Diebe auf Atys!

Allgemeine Themen und Diskussionen rund um Saga Of Ryzom und die fantastische Welt von Atys.

Moderators: Boar, Orphanus

Post Reply
User avatar
darkjojo178
Posts: 15
Joined: Sun Apr 01, 2007 4:39 am

Re: Diebe auf Atys!

Post by darkjojo178 »

khyle wrote:...was schon durch eine größere Länge als 5-8(!) Zeichen deutlich erschwert würde - Paßwörter mit acht Zeichen sind nicht mehr wirklich zeitgemäß, von fünf ganz zu schweigen.
Ich weiß ja nicht, wie schnell der Loginserver von Ryzom antwortet, aber das sollte sowieso schon ewig dauern, wenn man bedenkt, dass das alles über das Internet geht... BF ist ja schön und gut, aber eigentlich nur für lokal gespeicherte Inhalte wirklich sinnvoll.
Mixi
User avatar
barbaros
Posts: 84
Joined: Fri Dec 24, 2004 5:29 pm

Re: Diebe auf Atys!

Post by barbaros »

Zum Bruteforce gehören z.B. auch Wörterbuchangriffe.

Was ich damit sagen wollte ist, dass es entgegen der Behauptung im Text, sehr sinnvoll ist sein Passwort zu überprüfen und gegebenfalls durch ein sicheres und auch "einzigartiges" (ein eigenes für Ryzom, E-mail usw.) zu ersetzen.

http://de.wikipedia.org/wiki/Passwort#Wahl_von_sicheren_Kennw.C3.B6rtern
User avatar
darkjojo178
Posts: 15
Joined: Sun Apr 01, 2007 4:39 am

Re: Diebe auf Atys!

Post by darkjojo178 »

barbaros wrote:Was ich damit sagen wollte ist, dass es entgegen der Behauptung im Text, sehr sinnvoll ist sein Passwort zu überprüfen und gegebenfalls durch ein sicheres und auch "einzigartiges" (ein eigenes für Ryzom, E-mail usw.) zu ersetzen.
Ein sicheres Passwort ist eigentlich immer sinnvoll, aber ich will nur darauf hinweisen, dass, falls das was sie dort schreiben der Wahrheit entspricht, ein sicheres Passwort nichts geholfen hätte.
Mixi
User avatar
barbaros
Posts: 84
Joined: Fri Dec 24, 2004 5:29 pm

Re: Diebe auf Atys!

Post by barbaros »

Eine Kompromittierung der Datenbank kann man eigentlich ausschließen da die Passwörter nicht im Klartext abgelegt werden sondern nur der Hashwert von diesen. Eine Rekonstruktion des Passworts aus diesem Hashwert ist, selbst mit den passenden "Regenbogentabellen", mehr als schwierig.

Wahrscheinlicher ist der Wörterbuchangriff oder der Einsatz eines Keyloggers oder ähnlichem, wobei ich persönlich auch das für zu kompliziert erachte.

Vorstellen könnte ich mir die Kompromittierung durch einen Drittanbieter wie ein Spielerforum oder eine Gildenseite mit einer Sicherheitslücke, da gibt es genug Exploits zum herunterladen. Hier sollte man auch auf einzigartige Passwörter achten.
User avatar
darkjojo178
Posts: 15
Joined: Sun Apr 01, 2007 4:39 am

Re: Diebe auf Atys!

Post by darkjojo178 »

barbaros wrote:Eine Kompromittierung der Datenbank kann man eigentlich ausschließen da die Passwörter nicht im Klartext abgelegt werden sondern nur der Hashwert von diesen. Eine Rekonstruktion des Passworts aus diesem Hashwert ist, selbst mit den passenden "Regenbogentabellen", mehr als schwierig.
OK, wenn nur die Hashwerte gespeichert werden, dann ist es auch mir ein Rätsel, wie sie an die Passwörter gekommen sind. Um das nachzuprüfen müsste man einfach mal die Funktion für vergessene Passwörter nutzen. Wenn es dir ein Klartextpasswort liefert kann es nicht nur der Hashwert sein, der gespeichert wurde...
Mixi
User avatar
khyle
Posts: 466
Joined: Sun Feb 06, 2005 9:53 am

Re: Diebe auf Atys!

