Was gegen Acc Hacking unternehmen?

Static Wayne · Beitrag von **Static Wayne** » 12. Jan 2007, 19:54

Dann soll nach jedem Buchstabe ein Leerzeichen und das Wort "Brötchen" kommen, es ist nicht mein Problem wenn die Leute sich das bescheuerste Passwort raussuchen. Also wer "Passwort" oder "Freewar" als Passwort hat... der ist einfach selber Schuld.

Und glaub mir, es kommen auf 150 Leute min. 2 die so etwas als Passwort haben...

--
static

larsibär · Beitrag von **larsibär** » 12. Jan 2007, 21:18

man braucht nichtmal in nen account rein zu kommen im moment um ne mailadresse zu ändern, das sollte auch mit javascript gehen, wenn man bei irgendwem auf nen link klickt -.-

ich hab leider keine lust auf ne accountsperre, ansonsten würde ich das mal testen um das loch genauer beschreiben zu können

Estron Dekal · Beitrag von **Estron Dekal** » 12. Jan 2007, 21:52

Wie kann jemand einen fremden Freewar-Account übernehmen?

--> Der ursprüngliche Benutzer gibt sein Passwort an (eventuell RL-)Freund, Freundin, was auch immer. In ersteren beiden Fällen merkt man dann, dass besagter Freund oder besagte Freundin doch nicht so freundlich waren.

Selber Schuld!

In diesem Falle würde auch ein Zusatzbankpasswort nichts nützen, da Freund oder Freundin dieses sicher auch bekommen hätten.

--> Das Passwort ist einfach miserabel. So zum Beispiel persönliche Dinge, die (eventuell RL-)Freund, Freundin oder Geschwister erraten können. Genauso auch zahlreiche DAU-Passwörter, wie Passwort, 123456 oder Gib hier dein Passwort ein.

Selber Schuld!

In diesem Falle wäre das Bankpasswort des ursprünglichen Benutzers vermutlich ebenfalls so einfach gestrickt, also nützlos.

--> Ein Phisher fängt den ursprünglichen Benutzer ein und entlockt ihm sein Passwort. Meist sind Phishing-Attacken allerdings sehr leicht zu erkennen, besonders bei einem Spiel, bei dem es nur um virtuelle Goldmünzen geht.

Selber Schuld!

Juhu, die Phisher haben mehr Arbeit, auf ihren "neuen Servern" müssen sie dann auch das Bankpasswort abfragen.

--> Der ursprüngliche Benutzer wird wirklich von einem Hacker angegriffen. Dieses ist erstens unwahrscheinlich, da die virtuellen Goldmünzen diesen Aufwand nicht rechtfertigen, zweitens hat ein echter Hacker es umso leichter, umso einfacher das Passwort aufgebaut ist. Deswegen ist man mit einem gut zwischen Zahlen, Buchstaben und Sonderzeichen abwechselnden Passwort, welches zudem sehr lang ist, sehr gut gegen solche Hacker geschützt. Im Falle eines solchen Spieles versuchen Hacker es, denke ich, nur mit einfacheren Programmen, welche also auch nur einfache Passwörter hacken können.

Selber Schuld!

Ein wirklicher Hacker schafft es wohl auch, ein zweites Passwort des gleichen Benutzers zu hacken.

--> Ein wirklicher Hacker hackt sich in den Server ein und schafft es, die dort nur verschlüsselt vorhandenen Passwörter zu entschlüsseln. Dies ist meines Wissens nach fast absolut unmöglich, und da der Aufwand absolut nicht gerechtfertigt wäre, kann man davon ausgehen, dass so etwas nie vorkommen wird.

Das wird nie passieren!

Ein Kommentar zum Bankpasswort erübrigt sich hier.

Weiteres zu dieser Idee:

Wie man sieht, entspräche der Nutzen meiner Meinung nach genau Null. Was sind die Nachteile? Zum Einen müsste dies mit einem gewissen (bei allen Änderungen zumindest im Minimum vorhandenen) Programmierungsaufwand eingebaut werden, zum Weiteren würde es fast alle Spieler enorm behindern, da der zeitliche Aufwand steigen würde, Geschäfte an der Bank zu tätigen. Alles in allem denke ich, meine Argumente sprechen klar dafür, welche Meinung ich vertrete.

