+- KINGx - Das inoffizielle PlayStation Forum & News Portal (http://www.kingx.de/forum)
+-- Forum:
Sonstiges (/forumdisplay.php?fid=9)+--- Forum: Community (/forumdisplay.php?fid=16)
+--- Thema: Sicherheitsleitfaden für KingX (/showthread.php?tid=39951)
Sicherheitsleitfaden für KingX - fkrone - 12.04.2011 20:17
Hallo Leute,
heute möchte ich euch erklären, wie ihr euch sicher auf KingX und im Internet bewegen könnt und euren Account schützen könnt.
Vorab ist zu sagen, dass das alles nicht zu eine 100%igen Sicherheit führt, aber zu einer sehr hohen Sicherheit.
1. Passwörter
1.1 Sichere Passwörter
Das A und O ist ein sicheres Passwort. Doch was heißt sicher. Klar ist: Passwörter wie 123456 oder qwertz sind in keinem Falle sicher, ebenso wie der Name des Haustieres, das Geburtsdatum, der Wohnort oder der Usernamen.
Doch selbst ein Passwort wie "IchgingdieStraßehinunter" ist zu knacken, über eine sogenannte Wörterbuchattacke. Genauso ist es falsch, ein kurzes Passwort wie "r4fER" zu verwenden. Dies kann über eine Bruteforceattacke geknackt werden. Sicher ist es, ein mindestens 10-stelliges Passwort zu wählen, das aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht, am besten in zufälliger Reihenfolge. Man kann auch einen Satz nehmen, wie zum Beispiel: "Meine Oma geht jeden Mittwoch Salami und Schinken einkaufen" Daraus nimmt man dann die Anfangsbuchstaben der Wörter: "MOgjMSuSe" Nun kann man es noch verfremden, indem man zum Beispiel das "O" durch eine "0" (Null) ersetzt und vieles mehr. So ergibt sich ein recht sicheres Passwort.
1.2 Einzigartige Passwörter
Doch selbst ein einigermaßen sicheres Passwort ist knackbar. Deshalb sollte man grundsätzlich für eine Seite ein Passwort verwenden. Das heißt: Nicht das gleiche Passwort bei KingX, Amazon, Ebay, Mailaccount etc. Sollte eines der Passwörter geknackt werden, so kann der Angreifer ohne Probleme sich in die anderen Accounts auch einloggen. Daher nutzt bitte für KingX ein einzigartiges Passwort.
1.3 Ändern von Passwörtern
Grundsätzlich sollte man Passwörter jedes Jahr ändern. In einigen Firmen ist es sogar Zwang, alle 3 Monate die Passwörter zu ändern. Dabei ist es nicht möglich, das alte Passwort zu verwenden. Auch das Anhängen "11" für das Jahr 2011 ist in dem Falle nicht sinnig da, wenn der vordere Teil bekannt ist, man das Passwort trotzdem hat, selbst nachdem es geändert wurde. Daher nehmt dann bitte ein komplett anderes Passwort.
1.4 Weitergabe des Passworts
Gebt niemals euer Passwort weiter. Nicht mal an Freunde. Erst recht nicht an Fremde, denn man weiß nie, was derjenige mit dem Account anstellt.
1.5 Speichern von Passwörtern
Passwörter sollte man weder im Browser noch als Textdatei auf dem PC gespeichert haben. Passwörter gehören grundsätzlich in den Kopf und im Notfall in ein extra Büchlein, das man an einem sicheren Ort verwahrt. Einigermaßen sicher kann man seine Passwörter auf dem PC mit dem Programm KeyPass speichern. Dieses legt die Passwörter in einem verschlüsselten Container ab. Dieser kann nur über das Masterpasswort geöffnet werden (oder Key-Datei, Benutzerkonto; beides nicht zu empfehlen). Hier sollte man auch ein sicheres einzigartiges Passwort wählen. Das Programm bietet zusätzlich die Möglichkeit, Zufallspasswörter in verschiedenen Stärken zu generieren.
