Passwortsicherheit -> niemals ein Passwort doppelt nutzen

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Antworten
Benutzeravatar
mgutt
Mitglied
Beiträge: 2999
Registriert: 31.08.2004 16:44
Wohnort: Hennef
Kontaktdaten:
Kontaktdaten von mgutt

Passwortsicherheit -> niemals ein Passwort doppelt nutzen

Beitrag von mgutt »

Einen aktuellen Hinweis meinerseits:

Ich bin gerade auf der Jagd nach einem Hacker, d.h. ich ermittle verdeckt in diversen Hackerforen. Dabei sind mir einige Dinge bekannt geworden, die gerade die Passwort-Situation in Internetforen betrifft.

Die Hacker hacken zumeist keine Foren, damit sie die Benutzer verkaufen können, um sie anzuspammen, sondern sie versuchen ALLE Passwörter zu knacken (an Hand von MD5-Datenbanken). Danach gehen sie hin und connecten sich mit (nur die beliebtesten aufgeführt):

- Paypal (über die im Forum hinterlegte Emailadresse)
- eBay (manche Foren haben den eBaynamen im Profil hinterlegt, wenn nicht wird simpel der Username im Forum probiert)
- Amazon (wieder Emailadresse)
- ICQ (wenn sie im Profil hinterlegt war) und andere Messengerdienste
- Bankkonten (es gibt Onlinebanking-Anbieter, die z.B. Loginnamen = Username haben. Im Härtefall werden aber auch private Nachrichten studiert, um an Kontonummern = Loginname zu kommen)

Die Accounts werden danach verkauft. Es gibt spezielle Seiten wo Hacker Accounts z.B. versteigern. Hierdrüber werden dann Waren gekauft oder verkauft. Auch wird ab und zu mal das Paypal-Konto leergeräumt. Aber Hauptziel ist es mit fremden Daten Waren zu bestellen und sich zuliefern zu lassen. Wie die Hacker dann an die Ware kommen führe ich nicht aus, aber ich kann Euch sagen, dass viele davon sehr gut leben können.

Insbesondere wbb 2.* und phpbb 2.* sind auf Grund ihres Einsatzes von schlichtem MD5-codierten Passwörtern Angriffsziele. Bei phpbb3, wbb3 und vbulletin habe ich noch nichts in dieser Richtung vernommen, aber es gibt simple Tricks trotzdem an die Passwörter zu kommen. Sobald der Hacker die Seite eingenommen hat, verändert er die Scripte so, dass die Passwörter aus den Logins in Klarschrift gespeichert werden. Daher sind viele Angriffe erst nach langer Zeit publik geworden. Hier wartet der Hacker einfach so lange bis genug Daten zusammen gekommen sind oder er macht es einfach niemals publik, dass er den Zugriff hat.

Also noch mal an alle Community-Nutzer:
Bitte nutzt bei JEDER Seite ein anderes Passwort. Auch wenn es nur um wenige Zeichen differiert, so wird der Login-Versuch der Hacker jedes mal scheitern und euer Account bleibt sicher. Lasst euch entweder ein System einfallen, dass ihr euch leicht merken könnt (ich führe jetzt absichtlich keines aus) oder macht es wie ich und notiert euch handschriftlich die Passwörter. Hinweis: Alle Passwörter unter 8 Zeichen sind innerhalb von einem Tag zu knacken, wenn sie nur aus kleinen Buchstaben und Zahlen bestehen. Noch einfacher wird es, wenn das Passwort zu einem der häufig genutzten Passworten zählt z.B. Wörter aus Wörterbüchern.
meine Foren: http://www.maxrev.de/communities.htm
Ich kaufe Dein Forum! Angebote bitte an marc at gutt punkt it
Nach oben
Antworten

Zurück zu „Community Talk“