News Gamigo: Angeblich elf Millionen Passwörter frei verfügbar
- Ersteller przszy
- Erstellt am
- Zur News: Gamigo: Angeblich elf Millionen Passwörter frei verfügbar
Genau! Täter verantwortlich machen - wo kämen wir denn hin?!buzz89 schrieb:
Im Ernst: Die Täter tragen die Schuld und gehören entsprechend bestraft.
Der Anbieter trägt aber natürlich eine Verantwortung für die Sicherheit der ihm anvertrauten Daten. Sollte er dieser Verantwortung mit Absicht oder aus Fahrlässigkeit nicht nachgekommen sein, sollte er zumindest für den entstandenen Schaden mit haften müssen.
Keine Ahnung wie da die gegenwärtige Gesetzeslage ist, aber solch eine Anbieterhaftung scheint mir dringend geraten.
edit:
Oh wie bitter! Und ich kann mir sogar vorstellen, daß diese Masche hervorragend zieht...DaBzzz schrieb:[Hier prüfen, ob Ihre Kreditkartennummer schon im Internet kursiert]
Zuletzt bearbeitet:
(siehe beitrag.)
@ Lunerio: mag für Dich offensichtlich sein, aber nicht für meine 70-jährigen Eltern!
Ich kann Deine Aussage nachvollziehen, aber trotzdem stützt sie die, meiner Ansicht nach, falsche Sichtweise der Dinge, indem sie indirekt den arglosen zum Schuldigen macht.
Der Schuldige ist aber immer der, der die Arglosigkeit ausnutzt!!!
Ich kann Deine Aussage nachvollziehen, aber trotzdem stützt sie die, meiner Ansicht nach, falsche Sichtweise der Dinge, indem sie indirekt den arglosen zum Schuldigen macht.
Der Schuldige ist aber immer der, der die Arglosigkeit ausnutzt!!!
RaiseHell
Lt. Commander
- Registriert
- Mai 2007
- Beiträge
- 1.426
koolaid schrieb:
Das Beispiel spiegelt aber nicht die vorliegende Situation wider, denn eigentlich müsste das Beispiel folgendermaßen formuliert sein:
Ich schubse jemanden gegen ein Brückengeländer, und zwar im vollen Bewusstsein darüber, dass dieses fahrlässigerweise nur ungenügend gesichert und an neuralgischen Stellen bereits durchgerostet ist.
Wer ist schuld? Sowohl der Hersteller, als auch die Person, die diese Schwachstelle ausnützt.
In Zeiten von bcrypt gibt es keinerlei Ausreden, warum man sensible User-Daten nicht ausreichend schützt. Klar, einen Web-Server, eine Datenbank kann man nie 100%ig schützen, denn selbst mit Up-to-date-Software kann man immer Opfer eines Zero-Day-Exploits werden, aber mithilfe von bcrypt kann man die Daten selbst soweit verschlüsseln, dass es de facto unmöglich ist, diese wieder zu entschlüsseln.
Hier wird ganz klar fahrlässig gehandelt, denn die Implementierung von aktuellen Verschlüsselungsalgorithmen ist ein vernachlässigbarer finanzieller Aufwand. Umso unverständlicher ist es, warum weltweit nach wie vor die Unternehmen im Bereich Datensicherheit derart sparen. Wie gesagt: schlichtweg fahrlässig, dieses Verhalten.
Chillvie
Lt. Junior Grade
- Registriert
- Juni 2006
- Beiträge
- 386
Ok, anderes Beispiel: Deine Bank hat keine Lust, dein Geld richtig zu sichern, und lagert es daher in kleinen Scheinen in gut tragbare Kisten nahe des Gebäudeausganges. Ein Krimineller kommt vorbei und packt die in seinen Wagen. Hat die Bank einen Fehler gemacht? 
dunkelbunter
Commander
- Registriert
- Juni 2008
- Beiträge
- 2.541
Na klasse, mal wieder Passwortwechsel
@ Chillvie: natürlich hätte die Bank in diesem Fall einen Fehler gemacht! Aber es wird immer jemanden geben, der bestehende Sicherungen überwinden kann. Und wenn ich etwas wegnehme, dass nicht für mich bestimmt ist, egal wie hoch das Niveau der Sicherung ist, dann bin ich für die Wegnahme verantwortlich!
