Accounts mit GMX Mailadresse gehackt?

[MFoD | Jan]

Heyho, neulich hatte ja GMX probleme mit gehackten Email Accounts (Zahlen gehen von 3000 bis 300000).

So ging es auch mir, und im Zuge dessen wurde mein Guild Wars Account gehackt. Das tangiert mich zwar nurnoch periphär da ich eh inaktiv bin aber mich interessiert mal ob es noch anderen so ging da GMX ja ein recht beliebter E-Mailprovider ist.

MfG

[hiccups]

Ganz ehrlich? Es liegt an den Passwörtern der Leute. Wenn man sowas nimmt wie "WaschMeinAuto". Dann ist das in NullKommaNix gehackt.
Ich habe bei GMX ein mindestens 20-stelliges Passwort mit Groß- und Kleinschreibung + Zahlen + Sonderzeichen. Ich bin also sehr sicher damit.
Bei GW1 versuche ich auch immer besonders komplizierte PWs zu nehmen. Außerdem habe ich noch meinen Masteraccount. Sollte also jemand es schaffen mein super außergewöhnliches Passwort heraus zu finden, kann ich meinen Account über meinen Masteraccount wieder sichern in dem ich mein PW ändere.

Und wie merke ich mir all diese Passwörter? Hier mit: http://www.lastpass.com/
Super praktisch.

[Sephuna]

Mein alter GW Demoaccount wurde auch gehackt.
Ich war ziemlich erstaunt als ich eine bereits gelesene Paswortresett Mail im Posteingang hatte.
War bestimmt ne Enttäuschung für die Person zu sehen das es nichts zu holen gibt xD

[Amadeus]

Bei mir wurde nix gehackt, da ich Passwörter verwende, die mit Rainbow Tables nicht so einfach zu knacken sind.

Ein Beispiel:

Jeder kennt ja ein Gedicht oder ein Lied. Ich nehm mal den guten alten Heinz Erhardt.

"Hinter eines Baumes Rinde saß die Made mit dem Kinde"

Macht aus den Anfangsbuchstaben:

HeBRsdMmdK

Die Zahl eins kann man auch als 1 schreiben und man kann ein Satzzeichen hinzufügen, das macht dann:

H1BRsdMmdK!

Eine Textzeile mehr und das ganze ist quasi unknackbar.

Macht euch bitte mehr Gedanken über eure PWs

Ach ja, das o.g. PW benutze ich nicht

@Silmar Alech: Ach ja, immer verschiedene PWs benutzen, wozu gibts schließlich PW-Manager...

[Silmar Alech]

Diese Passwörter mit Anfangsbuchstaben eines Satzes, evtl. auch noch mit Mutationen (a->@, l->1 usw.), sind gefährlich, weil man sich nach kurzer Zeit nicht mehr daran erinnert, welcher Satz das genau war, und vor allem welche Mutation man jetzt genau verwendet hatte.

Um das o.a. Beispiel zu nehmen:

war das verwendete Passwort im Spiel jetzt...
HeBRsdMmdK
oder
HeBRsdMmdK!
oder
H1BRsdMmdK
oder
H1BRsdMmdK!
oder hatte ich zwecks weiterer Verschlüsselung die Gross- und Kleinbuchstaben vertauscht..
h1brSDmMdK
oder
h1brSDmMdK!
oder
hEbrSDmMdK
oder
hEbrSDmMdK!
oder wars vielleicht
HeBRsdMmdK.
oder
hEbrSDmMdK.
oder
H1BRsdMmdK.
oder
h1brSDmMdK.
?

Und das löst ja auch noch nicht die Notwendigkeit, für alle Accounts ein anderes Passwort zu verwenden. Da müßte man ja für jeden Account einen anderen Satz und andere Mutationen verwenden.

Nee, nee, dieses Passwortkonzept würde ich nicht nehmen.

Edit: Toxic, genau dieses Bild hat mir gefehlt. Danke.

[ToXic WarHead]

[Amadeus]

So so, dann lieber der Name der Freundin? Und am besten überall gleich? Sry, aber das ist mir zu unsicher. Außerdem kann ich mein PW bei seriösen Anbietern immer wieder zurücksetzen oder ne Sicherheitsfrage beantworten.

@ ToXic:

Jeder vernünftige Brute Force Attack wird erstmal alle Variationen an Kleinbuchstaben durchprobieren, da gefühlte 75% nur Kleinbuchstaben benutzen... Da brauchste keine 500 Jahre

[Silmar Alech]

Nicht "Der Name der Freundin", sondern z.B. die 4 Namen deiner ersten 4 Freundinnen aneinandergehängt, in der Reihenfolge ihres Auftretens. Das wäre unknackbar.

