Hacking

[Flaschengeist]

Hallo zusammen,

ich bekomme zurzeit mit, dass wieder verstärkt Hacker unterwegs sind. Diese ist zumindest in W9 der Fall. Ich bin glücklicherweise nicht betroffen.

Zu einen sollte jeder ein entsprechendes Passwort auswählen, dass nicht so einfach zu ermitteln ist, zu anderen ist ein regelmäßiger Passwortwechsel sinnvoll. Aber das ist ja alles nichts Neues.

Aber jetzt zu meinem Verbesserungsvorschlag. Nach der 3. Falschanmeldung sollte die Anmeldung geblockt werden. Eine Freischaltung des Accounts sollte nur über eine Freischaltungsfunktion erfolgen. Diese sollte vergleichbar mit dem Anfordern des Passwortes funktionieren, d.h. es kommt der entsprechende Besitzer des Account eine Email, z.B. mit einem entsprechendem Freischaltlink. Die Wahrscheinlichkeit, dass das Emailkonto auch gehackt ist denke sehr gering.
Ein solches Vorgehen wird in vielen Programmen (zum Teil auch gewerblicher Software) verwendet.

Den Aufwand für die Erstellung einer solchen Funktion kann ich leider nicht beurteilen, aber ich denke dieser Entwicklungsaufwand lohnt sich, da viele Spieler nach einer solcher Akttake die Lust am Spiel verlieren.

Gruß Geisti

[Alanthir Rimthar]

99% der angeblich "gehackten" Personen haben entweder ein unsicheres Passwort gewählt oder ihr Passwort weitergegeben (z. B. an einen Sitter).

Daher halte ich auch diese Funktion für sinnlos, da ein echter Hacker nur einen Versuch braucht und nicht drei, da er das Passwort ja aus der DB hat. Führt nur dazu dass Leute die andere Ärgern wollen immer nur Falscheingaben machen, damit das Opfer den Account wieder freischalten muss.

Wählt sichere Passwörter, notiert sie nirgendwo (oder nur an einem sicheren Ort und am besten verschlüsselt) und gebt sie an niemanden weiter!

[Sotrax]

Übrigens wird der Zugang erstmal geblockt, wenn man zu oft ein falsches PW eingibt.

Wichtig ist halt, dass die eigenen Emails absolut sicher sind, sowie das gewählte PW.

[Flaschengeist]

Alanthir Rimthar Du hat mit Sicherheit recht, dass sehr viele an dem Hacking selbst Schuld sind, aber ich bezweifele das es sich hierbei um 99% handelt.

Z.B. die SAP setzt eine solche Funktion bei ihren Programmen ein und ich denke die haben sich schon was dabei gedacht. Und im Gegensatz hier zu ist die Freischaltung wesendlich einfacher.

Wenn ein Hacker die Passworte von einer DB beschaffen könnte, brauchen wir uns an dieser Stelle nicht weiter über Sicherheit unterhalten. Zum ersten sollte die Server so abgesichert sein, dass keine Zugriff von unbefugten möglich ist. Zum weitern sind diese Daten (Passwörter) normaler Weise verschlüsselt. Hier kann ich nur au meinen beruflichen Erfahrungen sprechen.

Sotrax wenn bereits eine solche sperre existiert, wie viel Fehlversuchen wirkt sie sich aus?
Ich hatte bis her noch keine Sperre, obwohl ich vor ein paar Tagen mit meiner Tastatur ein Problem hatte (ein Zeichen hat gehackt) und einige Fehlversuche verursacht habe.

Ich persönlich hätte kein Problem mit einer Sperre, da mein Email sehr sicher ist. Und hier auch in der Regel ein Passwortwechsel alle 4 bis 8 Wochen erfolgt.

[Kiryl del Osyon]

Papi? Muss ich mir grad sorgen machen um meinen w9-acc?

[Hurdock]

Alanthir Rimthar Du hat mit Sicherheit recht, dass sehr viele an dem Hacking selbst Schuld sind, aber ich bezweifele das es sich hierbei um 99% handelt.

Stimmt, es dürften 100% sein, da es kein vernünftiger Hacker nötig hat, sich gm in einem Onlinegame zu ergaunern.

Z.B. die SAP setzt eine solche Funktion bei ihren Programmen ein und ich denke die haben sich schon was dabei gedacht. Und im Gegensatz hier zu ist die Freischaltung wesendlich einfacher.

Ich hab zwar jetzt keine genaue Vorstellung davon, was SAP sein soll, aber vielleicht ist es da viel wichtiger, dass sowas nicht passieren kann.