Zuletzt bearbeitet:
Chillvie
Lt. Junior Grade
- Registriert
- Juni 2006
- Beiträge
- 386
Es gibt Verschlüsselungsmechanismen (natürlich auch für Passwörter), für die aktuell keine sinnvolle/erfolgreiche Angriffsmöglichkeit bekannt ist. Wer sich hier als Anbieter nicht am Stand der Technik orientiert, handelt fahrlässig.Rallomane schrieb:
Dann müssen wir ja nur noch warten, bis die Welt ein besserer Ort ist und brauchen gar keine Passwörter mehr.Rallomane schrieb:
RenoRaines
Banned
- Registriert
- Feb. 2004
- Beiträge
- 1.662
Gut das ich keinen Account bei Gamigo habe oder jemals hatte...bis jetzt gingen immer alle hacks schön an mir vorbei...und das kann auch gerne so bleiben.
Hoffe nur die CB Server werden nie gehackt...
Hoffe nur die CB Server werden nie gehackt...
Chillvie
Lt. Junior Grade
- Registriert
- Juni 2006
- Beiträge
- 386
Ich bin nicht besonders kryptografisch belesen, aber soweit ich es mitbekommen habe: Passwörter salted und mit AES (256 Bit) gehashed in einer Datenbank hinterlegen.Rallomane schrieb:
Natürlich, aber das hilft niemandem, der betroffen ist. Nur geeignete Prävention hilft (hätte geholfenRallomane schrieb:
).
Marco01_809
Lt. Commander
- Registriert
- Mai 2011
- Beiträge
- 1.893
Meh, das erste mal hats mich erwicht. pwnedlist sagt auch ein Eintrag.
Naja gut, dann wirds Zeit umzurüsten auf Keepass und für jede Site ein 20-Zeichen-PW anlegen.
Naja gut, dann wirds Zeit umzurüsten auf Keepass und für jede Site ein 20-Zeichen-PW anlegen.
Kraligor
Commodore
- Registriert
- Sep. 2008
- Beiträge
- 4.989
Vivister:
Du kämpfst gegen Windmühlen. Hier im Forum wird Raubkopieren paradoxerweise mehr Wertschätzung entgegengebracht als den Spieleherstellern selbst. Vulgärmarxismus und Antikapitalismus ist hier en vogue. Und die meisten, die dagegen ankämpften (wie bspw. mir), haben einfach keine Lust mehr, seitenweise Argumente zu schreiben, die überlesen oder billig abgeblockt werden.
Topic:
Dumm gelaufen. Eigentlich sollte man regelmäßig alle Passwörter ändern.
Du kämpfst gegen Windmühlen. Hier im Forum wird Raubkopieren paradoxerweise mehr Wertschätzung entgegengebracht als den Spieleherstellern selbst. Vulgärmarxismus und Antikapitalismus ist hier en vogue. Und die meisten, die dagegen ankämpften (wie bspw. mir), haben einfach keine Lust mehr, seitenweise Argumente zu schreiben, die überlesen oder billig abgeblockt werden.
Topic:
Dumm gelaufen. Eigentlich sollte man regelmäßig alle Passwörter ändern.
RaiseHell
Lt. Commander
- Registriert
- Mai 2007
- Beiträge
- 1.426
Rallomane schrieb:
Da machst du es dir – finde ich – etwas zu einfach.
Es ist richtig, dass es für Fälle wie diese derzeit noch keine ausreichenden gesetzlichen Bestimmungen gibt, was auch der Grund dafür ist, warum Unternehmen den Schutz von Userdaten derart stiefmütterlich behandeln – es drohen ihnen ja ohnehin keinerlei Konsequenzen, außer vielleicht ein paar User im einstelligen Prozentbereich, die ihren Account stilllegen.
Moralisch gesehen sieht die Sache aber wieder ganz anders aus.
Und auch gesetzlich sieht es da in manchen Bereichen ganz anders aus. Einem Betreiber, Hersteller, etc. darf ein zumutbarer Aufwand abverlangt werden, um ihr Produkt, Erzeugnis oder Service vor Missbrauch zu schützen.