[ToXic WarHead]

Zitat:

---

Jeder vernünftige Brute Force Attack wird erstmal alle Variationen an Kleinbuchstaben durchprobieren[..]

---

Da irrst du dich.

[loup du nord]

Zitat:

---

Das wäre unknackbar

---

Mal kurz was ausgedacht:

AnnaLisaMarieGrete

Ich glaube nicht, dass da

Zitat:

---

Brute Force Attack

---

nicht draufkommt.

[ToXic WarHead]

Schwer weil die Kombination "ungewöhnlich" ist. In der Regel werden rainbow-tables abgearbeitet und wenn dein Passwort dort nicht vorkommt, muss es "erraten" werden. Und das kann dauern...
Du verwechselst auch den Schwierigkeitsgrad für Menschen und Maschinen.

[Amadeus]

Ne Maschine macht ca. 1 Milliarde Abfragen pro Sekunde. Wo soll die Schwierigikeit bein Buchstaben only liegen?

Und ja, die meisten PWs bestehen nur aus Kleinbuchstaben, wer sich ein paar Gedanken macht, baut 2-3 (meistens 2) Zahlen ein. Wer sich für toll hält, benutzt noch 1-2 Großbuchstaben. Sonderzeichen benutzt fast keiner. Mehr als 10 Zeichen braucht man eh nicht zu versuchen. Alles darüber ist in jedem Fall sinnlos.

Und ich hab schon einige PWs gesehen...

EDIT:

@ToXic: Für jeden MD5 Hash gibt es mehrere Lösungsmöglichkeiten

[ToXic WarHead]

Zitat:

---

Ne Maschine macht ca. 1 Milliarde Abfragen pro Sekunde. Wo soll die Schwierigikeit bein Buchstaben only liegen?

---

Du meinst t0x1c wäre z.B. sicherer als Toxic oder JenniSusi? Dann irrst du dich wieder.

Zitat:

---

@ToXic: Für jeden MD5 Hash gibt es mehrere Lösungsmöglichkeiten

---

Es geht hier doch gar nicht um hashes oder hab ich was verpasst?

[Amadeus]

Zitat:

---

Du meinst t0x1c wäre z.B. sicherer als Toxic oder JenniSusi? Dann irrst du dich wieder.

---

Nee, die sind zu kurz. 15-20 Zeichen (gemischt) würde ich bei sensiblen Daten immer empfehlen.

Zitat:

---

Es geht hier doch gar nicht um hashes oder hab ich was verpasst?

---

Wenn man über Rainbow Tables spricht, spielt das ne Rolle.

Zitat:

---

Die Rainbow Table (zu Deutsch: Regenbogentabelle) ist eine von Philippe Oechslin entwickelte Datenstruktur, die eine schnelle, probabilistische Suche nach einem Element des Urbilds (i. d. R. ein Passwort) eines gegebenen Hashwerts ermöglicht. Der sogenannte Time-Memory-Tradeoff gestattet die Suche nach fast allen Klartexten eines bestimmten Zeichenraums innerhalb einer erheblich kürzeren Zeit, als diesen komplett zu bruteforcen und ohne alle für diesen Zeichenraum möglichen Hashwerte speichern zu müssen.

---

[Silmar Alech]

Zitat:

---

AnnaLisaMarieGrete

---

Das sind 18 Zeichen aus einem Zeichensatz von 2x26=52 Zeichen. Darstellbar mit 6 bit pro Buchstabe, also insgesamt 18*6=108 bit. Würdest du einen üppigen Zeichensatz von 127 Zeichen verwenden, also alle ASCII Zeichen ohne das gesetzte 8. bit, d.h. 7 Bit pro Zeichen, bräuchtest du nur 108/7= 15.4 Zeichen, um dieselbe Stärke zu erhalten. 15 Zeichen lange Passwörter aus so einem Zeichensatz werden gemeinhin als sicher anerkannt - unser 18 Zeichen langes Passwort aus einem etwas kleineren Zeichensatz ist genauso sicher. Würdest du nur Kleinbuchstaben verwenden, hätten wir 5 bit pro Buchstabe, d.h. 18*5=90 bit, was einem 90/7=12.8 Zeichen langen Passwort mit komplexem Zeichensatz entspricht. Immer noch sicher bei heutiger Rechenleistung.

Eine Wörterbuchattacke (kombiniere 4 Wörter aus dem Wörterbuch durch) kann man gegen so ein Passwort nicht fahren, denn bei einem 100000 Wörter größen Wörterbuch gäbe das 100000^4= 100 Trillionen Kombinationen. Bei 1 Milliarde Tests pro Sekunde bräuchte man immer noch 100 Milliarden Sekunden.

Das Passwort ist also sehr gut!