-->Dagegen

Kommentar zu der Sache oben: Ein DAU ist ein Dümmster Anzunehmender User, ein DAU-Passwort daher ein sehr unklug gewähltes Passwort.

larsibär · Beitrag von **larsibär** » 12. Jan 2007, 21:59

Jemand der den Server hackt hat (einfache) Passwörter in Minuten/Stunden geknackt.... bei der fülle an Hashwerten die sich vermutlich in der Datenbank befinden, könnte das sogar noch schneller gehen.

Die möglichkeit, dass jemand auf nen Link im Profil von jemanden klickt und dabei sein eigenes Passwort ändert hast du nicht gedacht -.- dies sollte prinzipiell möglich sein. Wie gesagt intensives rumtesten will ich im moment nicht machen und da ich nicht genug ahnung von VBScript/JavaScript habe müßte ich rumtesten. Die simpelste Variante scheint mitm Firefox nicht zu funktionieren... was mitm IE ist, kA!

Estron Dekal · Beitrag von **Estron Dekal** » 12. Jan 2007, 22:04

larsibär hat geschrieben:Jemand der den Server hackt hat (einfache) Passwörter in Minuten/Stunden geknackt.... bei der fülle an Hashwerten die sich vermutlich in der Datenbank befinden, könnte das sogar noch schneller gehen.

Die möglichkeit, dass jemand auf nen Link im Profil von jemanden klickt und dabei sein eigenes Passwort ändert hast du nicht gedacht -.- dies sollte prinzipiell möglich sein. Wie gesagt intensives rumtesten will ich im moment nicht machen und da ich nicht genug ahnung von VBScript/JavaScript habe müßte ich rumtesten. Die simpelste Variante scheint mitm Firefox nicht zu funktionieren... was mitm IE ist, kA!

Und warum sollte man auf Links von absoluten No-Name-Spielern klicken? Vorher URL anschauen macht den Unterschied. (Wobei ich selbst nicht weiss, ob wirklich auch Passwort ändern per Link möglich ist.) Ausserdem, woher weiss ein "Hacker" deinen Nickname, wenn dein Passwort durch entsprechenden Link geändert wurde?

larsibär · Beitrag von **larsibär** » 12. Jan 2007, 22:11

Einfaches Bespiel:

Ein unbedarfter Spieler klickt aus langeweile auf ein Profil, in diesem Profil steht ein Link zum "Gästebuch". Er trägt sich in dem Gästebuch ein. In dem Moment ist die E-Mailadresse von seinem Account geändert worden.
Ich weiß von meinem Gästebuch (ohne dieses "Feature

dass die meisten sich mit ihrem Spielernamen eintragen, also kenne ich das Login und der Account läuft mit meiner E-Mailadresse ... das Passwort kann ich mir dann zusenden lassen.

Passwort ändern geht auf diese Weise nicht, da man dafür erst das altes Passwort kennen muss. Bei den meisten Seiten ist dies auch beim E-Mailadresse ändern nötig

Estron Dekal · Beitrag von **Estron Dekal** » 12. Jan 2007, 22:14

larsibär hat geschrieben:Passwort ändern geht auf diese Weise nicht, da man dafür erst das altes Passwort kennen muss. Bei den meisten Seiten ist dies auch beim E-Mailadresse ändern nötig

Und welche Relevanz hat das dann hier?

Ich bezeichne User als DAUs, die unbedarft auf jeden Link klicken...

larsibär · Beitrag von **larsibär** » 12. Jan 2007, 22:16

deutlicher geworden, was das hier zu suchen hat?

Estron Dekal · Beitrag von **Estron Dekal** » 12. Jan 2007, 22:21

Estron Dekal hat geschrieben:
larsibär hat geschrieben:Passwort ändern geht auf diese Weise nicht, da man dafür erst das altes Passwort kennen muss. Bei den meisten Seiten ist dies auch beim E-Mailadresse ändern nötig
Und welche Relevanz hat das dann hier?

