Ryzom

khyle wrote:...was schon durch eine größere Länge als 5-8(!) Zeichen deutlich erschwert würde - Paßwörter mit acht Zeichen sind nicht mehr wirklich zeitgemäß, von fünf ganz zu schweigen.

Ich weiß ja nicht, wie schnell der Loginserver von Ryzom antwortet, aber das sollte sowieso schon ewig dauern, wenn man bedenkt, dass das alles über das Internet geht... BF ist ja schön und gut, aber eigentlich nur für lokal gespeicherte Inhalte wirklich sinnvoll.

Zum Bruteforce gehören z.B. auch Wörterbuchangriffe.

Was ich damit sagen wollte ist, dass es entgegen der Behauptung im Text, sehr sinnvoll ist sein Passwort zu überprüfen und gegebenfalls durch ein sicheres und auch "einzigartiges" (ein eigenes für Ryzom, E-mail usw.) zu ersetzen.

http://de.wikipedia.org/wiki/Passwort#Wahl_von_sicheren_Kennw.C3.B6rtern

barbaros wrote:Was ich damit sagen wollte ist, dass es entgegen der Behauptung im Text, sehr sinnvoll ist sein Passwort zu überprüfen und gegebenfalls durch ein sicheres und auch "einzigartiges" (ein eigenes für Ryzom, E-mail usw.) zu ersetzen.

Ein sicheres Passwort ist eigentlich immer sinnvoll, aber ich will nur darauf hinweisen, dass, falls das was sie dort schreiben der Wahrheit entspricht, ein sicheres Passwort nichts geholfen hätte.

Eine Kompromittierung der Datenbank kann man eigentlich ausschließen da die Passwörter nicht im Klartext abgelegt werden sondern nur der Hashwert von diesen. Eine Rekonstruktion des Passworts aus diesem Hashwert ist, selbst mit den passenden "Regenbogentabellen", mehr als schwierig.

Wahrscheinlicher ist der Wörterbuchangriff oder der Einsatz eines Keyloggers oder ähnlichem, wobei ich persönlich auch das für zu kompliziert erachte.

Vorstellen könnte ich mir die Kompromittierung durch einen Drittanbieter wie ein Spielerforum oder eine Gildenseite mit einer Sicherheitslücke, da gibt es genug Exploits zum herunterladen. Hier sollte man auch auf einzigartige Passwörter achten.

barbaros wrote:Eine Kompromittierung der Datenbank kann man eigentlich ausschließen da die Passwörter nicht im Klartext abgelegt werden sondern nur der Hashwert von diesen. Eine Rekonstruktion des Passworts aus diesem Hashwert ist, selbst mit den passenden "Regenbogentabellen", mehr als schwierig.

OK, wenn nur die Hashwerte gespeichert werden, dann ist es auch mir ein Rätsel, wie sie an die Passwörter gekommen sind. Um das nachzuprüfen müsste man einfach mal die Funktion für vergessene Passwörter nutzen. Wenn es dir ein Klartextpasswort liefert kann es nicht nur der Hashwert sein, der gespeichert wurde...

darkjojo178 wrote:

barbaros wrote:Eine Kompromittierung der Datenbank kann man eigentlich ausschließen da die Passwörter nicht im Klartext abgelegt werden sondern nur der Hashwert von diesen. Eine Rekonstruktion des Passworts aus diesem Hashwert ist, selbst mit den passenden "Regenbogentabellen", mehr als schwierig.

OK, wenn nur die Hashwerte gespeichert werden, dann ist es auch mir ein Rätsel, wie sie an die Passwörter gekommen sind. Um das nachzuprüfen müsste man einfach mal die Funktion für vergessene Passwörter nutzen. Wenn es dir ein Klartextpasswort liefert kann es nicht nur der Hashwert sein, der gespeichert wurde...

...und hier kommt brute force ins Spiel.

khyle wrote:...und hier kommt brute force ins Spiel.

Was aber theoretisch ziemlich lange gedauert haben müsste... Von Seiten SW würde ich dann ein 30minütige Loginsperre nach 3 Fehlversuchen machen (IP-basiert, damit der Spieler nicht das nachsehen hat, wenn jmd. 3x auf seinem Account die falschen Logindaten verwendet).

darkjojo178 wrote:Was aber theoretisch ziemlich lange gedauert haben müsste...

Nicht, wenn die Datenbank-Hashwerte lokal vorliegen (mein voriger post war eigentlich darauf gemünzt, siehe edit)

khyle wrote:Nicht, wenn die Datenbank-Hashwerte lokal vorliegen (mein voriger post war eigentlich darauf gemünzt, siehe edit)

Also über BF die lokal gespeicherten Hashwerte sozusagen "entschlüsseln"? Dazu fällt mir nur ein, die Daten auf dem Server zu verschlüsseln (also das Richtige ohne Anführungszeichen) und somit ohne das richtige Keyfile/Passwort auch keine Rekonstruktion der Passwörter möglich zu machen, oder irre ich mich?

die passwörter werden nich "verschlüsselt" sondern via crypt wird ein hash generiert (Hash-Funktion)
und von dem Hash aufs Passwort zu kommen ist normalerweise nicht lecht, wobei die Crypt funktion selbst wohl nich so toll is, ich bin aber kein Kryptographiemensch also ka wies hacktechnisch drum aussieht.

allgemein:
wenn man dann bedenkt das foren und game login gleich sind und das zb ganz unten auf dieser Seite die vBulletin Version steht, braucht man ja nur mal googlen obs zu der Version bugs/exploits gibt.

Und wenn ich mich recht entsinne braucht man zum einloggen ins Spiel nur den Hash und nicht das eigentliche passwort. Und im NeL source kann man sich sogar den Webteil vom Login ins Spiel anschaun.