. In ersteren beiden Fällen merkt man dann, dass besagter Freund oder besagte Freundin doch nicht so freundlich waren.
Selber Schuld!
In diesem Falle würde auch ein Zusatzbankpasswort nichts nützen, da Freund oder Freundin dieses sicher auch bekommen hätten.
--> Das Passwort ist einfach miserabel. So zum Beispiel persönliche Dinge, die (eventuell RL-)Freund, Freundin oder Geschwister erraten können. Genauso auch zahlreiche DAU-Passwörter, wie Passwort, 123456 oder Gib hier dein Passwort ein.
Selber Schuld!
In diesem Falle wäre das Bankpasswort des ursprünglichen Benutzers vermutlich ebenfalls so einfach gestrickt, also nützlos.
--> Ein Phisher fängt den ursprünglichen Benutzer ein und entlockt ihm sein Passwort. Meist sind Phishing-Attacken allerdings sehr leicht zu erkennen, besonders bei einem Spiel, bei dem es nur um virtuelle Goldmünzen geht.
Selber Schuld!
Juhu, die Phisher haben mehr Arbeit, auf ihren "neuen Servern" müssen sie dann auch das Bankpasswort abfragen.
--> Der ursprüngliche Benutzer wird wirklich von einem Hacker angegriffen. Dieses ist erstens unwahrscheinlich, da die virtuellen Goldmünzen diesen Aufwand nicht rechtfertigen, zweitens hat ein echter Hacker es umso leichter, umso einfacher das Passwort aufgebaut ist. Deswegen ist man mit einem gut zwischen Zahlen, Buchstaben und Sonderzeichen abwechselnden Passwort, welches zudem sehr lang ist, sehr gut gegen solche Hacker geschützt. Im Falle eines solchen Spieles versuchen Hacker es, denke ich, nur mit einfacheren Programmen, welche also auch nur einfache Passwörter hacken können.
Selber Schuld!
Ein wirklicher Hacker schafft es wohl auch, ein zweites Passwort des gleichen Benutzers zu hacken.
--> Ein wirklicher Hacker hackt sich in den Server ein und schafft es, die dort nur verschlüsselt vorhandenen Passwörter zu entschlüsseln. Dies ist meines Wissens nach fast absolut unmöglich, und da der Aufwand absolut nicht gerechtfertigt wäre, kann man davon ausgehen, dass so etwas nie vorkommen wird.
Das wird nie passieren!
Ein Kommentar zum Bankpasswort erübrigt sich hier.
Weiteres zu dieser Idee:
Wie man sieht, entspräche der Nutzen meiner Meinung nach genau Null. Was sind die Nachteile? Zum Einen müsste dies mit einem gewissen (bei allen Änderungen zumindest im Minimum vorhandenen) Programmierungsaufwand eingebaut werden, zum Weiteren würde es fast alle Spieler enorm behindern, da der zeitliche Aufwand steigen würde, Geschäfte an der Bank zu tätigen. Alles in allem denke ich, meine Argumente sprechen klar dafür, welche Meinung ich vertrete.
-->Dagegen
Kommentar zu der Sache oben: Ein DAU ist ein Dümmster Anzunehmender User, ein DAU-Passwort daher ein sehr unklug gewähltes Passwort.
Jemand der den Server hackt hat (einfache) Passwörter in Minuten/Stunden geknackt.... bei der fülle an Hashwerten die sich vermutlich in der Datenbank befinden, könnte das sogar noch schneller gehen.
Die möglichkeit, dass jemand auf nen Link im Profil von jemanden klickt und dabei sein eigenes Passwort ändert hast du nicht gedacht -.- dies sollte prinzipiell möglich sein. Wie gesagt intensives rumtesten will ich im moment nicht machen und da ich nicht genug ahnung von VBScript/JavaScript habe müßte ich rumtesten. Die simpelste Variante scheint mitm Firefox nicht zu funktionieren... was mitm IE ist, kA!
