Ryzom

tomsen6 wrote:Achso, mal nebenbei. Das war nicht der erste Hack. Bereits vor einiger Zeit wurde der Account eines Spielers gehackt und sein Mainchar gelöscht. Allerdings scheint es ihm nicht daran zu liegen die Sache aufzuklären bzw. Stellung dazu zu nehmen. Von daher sollte jetzt nicht darauf eingegangen werden. Wollte nur sagen, dass das nicht der erste Fall von Accounthacking auf Atys ist.

Wenn ich mich recht entsinne waren, zumindest die öffentlich gewordenen Fälle, Dumbatzen die ihre PWs freiwillig rausgegeben hatten. *kopfschüttel*
Accountsharing ist schlicht doof.

Und da die Herren Freelancer uns ja jetzt "versprechen" das von ihnen sowas nicht mehr passiert und sie alle relevanten Daten an den Admin und die Devs gegeben haben, kann ich ihnen nur sagen:

Leute, was habt ihr denn bitte erwartet?
Das plötzlich alle Kamigilden ihren Anspruch auf OPs abgeben?
Das Kamispieler aufhören zu kämpfen und sich sagen: "Ach, die armen kleinen Karavan,
die wollen auch mal wieder n Stück Kuchen, deswegen hacken sie ihre eigenen Accounts,
also geben wir ihnen doch Berello zurück." ?

In welcher Welt lebt ihr Jungs eigentlich?
Ich brech demnächst auch mal kurz irgendwo in Wohnungen ein und hinterlasse Bekennerschreiben
die auf den Krieg im nahen Osten hinweisen.
Vielleicht kapieren die Israelies und die Palestinenser ja dann was sie da tun.

Entweder seid ihr selten Naiv, oder einfach nur extrem von euch überzeugt.
Beides ist schlicht unfassbar dumm.

Ich hoffe ihr dürft wenigstens tüchtig blechen für eure pseudo "white head action".

CU
Acridiel

Also im Prinzip ist es legitim, mit einer "Skandalaktion" auf einen Missstand hinzuweisen. Wie man zu diesem Missstand nun im einzelnen steht, sei mal dahingestellt.

Das Problem, werte Freelancer, ist leider, dass die Skandalaktion in mehreren Punkten ungünstig bis fahrlässig war:
# der Ärger über die Hacks überdeckt die Botschaft völlig
# dem Vertrauen der Spielerschaft in die Spielsicherheit wurde schwerer Schaden zugefügt
# die Aktion scheint gar eine Straftat zu sein
# Negativ-Publicity für das gesamte Spiel nach außen hin

Wenn es wieder eine wichtige Botschaft zu verkünden gibt, dann BITTE kettet Euch nackt am Kölner Dom an, heftet Angela Merkel ein "Save Ryzom" an den Buckel oder macht sonst etwas, das nicht das Spiel auf eine sehr empfindliche Weise beschädigt.

dentom wrote:Also im Prinzip ist es legitim, mit einer "Skandalaktion" auf einen Missstand hinzuweisen. Wie man zu diesem Missstand nun im einzelnen steht, sei mal dahingestellt.
......

Ich stell mich mal zu dem Mißstand und sage es ist keiner.
Ryzom ist ein offenes (nicht vom Anbieter gelenktes) Spiel und eine Entwicklung die zur jetztigen Situation geführt hat ist daher möglich und keine Fehlentwicklung im Sinne eines fehlerhaften Systems. Das es genauso (fraktionsbezogen) andersrum laufen kann sieht man auf den andren Servern.

Das wirklich Schlimme (mal auf's Spiel bezogen) an der Situation ist, daß die Karavanfraktion bei der ganzen Sache noch schlechter dasteht: "Die müßen sich mit illegalen Aktionen helfen und im Spiel jammern sie nur rum statt was zu tun" um es mal ganz übertrieben zu sagen. Da wird sich mancher neue Spieler überlegen ob er sich einer in "selbstmitleid" zurückgezogen Partei anschließt.

(Die Wortwahl ist in diesem Thread bewußt etwas überzogen gewählt und soll nicht beleidigen sondern zum nachdenken helfen)

darkjojo178 wrote:Weil sie alle haben zu scheinen. Mit Bruteforce (alle durchprobieren) hätte es schon ne ganze Weile gedauert...

Eben nicht. Wir wissen, dass der Forum Nick = Username inGame ist. Und das es max 8 Zeichen im Passwort sein können.
Eine einfache Rechnung zeigt, wie schnell es bei "zu einfachen" Passwörtern mit Brute Force gehen kann:

Heutzutage kann ein schneller Rechner ca. 150 bis 200 Millionen Passwörter pro Sekunde generieren! (maximal, ohne Latenz)
Halten wir es gleich fest. (Durschnitt)

PpS = 120.000.000 (Durchschnittrechner + Internet-Latenz)
Die Anzahl an Kombinationen (Passwörtern) aus einem Zeichensatz und einer bestimmten Passwort-Länge berechnet man ja bekannterweise so:

K = Z^L

Verwendet nun jemand ein einfaches Kleinbuchstaben Passwort, dass 6 Zeichen lang ist, so dauert es mit Brute Force maximal 2,57 Sekunden dieses Passwort zu knacken.

