Bei Newspringfield ist was passiert...

  • Heute wurde ein Fremdzugriff im ACP von NewSpringfield getätigt - der Täter hat einiges durcheinander gebracht und auch eine E-Mail an alle verschickt - mit folgendem Inhalt:


    "Admin Stelle zu vergeben, wer Interesse an diesem Posten hat bitte melden. Leute meldet euch."


    Das ist natürlich Humbug und nicht gültig weil eben nicht von uns verschickt.


    Als Konsequenz dessen werden wir wahrscheinlich in den nächsten paar Tagen ALLE Passwörter neu generieren - deshalb würde ich euch bitten darauf zu achten, dass ihr bald eine E-Mail mit eurem neuem Passwort erhaltet. Näheres dazu folgt noch "offiziell" nach einer kleinen Besprechung mit Andreas.


    Mit freundlichen Grüßen,
    NeSp-Admin Team


    Hoffentlich passiert uns das nie...

  • lol die pws sind alle md5 verschlüsst, da gibts gar KEINE Möglichkeit die zu entschlüsseln weil des n Hash ist. Beim Einloggen wird nur das eingegeben PW mit zu dem selben Hash umgeformt und mit dem in der DB gespeicherten verglichen. -> Ach ich liebe PHP!


    Ne da hat wohl einer das PW eines Admins erraten. Anders kann ich mir das net erklären. Oder er hatte Zugriff auf die DB

  • Zitat

    Original von Georg
    lol die pws sind alle md5 verschlüsst, da gibts gar KEINE Möglichkeit die zu entschlüsseln weil des n Hash ist.


    Entschlüssenl kann man die nicht, aber wer genug Zeit hat, nen starken PC und nur ein PW herausfinden will, der hat mit Brute Force keine Probleme.


    Aber wie gesagt, der normale User ist nicht gefähredet, weshalb ich mich auch frage warum man mit dem Newsletter Panik bei Leuten auslösen muss, die etwas weniger Ahnung von PCs haben. Ausserdem bringt es dann auch nicht mehr sehr viel, ein neues Passwort zu generieren, da der Zugriff auf den Acc bei NeSp nicht gefährlich ist. Gefährlich wird es nur, wenn jemand das Passwort rauskriegt und die jeweilige Person es auch für Email o.Ä. Dinge verwendet.

  • Zitat

    Original von YKL


    Entschlüssenl kann man die nicht, aber wer genug Zeit hat, nen starken PC und nur ein PW herausfinden will, der hat mit Brute Force keine Probleme. ...



    ... wer hat schon jahre zeit, bei einem guten passwort?


    mein wichtigstes pw besteht aus 17 diversen zeichen.


    da kannst du deinen enkeln bescheid geben, dass sie schauen, ob das pw geknackt wurde.

  • Zitat

    Original von YKL


    Entschlüssenl kann man die nicht, aber wer genug Zeit hat, nen starken PC und nur ein PW herausfinden will, der hat mit Brute Force keine Probleme.


    Man einen Hash kann man auch nicht mit BruteForce knacken. Genauso wenig wie du SSL knacken kannst.


    Wenn du dich regestrierst wird dein PW in nen Hash aus 32 oder mehr Zeichen umgeformt. Wenn du dich dann einloggst passiert dasselbe mit deinem eingegeben PW. Wenn es verschlüsselt ist wird es mit dem Hash in der DB verglichen aber NIE entschlüsselt!

  • Knacken ist nicht gleich Verschlüsseln. Sicher kann man ein Passwort mit Brute Force knacken, wenn man die MD5 Checksumme hat. Ein geeignetes Programm wandelt dann verschiedenste Kombinationen mit dem selben Algorithmus in den MD5 Wert um und vergleicht die beiden Werte. Wenn sie identisch sind, hat man das Passwort, wenn nicht, wird die nächste Kombinaton versucht.
    Natürlich dauert das ne Weile. Aber nicht jeder hat ein PW mit 17 Zeichen. Ich selber habe sowas noch nie gemacht, kenne aber Leute, die ein PW in ca. zwei Tagen geknackt haben.

  • sag ich mal doof gelaufen, ich frag mich nur warum ich keine Mail erhalten haben bin doch auch bei NeSP angemeldet, mir ist es egal und ich hoffe das die Jungs das von NESP wieder hinbekommen, ach das schöne Internet überall kleine Kiddies.



    Zitat

    Man einen Hash kann man auch nicht mit BruteForce knacken. Genauso wenig wie du SSL knacken kannst.


    nichts ist unmöglich, die frage ist nur ob es auch sinn macht, bei einen mini forum ;)