Das ist der Artikel auf den die in /netsec auch verwiesen haben. Zumindest soweit ich das sehen konnte, hab mir nich die Mühe gemacht jeden Thread durchzuwursteln.
Passwort ändern is so oder so ne gute Idee.
Okay, ich selbst lese /netsec ehrlich gesagt nicht.
Ich habe diese Infos jedenfalls in das deutsche und das US-Battle.net Forum gestellt:
Sicherheitsupdate - Foren - Diablo III
Important Security Update - Forums - Diablo III
Eventuell wird das ja an die korrekte Stelle bei Blizzard weitergeleitet.
Ich überlege gerade ob ich das ganze noch per E-Mail an
hacks@blizzard.com schicken sollte..
:edit:
gut das sie dies nicht vertuschen
btw die maximale pw länge ist immernoch 16 und es gibt keine gross/klein unterscheidung
wie lange brauch man mit rainbow tables für nen 16 stelliges pw in kleinbuchstaben/ziffern/sonderzeichen?
Sonderzeichen sind afaik ebenfalls nicht enthalten.
Laut dem Artikel auf
http://www.opine.me/blizzards-battle-net-hack/ gilt:
opine.me schrieb:
I also tested further on Amazon EC2; with a c1.xlarge Amazon EC2 instance ($0.66/hr) based on benchmarking with ‘openssl speed’ you could check approximately 100 billion passwords for $100.
So, for example, you could try 1,000,000 passwords against 100,000 users for $100. This is not what I would call “computationally very difficult and expensive.”
Bei allen Buchstaben des Alphabets und allen Ziffern haben wir einen Kennwortraum von:
26+10 = 36 Zeichen => 36^16=7.958.661.109.946.400.884.391.936 mögliche Kombinationen.
Dies geteilt durch 100 Milliarden Kennwörter per 100$ (151,51 Std. ca. 6,3 Tage) ergibt:
39793305549732,00442195968 Durchläufe bis die Hälfte aller Kennwörter geknackt ist.
Das ist immer noch sehr lang und basiert auf einem Bruteforceansatz.
Wenn jetzt jemand z.B. nur ein 10stelliges Kennwort nutzt ist der Schlüsselraum natürlich um Größenordnungen kleiner:
3.656.158.440.062.976/100.000.000.000=36561,58440062976 * 6,3 Tage
9 stellig:
101.559.956.668.416/100.000.000.000=1015,59956668416 * 6,3 Tage
8 stellig:
2821109907456/100.000.000.000=28,21109907456 *6,3 Tage
Bei 7stelligen Kennwörtern dauert das Bruteforcen aller Kennwörter unter 6,3 Tage, ist also für unter 100$ zu haben.
Aber auch längere Kennwörter können durch Wörterbuchattacken wesentlich schneller geknackt werden.
Man kann natürlich auch den Vorgang parallelisieren, indem man nicht für 100 $ eine Maschine bei Amazon für 6,3 Tage mietet, sondern 100 Maschinen für den gleichen Preis für ca. 1,5 Stunden laufen lässt.
Daher: Passwort wechseln!