2. Lokaler Schutz
2.1 Virenschutz
Grundsätzlich ist ein aktueller Virenschutz in Kombination mit einem aktuellen System mit den neusten Updates Pflicht! Ohne ist es für Schädlinge ein Leichtes, in euer System unbemerkt einzudringen und euren PC zum Beispiel zum Spamversand oder auch zum Websiten attackieren zu nutzen. Zudem ist es leicht, eure Passwörter auszuspähen. Jedoch sollte man seinem Virenschutz nicht blind vertrauen. Oder anders gesagt: Kein Virenschutz kann den menschlichen Verstand ersetzen. Führt nie Dinge von Leuten aus, denen ihr nicht vertraut. Dies gilt auch für Dinge von teils unbekannten Usern von KingX. Wir versuchen zwar, die schädlingsbehaftete Dinge zu finden, können sie jedoch nicht immer finden. Denn man kann Schädlinge rund 2 Wochen vor den Antivirenprogrammen verstecken. Wenn sich der Schädling auch noch aktualisieren kann, kann er über Wochen oder Monate unentdeckt bleiben.
2.2 Browser
Einige Leute vernachlässigen das Updaten des Browsers. Dies sollte man nicht tun, da der Browser ein gutes Einfallstor bietet.
2.3 Flash, PDF und Java
Dies sind heutzutage eines der Haupteinfallstore. Sie aktuell zu halten ist sehr wichtig. Diese aktuell zu halten ist allerding nicht gerade immer leicht. Daher empfehle ich PSI. Mit dieser Software ist es leicht, die auf dem PC installierte Software aktuell zu halten.
3. KingX
3.1 Das Einloggen
Grundsätzlich gibt es mehrere Möglichkeiten, sich einzuloggen. Alle anderen Abfragen von Passwörtern sind nur Phishingversuche. Hier sind 2 Möglichkeiten: Entweder oben über den Login-Knopf oder aber über den Quick Login am Ende der Seite.
Es funktioniert aber auch, wenn man unangemeldet ist und bei einem Thread auf "Antworten" oder "Zitieren" klickt. Wenn man auf Login in der oberen Leiste klickt, oder aber auf "Antworten" oder "Zitieren" gelangt man zu dem Logindialog.
3.2 Frage nach Passwörtern
Weder alexking noch irgendein Moderator wird euch je nach eurem Passwort fragen. Auch würden wir keinen User beauftragen, dies zu tun. Es gilt die Faustregel: Gib nie dein Passwort weiter.
3.3 Eingabe auf anderen Homepages
Die offiziellen Seiten von KingX sind nur Kingx.de, King3.de, 3King.de, PSPKing.de, PS3King.de, DSKing.de und PSVitaKing.de. Jegliche anderen Seiten sind Phishingseiten. Gebt dort nie eure Daten ein. Es sind keine offiziellen Seiten von uns. Also achtet immer auf die Adresszeile des Browsers.
3.4 Loginabfrage auf KingX
Falls ihr eine Abfrage nach dem Passwort kommt, lest euch sie genau durch. Steht da nicht ausdrücklich "Kingx.de", "King3.de", "3King.de", "PSPKing.de", "PS3King.de", "DSKing.de" oder "PSVitaKing.de" ohne irgendwas dahinter, so ist es ein Phishingversuch. Im allgemeinen kommt sowas jedoch nicht vor. Falls ihr so eine Abfrage in einem Thread seht, meldet es es bitte sofort uns Moderatoren. Wir werden uns schnellstmöglischst darum kümmern.
3.5 E-Mail
Bitte gebt eure richtige E-Mailadresse im Profil an. Somit können wir euch kontaktieren, falls ihr gehackt werdet.
4. Was tun, wenn ich gehackt wurde?
Ändert, sofern es noch möglich ist, euer Passwort. Auch nur, wenn ihr den Verdacht habt, jemand könnte Zugriff auf euren Account haben. Falls dies nicht mehr möglich ist, versucht über die Funktion "Passwort vergessen" beim Login euch ein neues Passwort an eure E-Mail zusenden zu lassen.
Ich hoffe, ich konnte euch einen Überblick geben, was man machen sollte und kann und beachten sollte. Ich hoffe, ich habe alles erwähnt, falls nicht, macht mich bitte darauf aufmerksam.
RE: Sicherheitsleitfaden für PSPKing - Xcan - 12.04.2011 20:20
100% Sicherheit geht nur mit eingeschaltetem Brain.exe!
*Anmerkung von fkrone: Erst lesen, dann schreiben
**Anmerkung von Xcan: Habs gelesen ^^ Nur um es zu 100% zu bringen sollte man Brain.exe einschalten
Ich glaube ich habe mich etwas falsch ausgedrückt *
RE: Sicherheitsleitfaden für PSPKing - GaMers4D - 12.04.2011 20:27
YeaH¡
ThX
Aber kann man sich doch selbst denken das Passwort zu ändern..
