Wichtiger Sicherheitshinweis! (4. Oktober 2008)

  • Wir haben einen anonymen Hinweis bekommen, dass es einem Hacker gelungen sein soll, MD5 verschlüsselte Passworte aus der Tweaker Forendatenbank auszulesen. Bei einfachen Passwörtern oder Wörterbuchbegriffen ist es damit möglich an das Passwort im Klartext zu kommen. Damit sollen dann die Emailkonten von Benutzern ausgespäht / missbraucht worden sein, wenn dort dasselbe Passwort verwendet wurde.


    Bisher gibt es keinen Hinweis darauf, dass diese Warnung wirklich zutreffend ist.
    Sicherheitshalber solltet ihr aber neue Forenpassworte erstellen und auch das Passwort eurer Email Accounts ändern.


    Bitte verwendet zu eurer eigenen Sicherheit starke Passworte und nutzt für Email und Foren unterschiedliche Passworte.


    Euer tweaker.ch-Team

    "It really is as useful as a snooze button on a smoke alarm" Jeremy Clarkson


    "Wennsd den Baum siehst, in den du rein fährst, hast untersteuern. Wennsd ihn nur hörst, hast übersteuern" Walter Röhrl

    Einmal editiert, zuletzt von 2cool4u ()

  • Ich versteh nicht recht, wieso unsere E-Mailkonten ebenfalls bedroht sein sollten... Wer da nicht dasselbe PW hat, muss da doch nichts zu befürchten haben, oder?

    Game-Rig: 3570K | P8Z77-V LE | GTX-970 | 16GB | HyperX 3K 240GB | NEC 24WMGX3 & HP LP2475w | Win 10
    Filer: E3-1220 | SM X9SCL-F | 8GB | FlexRAID | Win 10
    Server: HP ML310e | E3-1220v2 | 10GB | 18TB | Proxmox
    Mobile: Dell XPS 13 9360 | i5-8250U | 8GB | Win 10

  • Zitat

    Original von Tazzler
    Ich versteh nicht recht, wieso unsere E-Mailkonten ebenfalls bedroht sein sollten... Wer da nicht dasselbe PW hat, muss da doch nichts zu befürchten haben, oder?


    Nein, wer so weitsichtig gehandelt hat, der hat in der Hinsicht nichts zu befürchten. Das haben aber sicher nicht alle so gemacht...

    "It really is as useful as a snooze button on a smoke alarm" Jeremy Clarkson


    "Wennsd den Baum siehst, in den du rein fährst, hast untersteuern. Wennsd ihn nur hörst, hast übersteuern" Walter Röhrl

    Einmal editiert, zuletzt von tornado ()

  • Ich habe dazumal noch mit der alten SW einen Hinweis an Xood geschickt, dass er ein Update machen soll, weil das eben ging.


    Die momentan installiere SW sollte aber eigentlich die neueste sein... von dem her... naja, ändert euer PW trotzdem auf ein starkes und vorallem nicht mit eurem E-Mail-Account nicht identisches Passwort.

  • Zitat

    Original von Chiuchä
    Ich habe dazumal noch mit der alten SW einen Hinweis an Xood geschickt, dass er ein Update machen soll, weil das eben ging.


    Die momentan installiere SW sollte aber eigentlich die neueste sein... von dem her... naja, ändert euer PW trotzdem auf ein starkes und vorallem nicht mit eurem E-Mail-Account nicht identisches Passwort.


    ich nehme für viele Foren / Communities ein relativ unstarkes Passwort.


    Ich kanm mir doch nicht 30 verschiedene komplizierte Merken.


    --> Foren / Communities: Schaden der angerichtet werden kann rel. klein
    --> Risiko, dass das Passwort erhackt wird relativ gross (schon nur durch die Menge etc.).


    ergo neme ich bei den wichtigen Dingen (E-Banking, Webhosting, Domänen und E-Mail Accounts) (verschiedene) starke Passwörter...

    Marktplatz Bewertung
    Kiste 1: Sloti 800 TB
    Kiste 2: DLT3C @ 2.6GhZ
    ...
    Kiste 7 & Kiste 8: PhII 720BE, 8GB ram. 1x mit X25-m II 80GB & 4870, 1x mit indilinx MLC 32GB

    [SIZE=7]Dieser Beitrag, inkl. vorhandenen Anhängen, ist ungeschützt und könnte während der Übermittlung oder nachträglich von 3. verändert werden. Der Absender schliesst deshalb jede Haftung oder rechtliche Verbindlichkeit für elektronisch versandte Nachrichten aus. Weiter ist der Inhalt des Postings frei erfunden, eventuelle Annäherungen an die Realität sind höchstens unbeabsichtigt und zufällig entstanden. Zu all meinen PCs haben mehrere Leute Zugang und nutzen diesen auch.[/SIZE]

  • Chiuchä, dalls du die Version pl2 meinst, die ist schon vor dem damaligen Serverwechsel aufgespielt worden. Damit auch das Sicherheitsleck der Suchfunktion geschlossen worden. Falls du was anderes meisnt melde dich doch mal per PN :)

    Signatur sein ist doof, ich will ein Avatar werden, wenn ich gross bin!



  • ach so!!

    beachtet mich *rumhüpf*
    ..............................................

  • Zitat

    Original von ruffy91
    Werden denn bei BurningBoard nur einfache MD5 Hashs verwendet?
    Salted Hashs sind ja so gut wie nicht knackbar, dann mach ich mir keine Sorgen. =)


    ist nur eine frage der länge des passwortes.... wenn du ein 4-5 stelliges passwort hast, ist das brute-force durchrechnen heute kein problem mehr (paar minuten). Mit 6-7 Stellen dauerts eine weile, klappt aber in der regel noch mit bruteforce. Ab 8 Stellen + sonderzeichen wirds dann langsam schwierig, auch mit MD5....


    |---> it MUST be a spoon! <---|


      

  • Nix Brute-Force, mit Brute-Force hast du Jahrhunderte, man macht Rainbow Tables, diese sind dann ein paar GB gross und zu jedem Hash berechnet man die möglichen Passwörter, die Werte werden dann von einem cleveren Algorithmus (den ein Schweizer erfunden hat) zu kompakteren Tabellen geschrumpft.
    Sobald ein Salt mitgerechnet wird wird es schwierig: erstens wird der zufällig generiert und 2. muss man dafür neue Rainbow Tables berechnen wenn man ihn hat, was mit Hilfe von Distributed Computing wieder 1-2 Jahre dauern kann.
    Mit einer Rainbow Table die man online abfragen kann hab ich mein 6-stelliges Passwort mit Zahlen und Buchstaben innerhalb 0,1sek aus dem MD5-Hash rekonstruieren können.


    Auf dem CCC-Wiki findet man mehr dazu. ;-P


    Seitdem benutz ich ein 8-stelliges Passwort mit gross-/kleinschreibung und zahlen, bei dem kann man den Hash nicht einfach im Internet abfragen.

  • schön dass du dein gesamtes Fremdwörter-Repertoire auspackst, aber Passwörter <8 Stellen mit MD5 ist stinknormales Bruteforce keine Hexerei...


    Über 8 wirds, wie erwähnt, relativ mühsam, dann sind Tables schon von vorteil


    |---> it MUST be a spoon! <---|