Und zwar kam gesteren in Stern tv ein Bericht wie leicht man die ebay-passwörter knacken kann, und jetzt wollt ich mal wissen, ob das auf der Internetseite der Eintracht auch möglich wäre. Weil wäre schon scheiße wenn das hier auch so gehen würde, weil dann könnte jeder x-beliebige ein Passwor samt Nick klauen und dann in dessen Namen schreiben.
Nordhessen3 schrieb: Und zwar kam gesteren in Stern tv ein Bericht wie leicht man die ebay-passwörter knacken kann, und jetzt wollt ich mal wissen, ob das auf der Internetseite der Eintracht auch möglich wäre. Weil wäre schon scheiße wenn das hier auch so gehen würde, weil dann könnte jeder x-beliebige ein Passwor samt Nick klauen und dann in dessen Namen schreiben.
tani1977 schrieb: das wäre wohl net sooo dramatisch wie bei ebay...
Das sehe ich anders, denn viele benutzen die gleichen Nicks und Passwörter für mehrere Anwendungen, sowas darf nicht passieren wenn man Passwörter verwendet.
der thread ist zwar schon einen monat tot, aber da ich gerade nicht viel zu tun habe kann ich ja mal beschreiben wie das passwort-management normalerweise in web-anwendungen gelöst wird:
benutzerpasswörter werden üblicherweise direkt nach der registrierung verschlüsselt und in der datenbank gespeichert. als verschlüsselungs-algorithmen werden meisstens MD-5 oder SHA-1 verwendet. diese beiden algorithmen zeichnen sich durch folgende merkmale aus:
1. das ergebnis der verschlüsselung (eine zeichenkette konstanter(!) länge) lässt niemals auf den ursprünglichen text schliessen, d.h. ändert man nur ein zeichen des ursprungstexts ergibt sich eine komplett andere zeichenkette.
2. sie sind einweg-algorithmen, d.h. man kann unter keinen umständen aus der verschlüsselten zeichenkette wieder das ursprungliche klartext-passwort generieren. deswegen bekommt man bei sicheren webanwendungen immer ein neues passwort zugewiesen wenn man sein altes vergessen hat, denn selbst der administrator der anwendung mit zugriff auf die datenbank kann aus dem verschlüsselten passwort niemals den ursprungstext generieren.
wenn sich ein benutzer nun anmeldet gibt er sein passwort ein, dieses wird auf dem server verschlüsselt und mit dem verschlüsselten gespeicherten passwort in der datenbank verglichen. dieses verfahren hat den angenehmen nebeneffekt das selbst bei ge-hackter datenbank ein eindringling keinen zugriff auf die anwendung hat, da er nur das verschlüsselte passwort aus der datenbank vorliegen hat und dieses beim login nochmals verschlüsselt werden würde, was zu einem fehlschlagen des logins führt.
angreifbar sind die passwört dennoch auf 2 arten:
1. auf dem weg vom client zum server. wird, wie bei der eintracht-seite, kein verschlüsselter SSL zugang ermöglicht, wird das passwort im klartext vom benutzer-rechner zum server übertragen. auf dem weg sind die daten anfällig für "man-in-the-middle" attacken, d.h. ein angreifer könnte die daten auf dem weg abfangen und auslesen.
2. brute-force attacken brute-force attacken sind die brechstange unter den angriffsversuchen. der eindringling versucht durch simples erraten des passworts zugang zur anwendung zu bekommen, d.h. es werden automatisiert login-vorgänge mit wechselnden passwörtern versucht. zusätzlich können dictionaries eingesetzt werden die häufig vorkommende passwörter und zeichenketten beinhalten. deswegen sollte man am besten kein natürliches wort als passwort verwenden sondern idealerweise ein gemisch aus zahlen, zeichen und sonderzeichen.
bei einer anwendung wie diesem forum sind diese beiden möglichen lücken aber zu vernachlässigen, weil es zum einen wirksame technische mittel gegen eine brute-force attacke gibt, und eine man-in-the-middle attacke auch nicht so leicht auf die beine zu stellen ist. der zugang zu einem normalem online-forum lohnt diesen aufwand nicht.
zur sicherheit sollte man aber nicht unbedingt sein online-banking passwort in anderen anwendungen verwenden, denn man weiss nie wie sicher es gespeichert wird, und ob der eingesetzte algorithmus in ein paar jahren auch noch "sicher" ist.
so, soviel zu passwörtern. ich weiss zwar nicht ob das im eintracht-forum auf diese weise gehandhabt wird, aber dies ist übliches standardvorgehen in webanwendungen. vielleicht weiss ja tani mehr?
