phpBB.de

ein ganz bestimmtes Mitglied in meinem Forum ist anscheinend seit einiger Zeit Opfer von Hackerangriffen.

Vor einiger Zeit wurde ihr Geburtsdatum einfach geändert. Heute schrieb sie mir, dass ihre PN's gelesen und an Mitglieder eines anderen Forums in Frankreich weitergeleitet wurden.

Sie teilte mir heute mit, dass sie erfahren habe, dass es für das phpBB einen Passwortknacker oder -generator gibt und jemand es wohl auf ihren Account abgesehen hat. Den Verdachte hatte ich auch, nachdem sie mir von so einigen Vorfällen berichtet hat.

Was ist das für ein Teil und wie kann man sich davor schützen? Wenn dieses Programm eingesetzt wird, ist ja eigentlich kein Account in meinem Board mehr sicher. Kann man denjenigen ausfindig machen, der in anderen Accounts spioniert?

die Passwörter beim phpBB werden mit md5 verschlüsselt. md5 ist nicht umkehrbar, d.h. man könnte, wenn man das verschlüsselte Passwort hat, nur durch blosses Testen (sogenanntes BruteForce) das unverschlüsselte Passwort bekommen.
Da das aber je nach Länge des Passworts _sehr_ (!!) lange dauern kann, ist es sehr unwahrscheinlich, dass ein solcher "Passwortknacker" existiert.

Ich kann dir und deinen Mitgliedern eigentlich nur raten, die Passwörter (bei dir insbesondere auch Datenbank und Server-Administrator) zu ändern.

sunnyday hat geschrieben:[...]Vor einiger Zeit wurde ihr Geburtsdatum einfach geändert.

ist das nicht der traum der meisten frauen *SCNR*

spass beiseite: versionen *vor* 2.0.15 sind anfällig gegenüber einer ganzen reihe (leider teilweise recht gut dokumentierter) sicherheitsschwachstellen. mit einer aktuellen version (und natürlich auch entsprechend sicheren mods) sollte der spuk eigentlich vorbei sein.

Es gibt noch einen anderen Weg. Allerdings müsste der Hacker Daten aus der Datenbank auslesen können!

die Passwörter beim phpBB werden mit md5 verschlüsselt. md5 ist nicht umkehrbar, d.h. man könnte, wenn man das verschlüsselte Passwort hat, nur durch blosses Testen (sogenanntes BruteForce) das unverschlüsselte Passwort bekommen.
Da das aber je nach Länge des Passworts _sehr_ (!!) lange dauern kann, ist es sehr unwahrscheinlich, dass ein solcher "Passwortknacker" existiert.

Stimmt nicht ganz, ein MD5 Hash ist immer 32 Zeichen lang egal ob du nur einen Buchstaben oder ein ganzen Satz verschlüsselst. D.h. es gibt zu jedem MD5 Hash mehere Klartextwörter, die länge des Passworts ist also egal, es gibt eh ein anderes Wort das den gleichen MD5 Wert hat und somit als Passwort gültig ist.
Trozdem bleiben 32^36 Möglichkeiten was auch für Brute Force sehr viel ist.

Auf jeden Fall sollte man einen solchen Angriff abwehren können. Entweder direkt auf dem Server, oder mit einem MOD wie diesem: http://phpbbhacks.com/download/880

... und wem MD5 nicht ausreicht, kann umstellen auf sha1: http://www.phpbb.com/phpBB/viewtopic.php?t=291313

A.

Aber man könnte auch die ganze Verschlüsselung rausnehmen, so hätte dann jeder der Zugriff auf die DB hat das unverschlüsselte Passwort

@andreas: thx für den link