Die möglichkeit, dass jemand auf nen Link im Profil von jemanden klickt und dabei sein eigenes Passwort ändert hast du nicht gedacht -.- dies sollte prinzipiell möglich sein. Wie gesagt intensives rumtesten will ich im moment nicht machen und da ich nicht genug ahnung von VBScript/JavaScript habe müßte ich rumtesten. Die simpelste Variante scheint mitm Firefox nicht zu funktionieren... was mitm IE ist, kA!
-
Estron Dekal
- Gelbbart-Yeti
- Beiträge: 2153
- Registriert: 4. Apr 2006, 18:49
- Kontaktdaten:
Und warum sollte man auf Links von absoluten No-Name-Spielern klicken? Vorher URL anschauen macht den Unterschied. (Wobei ich selbst nicht weiss, ob wirklich auch Passwort ändern per Link möglich ist.) Ausserdem, woher weiss ein "Hacker" deinen Nickname, wenn dein Passwort durch entsprechenden Link geändert wurde?larsibär hat geschrieben:Jemand der den Server hackt hat (einfache) Passwörter in Minuten/Stunden geknackt.... bei der fülle an Hashwerten die sich vermutlich in der Datenbank befinden, könnte das sogar noch schneller gehen.
Die möglichkeit, dass jemand auf nen Link im Profil von jemanden klickt und dabei sein eigenes Passwort ändert hast du nicht gedacht -.- dies sollte prinzipiell möglich sein. Wie gesagt intensives rumtesten will ich im moment nicht machen und da ich nicht genug ahnung von VBScript/JavaScript habe müßte ich rumtesten. Die simpelste Variante scheint mitm Firefox nicht zu funktionieren... was mitm IE ist, kA!
Einfaches Bespiel:
Ein unbedarfter Spieler klickt aus langeweile auf ein Profil, in diesem Profil steht ein Link zum "Gästebuch". Er trägt sich in dem Gästebuch ein. In dem Moment ist die E-Mailadresse von seinem Account geändert worden.
Ich weiß von meinem Gästebuch (ohne dieses "Feature
dass die meisten sich mit ihrem Spielernamen eintragen, also kenne ich das Login und der Account läuft mit meiner E-Mailadresse ... das Passwort kann ich mir dann zusenden lassen.
Passwort ändern geht auf diese Weise nicht, da man dafür erst das altes Passwort kennen muss. Bei den meisten Seiten ist dies auch beim E-Mailadresse ändern nötig
Ein unbedarfter Spieler klickt aus langeweile auf ein Profil, in diesem Profil steht ein Link zum "Gästebuch". Er trägt sich in dem Gästebuch ein. In dem Moment ist die E-Mailadresse von seinem Account geändert worden.
Ich weiß von meinem Gästebuch (ohne dieses "Feature
dass die meisten sich mit ihrem Spielernamen eintragen, also kenne ich das Login und der Account läuft mit meiner E-Mailadresse ... das Passwort kann ich mir dann zusenden lassen.Passwort ändern geht auf diese Weise nicht, da man dafür erst das altes Passwort kennen muss. Bei den meisten Seiten ist dies auch beim E-Mailadresse ändern nötig
Zuletzt geändert von larsibär am 12. Jan 2007, 22:15, insgesamt 1-mal geändert.
-
Estron Dekal
- Gelbbart-Yeti
- Beiträge: 2153
- Registriert: 4. Apr 2006, 18:49
- Kontaktdaten:
-
Estron Dekal
- Gelbbart-Yeti
- Beiträge: 2153
- Registriert: 4. Apr 2006, 18:49
- Kontaktdaten:
Hat mich etwas verwirrt, entschuldige.Estron Dekal hat geschrieben:Und welche Relevanz hat das dann hier?larsibär hat geschrieben:Passwort ändern geht auf diese Weise nicht, da man dafür erst das altes Passwort kennen muss. Bei den meisten Seiten ist dies auch beim E-Mailadresse ändern nötig
Ich bezeichne User als DAUs, die unbedarft auf jeden Link klicken...
