Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsLeague of Legends: Hacker erbeuten Spielerdaten
was können denn die diebe dafür, wenn man so leicht in ne bank kommt?
was kann denn das opfer dafür, wenns so leicht zu verprügeln ist?
merkt ihr eigentlich was ihr da für einen mist schreibt und dass ihr kriminelle verteidigt?
Wieso? Es müssen doch immer die gleichen Passwörter sein, egal ob mit oder ohne Salt. Wie sollte sonst der Login möglich sein?
Man muss die Passwörter schon so ablegen, dass der Algorhithmus (Salt, Verschlüsselung, ...) das Passwort schon als richtig erkannt. (sonst würde Person A reinkommen, aber Person B nicht)
Versteht ihr was ich meine?
Bei Verwendung von Salt wird an das unverschlüsselte Passwort eine zufällige Zeichenfolge (der Salt) angehängt und danach gehasht, d.h. bei gleichen Passwörtern, aber höchstwahrscheinlich (je nach Komplexität des Salt) unterschiedlichen Salts kommen auch verschiedene Hashwerte heraus.
Der Login wird dadurch möglich, dass neben dem Hashwert auch der zugehörige Salt in der Datenbank gespeichert wird.
Innerhalb der kurzen Zeit MD5-Hashes zu knacken(bzw. bruteforce, von entschüsseln kann man hier nicht reden), dürfte relativ unmöglich sein. Zumindest bei der großen Datenmenge für einen Ottonormal PC.
Innerhalb der kurzen Zeit MD5-Hashes zu knacken(bzw. bruteforce, von entschüsseln kann man hier nicht reden), dürfte relativ unmöglich sein. Zumindest bei der großen Datenmenge für einen Ottonormal PC.
@ MR2007
Eben nicht, also md5 "erfunden" wurde waren die Otto-Normal-PC's eben nicht in der Lage dazu.
Aber heutzutage sieht das ganz anderes aus, google mal was die ATI Karten (7970) so pro Sekunden machen.
Radeon 7970 8213.6 M c/s
6-core AMD CPU 52.9 M c/s
Für eine Spielenews oj. Aber besonders nach lesen der Hintergrundgeschichte würde ich für IT-News die sicherheitskritisch sind ein anderes Symbol vorschlagen das sowas auch wiederspiegelt.
Ok, man kann auch einfach den Titel der News lesen
aspro schrieb:
...
Der Login wird dadurch möglich, dass neben dem Hashwert auch der zugehörige Salt in der Datenbank gespeichert wird.
Dann bringt das Salt doch nur dann etwas wenn es in einer anderen DB gespeichert wird als das PWD und diese nicht geknackt wird?
Sind die Hacker erstmal in der DB kopieren sie sonst das Salt zusammen mit dem PWD, was das Salt wiederum überflüssig macht, richtig?
Dann bringt das Salt doch nur dann etwas wenn es in einer anderen DB gespeichert wird als das PWD und diese nicht geknackt wird?
Sind die Hacker erstmal in der DB kopieren sie sonst das Salt zusammen mit dem PWD, was das Salt wiederum überflüssig macht, richtig?
Du hast in der Datenbank nen Salt und nen Hash von Passwort und Salt. Bei jedem Einloggen wird also der Hash von eingegebenem Passwort und Salt gebildet und mit dem in der Datenbank verglichen.
Gerade zu MD5 gibt es schon fertige Rainbow Tables. Einfach runterladen und fertig.
Natürlich könnte man jetzt mit Vollzugriff auf den Loginserver einfach noch die eingegebenen Passwörter mitloggen... Aber dann hat man immerhin nicht die ganze Datenbank...
Jop sehe ich auch so in der Mail in deutsch steht extra das man den Link selber eingeben soll etc. sowie in der Englischenfassung. Und wenn man sich die Mailadresse ansieht ist das die echte Mailadresse von Riot also nicht direkt ***** Posten
Du hast in der Datenbank nen Salt und nen Hash von Passwort und Salt. Bei jedem Einloggen wird also der Hash von eingegebenem Passwort und Salt gebildet und mit dem in der Datenbank verglichen.
...
Salt: dasistdersalt
Passwort: qwertz
Hash von beiden(MD5): e5c126fe0c80c6b99d269c28a264005f
Ahhh, jetzt kapier ich es. man kommt man nicht mehr ans Passwort, da nicht umkehrbar?
Hmm, ich muß sowas immer erst ausprobieren bevor es klick macht
Wenn die Hacker aber auch den Salt haben, dann könnten sie mit etwas Aufwand die DB per Keyliste/BruteForce durchleuchten, dabei dürfte es genug Treffer geben denke ich. Ok, hier war auch noch die Rede von random Salt, damit hat sich das auch erledigt. Danke, fühle mich erleuchtet
Interessant. Du gehst also davon aus, dass man Mailadressen nicht fälschen kann. Die Annahme ist leider falsch. Jeder, der eine Programmiersprache beherrscht kann auch das.
Zur Linksache: Ein normales Unternehmen würde seine Mitglieder niemals dazu auffordern, einen Link zu kopieren und dort seine Nutzerdaten anzugeben. In fast jeder AGB steht drin, dass man genau auf solche Mails nicht reagieren soll.
Außerdem gibt es noch solche schönen Fälle: euw.leagueoflegend.com Man würde ohne weiteres auf den Link klicken oder ihn per C&P kopieren? Glückwunsch, du bist gerade Opfer eines Domainsquatters geworden.
Bitte den Link NICHT kopieren. Es handelt sich hier tatsächlich um einen Domainsquatter.
Ups, das da ein Link drin war hab ich tatsächlich übersehen. Das kommt davon wenn man sich darauf verlässt das Links klickbar sein müssen.
In dem Fall hast du natürlich völlig recht, sorry
Ich habe die ursprüngliche Nachricht von dir gar nicht gesehen, also macht das nichts. Der Link war vorher übrigens klickbar. Es war mir zuerst gar nicht aufgefallen, dass die Website tatsächlich existiert und Maleware enthält.
Ich habe die ursprüngliche Nachricht von dir gar nicht gesehen, also macht das nichts. Der Link war vorher übrigens klickbar. Es war mir zuerst gar nicht aufgefallen, dass die Website tatsächlich existiert und Maleware enthält.
Naja aber man sollte selber die Seite kennen und wenn nicht eben Google benutzten das mit der Mailadresse klar gehts nur wurde ja auf die Mailhingewiesen auf der Website und wenn ich so eine Mailbekomme informiere ich mich normal ja auch nochmal wo anders und mach das nicht alles sofort nur weil das irgendwo steht
@Smagjus: Wie sollten sie den deiner Meinung nach ihre Benutzer sonst dazu bekommen ihr Passwort zu ändern? Was andres außer "geht auf die offizielle Seite und loggt euch da ein um euer PW zu ändern" fällt mir nicht ein. Und jeder der auch nur irgendwann mal eine News im PvPnet-Client angeklickt hat, hat diese URL bereits in seiner History und sieht somit dass es die richtige ist.
Wie du selbst geschrieben hast: Als Hinweis ohne direkt einen Link anzugeben. Dass die URL bei vielen in der Browserhistorie auftaucht, mag sein, aber da zählen nicht alle zu.
Eine reine Textemail würde doch reichen. In der jetzigen Form fliegt die bei mir durch zwei verschiedene Spamfilter und wird zusätzlich noch als Bedrohung eingestuft. Außerdem führt die URL mit dem Titel
