PULVERDAMPF

Zev hat geschrieben:

Magnum828 hat geschrieben:Das ist Blödsinn, weil der egun server dein passwort garnicht kennt, sondern nur den hashwert davon. Bei einem ordentlichen passwort dauert es tage, den hashwert zurückzurechnen, mit einem rechenzentrum das 20000€ kostet. So einen aufwand betreibt kein mensch, der nur ein bissl chaos stiften will.

Muss nicht unbedingt gerechnet werden, bei den Hashes kommts drauf an ob salted oder nicht, unsalted sind irgendwas im Bereich von 96% aller möglichen 8-stelligen Passwortkombinationen für die gängigen Algorithmen bereits berechnet und über Rainbow Tables sofort verfügbar. Und du wirst nicht glauben wie oft bei Webanwendungen auf die Sicherheit gesch... wird. Bis hin zu PWs die im Klartext in der DB liegen.

Das stimmt schon, deshalb habe ich ja "ordentliches Passwort" geschrieben.

Und ja, ich weiß auch das bei webanwendungen die sicherheit nicht immer oberste Priorität ist.

Ich persönlich schau ja hin und wieder in die rainbow tables rein, wenn ich mal wieder ein sicheres passwort brauche

Hunter4570 hat geschrieben:wie schaft er es dann, dir in 20 Minuten 9800 mails zu senden!
und gehackt werden im Normalfall nur accounts wo der Besitzer mindestens ein bis zwei jahre nichts gekauft oder verkauft hat!
also muß er sich die Daten scheinbar direkt von egun holen, oder er hat einen Informanten!?

Eine Frage, welches passwort hast du verwendet? Da es eh gehackt wurde, kannst es ja verraten.

Magnum828 hat geschrieben:Ich persönlich schau ja hin und wieder in die rainbow tables rein, wenn ich mal wieder ein sicheres passwort brauche

Da wirst nicht viel Erfolg haben, grad nachgesehen, für LM/NTLM/MD5/SHA1 Hashes mit Zahlen/Buchstaben/Spaces 1-8 Zeichen sind mittlerweile 99,9%(!) der Hashwerte vorausberechnet und über Rainbow Tables abrufbar. MD5 ist z.B. in Webanwendungen noch immer sehr verbreitet. Ergaunert da ein Hacker einen Hash aus einer DB hat er fast immer sofort das Passwort.

Ja aber ich nehm z.B. Nie ein passwort unter 20 zeichen

Magnum828 hat geschrieben:Das ist Blödsinn, weil der egun server dein passwort garnicht kennt, sondern nur den hashwert davon. Bei einem ordentlichen passwort dauert es tage, den hashwert zurückzurechnen, mit einem rechenzentrum das 20000€ kostet. So einen aufwand betreibt kein mensch, der nur ein bissl chaos stiften will.

Davon geht man aus, ob es aber wirklich so ist weiß eigentlich nur der Egun-Betreiber.

Ich hab zum Beispiel mal durch Zufall festgstellt, dass der Business-Online-Shop von Ditech damals das Passwort offenbar im Klartext speicherte. Damit hätte ich auch nie gerechnet.

Also nach Murphys Law muss man damit rechnen, dass da entsprechende Sicherheitslücken drin sein könnten.
Denkbar sind natürlich auch immer Lücken, die es möglich machen eine User-ID bzw. einen Account zu übernehmen, ohne dass das Passwort gebraucht wird.

Ich will egun da gar nichts unterstellen, ich will nur sagen: rechnen muss man mit allem und ich hab schon erstaunlichen Blödsinn / Sicherheitslücken an erstaunlichen Orten gesehen.

Magnum828 hat geschrieben:

Hunter4570 hat geschrieben:Das Passwort kann noch so sicher sein, wenn es bei egun gehackt wird ist man machtlos!
Anschließend verändert der Betrüger das Passwort auf das seine und die mail Adresse, und fertig ist der Zauber!
dann sitzt du da und kannst nur mehr zusehen was passiert!
Und nach langem hin und her, gibt egun dann zu das der Account gehackt wurde!

Das ist Blödsinn, weil der egun server dein passwort garnicht kennt, sondern nur den hashwert davon. Bei einem ordentlichen passwort dauert es tage, den hashwert zurückzurechnen, mit einem rechenzentrum das 20000€ kostet. So einen aufwand betreibt kein mensch, der nur ein bissl chaos stiften will.

Sowas macht man heutzutage augelagert mit Cloudserver

weil die frage gestellt wurde wegen meinem alten Passwort! ich glaube das dies nicht zu einfach war! ma4570o0ho

Hunter4570 hat geschrieben:weil die frage gestellt wurde wegen meinem alten Passwort! ich glaube das dies nicht zu einfach war! ma4570o0ho

Na, da tippe ich auf SQL injection (ein uralter bug) oder doch ein backdoor am server.

Da sollte man den egun Admin doch mal informieren und weiter hinterfragen, weil das Passwort kann man doch nicht so einfach erraten.

