Shakes & Fidget - Das offizielle Supportforum  

Zurück   Shakes & Fidget - Das offizielle Supportforum > S&F Game & Support > Allgemeines

Hinweis

Allgemeines Themen rund um S&F und das Forum

Thema geschlossen
 
Themen-Optionen Ansicht
  #51  
Alt 23.11.2012, 21:34
Benutzerbild von Sternenfee
Sternenfee Sternenfee ist offline
Ex-Gamestaff
 
Registriert seit: 30.12.2009
Gilde: Kottis Recken (S1)
Beiträge: 4.837
Standard

Zitat:
Zitat von SteilerHengst Beitrag anzeigen
Warum wird Bruten nicht einfach durch S&F unmöglich gemacht?
Z.B. wie viele Seiten einfach 5 versuche und dann aussetzen für 10 minuten oderso?
Weil das zwar bei mir der erste Punkt ist, aber sicherlich nicht der Grund weswegen einige "gehackt" werden.

Oft wissen die "Gehackten" sogar wer sie gehackt hat. Ob da das Passwort vielleicht nicht doch einfach weitergegeben worden ist?

Werde den Vorschlag aber mal mit Kotti und dem Rest besprechen
__________________
Ein Mensch würde nie dazu kommen, etwas zu tun, wenn er stets warten würde, bis er es so gut kann, dass niemand mehr einen Fehler entdecken könnte.

-John Henry Newman-

Die folgenden 2 User sagen "Danke" zu Sternenfee für dieses Posting:
  #52  
Alt 23.11.2012, 21:46
shinigami84 shinigami84 ist offline
Übungspuppe
 
Registriert seit: 23.02.2011
Gilde: Die Traumhölle (s12)
Beiträge: 10
Standard

Könnte man das nicht auch "ausnutzen"?!

So könnte man andere User am Spielen hindern, indem man einfach 5x (oder so) unter deren Namen ein falsches PW eingibt und zack wäre der Spieler für n paar Minuten gesperrt...

Das müsste dann aber anders gelöst werden - oder denke ich da falsch?!

Edit: Dann müsste man das vllt so einführen, dass man sich mit der Email einloggt (oder einen LogIn-Namen, der anders als der Accname ist)..

Geändert von shinigami84 (23.11.2012 um 21:52 Uhr)
Folgende User bedankten sich bei shinigami84 für das Posting:
  #53  
Alt 23.11.2012, 22:04
Benutzerbild von Sternenfee
Sternenfee Sternenfee ist offline
Ex-Gamestaff
 
Registriert seit: 30.12.2009
Gilde: Kottis Recken (S1)
Beiträge: 4.837
Standard

Zitat:
Zitat von shinigami84 Beitrag anzeigen
Könnte man das nicht auch "ausnutzen"?!

So könnte man andere User am Spielen hindern, indem man einfach 5x (oder so) unter deren Namen ein falsches PW eingibt und zack wäre der Spieler für n paar Minuten gesperrt...

Das müsste dann aber anders gelöst werden - oder denke ich da falsch?!

Edit: Dann müsste man das vllt so einführen, dass man sich mit der Email einloggt (oder einen LogIn-Namen, der anders als der Accname ist)..
Das ist doch voll umständlich.

Wenn jeder einfach auf seine Daten achtet und diese nicht weitergibt und ein sicheres Passwort wählt, dann passiert da auch mit sehr großer Wahrscheinlichkeit nichts.
__________________
Ein Mensch würde nie dazu kommen, etwas zu tun, wenn er stets warten würde, bis er es so gut kann, dass niemand mehr einen Fehler entdecken könnte.

-John Henry Newman-

Folgende User bedankten sich bei Sternenfee für das Posting:
  #54  
Alt 23.11.2012, 22:07
Korfox
Gast
 
Beiträge: n/a
Standard

"Bruten" (oder ausführlich: Ein Brute-Force-Angriff) ist ja, wie bereits oben erwähnt, das schnelle Ausprobieren möglichst vieler potentieller Passwörter (naiv gesprochen probiere ich: "a", "b", "c", "d", ..., "z", "aa", "ab", "ac", ..., "zz", ...). Dabei braucht der Angreifer im Mittel halb so viele Versuche, wie es mögiche Passwortkombinationen mit der Anzahl der Zeichen gibt, die das Passwort enthält.

Weiterhin Wörterbuchangriffe: Es werden Wörterbuchwörter und Kombinationen ausprobiert, oder eben der Accountname sebst (123456 zählt hierbei z.B. auch als Wörterbuchwort).