Geht man von der maximal-Länge aus (8 Zeichen) und Kleinbuchstaben + Zahlen, dann dauert es auch nur 6,5 Stunden.

Generell gibt es natürlich noch das Glück. Es kann auch einen Glückstreffer geben. Ausserdem berechnet man mit der o.g. Formel ja auch nur die maximale Dauer. Um einen repräsentativen Wert zu bekommen, sollte man die Dauer am besten noch mindestens durch 100 teilen.

Ich sehe es wie Neron. Wenn schon erwähnt wird, dass die Passwörter wohl zu einfach gewesen sein sollen... dass nicht die Datenbank geknackt wurde, sondern einfach mit Brute Force geknackt wurde. Hätten sie die Auswahl, hätten sie wohl sich andere Accounts zu aller erst vorgenommen.

miniwelt wrote:Heutzutage kann ein schneller Rechner ca. 150 bis 200 Millionen Passwörter pro Sekunde generieren! (maximal, ohne Latenz)
Halten wir es gleich fest. (Durschnitt)

Eben, er kann so viele Passwörter generieren, aber er kann nicht so schnell die Passwörter durchprobieren. Dass das dann eben über das Internet noch an den Server gesandt werden muss verlangsamt das Ganze gigantisch.

holsch wrote:Ich stell mich mal zu dem Mißstand und sage es ist keiner.
Ryzom ist ein offenes (nicht vom Anbieter gelenktes) Spiel und eine Entwicklung die zur jetztigen Situation geführt hat ist daher möglich und keine Fehlentwicklung im Sinne eines fehlerhaften Systems. Das es genauso (fraktionsbezogen) andersrum laufen kann sieht man auf den andren Servern.

Das wirklich Schlimme (mal auf's Spiel bezogen) an der Situation ist, daß die Karavanfraktion bei der ganzen Sache noch schlechter dasteht: "Die müßen sich mit illegalen Aktionen helfen und im Spiel jammern sie nur rum statt was zu tun" um es mal ganz übertrieben zu sagen. Da wird sich mancher neue Spieler überlegen ob er sich einer in "selbstmitleid" zurückgezogen Partei anschließt.

(Die Wortwahl ist in diesem Thread bewußt etwas überzogen gewählt und soll nicht beleidigen sondern zum nachdenken helfen)

Also das mehr gemacht werden kann auf Karavanseite stimmt schon, aber heutige Sitatution beschreibt "eingeschlafen" wohl etwas besser.

Es gibt durchaus Karavan die bemüht sind etwas (ingame xD ) zu ändern, also bitte übertrag deine Ansicht einiger Karavan nicht auf alle Karavan gleichzeitig.



Es könnte durchaus sein das ich mich Irre und da Sachen vermische, aber bedeuten die GHZ Zahlen der CPUs nicht Gleitkommazahlrechnungen pro Sekunde?

Also ich hab 3 GHz, was mich weit ab der 300mil Rechnungen bringt.

Wie gesagt kann gut sein das ich da was falsch gehöhrt hab, aber vlt hilfts ja xD
zwischen generieren und knacken liegt aber noch nen unterschied, man knackt ja auch keinen Tresor indem man in Gedanken alle möglichen Kombinationen durchgeht.

1GHz = 1 Milliarde Vorgänge/Sekunde. Also kommt das vlt. doch ganz gut hin

Das mit der Passwortabfrage bei Ryzom dürfte durch ein einfaches Script auch kein grosser aufwand sein.
Brutdingsda generiert ein passwort, fügt das ein - enter - simulation des löschens des passwortes (wie auch immer das am schnellsten möglich ist - brutbla generiert und fügt ein - mausklick auf anmelden - simulation des löschens des passwortes (wie auch immer das am schnellsten möglich ist) - brutbla generiert und fügt ein ...........
Die Abfrage am Server dauert nur einen Augenblick. Selbstverständlich dauert das ganze länger als die Rechnung von Purg. Aber wenn mehrere Leute gleichzeitig das laufen haben sind dann trotzdem wat weiss ich; 6-12 Accounts am Tag gehackt.

das Account Passwort muss mindestens 1 Großbuchstaben enthalten, ausser da hat sich was dran geändert und ich habs nich gemerkt.

xx GHz sind Anweisungen / sekunde allerdings Assembler Anweisungen, aber nicht jede Anweisung braucht auch wirklich nur einen Prozessortakt, erst recht nicht wenns dann noch irgendwo gespeichert oder sonst was soll.
das Generieren von einen Passwort wirst also nich in einen Prozessortakt unterbringen, dazu kommt das senden vom HTTP request an den loginserver etc.

@"Freelancer", jetzt is alles toll und du/ihr bist/seid glücklich? Es haben sich alle drüber aufgeregt und das wars, das es mehr Kamis gibt wie Karas, war vorher so, ist jetzt auch noch so, und das hat doch auch jeder gewusst.
Abgesehn davon, is noch nie jemand auf die Idee gekommen das nich alle Kamis der "Religion" angehören weil sie glauben, sondern weil sie nich auf Lack und Leder stehn?
Achtung Spoilerwarning!
Ausserdem, die Kamis sind die "Guten", mit Hinweis auf die "Ryzombibel".

btw: "darf" man eigentlich nach nem Pranger schreien ? ........

das passwort muss keinen grossbuchstaben enthalten