Wie Passwörter bei der Eintracht gespeichert werden ist erstmal irrelevant, denn ebay Passwörter lassen sich vor allem deshalb so leicht abfangen, da JavaScript in den Anzeigen immer noch möglich ist und mit Hilfe damit man die User zum "freiwilligen" heraus geben ihrer Passwörter bringen kann.
Davon abgesehen ist der Reiz zwischen einem Online-Auktionsportal und der Eintracht Seite ungleich größer...
eagle schrieb: Wie Passwörter bei der Eintracht gespeichert werden ist erstmal irrelevant, denn ebay Passwörter lassen sich vor allem deshalb so leicht abfangen, da JavaScript in den Anzeigen immer noch möglich ist und mit Hilfe damit man die User zum "freiwilligen" heraus geben ihrer Passwörter bringen kann.
Davon abgesehen ist der Reiz zwischen einem Online-Auktionsportal und der Eintracht Seite ungleich größer...
naja, der poster hat ja allgemein bedenken wegen seinem passwort hier im eintracht-forum, deswegen ist es nicht unbedingt irrelevant, auch wenn das ausnutzen von javascript in eingabeformularen und deren ausführung hier und in so ziemlich jedem anderen forum nicht möglich ist. ohne bei ebay aktiv zu sein wundert es mich doch stark, warum dort javascript nicht gefiltert wird. es besteht doch überhaupt kein anlass, dem benutzer das eingeben von javascript zu erlauben. in einem interview das ich zufällig bei stern-tv gesehen habe wurde von einem ebay-mitarbeiter die begründung geliefert das ein verzicht auf javascript die kommunikation im internet unmöglich machen würde! das ist ja sowas von gelogen und frei erfunden, da hätte ich mir von ner firma wie ebay aber ne bessere ausrede erwartet. auserdem besteht ja gar kein anlass auf javascrip zu verzichten, es müssten ja nur die benutzereingabe von javascript oder HTML das javascript aufruft unterbunden werden.
tommix000 schrieb: 2. sie sind einweg-algorithmen, d.h. man kann unter keinen umständen aus der verschlüsselten zeichenkette wieder das ursprungliche klartext-passwort generieren.
Sei mal vorsichtig mit Deinem "unter keinen Umständen". Du musst nur ein Programm schreiben, das schnell und ohne zu viel Speicherverbrauch jede noch so große Zahl in ihre Primfaktoren zerlegt, und schon kannst Du in großem Stil Passwörter knacken gehen (interessantere als die zum Eintracht-Forum).
Allerdings solltest Du das "noch so große" ernst nehmen und um mein "nur" geistig dicke, fette Gänsefüßchen setzen.
bb1898 schrieb: Sei mal vorsichtig mit Deinem "unter keinen Umständen". Du musst nur ein Programm schreiben, das schnell und ohne zu viel Speicherverbrauch jede noch so große Zahl in ihre Primfaktoren zerlegt, und schon kannst Du in großem Stil Passwörter knacken gehen (interessantere als die zum Eintracht-Forum).
Und da hätte ich jetzt gern die Edit-Funktion gehabt. Ergänzung: mit diesem Programm kannst Du Dir aussuchen, ob Du lieber reich, berühmt oder beides werden willst.
bb1898 schrieb: Sei mal vorsichtig mit Deinem "unter keinen Umständen". Du musst nur ein Programm schreiben, das schnell und ohne zu viel Speicherverbrauch jede noch so große Zahl in ihre Primfaktoren zerlegt, und schon kannst Du in großem Stil Passwörter knacken gehen (interessantere als die zum Eintracht-Forum).