Ich bezeichne User als DAUs, die unbedarft auf jeden Link klicken...

Hat mich etwas verwirrt, entschuldige.

//

Na gut, und selbst, wenn in FW nicht, dieses Bankpasswort würde man so entweder auch irgendwie bekommen können (mit verändertem, eigenem Passwort und veränderter, eigener E-Mail) oder es würde zu Massenhaft Beschwerden kommen, weil ganz normale DAUs ihre Bankpasswörter vergessen haben und es keine "Neues zuschicken"-Funktion gibt.

larsibär · Beitrag von **larsibär** » 12. Jan 2007, 22:24

Zu ner Bank kannst du hin laufen, bzw. bekommst deine neuen TANs per Post ...
-.- und führe mich nicht in versuchung, sonst probier ich gleich doch mal mit JavaScript/VBScript rum ^^

Estron Dekal · Beitrag von **Estron Dekal** » 12. Jan 2007, 22:35

larsibär hat geschrieben:Zu ner Bank kannst du hin laufen, bzw. bekommst deine neuen TANs per Post ...
-.- und führe mich nicht in versuchung, sonst probier ich gleich doch mal mit JavaScript/VBScript rum ^^

Wäh? Seit wann ist von TANs die Rede? Ich habe den Thread hier zwar durchgelesen, aber nichts in Richtung TAN entdeckt. Wobei ich ne TAN sowieso blöd fände. Für jedes verschiedene Item nen einzelnen Code? Nein danke. Und per Post? Ingame-Post? RL-Post? Was meinst du damit?

Frontschwein · Beitrag von **Frontschwein** » 12. Jan 2007, 22:42

ähh... ich glaube jeder der einen spiegel der maha besitzt ( mit doppelschutz^^) lässt den nciht in schließfach liegen, sogesehen hat er uach was davon wenn man nicht ins schließfach kommt

also: Definitiv Dagegen

auch wenn es ein tick sicherer wäre hätte ich keine lust immer das passwort einzugeben....

larsibär · Beitrag von **larsibär** » 12. Jan 2007, 22:44

ups ^^ jetzt hab ich hier was verpeilt

Ich hab jetzt mit "bankpasswort" ne Real-Life Bank und Onlinebanking verknüpft und dachte du wolltest meinen einwand ins lächerliche ziehen

Estron Dekal · Beitrag von **Estron Dekal** » 12. Jan 2007, 22:48

larsibär hat geschrieben:ups ^^ jetzt hab ich hier was verpeilt
Ich hab jetzt mit "bankpasswort" ne Real-Life Bank und Onlinebanking verknüpft und dachte du wolltest meinen einwand ins lächerliche ziehen

Nee, bei argumentiv (Gibts das Wort? Wenn nicht, dann jetzt ja.) richtigen, von mir logisch nachvollziehbaren Einwänden ziehe ich nichts ins Lächerliche, ausser Sonntags zwischen 18:00 und 20:00 Uhr

kane · Beitrag von **kane** » 13. Jan 2007, 02:21

schwachsinn, weil:

IRGENDWANN muss jeder mal lernen, dass 4-zeichen-passwörter nicht sicher sind und passwort-diebe immer unterwegs sind.

wenn ein spieler das vor freewar gelernt hat, wird er nicht gehackt.
lernt er es während freewar, dann steigen zumindest seine chancen, dass niemals jemand durch phishing seine bankkonten leerräumt oder sich in dessen email-konto hackt.
für leute die das nach freewar lernen ist die regelung genauso irrelevant wie für die, die es davor lernen.

insofern erhöht dieser scutz nur das risiko, später umso fatalere verluste zu erleiden.
und die user leiden alle unter diesen dummen zahlenkombis.

sollen die leute doch EINMAL selbst nachdenken und LERNEN - warum sollen das immer andere für einen tun?

www.freewar.de

Was gegen Acc Hacking unternehmen?

Kennwortschutz für das Schließfach?

Wer ist online?