RE: Sicherheitsleitfaden für PSPKing - davdda - 12.04.2011 20:44
Man kann sich auch einloggen indem man auf i nen thread klickt und dann auf antworten klicken dann kommt man auch zum login
nur damit jetzt nicht alle noobs phising schreien aber ansonsten sehr gut gemachtIch will ja nicht meckern aber:
Grundsätzlich gibt es mehrere
Möglichkeiten, sich einzuloggen.
Alle anderen Abfragen von
Passwörtern sind nur
Phishingversuche.
Hört sich i wie komisch an
RE: Sicherheitsleitfaden für PSPKing - Nussnougat - 14.04.2011 12:13
Dann möchte ich dazu auch noch etwas beitragen.
Bin zwar noch als "Noob" tituliert aber was solls
Zu den Punkten des Threaderstellers noch etwas hinzuzufügen, sei es die allbekannte Möglichkeit sein Passwort lokal speichern zu lassen.
Viele (Oder vielleicht sogar alle) Internetbrowser bieten an den Benutzernamen, sowie das Passwort zu speichern, damit man sich danach einfacher einloggen kann.
Dies ist natürlich sehr unsicher, denn durch etwaige Sicherheitslücken im Internetbroswer könnten "Informationsbegierige" diese gespeicherten Passwörter erspähen.
Wie "sicher" das Passwort dann im endeffekt auch sei, wenn sie vom Broswer gespeichert werden wären sie in dem Falle dann nutzlos.
Also speichert keinerlei Passwörter im Browser, auch wenn es (Auch mit Hinsicht untenstehender Bemerkung auf KeePass) immer wieder "nervig" ist jedes mal das PW neu eingeben zu müssen.
Da man sich nicht für jede Seite, an welcher man angemeldet ist verschiedene Passwörter merken kann (Ich sowieso nicht) gibt es Abhilfe, zum Beispiel Passwort-Generatoren.
Eine für mich positive Erfahrung war/ist KeePass Password Safe.
Installations- und Nutzungsanleitung findet Ihr dort.
Dieses generiert auf Wunsch 10-xx Stellige Passwörter für jede Applikation und speichert diese dann verschlüsselt ab. Groß, klein, Zahlen, Sonderzeichen, ...
Die Stärke des Passwortes wird in bit dargestellt. Je höher umso besser.
Ein Master Kennwort ist erforderlich, um im nachhinein die Passwörter wieder sichtbar zu machen.
Da es ein Stand alone Programm ist kann man es auch ganz einfach auf einer externen Speicherkarte nutzen
Ich selbst muss mir so nur 2 Passwörter merken.
Eines für das Programm und eines für den Mail-Account.
Denn wenn das Programm defekt/unbrauchbar werden sollte bestünde immerhin die Möglichkeit existierende Passwörter so zurück zu setzen.
Aber bisher gab es noch keinerlei Problematik bei mir
Ich hoffe das gab es noch nicht^^
Und verzeiht mein schlechtes Deutsch, ich muss teilweise noch mit Übersetzern schreiben
Grüsse
Ayane
RE: Sicherheitsleitfaden für PSPKing - MESSI10 - 19.04.2011 17:22
Das mit dem sicheren Passwort bringt sowas von garnichts.
Wenn man jemanden einen Trojaner unterjubelt ist es egal ob das Passwort "12345" oder "~dsfdsopowebnk9tkjhfztpp+" ist.
Den Rest hast du aber echt klasse gemacht!
RE: Sicherheitsleitfaden für PSPKing - ToXXiN - 19.04.2011 17:42
Ach ja, wer wirklich sicher gehen will, kann sich auch eine Virtuelle Tastatur zulegen, ich glaub Kaspersky bietet sowas. Denn es gibt Viren, die Tastatureingaben aufzeichnen können, also euer Passwort abspicken...Falls du willst, kannst du das noch adden, fkrone
RE: Sicherheitsleitfaden für PSPKing - fkrone - 19.04.2011 19:50
Virtuelle Tastaturen sind eigentlich nutzlos. Moderne Keylogger machen auch Screenshots und Videos, somit sind diese virtuellen Tastaturen ehr nutzlos.
RE: Sicherheitsleitfaden für PSPKing - PSP_Joker - 19.04.2011 19:54
fkrone :
Virtuelle Tastaturen sind eigentlich nutzlos. Moderne Keylogger machen auch Screenshots und Videos, somit sind diese virtuellen Tastaturen ehr nutzlos.