Und da hätte ich jetzt gern die Edit-Funktion gehabt. Ergänzung: mit diesem Programm kannst Du Dir aussuchen, ob Du lieber reich, berühmt oder beides werden willst.
zeitlich wird das dann ein ganz schöner wettlauf, wenn mein programm mich reich machen soll bevor die sonne explodiert
In etwa 2 Milliarden Jahren wird sie sich langsam zu einem roten Riesen aufblähen, der im Laufe der Zeit aus Sicht der Erde den kompletten Horizont einnehmen und alles Leben auf der Erde (sofern bis dahin ein Solches noch existiert) verbrennen wird.
Danach stellt die Sonne langsam ihre Aktivität ein und schrumpft auf eine Größe kleiner als die Erde zusammen.
1 Fingerhut der Sonnenmaterie wird dann mehrere tausend Tonnen wiegen.
Wenn's soweit ist, sprecht mich einfach noch mal an. Bis dahin wünsche ich noch angenehmen Aufenthalt...
miep0202 schrieb: Die Sonne wird nicht explodieren.
In etwa 2 Milliarden Jahren wird sie sich langsam zu einem roten Riesen aufblähen, der im Laufe der Zeit aus Sicht der Erde den kompletten Horizont einnehmen und alles Leben auf der Erde (sofern bis dahin ein Solches noch existiert) verbrennen wird.
Danach stellt die Sonne langsam ihre Aktivität ein und schrumpft auf eine Größe kleiner als die Erde zusammen.
1 Fingerhut der Sonnenmaterie wird dann mehrere tausend Tonnen wiegen.
Wenn's soweit ist, sprecht mich einfach noch mal an. Bis dahin wünsche ich noch angenehmen Aufenthalt...
da ich ja dann reichlich geld durch mein programm ergaunert habe(ich hoff mal auf den fortschritt der technik und ein frühzeitiges gelingen meines unterfangens), werd ich mir ein paar überlebenstipps bei dir einkaufen
das wäre wohl net sooo dramatisch wie bei ebay...
Das sehe ich anders, denn viele benutzen die gleichen Nicks und Passwörter für mehrere Anwendungen, sowas darf nicht passieren wenn man Passwörter verwendet.
Dr.Ball
benutzerpasswörter werden üblicherweise direkt nach der registrierung verschlüsselt und in der datenbank gespeichert. als verschlüsselungs-algorithmen werden meisstens MD-5 oder SHA-1 verwendet. diese beiden algorithmen zeichnen sich durch folgende merkmale aus:
1. das ergebnis der verschlüsselung (eine zeichenkette konstanter(!) länge) lässt niemals auf den ursprünglichen text schliessen, d.h. ändert man nur ein zeichen des ursprungstexts ergibt sich eine komplett andere zeichenkette.
2. sie sind einweg-algorithmen, d.h. man kann unter keinen umständen aus der verschlüsselten zeichenkette wieder das ursprungliche klartext-passwort generieren. deswegen bekommt man bei sicheren webanwendungen immer ein neues passwort zugewiesen wenn man sein altes vergessen hat, denn selbst der administrator der anwendung mit zugriff auf die datenbank kann aus dem verschlüsselten passwort niemals den ursprungstext generieren.
wenn sich ein benutzer nun anmeldet gibt er sein passwort ein, dieses wird auf dem server verschlüsselt und mit dem verschlüsselten gespeicherten passwort in der datenbank verglichen.
dieses verfahren hat den angenehmen nebeneffekt das selbst bei ge-hackter datenbank ein eindringling keinen zugriff auf die anwendung hat, da er nur das verschlüsselte passwort aus der datenbank vorliegen hat und dieses beim login nochmals verschlüsselt werden würde, was zu einem fehlschlagen des logins führt.
angreifbar sind die passwört dennoch auf 2 arten:
1. auf dem weg vom client zum server.
wird, wie bei der eintracht-seite, kein verschlüsselter SSL zugang ermöglicht, wird das passwort im klartext vom benutzer-rechner zum server übertragen. auf dem weg sind die daten anfällig für "man-in-the-middle" attacken, d.h. ein angreifer könnte die daten auf dem weg abfangen und auslesen.
