Passwortknacker für phpBB?

sunnyday · Beitrag von **sunnyday** » 19.05.2005 18:31

ein ganz bestimmtes Mitglied in meinem Forum ist anscheinend seit einiger Zeit Opfer von Hackerangriffen.

Vor einiger Zeit wurde ihr Geburtsdatum einfach geändert. Heute schrieb sie mir, dass ihre PN's gelesen und an Mitglieder eines anderen Forums in Frankreich weitergeleitet wurden.

Sie teilte mir heute mit, dass sie erfahren habe, dass es für das phpBB einen Passwortknacker oder -generator gibt und jemand es wohl auf ihren Account abgesehen hat. Den Verdachte hatte ich auch, nachdem sie mir von so einigen Vorfällen berichtet hat.

Was ist das für ein Teil und wie kann man sich davor schützen? Wenn dieses Programm eingesetzt wird, ist ja eigentlich kein Account in meinem Board mehr sicher. Kann man denjenigen ausfindig machen, der in anderen Accounts spioniert?

pokepika · Beitrag von **pokepika** » 19.05.2005 18:42

die Passwörter beim phpBB werden mit md5 verschlüsselt. md5 ist nicht umkehrbar, d.h. man könnte, wenn man das verschlüsselte Passwort hat, nur durch blosses Testen (sogenanntes BruteForce) das unverschlüsselte Passwort bekommen.
Da das aber je nach Länge des Passworts _sehr_ (!!) lange dauern kann, ist es sehr unwahrscheinlich, dass ein solcher "Passwortknacker" existiert.

Ich kann dir und deinen Mitgliedern eigentlich nur raten, die Passwörter (bei dir insbesondere auch Datenbank und Server-Administrator) zu ändern.

Beitrag von **andreasOymann** » 19.05.2005 18:44

http://www.phpbb.de/doku/kb/artikel.php?artikel=78

larsneo · Beitrag von **larsneo** » 19.05.2005 18:52

sunnyday hat geschrieben:[...]Vor einiger Zeit wurde ihr Geburtsdatum einfach geändert.

ist das nicht der traum der meisten frauen *SCNR*

spass beiseite: versionen *vor* 2.0.15 sind anfällig gegenüber einer ganzen reihe (leider teilweise recht gut dokumentierter) sicherheitsschwachstellen. mit einer aktuellen version (und natürlich auch entsprechend sicheren mods) sollte der spuk eigentlich vorbei sein.

weisnet · Beitrag von **weisnet** » 19.05.2005 18:54

Es gibt noch einen anderen Weg. Allerdings müsste der Hacker Daten aus der Datenbank auslesen können!

Beitrag von **tas2580** » 19.05.2005 19:06

die Passwörter beim phpBB werden mit md5 verschlüsselt. md5 ist nicht umkehrbar, d.h. man könnte, wenn man das verschlüsselte Passwort hat, nur durch blosses Testen (sogenanntes BruteForce) das unverschlüsselte Passwort bekommen.
Da das aber je nach Länge des Passworts _sehr_ (!!) lange dauern kann, ist es sehr unwahrscheinlich, dass ein solcher "Passwortknacker" existiert.

Stimmt nicht ganz, ein MD5 Hash ist immer 32 Zeichen lang egal ob du nur einen Buchstaben oder ein ganzen Satz verschlüsselst. D.h. es gibt zu jedem MD5 Hash mehere Klartextwörter, die länge des Passworts ist also egal, es gibt eh ein anderes Wort das den gleichen MD5 Wert hat und somit als Passwort gültig ist.
Trozdem bleiben 32^36 Möglichkeiten was auch für Brute Force sehr viel ist.

Beitrag von **itst** » 19.05.2005 20:23

Auf jeden Fall sollte man einen solchen Angriff abwehren können. Entweder direkt auf dem Server, oder mit einem MOD wie diesem: http://phpbbhacks.com/download/880

Beitrag von **andreasOymann** » 19.05.2005 20:32

... und wem MD5 nicht ausreicht, kann umstellen auf sha1: http://www.phpbb.com/phpBB/viewtopic.php?t=291313

A.

fanrpg · Beitrag von **fanrpg** » 19.05.2005 20:36

Aber man könnte auch die ganze Verschlüsselung rausnehmen, so hätte dann jeder der Zugriff auf die DB hat das unverschlüsselte Passwort

larsneo · Beitrag von **larsneo** » 19.05.2005 21:05

@andreas: thx für den link

phpBB.de

Passwortknacker für phpBB?

Passwortknacker für phpBB?

Re: Passwortknacker für phpBB?