Eine aktuelle GPU kann problemfrei 500 Milionen Passwörter pro Sekunde.
Hier ein kleiner Artikel dazu:
http://www.tomshardware.de/Passwort-...-240839-6.html

"DieneuesteTierartderweltaffe" st alleine schon deshalb kein gutes Kennwort, weil es aus 6 Wörterbuchwörtern besteht - von daher ist es eher als 6-Zeichen-Kennwort anzusehen, bei dem der Zeichenraum eben "Wörterbuchwörter" sind.
Gute Passwörter enthalten keinerlei Wörterbuchwort, sondern lediglich - für einen Außenstehenden - willkürliche Kombinationen aus einem möglichst großen Zeichenraum (bestenfalls Ziffern, Kleinbuchstaben, Großbuchstaben und insofern vom Server unterstützt auch noch Sonderzeichen).
Dann allerdings sind für gewöhnlich 8-10 Zeichen genug (der oben verlinkte Artikel ist schon etwas älter und bezieht sich entsprechend auf ältere Grafikkarten).
Hier z.B. kann man überprüfen, wie sicher das eigene Passwort ist:
http://passwortcheck.pc-feuerwehr.de/


EDIT: Ein Brute-Force-Angriff sollte, wenn feherhafte Logins mitgeschrieben werden, vom Server"verwalter" festgestellt werden können, weswegen anzunehmen ist, dass Playa die Wahrheit sagt, wenn gesagt wird, dass "hier bisher noch kein Account so gehackt worden ist". Genau das sebe sollte früher oder später auch bei möglichen Servereinbrüchen passieren, wobei man auch dann nicht an die Passwörter kommen können sollte, da diese nur "verschlüsseld" (genauer: As Hash-Wert) abgelegt werden.

@Manowar: Ein Hacker is tein Mensch, der beruflich in die Tasten hackt

EDIT2: Im Falle eines Webservers als Gegenstelle sind die 500Mio. nicht mehr anzusetzen, da durch die Übertragungsdauer der Daten im Grunde eine recht effektive Bremse existieren sollte.

Geändert von Korfox (23.11.2012 um 22:19 Uhr)
  #55  
Alt 23.11.2012, 22:12
Benutzerbild von BoehserSteve
BoehserSteve BoehserSteve ist offline
Hero
 
Registriert seit: 31.10.2011
Beiträge: 5.113
Standard

Zitat:
Zitat von Sternenfee Beitrag anzeigen
Das ist doch voll umständlich.

Wenn jeder einfach auf seine Daten achtet und diese nicht weitergibt und ein sicheres Passwort wählt, dann passiert da auch mit sehr großer Wahrscheinlichkeit nichts.
Das ist doch grad ein Verständnisfehler.

Er hat auch geschrieben, jemand könnte bei andern Usern deren Nickname und irgendetwas bei Passwort eintragen, damit dieser sich nicht einloggen kann.

Zitat:
Zitat von shinigami84 Beitrag anzeigen
Könnte man das nicht auch "ausnutzen"?!

So könnte man andere User am Spielen hindern, indem man einfach 5x (oder so) unter deren Namen ein falsches PW eingibt und zack wäre der Spieler für n paar Minuten gesperrt...


Das kann man vermeiden, wenn Login-Name und Accountname unterschiedlich sind und man daher den Loginname nicht weiss.

Deine Äusserung, wenn jeder auf seine Daten achtete etc greift da doch nicht, da man auf Loginname = Accountname nichts achten kann.
__________________

http://fckaf.de
Ein URL Shorter - Er ist sehr gut!
fckaf.de

Geändert von BoehserSteve (23.11.2012 um 22:14 Uhr)
  #56  
Alt 23.11.2012, 22:15
Korfox
Gast
 
Beiträge: n/a
Standard

Zitat:
Zitat von shinigami84 Beitrag anzeigen
Könnte man das nicht auch "ausnutzen"?!

So könnte man andere User am Spielen hindern, indem man einfach 5x (oder so) unter deren Namen ein falsches PW eingibt und zack wäre der Spieler für n paar Minuten gesperrt...

Das müsste dann aber anders gelöst werden - oder denke ich da falsch?!

Edit: Dann müsste man das vllt so einführen, dass man sich mit der Email einloggt (oder einen LogIn-Namen, der anders als der Accname ist)..
Für gewöhnlich wird hier nicht "der Spieler" gesperrt, sondern der Login für denjenigen (IP-bezogen) gesperrt, der die 5 Fehlversuche hatte.
  #57  
Alt 23.11.2012, 22:16
Benutzerbild von Sternenfee
Sternenfee Sternenfee ist offline
Ex-Gamestaff
 
Registriert seit: 30.12.2009
Gilde: Kottis Recken (S1)
Beiträge: 4.837
Standard

Zitat:
Zitat von M4NOW4R Beitrag anzeigen
Das ist doch grad ein Verständnisfehler.

Er hat auch geschrieben, jemand könnte bei andern Usern deren Nickname und irgendetwas bei Passwort eintragen, damit dieser sich nicht einloggen kann.