//
Na gut, und selbst, wenn in FW nicht, dieses Bankpasswort würde man so entweder auch irgendwie bekommen können (mit verändertem, eigenem Passwort und veränderter, eigener E-Mail) oder es würde zu Massenhaft Beschwerden kommen, weil ganz normale DAUs ihre Bankpasswörter vergessen haben und es keine "Neues zuschicken"-Funktion gibt.
-
Estron Dekal
- Gelbbart-Yeti
- Beiträge: 2153
- Registriert: 4. Apr 2006, 18:49
- Kontaktdaten:
Wäh? Seit wann ist von TANs die Rede? Ich habe den Thread hier zwar durchgelesen, aber nichts in Richtung TAN entdeckt. Wobei ich ne TAN sowieso blöd fände. Für jedes verschiedene Item nen einzelnen Code? Nein danke. Und per Post? Ingame-Post? RL-Post? Was meinst du damit?larsibär hat geschrieben:Zu ner Bank kannst du hin laufen, bzw. bekommst deine neuen TANs per Post ...
-.- und führe mich nicht in versuchung, sonst probier ich gleich doch mal mit JavaScript/VBScript rum ^^
-
Frontschwein
- Wächter des Vulkans
- Beiträge: 292
- Registriert: 24. Nov 2006, 21:04
- Wohnort: ma hier... ma da xD
ähh... ich glaube jeder der einen spiegel der maha besitzt ( mit doppelschutz^^) lässt den nciht in schließfach liegen, sogesehen hat er uach was davon wenn man nicht ins schließfach kommt
also: Definitiv Dagegen
auch wenn es ein tick sicherer wäre hätte ich keine lust immer das passwort einzugeben....
also: Definitiv Dagegen
auch wenn es ein tick sicherer wäre hätte ich keine lust immer das passwort einzugeben....
-
Estron Dekal
- Gelbbart-Yeti
- Beiträge: 2153
- Registriert: 4. Apr 2006, 18:49
- Kontaktdaten:
Nee, bei argumentiv (Gibts das Wort? Wenn nicht, dann jetzt ja.) richtigen, von mir logisch nachvollziehbaren Einwänden ziehe ich nichts ins Lächerliche, ausser Sonntags zwischen 18:00 und 20:00 Uhrlarsibär hat geschrieben:ups ^^ jetzt hab ich hier was verpeilt
Ich hab jetzt mit "bankpasswort" ne Real-Life Bank und Onlinebanking verknüpft und dachte du wolltest meinen einwand ins lächerliche ziehen
schwachsinn, weil:
IRGENDWANN muss jeder mal lernen, dass 4-zeichen-passwörter nicht sicher sind und passwort-diebe immer unterwegs sind.
wenn ein spieler das vor freewar gelernt hat, wird er nicht gehackt.
lernt er es während freewar, dann steigen zumindest seine chancen, dass niemals jemand durch phishing seine bankkonten leerräumt oder sich in dessen email-konto hackt.
für leute die das nach freewar lernen ist die regelung genauso irrelevant wie für die, die es davor lernen.
insofern erhöht dieser scutz nur das risiko, später umso fatalere verluste zu erleiden.
und die user leiden alle unter diesen dummen zahlenkombis.
sollen die leute doch EINMAL selbst nachdenken und LERNEN - warum sollen das immer andere für einen tun?
IRGENDWANN muss jeder mal lernen, dass 4-zeichen-passwörter nicht sicher sind und passwort-diebe immer unterwegs sind.
wenn ein spieler das vor freewar gelernt hat, wird er nicht gehackt.
lernt er es während freewar, dann steigen zumindest seine chancen, dass niemals jemand durch phishing seine bankkonten leerräumt oder sich in dessen email-konto hackt.
für leute die das nach freewar lernen ist die regelung genauso irrelevant wie für die, die es davor lernen.
insofern erhöht dieser scutz nur das risiko, später umso fatalere verluste zu erleiden.
und die user leiden alle unter diesen dummen zahlenkombis.
sollen die leute doch EINMAL selbst nachdenken und LERNEN - warum sollen das immer andere für einen tun?
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste