Bitte ändert Eure Passwörter!

[Benihipe2]

DBODE kannst du bitte die e-mail adresse von meinem normalen account ändern ? Die alte e-mail Adresse wurde gelöscht und somit kann ich mir kein neues pw zuschicken lassen.


XXXXXXX

würde mich über antwort freuen danke

 

[dbode]

Solche Daten sollte man hier nicht posten

 

[Roach13]

So Leute, ich mache jetzt Pause - ich habe seit 11 Uhr ca. 300 Emailadressen geändert und bin nach der schlaflosen Nacht fix und alle. Eventuell schaffe ich nachher noch eine Stunde Änderungen, den Rest gibts dann aber erst morgen.

hast du dir verdient

 

[sabermaul]

ihr solltet auch darauf achten das ihr falls ihr die nicks auf andern foren nutzt auch ändert.

Ja, das ist mein Problem^^
Habe mir jetzt aber eine Technik überlegt, die einfach zu merken ist und trotzdem je Forum unterschiedliche Passwörter hervorbringt

PS: Wurde von den Passwörtern wenigstens zwei/dreimal ein MD5 Hash gebildet? Oder nur einmal?

 

[Equinox]

Ich würde mich an dieser Stelle gerne beim Team von Hardwareluxx über die Offenheit und die prompte Reaktion bzgl. dieser Sicherheitslücke bedanken. Sowas sollte zwar eigentlich nicht passieren, lässt sich aber nicht 100%ig vermeiden.

 

[Lord D. Vader]

Danke Dennis ! ging ja fix =)

Edit: Ähm, warum kann ich nicht den Markplatz einsehn? Was kann man da machen?! help

 

[MiniMe1978]

hat es einen besonderen grund, dass ich mich jedes mal neu einloggen muss? gehn cookies oder so im moment nicht wegen dem vogel?

 

[Frozen Plasma]

hahaha Frozen Plasma scheint irgendwas nicht zu passen, der is ja echt mies drauf xD
der kann anscheinend nur so comments lassen, komisch dass es sonst keinem auffällt Hightech Pro.

mfg

Ach, natürlich - ich habe überreagiert. Das Forum ist das Leben, der Morgen und der Abend, das Alpha und das Omega. Eine Stunde ohne Forum ist lebensbedrohlich - da steht man ja kurz vor'm Suizid und muss 1000 jammer-posts und pn losschicken....würde ich normalerweise auch machen. Leider habe ich ein Leben neben dem Forum und kann mich auch gedulden...aber ansonsten würde ich auch wie Hightech reagieren.

Und den post #1 lesen - NÄÄÄÄ.....sowas machen wir nicht. dbode schreibt die No.1-Posts eh immer nur zu Spaß, damit wir ungelesen auf Seite 5 einsteigen....

Manche sind echt

 

[Mr.Mito]

Grad geändert. Wurde Anzeige erstattet? Rein der Neugier wegen.

 

[cpushreder]

man ging mir eben der hut hoch. ich dachnte schon ich sei zu dumm mein PW einzugeben.

 

[Agent Cheese]

Ging ja schnell thx.

Ein Glück, das ich in jedem forum sowie bestellseiten, immer ein anderes pw benutze.

 

[Crux]

Hallo,

weis man eigentlich was der hacker gemacht hat? Er hat sich ja 2 tage zeit gelasen um das den HWLxx Team mitzuteilen... das beunruhigt mich etwas...

lg Crux

 

[DragoMuseweni]

Hmm wenn ich mein PW ändern will spring es immerwieder auf das alte zurück ist das normal ?

 

[Freak1991]

Hi,
ich nutze bei ein paar seiten dasselbe PW also das was ich hier hatte. Sollte ich es auch dort jetzt überall ändern ?

 

[OCZ-Meister]

hallo leute
mein kumpel hat n account hier, er weiss leider seine registrierte Email adresse nicht mehr. Was soll er genau machen?

 

[Frozen Plasma]

Hi,
ich nutze bei ein paar seiten dasselbe PW also das was ich hier hatte. Sollte ich es auch dort jetzt überall ändern ?

schön, dass du die beiträge hier gelesen hast. noch so einer. ist ja der reine wahnsinn.

