ist zwar schon zu spät und sowieso unwichtig, aber falls es noch jemand wissen möchte/muss: https://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/
da hast recht.. deine meldung kommt reichlich spät ;-) http://www.heise.de/newsticker/meldung/Angriff-auf-eBay-Datenbank-Nutzer-sollen-Passwort-aendern-2195127.html .. Rudi ;-)
Schön das du das hier rein stellst, sonst wäre das an mir vorbei gegangen. Bisher haben sie mich nicht informiert. Die Information ihrer Kundschaft per Email hätten sie m.E. innerhalb eines Tages schaffen müssen, denn wer liest schon regelmäßig irgendwelche Firmenblogs oder geht immer über die Startseite?
Das habe ich heute auch bei golem.de gelesen. Seit 15 Jahren bei der Bucht und noch nie das Passwort geändert. Werde ich mir das neue überhaupt merken können???
Das Passwort wird doch nicht im Klartext hinterlegt? Warum dann Passwort ändern?
Mike Mike schrieb: > Das Passwort wird doch nicht im Klartext hinterlegt? Warum dann Passwort > ändern? Wenn du das Passwort erstmal lokal in einer DB hast, kannst du per Brute Force (oder aus einem Wörterkatalog) und einem verschlüsselungsalgorithmus so lange rechnen lassen bis eines passt. Beispiel: Das Passwort "foo" kann als checksumme abgelegt werden: acbd18db4cc2f85cedef654fccc4a4d8 Nun erzeugt ein Server zufallswörter und wandelt jedes in die Checksumme um. Das zufällige "verschlüsselte" Passwort wird mit der DB verglichen.
Naja, wenn die Angreifer sich nicht nur ein Login mit Leseerlaubnis sondern auch mit Schreibberechtigungen verschafft haben, dann müssten die nichtmal brute force anwenden, sondern einfach überall passwort123 setzen.
Ja aber es wurde kein neues gesetzt, und Brutforce... viel spass, da kann er jahrhunderte rechnen bei meiner Passwortlänge
Mike Mike schrieb: > Ja aber es wurde kein neues gesetzt, und Brutforce... viel spass, da > kann er jahrhunderte rechnen bei meiner Passwortlänge Das gilt aber sicher nicht für die Mehrzahl der Nutzer und viele werden da teilweise auch leicht zu merkende Wörterkombinationen genutzt haben. Daher ist die Warnung von eBay schon richtig.
Mike Mike schrieb: > Ja aber es wurde kein neues gesetzt, und Brutforce... viel spass, da > kann er jahrhunderte rechnen bei meiner Passwortlänge Überschätz das mal nicht. Ebay verwendet gesalzene Hashes. Daraus das Passwort zurückzurechnen ist grob, in etwa, dieselbe Rechenaufgabe, die auch Bitcoin-Miner lösen. (Statt dem nonce wird das Passwort gesucht, statt hash(hash) < threshhold(difficulty) wird auf hash == gestohlenes Hash geprüft) ein aktueller Bitcoin-Miner macht vielleicht 1 TH/sec, das wären 1,000,000,000,000 Passwort-Vergleiche pro Sekunde. Kommt dir dein Passwort immer noch lang genug vor? Auch ohne Spezial-ASICs & FPGAs, nur mit aktuellen Grafikkarten: http://hashcat.net/oclhashcat/ hält so ein verschlüsseltes Passwort nicht lange stand...
Und das nächste: http://heise.de/-2196557 Warum sich die Mühe machen, hier Passwörter Rauszuknobeln... Wenn ich einfach eine präparierte Auktion einstellen kann und dann alle betrachtenden Benutzeraccounts frei Haus geliefert kriege...
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.