Neues Passwort-Verschlüsselungssystem im ingame-Netzwerk

[Nai]

Liebe Community,

die Sicherheit eurer Accounts liegt uns sehr am Herzen, insbesondere weil häufig gleiche oder ähnliche Passwörter für Spiele-, Shopping-, oder Social-Media –Accounts verwendet werden.
Wir sehen hier unsere Verantwortung als Communityseite und haben in den letzten Tagen unsere Datenbanken mit einem neuen und besseren Verschlüsselungssystem versehen, um eventuellen Angriffen auf eure Accounts einen Riegel vorzuschieben. Wir zitieren hier mal die Technik: "Wir haben das Knacken der in unserer Datenbank hinterlegten Passwörter deutlich erschwert. Nun ist es praktisch unmöglich."

Um in den Genuss der verbesserten Verschlüsselung zu kommen, braucht ihr lediglich folgendes tun: Ausloggen, Einloggen …

Hier könnt ihr den ganzen Artikel lesen: Neues Passwort-Verschlüsselungssystem im ingame-Netzwerk

 

[SchabernackTreiber]

Ich hoffe, ihr seid nicht zufällig über die md5-Funktion von PHP-gestolpert ...

Ich erwarte bei solchen Tönen mindestens 512 Rounds Salted-Hashes.

 

[acetous]

Nein, salted war das eh alles schon. Aber jetzt mit Blowfish mehrere Runden gehashed.

 

[Z3phyr]

na das hört man doch gerne
Wenn man bedenkt, dass gerade die Fansiten wohl Hauptfarmgebiet für Mailadressen und damit Battlenet Accounts gewesen sind

 

[Garland]

Ein weiterer Beitrag zur Sicherheit schadet sicher nicht...

Liebe Grüße Dragon

 

[SchabernackTreiber]

Benutzt ihr Random-Salts für jedes PW?

 

[Odysseus]

Naja, ist natürlich zu begrüßen, aber auch kryptographischer Sicht wäre auch ein zweifaches MD5 mit Salt völlig ausreichend.

 

[RPG Dude]

Vorbildlich, so wünscht man sich das

 

[Luio]

In was für einer Verbindung steht das zu D3??

 

[as69]

In was für einer Verbindung steht das zu D3??

Deswegen:

...insbesondere weil häufig gleiche oder ähnliche Passwörter für Spiele-, Shopping-, oder Social-Media –Accounts verwendet werden....

Viele Anzeichen deuten bei den D3 Account-"Hacks" daraufhin, daß gezielt email Adressen und Passwörter von Fremdseiten, Foren, etc...über einen längeren Zeitraum ausspioniert wurden und nun mit den Daten versucht wird, an Accounts zu kommen. Leute, die das selbe PW im Game und auf Foren verwenden, leben gefährlich (noch dazu, wenn sie die selbe email Adresse wie im Game angegeben haben).

Beispiele von letzter Woche gefällig?

Weitere 1,4 Millionen Datensätze kompromittiert | heise Security

Über 300.000 GMX-Accounts kompromittiert | heise Security

http://www.heise.de/security/meldung/Yahoo-bestaetigt-Passwort-Leck-1640238.html


mfg

 

[acetous]

Benutzt ihr Random-Salts für jedes PW?

Ja.

Naja, ist natürlich zu begrüßen, aber auch lryptographischer Sicht wäre auch ein zweifaches MD5 mit Salt völlig ausreichend.

Nein. Ein MD5-Hash ist einfach zu schnell zu berechnen, selbst in zwei Runden mit Salt. Damit kann man schwache Passwörter sehr einfach brutforcen.

 

[SchabernackTreiber]

Naja, ist natürlich zu begrüßen, aber auch lryptographischer Sicht wäre auch ein zweifaches MD5 mit Salt völlig ausreichend.

Nicht wirklich, MD5 ist quasi geknackt und gegen einfache salts gibt es auch schon rainbowtables.

 

[Sorcphilosoph]

Eine sehr gute Aktion, stärkere Verschlüsselungen können eigentlich nie schaden.

Gab es denn einen konkreten Anlass für die Änderung oder habt ihr das rein prophylaktisch gemacht?

 

[acetous]

Das haben wir prophylaktisch gemacht, um sicherheitstechnisch die zeitgemäßen Techniken zu nutzen. Man hat ja in letzter Zeit durch die Hacks anderer Seiten gesehen, dass man sowas nicht schleifen lassen sollte. Mehr allgemeine Hintergrundinfos gibts hier.