Bleiben wir kurz beim obigen Beispiel mit dem Brückengeländer: Würde sich im Rahmen eines Gerichtsprozesses herausstellen, dass der Hersteller des Brückengeländers bei der Errichtung bzw. Instandhaltung fahrlässig gehandelt hat, dann wäre es durchaus denkbar, dass sich dieser Hersteller in einem separaten Prozess zu verantworten hätte.
Anderes Beispiel:
In Deutschland müssen Waffen in Privatbesitz – je nach Sicherheitsbehältnis – räumlich getrennt von der Munition und in einem verschließbaren Behältnis aufbewahrt werden.
Sollte diese Vorschrift missachtet werden und sich jemand unerlaubt Zugang zu der Waffe + Munition verschaffen und in weiterer Folge mit dieser Waffe einen Mord begehen, dann wird sich sehr wohl auch der Eigentümer der Waffe vor Gericht verantworten müssen.
Zuletzt bearbeitet:
Rallomane schrieb:
Schön. Ich hab aber nicht gesagt, dass derjenige nicht bestraft werden soll. Der, der das ermöglicht hat, sollte aber auch was davon abbekommen. Weil eine Verbesserung hingehört, DA ES SONST WIEDER VORKOMMEN KANN!
Oder willst du dass man 10 mal hintereinander neue Daten von der selben Firma klaut?
Klar Fehler können immer passieren (noch viel schlimmer wäre es wenn der selbe Fehler 2 mal passiert).
Wobei man sagen muss, dass es bei solchen Dingen eine SELBSTVERSTÄNDLICHKEIT ist, alle Sicherheitsvorkehrungen korrekt einzuhalten! Das alles einfach perfekt vorkalkuliert wurde!
Oder würdest du auch nur den Makler fertig machen wollen, wenn das Haus wegen einen inkompetenten Ingenieur abstürzt und eine Famile dabei getötet wurde? Er hat das Haus schliesslich verkauft, der Übeltäter, der so dreist war......
Zuletzt bearbeitet:
Dark Thoughts
Fleet Admiral
- Registriert
- Aug. 2007
- Beiträge
- 10.189
koolaid schrieb:
Und wenn das Geländer fehlt?
Eher bcrypt als Algorithmus nehmen. Bei Passworthashing geht es darum einen möglichst langsamen Algorithmus zu nehmen, damit Bruteforceangriffe möglichst lange dauern. Blowfish ist ca. 1000 mal langsamer als SHA512 oder MD5, dementsprechend braucht man auch 1000 mal länger um eine bestimmte Anzahl Hashes durchzulaufen. Teilweise sogar noch langsamer. (Beispiel: Auf dem Rechner eines Users im Internet wurde ein bcrypt-Hash in 0,3 Sekunden berechnet, während MD5 weniger als eine Mikrosekunde brauchte. Das ist ein Faktor von 300000. )Chillvie schrieb:
Für den Server bzw. Nutzer ist es relativ irrelevant, da selbst 0,1Sekunde fürs Hashen noch schnell genug ist, sofern nicht tausende Leute gleichzeitig drauf zugreifen. (Für Diablo3-Login also vllt. weniger gut geeignet.
)AES ist daher insofern schlecht, da dieser Algorithmus von modernen CPUs massiv beschleunigt wird und somit die Sicherheit senkt.
Aber natürlich mit Salt und das Hashen selber mit HMAC ("Keyed-Hash Message Authentication Code").
Zuletzt bearbeitet:
koolaid schrieb:
Dafür gibt es Account Checker die das in Sekunden prüfen.
Hier werden die erbeutetet Daten (Mail Passwort)in Sekunden an allen relevanten Seiten ausprobiert.
Rallomane schrieb:
Ach so wenn du des Schlüssel in deinem Auto stecken lässt, bist du natürlich nicht schuld.
Wenn du deine Haustür offen stehen lässt bist such auch nicht schuld, schon klar.
Es sind die die diese Dummheit ausnutzen.
Komisch das deine Versicherung in diesen Fällen nicht zahlt weil es grob fahrlässig war.
Und das selbe gilt hier.
Komisch das es andere schaffen ihre Daten zu sichern.
Ähnliche Themen