Wenn ein Hacker die Passworte von einer DB beschaffen könnte, brauchen wir uns an dieser Stelle nicht weiter über Sicherheit unterhalten. Zum ersten sollte die Server so abgesichert sein, dass keine Zugriff von unbefugten möglich ist. Zum weitern sind diese Daten (Passwörter) normaler Weise verschlüsselt. Hier kann ich nur au meinen beruflichen Erfahrungen sprechen.

Stimmt, es sollte so gut wie unmöglich sein (für jeden FW Spieler), sich in die DB einzuhacken und Passwörter zu klauen.

[Flaschengeist]

@Finü, braucht Dir keinen Kopf machen. Bist nicht betroffen

[Kiryl del Osyon]

Gut das haette mich auch gewundert xD

Mal als Tipp an alle die sich ein PW erstellen wollen.

Nehmt euch Kombinationen aus dingen die andere nicht kennen also Z.B. ist euer Handz-Pin 7561 und euer lieblings-Bier Duff - Dann nehmt doch als Passwort D7u5f6f1 --> Das ist ein PW das kaum ein Laie knacken wird. 8 Zeichen sind auch einfach zu merken.

Wenn ihr versuchen wollt meine acc's zu knacken dann seid ihr an der falschen adresse denn meine PW's haben alle zwischen 8 und 20 Zeichen, bestehen aus Zahlen und klein/gross-Buchstaben.
Des weiteren wuerde es sich Empfehlen Sonderzeichen im Passwort anzubringen denn uevberlegt mal wenn man bei dem oben genannten Beispiel vorne und hinten ein "*" hinmachen wuerde dann ist das PW schon wieder viel schwieriger zu knacken (*D7u5f6f1*). Wenn ihr solche Tipp's befolgt geht ihr eig. immer aus Nummer sicher aber garnie empfiehlt es sich z.B. das eigene geburtsdatum zu nehmen (bei mir 29.9.1991) denn dann muss ich nur einmal sagen "ich hab heut b-day und werde XY jahre alt" und dann hat der andere eig. alles was er wissen muss fuer dein PW...!

[Latzhosenträger]

Die Passwörter sind doch sowieso mindestens MD5 verschlüsselt in der DB; selbst wenn man die da auslesen könnte, weil man die DB gehackt hat, würde es Wochen dauern, das zu entschlüsseln. Aber glaubt ihr echt, dass jemand Accounts knacken würde, wenn er DB Zugriff hat? Dann kann er sich auch einfach 999.999.999.999 GM geben...

Niemand wird einen Account hacken, wenn er DB Zugriff hat.

99% aller Hacker haben das Passwort ganz einfach gesagt bekommen.
Der Rest hat das Passwort auch durch Phishing, aber eben über andere Wege (Webseiten, Clanforen etc.)

[tanine]

Z.B. die SAP setzt eine solche Funktion bei ihren Programmen ein und ich denke die haben sich schon was dabei gedacht. Und im Gegensatz hier zu ist die Freischaltung wesendlich einfacher.

Jap. Etwas dabei gedacht, schon. Nur ist Freewar auf einer ganz anderen Ebene angeordnet als SAP. Und bei SAP spielen im Uebrigen dann auch psychologische Dinge mit (Wirkung auf Endverbraucher, Laws of Simplicity, Common Sense in Wirtschaft). Der Vergleich hinkt also.

Und im Gegensatz zu SAP hat es Freewar grossteils tatsaechlich mit pupertierenden Verbrauchern zu tun, sodass die Gefahr des Missbrauchs einer Funktion wie dieser weit groesser ist als der potentielle Nutzen (zu dem ja bereits angemerkt wurde, dass ein Grossteil der "Hacks" direkte Passwortweitergaben an Sitter oder Betrueger sind).

[Assasini]

toll...dann kann ich leute die ich nicht mag sperren ^.-

[Piru]

Find ich gut, dann baue ich mir einen Bot, der den Zugang von Spielern, die ich nicht mag, instant blockiert, indem er den Login mit zufälligen Passwörtern zu dem Nutzernamen überflutet
Dafür

[Flummi]

indem er den Login mit zufälligen Passwörtern zu dem Nutzernamen überflutet

Na hoffentlich ist das IP-bezogen und nicht nach Account... Aber bei sicherheitstechnischen Fragen muss man bei Sotrax vom Schlimmsten ausgehen..

[Affen Fallen]

...aber denn noch alles sinnlos...
...denn wenn man es schaffen will, dann schafft man es auch...
...in sofern immer artig sein ...