Allerdings sind diese unter den Kiddys nicht wirklich verbreitet und soweit ich weiß sind das meistens die, die Steam mitstealen, da man das PW noch nicht auslesen kann. Zumindest laut meinen Informationen. Von daher kann man schon sagen, dass eine virtuelle Tastatur die Sicherheit erhöht.
RE: Sicherheitsleitfaden für PSPKing - Nussnougat - 19.04.2011 20:45
Wie sieht es mit der brain.exe aus?
Natürlich sollte man immer sehr vorsichtig im Netz unterwegs sein, seine Basis-Applikationen auf dem neusten Stand halten, den PC regelmäßig durchscannen (Nicht nur einmal die Woche).
Und mit den bisher gegebenen Hilfestellungen bezüglich dem sicheren Anmelden ist den Usern bereits sehr geholfen.
Zu Trojanern, ect. sei nur hinzuzufügen, dass die meisten Passwörter durch gefälschte Phishing-Seiten ergattert werden, auf welche leider noch (zu viele) User hineinfallen.
Dafür sei der Thread - so finde ich - eigentlich erdacht gewesen.
LG
RE: Sicherheitsleitfaden für PSPKing - TrueBent - 19.04.2011 20:50
Soweit ich weiß ist PSPLexikon.de auch noch ein Domain, der alexking gehört.
Aber sonst alles Perfekt beschrieben.
RE: Sicherheitsleitfaden für PSPKing - James_Cutter - 19.04.2011 22:37
Im Endeffekt reichts doch dicke aus, das man weis wo man sein PW angeben darf + aktueller und guter Virenscanner....
Sonst biddeschön vielmspaass mit meinem 10€ paypal Konto...
RE: Sicherheitsleitfaden für PSPKing - TeamTaKKa - 24.06.2011 00:15
cool danke dass wollte ich immer finden
RE: Sicherheitsleitfaden für PSPKing - hunne_atilla - 24.06.2011 00:27
Hab grad PSI ausprobiert: Bor ! bin Echt positv überrascht, hat mir echt viel zeit weggenommen!
RE: Sicherheitsleitfaden für PSPKing - Jay-Puddy - 10.07.2011 18:23
Du musst noch psvita.de hinzufügen.
RE: Sicherheitsleitfaden für PSPKing - 3m!n - 23.07.2011 22:31
Hallo,
Hab mal einpaar Wörter zu ergänzen:
Anmerkung 1: FUD Crypting
Du denkst,du bist mit einem Antivirus sicher ? Dann liegst du da falsch !
Man kann ,mit sogenannten Cryptern, die Datei FUD crypten,sodass kein Antivirus sie findet.
Normalerweise sind die Dateien nur 1-2 Wochen FUD und dann ist die schon in der Virusdatenbank.
Anmerkung 2: VMWare
Wenn du dir nicht sicher bist,ob eine Datei ein Virus ist oder nicht,dann lade dir die Freeware VMWare runter.Mit VMWare kannst du Anwendungen ausführen, ohne angst zu haben,dass da ein Virus ist.Denn selbst bei Viren passiert nix.
Anmerkung 3: Java / Javascript deaktivieren
Ihr solltet auch im Internet sicher sein,deswegen immer Java bzw. Javascripts deaktivieren.
Denn mit einem ganz leichten Trick bist du schon in einen Java-Drive By geraten.
Dann gibt es kein Zurück mehr !
Anmerkung 4: Quelltext nachsehen
Ich würde immer im Quelltext (STRG + Q) nachsehen,denn man kann auch Phishing-Programme mit einem 1x1 großen Layer einbinden und schon haben sie deine Passwörter.
Anmerkung 5: IP-Adresse
Selbst wenn du die obrigen Schritte befolgtst,bist du nicht ganz sicher.
Denn wer deine IP-Adresse hat,kann deine IP-Adresse als VicSock benutzen und mit deiner IP-Adresse surfen.Dabei kann man ganz schön mist bauen.
Die IP-Adresse zu kriegen ist ganz leicht:
Der Täter muss nur einen IP-Logging Script in ein Verzeichniss einbinden und eine Bild-datei
posten.Und schon hat er eure IP-Adresse.
Hoffe ihr befolgt meine Schritte und Fkrone ergänzt sie
3m!n
RE: Sicherheitsleitfaden für PSPKing - PSP_Joker - 23.07.2011 22:54
3m!n :
Anmerkung 5: IP-Adresse
Selbst wenn du die obrigen Schritte befolgtst,bist du nicht ganz sicher.