 

[SchabernackTreiber]

Sehr gewissenhaft. Lob dafür

 

[Meloney]

Ich finde schön, dass da eine Erklärung für IT-Laien dabei steht, mit der ich nur sehr wenig anfangen kann
Da merke ich mal wieder ich habe eigentlich keine Ahnung von IT, und gelte in meinem Bekanntenkreis dennoch als kleiner Experte, weil die alle noch viel weniger davon verstehen.

 

[Karlzberg]

find ich klasse, dass ihr euch um die sicherheit der community gedanken macht.

bleibt zu hoffen, dass euer beispiel schule macht.

 

[zerg123]

Wir zitieren hier mal die Technik: "Wir haben das Knacken der in unserer Datenbank hinterlegten Passwörter deutlich erschwert. Nun ist es praktisch unmöglich."

An dieser stelle möchte ich mal Bashiok oder wer das war sinngemäß zitieren:

Wir haben Inferno fast unschaffbar gemacht und dann den Schwierigkeitsgrad verdoppelt!


Warum?


Ganz einfach, da so wie ich das als Technik-Laie sehe dazu dient den Brute-Force Aufwand zu erhöhen. Allerdings hilft das wiederum vor allem solche User, die vernünftige Passwörter benutzen. Übrigens auch genau die selben User, die eher dazu bereit sind unterschiedliche Passwörter für unterschiedliche Webseiten in Erwägung zu ziehen.

Der 0815 DAU, der aber nach wie vor Passw0rd oder so als Passwort benutzt, den würde es nach einem Hack eurer Datenbank genauso treffen.
Man mag vieleicht keine drölfmillionen passwörter pro User ausprobieren, aber für die paar hundert oder tausend häufigsten reicht dann die Rechenleistung eben doch noch in vertretbarer Zeit, würde ich zumindest mal annehmen.

Genau wie also Inferno nach wie vor unfassbar einfach ist, da der Schwierigkeitsgrad von im Schlaf schaffbar auf im Halbschlaf schaffbar angebhoben wurde, sind auch die beliebtesten Passwörter nur unwesentlich mehr geschützt.

 

[acetous]

Ganz einfach, da so wie ich das als Technik-Laie sehe dazu dient den Brute-Force Aufwand zu erhöhen. Allerdings hilft das wiederum vor allem solche User, die vernünftige Passwörter benutzen. Übrigens auch genau die selben User, die eher dazu bereit sind unterschiedliche Passwörter für unterschiedliche Webseiten in Erwägung zu ziehen.

Der 0815 DAU, der aber nach wie vor Passw0rd oder so als Passwort benutzt, den würde es nach einem Hack eurer Datenbank genauso treffen.

Eben nicht! Lange Passwörter (14 Zeichen und mehr) mit Sonderzeichen, Zahlen, und Groß- und Kleinschreibung sind nach wie vor der beste Schutz. Auch mit einem vergleichsweise schwachen Hashing. Mit unserem alten Verfahren wären die guten Passwörter auch immer noch sicher.

Wir haben das vor allem gemacht, um die nicht so guten, also vor allem kürzeren Passwörter besser zu schützen. Brutforceangriffe auf unsere Mindestpasswortlänge bewegen sich nun im Zeitrahmen von Jahren bis zum Erfolg. Wörterbuchattacken gehen natürlich nach wie vor schneller, aber das lässt sich nicht verhindern. Wenn man nicht gerade einer der beliebtesten Standardpasswörter gibt, die man sehr schnell durchprobieren kann, dann sollte das eigene Passwort nun bei uns sicher verwahrt sein.

Man sieht also, dass deine Laienmeinung hier auf ganzer Linie falsch lag, aber eventuell konnte ich dich eines besseren belehren.

 

[zerg123]

Man sieht also, dass deine Laienmeinung hier auf ganzer Linie falsch lag, aber eventuell konnte ich dich eines besseren belehren.

So würde ich das nun auch wieder nicht sagen .

Zugegeben ich habe nicht zwischen leichten und schweren Passwörtern unterschieden, sondern nur durch solche welche sich mit einem Wörterbuch knacken lassen und solche bei denen es nicht möglich ist.
Insofern macht dein Einwand man würde schwächere Passwörter damit Schützen schon irgendwie Sinn.

Allerdings bleibt es dabei, sind die Passwörter zu einfach, dann werden sie auch geknackt werden. Weswegen die Aussage

"Wir haben das Knacken der in unserer Datenbank hinterlegten Passwörter deutlich erschwert. Nun ist es praktisch unmöglich."

Nun mal falsch ist .