---------- Beitrag hinzugefügt um 23:29 ---------- Vorheriger Beitrag war um 23:29 ----------

hallo leute
mein kumpel hat n account hier, er weiss leider seine registrierte Email adresse nicht mehr. Was soll er genau machen?

Auch hier: lies den verdammten ersten Beitrag....

 

[OCZ-Meister]

ist ja gut, er ist panisch geworden und hat mich mit fragen bombadiert
nehmen wir aber an, jemand will nen streich machen und schreibt ne email an dbode@hardwareluxx.com, um ein neues PW für den account zu erhalten, das er gar nicht besitzt. Ist also sehr missbrauchsanfällig

 

[Das Torti]

muharharhar


sag ich dazu

 

[OCZ-Meister]

mit welcher begründung?

 

[Corello]

Nutze meinen Nick in diversen anderen Computer-Foren zwar auch, aber immer mit anderem PW. Und abseits des Computer-Themas mit anderen Nicks.

PS:

Bitte achtet darauf, dass Euer neues Passwort sicher ist. Nutzt also eine Kombination aus Zahlen und Buchstaben mit Groß- und Kleinschreibung, aber keine realen Wörter.

Plus Sonderzeichen!

 

[koch]

@torti: du hast wohl deine sig zu ernst genommen

und danke für die erinnerung mal wieder auf neue passwörter umzusteigen. sollte man eh ab und an machen und grade gestern hab ich dran gedacht, war aber zu faul.
was ich dann jetzt gleich mal mache, ist dann ja wohl klar...

 

[gotu]

Waren die Passwörter in der Datenbank einfach nur unverändert mit dem md5-Algorithmus verschlüsselt abgelegt oder wurde ein salted Hash verwendet?

 

[LordSirius]

@ DBode:

Danke für den schnellen Support !

 

[ThomsenDeluxe]

@gotu,

Post#109:

"Vbulletin macht einen doppelten Salt und dann einen Hash. "

 

[SyPi]

@gotu,

Post#109:

"Vbulletin macht einen doppelten Salt und dann einen Hash. "

Bei vbulletin sieht die Methode ca so aus:

1.

[COLOR=#000000][COLOR=#007700]function [/COLOR][COLOR=#0000bb]fetch_user_salt[/COLOR][COLOR=#007700]([/COLOR][COLOR=#0000bb]$length [/COLOR][COLOR=#007700]= [/COLOR][COLOR=#0000bb]3[/COLOR][COLOR=#007700]) 
{ 
    [/COLOR][COLOR=#0000bb]$salt [/COLOR][COLOR=#007700]= [/COLOR][COLOR=#dd0000]''[/COLOR][COLOR=#007700]; 
    for ([/COLOR][COLOR=#0000bb]$i [/COLOR][COLOR=#007700]= [/COLOR][COLOR=#0000bb]0[/COLOR][COLOR=#007700]; [/COLOR][COLOR=#0000bb]$i [/COLOR][COLOR=#007700]< [/COLOR][COLOR=#0000bb]$length[/COLOR][COLOR=#007700]; [/COLOR][COLOR=#0000bb]$i[/COLOR][COLOR=#007700]++) 
    { 
        [/COLOR][COLOR=#0000bb]$salt [/COLOR][COLOR=#007700].= [/COLOR][COLOR=#0000bb]chr[/COLOR][COLOR=#007700]([/COLOR][COLOR=#0000bb]vbrand[/COLOR][COLOR=#007700]([/COLOR][COLOR=#0000bb]33[/COLOR][COLOR=#007700], [/COLOR][COLOR=#0000bb]126[/COLOR][COLOR=#007700])); 
    } 
    return [/COLOR][COLOR=#0000bb]$salt[/COLOR][COLOR=#007700]; 
} [/COLOR][/COLOR]

2.

<?
$password = md5(md5(pass).salt);
?>

Beispiel 1:

Hier wird der "Salt" erstellt. Er hatt eine länge von 3 Zeichen. Jedes zeichen wird zufällig im ASCII-Bereich von 33 bis 126 generiert. Dieser steht dann im klartext in der Datenbank. Ist der HASH erst einmal versalzen kann man ihn ohne den Salt und das Password nicht mehr entschlüsseln.

Unser Salt ist: d4L

Beispiel 2:

Hier wird der HASH erstellt, der nachher zum Vergleich herangezogen wird (Login).