2. brute-force attacken
brute-force attacken sind die brechstange unter den angriffsversuchen. der eindringling versucht durch simples erraten des passworts zugang zur anwendung zu bekommen, d.h. es werden automatisiert login-vorgänge mit wechselnden passwörtern versucht. zusätzlich können dictionaries eingesetzt werden die häufig vorkommende passwörter und zeichenketten beinhalten. deswegen sollte man am besten kein natürliches wort als passwort verwenden sondern idealerweise ein gemisch aus zahlen, zeichen und sonderzeichen.
bei einer anwendung wie diesem forum sind diese beiden möglichen lücken aber zu vernachlässigen, weil es zum einen wirksame technische mittel gegen eine brute-force attacke gibt, und eine man-in-the-middle attacke auch nicht so leicht auf die beine zu stellen ist. der zugang zu einem normalem online-forum lohnt diesen aufwand nicht.
zur sicherheit sollte man aber nicht unbedingt sein online-banking passwort in anderen anwendungen verwenden, denn man weiss nie wie sicher es gespeichert wird, und ob der eingesetzte algorithmus in ein paar jahren auch noch "sicher" ist.
so, soviel zu passwörtern. ich weiss zwar nicht ob das im eintracht-forum auf diese weise gehandhabt wird, aber dies ist übliches standardvorgehen in webanwendungen. vielleicht weiss ja tani mehr?
Davon abgesehen ist der Reiz zwischen einem Online-Auktionsportal und der Eintracht Seite ungleich größer...
naja, der poster hat ja allgemein bedenken wegen seinem passwort hier im eintracht-forum, deswegen ist es nicht unbedingt irrelevant, auch wenn das ausnutzen von javascript in eingabeformularen und deren ausführung hier und in so ziemlich jedem anderen forum nicht möglich ist.
ohne bei ebay aktiv zu sein wundert es mich doch stark, warum dort javascript nicht gefiltert wird.
es besteht doch überhaupt kein anlass, dem benutzer das eingeben von javascript zu erlauben.
in einem interview das ich zufällig bei stern-tv gesehen habe wurde von einem ebay-mitarbeiter die begründung geliefert das ein verzicht auf javascript die kommunikation im internet unmöglich machen würde! das ist ja sowas von gelogen und frei erfunden, da hätte ich mir von ner firma wie ebay aber ne bessere ausrede erwartet.
auserdem besteht ja gar kein anlass auf javascrip zu verzichten, es müssten ja nur die benutzereingabe von javascript oder HTML das javascript aufruft unterbunden werden.
Sei mal vorsichtig mit Deinem "unter keinen Umständen". Du musst nur ein Programm schreiben, das schnell und ohne zu viel Speicherverbrauch jede noch so große Zahl in ihre Primfaktoren zerlegt, und schon kannst Du in großem Stil Passwörter knacken gehen (interessantere als die zum Eintracht-Forum).
Allerdings solltest Du das "noch so große" ernst nehmen und um mein "nur" geistig dicke, fette Gänsefüßchen setzen.
Und da hätte ich jetzt gern die Edit-Funktion gehabt. Ergänzung: mit diesem Programm kannst Du Dir aussuchen, ob Du lieber reich, berühmt oder beides werden willst.
zeitlich wird das dann ein ganz schöner wettlauf, wenn mein programm mich reich machen soll bevor die sonne explodiert
In etwa 2 Milliarden Jahren wird sie sich langsam zu einem roten Riesen aufblähen, der im Laufe der Zeit aus Sicht der Erde den kompletten Horizont einnehmen und alles Leben auf der Erde (sofern bis dahin ein Solches noch existiert) verbrennen wird.
Danach stellt die Sonne langsam ihre Aktivität ein und schrumpft auf eine Größe kleiner als die Erde zusammen.
1 Fingerhut der Sonnenmaterie wird dann mehrere tausend Tonnen wiegen.
Wenn's soweit ist, sprecht mich einfach noch mal an. Bis dahin wünsche ich noch angenehmen Aufenthalt...
da ich ja dann reichlich geld durch mein programm ergaunert habe(ich hoff mal auf den fortschritt der technik und ein frühzeitiges gelingen meines unterfangens), werd ich mir ein paar überlebenstipps bei dir einkaufen