Das kann man vermeiden, wenn Login-Name und Accountname unterschiedlich sind und man daher den Loginname nicht weiss.

Deine Äusserung, wenn jeder auf seine Daten achtete etc greift da doch nicht, da man auf Loginname = Accountname nichts achten kann.
Ich habe durchaus verstanden was er meint. Kenne das auch von anderen Spielen.

Allerdings kenne ich auch die Supportmeldungen und wenn mir jemand schreibt wer ihn gehackt hat, dann bringt auch diese Möglichkeit des Einloggens nichts.

Weil in diesem Moment auch alle Daten die der andere braucht weitergegeben werden würden.

Hängt Euch nicht an meiner zuerst genannten Möglichkeit auf. Ganz oft sind die Hacker bekannt und werden uns ab dem ersten Ticket schon namentlich genannt.

Ich weiß nicht, ob diese Loginmöglichkeit einfach einzufügen wäre, daher meinte ich es wäre umständlich.

Oder wurde Dein Account schon einmal geklaut Mano?
__________________
Ein Mensch würde nie dazu kommen, etwas zu tun, wenn er stets warten würde, bis er es so gut kann, dass niemand mehr einen Fehler entdecken könnte.

-John Henry Newman-

  #58  
Alt 23.11.2012, 22:32
Benutzerbild von DaddyCool
DaddyCool DaddyCool ist offline
Assassine
 
Registriert seit: 31.07.2010
Gilde: s5: Die Ultimative Gilde; s4: Background Strippers
Beiträge: 2.273
Standard

Bei und in der "Firma" war ein Admin auch mal so schlau es ganz sicher zu machen und zu aktivieren, dass nach 5 Fehleingaben der Domänenacc gesperrt wird. Ein Teil der Belegschaft wäre danach fast in der Klapsmühle gelandet, weil sie sich jeden Morgen nicht einloggen konnten. Ein anderer Teil Spaßvögel wäre vor Kichern in der Ecke fast erstsickt und die Admin-Kollegen hätten sich gegenüber dem Sicherheitsexoerten in ihren Reihen gern strafbar gemacht.
Okay - ich hab etwas übertrieben, aber so war es und glaubt jetzt nicht ich werd euch verraten zu welchem Drittel ich gehörte.

Bruten gegen Flash wird es so eh nicht verhindern, weil ich dann nach 4 Versuchen einfach meine Spuren verwischen kann und es mich mit vertretbarem Aufwand nicht wiedererkennt.
__________________
"Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)
(s5) "Die Ultimative Gilde" & (s4) "Strippin Hobbitz"
für Abenteuer- und Angriffslustige Spieler
sowie (s1) Phoenix, (s7) Drachenhöhle, (rtl2) Dark Alliance, (s21) The Sanctuary, (s36) LeadersUnion, (w1) Made in Germany
Folgende User bedankten sich bei DaddyCool für das Posting:
  #59  
Alt 23.11.2012, 22:36
Korfox
Gast
 
Beiträge: n/a
Standard

Zitat:
Zitat von DaddyCool Beitrag anzeigen
Bei und in der "Firma" war ein Admin auch mal so schlau es ganz sicher zu machen und zu aktivieren, dass nach 5 Fehleingaben der Domänenacc gesperrt wird.
Das sollte gängige Praxis sein... siehe hierzu auch IT-Grundschutz vom BSI.
Passwortmobbing ist natürlich auch bekannt.
Verhinderbar durch eine verpflichtende Sicherheitsrichtlinie, in der unter anderem steht:
"Der Versuch, sich mit anderen Daten, als denen für den eigenen Domänenaccount, an einem System anzumelden ist nicht statthaft."
  #60  
Alt 23.11.2012, 23:27
Benutzerbild von Ganaroo
Ganaroo Ganaroo ist offline
Strider-Reiter
 
Registriert seit: 12.05.2011
Gilde: s15 The Witches, s16 The Witches Reloaded,
Beiträge: 146
Standard

Bei mir war es ganz simpel - ich war bescheuert. Ich habe immer und immer wieder in der Gilde gepredigt: Gebt eure Passwörter nicht raus. Und was mache ich dusselige Kuh ? Gebe ein Passwort zum Sitten raus - für einen ganz anderen Server und bemerke erst, als es zu spät war, dass ich dieses Passwort auch für zwei andere Welten nutzte. Der Schaden war groß, dank Sternenfee wurde er nicht irreparabel.

Fazit: Manchmal denkt man eine Sekunde nicht richtig nach und schon ist der Account in den falschen Händen.

Also Augen auf, bevor ihr ein Passwort rausgebt.
__________________
The Witches - Die Lustigste Gilde auf Server 15 + The Witches Reloaded auf Server 16
Folgende User bedankten sich bei Ganaroo für das Posting:
Thema geschlossen

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:01 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Copyright by 'Playa Games GmbH'