Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Antworten
Benutzeravatar
ThoRr
Mitglied
Beiträge: 28
Registriert: 01.05.2007 10:26
Wohnort: Münster

Beitrag von ThoRr »

Kann man ein 8stelliges MD5-Passwort mit Zahlen und Buchstaben entschlüsseln?
Nach oben
Turuex
Mitglied
Beiträge: 9
Registriert: 19.11.2007 03:29
Wohnort: Zürich

Beitrag von Turuex »

Kellergeist2 hat geschrieben:
Turuex hat geschrieben:[...] aber im nachhinein wäre es echt informativ, zumal die meisten user hier selbst ja auch phpbb verwenden, und vermutlich auch neugierig sind, wo wie und was pasiert ist, und ob das bei ihnen auch passiert. [...]
Ich bin mir sicher, dass das phpBB.de-Team auch diese Information nachträglich zur Verfügung stellen wird.
Immerhin haben sie auch sofort die Existenz einer solchen (bereits behobenen) Lücke bekanntgegeben.

Jedoch sollten wir nicht schon Morgen oder Übermorgen nachfragen, da die Ermittlungen etwas länger dauern können/werden.

Zu gegebener Zeit wird das Team sicher einen Nachtrag zu der Ankündigung schreiben.

Nur Geduld.
das ist klar.
wow, der erste der mich nicht gleich ankackt, und mir sagt, dases nicht an phpbb liegt ;)
danke.

ich lasse mir gerne zeit, aber diese infos sind viel wert.
:)
und jetzt weiss ich, das ich bei phpbb.de am richtig ort bin, da sind wenigstens leute, die n angriff bemerken ;)
Nach oben
Benutzeravatar
nehcregit
Mitglied
Beiträge: 599
Registriert: 11.07.2002 20:59
Wohnort: Egelsbach
Kontaktdaten:
Kontaktdaten von nehcregit

Beitrag von nehcregit »

Schorschi hat geschrieben:Muss ich mir Sorgen über noch mehr Spam machen?
Im schlimmsten Falle ja, denn deine E-Mail-Adresse geistert durchs Netz. Ich würde sie stilllegen und mir eine neue anlegen.

Ihr müsst euch im Klaren sein, dass niemand derzeit weiß, was mit den nun offenen Daten geschieht. Momentan ist da viel denkbar.
SMFPortal.de - Deutscher Simple Machines Forum Support
Nach oben
HIMO

Beitrag von HIMO »

...ist nicht sowieso alles zu spät und der Inhalt der hier angegeben @mail-Adresse sowieso schon ausgelesen ? - @Mail-Adresse beerdigen ?,
oder was ist jetzt Sinnvolles zu tun ?
...mmh
Nach oben
FCM
Mitglied
Beiträge: 1863
Registriert: 03.05.2006 14:47
Kontaktdaten:
Kontaktdaten von FCM

Beitrag von FCM »

mr. gamesbay hat geschrieben:
FCM hat geschrieben:
mr. gamesbay hat geschrieben:Von welches Sicherheitslücke wird nun geredet?
Schön, es lag nicht an phpBB Forum, aber an was lag es?!
Könnt ihr uns bitte endlich mehr infos geben.
Geh mal auf Seite ... ähm ... achja, geh auf Seite 21 und mach deine Augen auf. Am besten liest du dir die Seite von Anfang an durch.
Hier werden im Minutentakt nachrichten geschrieben als ich vorhin auf Antwort geklickt habe, war die msg. noch nicht da.

Danke für die Info.
Achso, entschuldigung. Zu spät ist es nicht, jetzt werden Gegenmaßnahmen getroffen. Sicherheitslücken gefixt, die Benutzer ändern die Passwörter usw.
Nach oben
Benutzeravatar
mgutt
Mitglied
Beiträge: 2999
Registriert: 31.08.2004 16:44
Wohnort: Hennef
Kontaktdaten:
Kontaktdaten von mgutt

Re: Infos

Beitrag von mgutt »

Christophe hat geschrieben:
Turuex hat geschrieben:Ich selbst verwende 4 PHPBB2 Boards, welche alle über eine gemeinsamme Usertabelle verfügen.
(...)
zumal ich mir ein bisschen sorgen jetzt mache, um meine foren.
Wenn dir die Sicherheit der Passwörter am Herzen liegt, d.h. der Aufwand, den man betreiben muss um an ein Passwort zu gelangen, nachdem der Server kompromittiert wurde, dann würde ich auf phpBB3 umsteigen. Die Passwortsicherheit hat sich dort um einiges erhöht.
Ich habe mir die Funktion mal angeschaut. Derzeit verstehe ich nicht den Sinn darin den Salt bzw. die MD5 Funktion x mal zu generieren und zurückrechnen zu können etc.

Faktisch geht es doch nur darum einen zufälligen String dem Passwort hinzuzufügen, damit der md5-String in der Datenbank alleine nicht nützlich ist.

Kann mir mal jemand die Mehrsicherheit dahinter erklären?
meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Nach oben
Christophe
Mitglied
Beiträge: 7
Registriert: 26.02.2004 17:55

Beitrag von Christophe »

ThoRr hat geschrieben:Kann man ein 8stelliges MD5-Passwort mit Zahlen und Buchstaben entschlüsseln?
Ja. Ohne große Zeitverzögerung. (Sofern du das Rekonstruieren eines Passwortes meinst, dessen MD5-Hash vorliegt)
Nach oben
Ilinsekt
Mitglied
Beiträge: 14
Registriert: 29.05.2006 14:42

Beitrag von Ilinsekt »

Für Spam empfiehlt sich www.spamgourmet.com . Kannte ich leider nicht, als ich mich hier angemeldet habe. Hab aber bis jetzt noch nichts gekriegt. Ich denke, die spammen erstmal die User mit den meisten Beiträgen zu.
Nach oben
Benutzeravatar
mr. gamesbay
Mitglied
Beiträge: 313
Registriert: 13.01.2003 10:08
Wohnort: Meran

Beitrag von mr. gamesbay »

FCM hat geschrieben: Achso, entschuldigung. Zu spät ist es nicht, jetzt werden Gegenmaßnahmen getroffen. Sicherheitslücken gefixt, die Benutzer ändern die Passwörter usw.
Kein Thema, die Gemüter hier sind zurzeit ein wenig erregt. ^^
Nach oben
Boecki91
Ehemaliges Teammitglied
Beiträge: 4744
Registriert: 18.06.2006 15:21

Beitrag von Boecki91 »

ThoRr hat geschrieben:Kann man ein 8stelliges MD5-Passwort mit Zahlen und Buchstaben entschlüsseln?
:D
MD5 Hashs sind immer 32 Stellig. Egal wie groß die Ursprungswerte waren.

Generell kann man jedes Passwort herrausbekommen, man muss es nur oft genug probieren. Bei Buchstaben Zahlen-Kombis hat man 26 +26+ 10 = 64 Möglichkeiten pro Stelle also 64hoch8 Möglichkeiten, das entspricht 281.474.976.710.656 Möglichkeiten die du alle ausprobieren müsstest um das Passwort Garantiert zu haben. Jedoch kann schon der 5 Versuch der Volltreffer sein.

Je länger, abstrakter und komplizierter ein Passwort ist um so länger dauert die "Ausprobier"-Variante
Standart: Am besten mit beiden Beinen auf dem Boden
Standardmäßig antworte ich nicht auf PMs
Nach oben
Antworten

Zurück zu „Community Talk“