WolgangM

SQL Injection ist immer noch kein bug, war es nie und wird es auch nicht werden, es ist das Ergebnis bescheuerter Programmierer die zu faul für 1 Zeile extra code sind.
Lustigerweise hatten wir es gerade im Funny Pics Thread... viewtopic.php?p=377643#p377643

Und Passwörter nur aus Buchstaben und Zahlen unter 8 Zeichen sind absolut unsicher, genauso wie alles was einen real existierenden Wort/Satz/Namen entspricht.

Wenn dein PW in keiner Rainbow Tabelle ist, hat egun wirklich n massives Sicherheiten Problem, was mich bei dem Programmier-Stiel nicht wundern würde.

Hunter4570 hat geschrieben:weil die frage gestellt wurde wegen meinem alten Passwort! ich glaube das dies nicht zu einfach war! ma4570o0ho

Ich hab das Passwort mal unter die Lupe genommen, in den populären MD5 Wordlists ist es z.B. nicht drinnen. Muss jetzt natürlich nix heissen, Egun verwendet vielleicht ganz andere Hashes.
Mein Tipp: verwende keine Passwörter die kürzer als 20 zeichen sind. Das heißt jetzt nicht, das dein Password unsicher war, aber mit 20 zeichen ist man einfach immer auf der sicheren seite.

Magnum828 hat geschrieben:Mein Tipp: verwende keine Passwörter die kürzer als 20 zeichen sind. Das heißt jetzt nicht, das dein Password unsicher war, aber mit 20 zeichen ist man einfach immer auf der sicheren seite.

Alles ab 12 Zeichen würd ich derzeit als ausreichend bezeichnen. Wobei je länger desdo besser, mit 20 bist jedenfalls auf der absolut sicheren Seite. (Zumindest was vorausberechnete Hashes / brute force durchprobieren betrifft) Wichtig ist noch wirklich random Zeichen und nicht Wörter/Wortkombinationen die z.B.: in einem Wörterbuch stehen. Der Trick mit merk dir einen Satz und nimm davon die Anfangsbuchstaben von jedem Wort ist zum Merken langer PWs recht praktisch.

Die meisten meiner Passwörter sehen bspw. so aus:

hZ@a1+7O0&qB-8mV€yH+1LCa3

Hatte bisher noch nirgens Probleme damit Und Seiten/Portal, welche solche Passwörter NICHT zulassen, meide ich sowieso!

Ein sicherer Passwortmanager ist auch sein Geld wert. Einmal ein solches Passwort zum absichern verinnerlichen, und schon hat man ein besseres Gefühl im Netz, da man sich nicht zig verschiedene Kombinationen merken muss.

Hab grad ein neues Passwort angelegt bei egun.
Erst gingen mehr als 20 Zeichen nicht. Dann musste ich sogar noch ein &-Zeichen rausnehmen. Und das ganze war dann immer noch zu kompliziert für die egun-App.

Ich halte die egun-Typen für einen Dilettantenhaufen.

Werde wohl zur Sicherheit meinen Account dort löschen lassen.

ich kann euch nur so viel sagen, das ich vor dem laufenden PC saß, und mich der hacker per mail gefragt hat, ob ich mir sicher bin, das ich seine Fotos kenne! und keine 5 minuten später nach meinem "ja sicher kenne ich die Fotos" ging der spaß los!
2 Artikel zu Niedrigstpreisen verkauft (siehe 1. beitrag) und 10 gewehre und dergleichen gekauft!
dann fragte er mich wieder per mail ob ich mir noch immer sicher bin, das ich seine Fotos kenne!
und einen stolz hab ich auch, egal was man mir antut " leck mich, bist wahrscheinlich der arsch der mir gerade die waffen ge- und verkauft hat".
als Dankeschön habe ich 4800 emails bekommen! danach kam ein mail (orig. Text vom betrüger)

Das ist aber Morddrohung...sowas geht gernicht...haben Sie kein Anstand?
Das nächste mal, schön ruhig bleiben und nicht dein Maul aufreissen wo erwachsene spielen? Haben wir uns verstanden? jetzt ja nicht frech antworten oder so, sonst werden alle Daten sofort gelöscht an deinem PC. Haben wir uns verstanden? Darf ich weiter paar idioten melken oder machst du dich auf dem Weg und kämpfst gegen Windmühlen?

und nach dieser antwort kamen die nächsten 5000 mails.
bin jetzt schon richtig gut beim löschen im Outlook! chchchch

für mich besteht kein zweifel mehr, das egun ein massives serverproblem hat oder eine undichte stelle so groß wie ein Garagentor!
und antworten bekommst du von egun keine, oder nur sehr spärlich!

Styrax hat geschrieben:Die meisten meiner Passwörter sehen bspw. so aus:

hZ@a1+7O0&qB-8mV€yH+1LCa3

Hatte bisher noch nirgens Probleme damit Und Seiten/Portal, welche solche Passwörter NICHT zulassen, meide ich sowieso!

Ein sicherer Passwortmanager ist auch sein Geld wert. Einmal ein solches Passwort zum absichern verinnerlichen, und schon hat man ein besseres Gefühl im Netz, da man sich nicht zig verschiedene Kombinationen merken muss.

sei ehrlich wer tut sich die arbeit an und schreibt oder merkt sich so einen wälzer, ausser der der in der IT Branche tätig ist!