Post by khyle »

darkjojo178 wrote:
barbaros wrote:Eine Kompromittierung der Datenbank kann man eigentlich ausschließen da die Passwörter nicht im Klartext abgelegt werden sondern nur der Hashwert von diesen. Eine Rekonstruktion des Passworts aus diesem Hashwert ist, selbst mit den passenden "Regenbogentabellen", mehr als schwierig.
OK, wenn nur die Hashwerte gespeichert werden, dann ist es auch mir ein Rätsel, wie sie an die Passwörter gekommen sind. Um das nachzuprüfen müsste man einfach mal die Funktion für vergessene Passwörter nutzen. Wenn es dir ein Klartextpasswort liefert kann es nicht nur der Hashwert sein, der gespeichert wurde...
...und hier kommt brute force ins Spiel.
Last edited by khyle on Fri Oct 17, 2008 10:06 am, edited 1 time in total.
Reason: barbaros' quote eingefügt
The only MMORPG in which you bash each other with wooden swords exclusively.
User avatar
darkjojo178
Posts: 15
Joined: Sun Apr 01, 2007 4:39 am

Re: Diebe auf Atys!

Post by darkjojo178 »

khyle wrote:...und hier kommt brute force ins Spiel.
Was aber theoretisch ziemlich lange gedauert haben müsste... Von Seiten SW würde ich dann ein 30minütige Loginsperre nach 3 Fehlversuchen machen (IP-basiert, damit der Spieler nicht das nachsehen hat, wenn jmd. 3x auf seinem Account die falschen Logindaten verwendet).
Mixi
User avatar
khyle
Posts: 466
Joined: Sun Feb 06, 2005 9:53 am

Re: Diebe auf Atys!

Post by khyle »

darkjojo178 wrote:Was aber theoretisch ziemlich lange gedauert haben müsste...
Nicht, wenn die Datenbank-Hashwerte lokal vorliegen (mein voriger post war eigentlich darauf gemünzt, siehe edit)
The only MMORPG in which you bash each other with wooden swords exclusively.
User avatar
darkjojo178
Posts: 15
Joined: Sun Apr 01, 2007 4:39 am

Re: Diebe auf Atys!

Post by darkjojo178 »

khyle wrote:Nicht, wenn die Datenbank-Hashwerte lokal vorliegen (mein voriger post war eigentlich darauf gemünzt, siehe edit)
Also über BF die lokal gespeicherten Hashwerte sozusagen "entschlüsseln"? Dazu fällt mir nur ein, die Daten auf dem Server zu verschlüsseln (also das Richtige ohne Anführungszeichen) und somit ohne das richtige Keyfile/Passwort auch keine Rekonstruktion der Passwörter möglich zu machen, oder irre ich mich?
Mixi
User avatar
zerotacg
Posts: 660
Joined: Fri Jan 28, 2005 10:26 am

Re: Diebe auf Atys!

Post by zerotacg »

die passwörter werden nich "verschlüsselt" sondern via crypt wird ein hash generiert (Hash-Funktion)
und von dem Hash aufs Passwort zu kommen ist normalerweise nicht lecht, wobei die Crypt funktion selbst wohl nich so toll is, ich bin aber kein Kryptographiemensch also ka wies hacktechnisch drum aussieht.

allgemein:
wenn man dann bedenkt das foren und game login gleich sind und das zb ganz unten auf dieser Seite die vBulletin Version steht, braucht man ja nur mal googlen obs zu der Version bugs/exploits gibt.

Und wenn ich mich recht entsinne braucht man zum einloggen ins Spiel nur den Hash und nicht das eigentliche passwort. Und im NeL source kann man sich sogar den Webteil vom Login ins Spiel anschaun.
¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ Zerotacg ¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦
Server: Leanon, Gilde: Silberdrachen
Image Upload
IRC: [url=irc://irc.quakenet.org/#ryzom.de]irc://irc.quakenet.org/#ryzom.de[/url]
Jena saves,
Ma`Duk does incremental Backups.
Post Reply

Return to “Allgemeines”