Nehmen wir das Passwort: trowssap

Schritt1: trowssap wird in einen MD5 Hash umgewandelt -> 10456c75dc240340730070d199545f79

Schritt2: An den MD5 Hash wird der obrige Salt angehangen -> 10456c75dc240340730070d199545f79d4L

Schritt3: Nun wird ein weiteres mal gehasht, so wird aus 10456c75dc240340730070d199545f79d4L -> 3af874e571b9be226a951b185155ebd3

Dieser Hashwert kommt in die Datenbank. Eine Wörterbuch/Rainbowtabel/Brutforce Attacke ist durch den "versalzenen" Hashwert umständlicher und auch langwieriger. Wenn kein Salt vorliegt sogar unmöglich.

das dazu.Durch den Vorfall habe ich ein neues "schwereres" (Zeichen,Buchstaben,Zahlen,Groß/Kleinschreibung) Password ^^. Hierzu gibt es einen guten Artikel in der CT "Einfach mit komplizierten Passwörtern arbeiten" (Ausgabe 2/09). Vielleicht sogar als Artikelidee für die Printed.

 

[dbode]

Moin moin!

hat es einen besonderen grund, dass ich mich jedes mal neu einloggen muss? gehn cookies oder so im moment nicht wegen dem vogel?

Versuch dich bitte einmal hier im Forum und auf der Startseite auszuloggen, anschließend dann Cookies löschen und dann Dich auf der Startseite und NICHT hier im Forum einloggen. Das hilft in 99% der Fälle.

Hmm wenn ich mein PW ändern will spring es immerwieder auf das alte zurück ist das normal ?

Das ist technisch nicht möglich, weil wir Dein altes Passwort zur Sicherheit überschrieben haben. Am besten meldest Du dich mal bei mir per Email, dann gucken wir, wo das Problem liegt.

Hallo,
weis man eigentlich was der hacker gemacht hat? Er hat sich ja 2 tage zeit gelasen um das den HWLxx Team mitzuteilen... das beunruhigt mich etwas...
lg Crux

Wir können, wie wir gesagt haben, feststellen, auf was der Hacker Zugriff hatte.

@SyPi: vollkommen korrekt erläutert.

 

[ogltw]

Moin,

also ich habe jetzt nicht alle 8 Seiten bisher hier durchgelesen, aber mir stellt sich da u. a. eine Frage: So wie ich es verstanden hab wurde der betroffene Server - weil alt - nicht mehr genutzt. Wieso lässt man ihn dann dennoch am Netz ? Ist doch dann irgendwie unsinnig ?

Warum soll man jetzt sein Passwort ändern ? Was kann denn passieren ? Das der Hacker unter meinem Pseudonym hier im Forum Einträge/Threads erstellt ? Ich meine, er sieht ja hier keine Bankkonto-Daten oder sowas von mir ?

 

[dbode]

Moin,

also ich habe jetzt nicht alle 8 Seiten bisher hier durchgelesen, aber mir stellt sich da u. a. eine Frage: So wie ich es verstanden hab wurde der betroffene Server - weil alt - nicht mehr genutzt. Wieso lässt man ihn dann dennoch am Netz ? Ist doch dann irgendwie unsinnig ?

Moin moin. Es langen bis vor kurzem noch ein paar Downloads von unserer Downloaddatenbank auf dem Server, aus diesem Grund war er noch am Netz.

Warum soll man jetzt sein Passwort ändern ? Was kann denn passieren ? Das der Hacker unter meinem Pseudonym hier im Forum Einträge/Threads erstellt ? Ich meine, er sieht ja hier keine Bankkonto-Daten oder sowas von mir ?

Dein Passwort musst Du ändern, weil wir Dein Passwort mit einem Zufallswert überschrieben haben und Du dich ohne Änderung nicht mehr einloggen kannst. Wir haben es geändert, damit der Hacker nicht unter irgendeinem Pseudonym hier Einträge erstellen kann, genau - manchen ist ihr Forenaccount ja schon sehr wichtig

 

[Rasor1]

Danke für die schnelle Hilfe Dennis.

 

[KELWITT]

Und jetzt komm nicht damit du hast eine .TXT Datei auf dem Deskop mit den Passwörtern und machst immer Kopieren, Einfügen xD

nein, aber Roboform