Denn wer deine IP-Adresse hat,kann deine IP-Adresse als VicSock benutzen und mit deiner IP-Adresse surfen.Dabei kann man ganz schön mist bauen.
Die IP-Adresse zu kriegen ist ganz leicht:
Der Täter muss nur einen IP-Logging Script in ein Verzeichniss einbinden und eine Bild-datei
posten.Und schon hat er eure IP-Adresse.
Hoffe ihr befolgt meine Schritte und Fkrone ergänzt sie
3m!n
Selbst wenn du die obrigen Schritte befolgtst,bist du nicht ganz sicher.
Denn wer deine IP-Adresse hat,kann deine IP-Adresse als VicSock benutzen und mit deiner IP-Adresse surfen.Dabei kann man ganz schön mist bauen.
Die IP-Adresse zu kriegen ist ganz leicht:
Der Täter muss nur einen IP-Logging Script in ein Verzeichniss einbinden und eine Bild-datei
posten.Und schon hat er eure IP-Adresse.
Hoffe ihr befolgt meine Schritte und Fkrone ergänzt sie
3m!n
Öhm, ne? xD
Wäre das ganze so einfach, dann gäbe es das Milliarden, wenn nicht sogar Trilliardenfach. Durch bloßes kennen der IP wird dir dabei nix passieren.
Stell dir vor, du besuchst PSPKing. Deine IP wird vom Server hier garantiert geloggt, also in einer Logdatei gespeichert. Alexking kennt damit also, wenn er auf seine Logs zugreift deine IP -> Setzt sich nen VicSock auf
Ganz so einfach ist es dann doch nicht. Meistens werden VicSocks nach einem Infect von einem Trojaner aufgesetzt. Dafür muss man die IP nicht kennen^^
RE: Sicherheitsleitfaden für PSPKing - 3m!n - 23.07.2011 22:58
Hallo,
hast recht^^
Kann nix mehr kritisieren
RE: Sicherheitsleitfaden für PSPKing - _Kai_ - 23.07.2011 23:02
3m!n :
Anmerkung 1: FUD Crypting
Du denkst,du bist mit einem Antivirus sicher ? Dann liegst du da falsch !
Man kann ,mit sogenannten Cryptern, die Datei FUD crypten,sodass kein Antivirus sie findet.
Normalerweise sind die Dateien nur 1-2 Wochen FUD und dann ist die schon in der Virusdatenbank.
Du denkst,du bist mit einem Antivirus sicher ? Dann liegst du da falsch !
Man kann ,mit sogenannten Cryptern, die Datei FUD crypten,sodass kein Antivirus sie findet.
Normalerweise sind die Dateien nur 1-2 Wochen FUD und dann ist die schon in der Virusdatenbank.
Die Lösung nennt sich "Updatefunktion am Client". Du musst nur schneller sein als die Antivirenprogramme
3m!n :
Anmerkung 4: Quelltext nachsehen
Ich würde immer im Quelltext (STRG + Q) nachsehen,denn man kann auch Phishing-Programme mit einem 1x1 großen Layer einbinden und schon haben sie deine Passwörter.
Ich würde immer im Quelltext (STRG + Q) nachsehen,denn man kann auch Phishing-Programme mit einem 1x1 großen Layer einbinden und schon haben sie deine Passwörter.
Moderne Webbrowser erlauben die Kommunikation zwischen Frames nur, wenn sie von der selben Hostadresse aus geladen wurden. Der Angreifer benötigt also die Möglichkeit, Dateien auf dem entsprechenden Server zu plazieren. Und wenn er diese Möglichkeit hat, kann er auch gleich serverseitig phishen, ohne dass du im Quellcode am Client irgendetwas bemerken kannst.
Das einzige für was die Plazierung eines solchen Frames nützlich wäre ist, im Frame statische XSS von anderen Seiten einzubinden, um dort, falls eingeloggt o.ä. ungewollte Aktionen mit den Rechten des Clients durchzuführen.
3m!n :
Die IP-Adresse zu kriegen ist ganz leicht:
Der Täter muss nur einen IP-Logging Script in ein Verzeichniss einbinden und eine Bild-datei
posten.Und schon hat er eure IP-Adresse.
Der Täter muss nur einen IP-Logging Script in ein Verzeichniss einbinden und eine Bild-datei
posten.Und schon hat er eure IP-Adresse.
Logisch, dass dass eine IP Adresse bei jeder Anfrage geloggt werden kann. Sie dient schließlich zur Identifikation eines Rechners im Netzwerk.
3m!n :
Anmerkung 5: IP-Adresse
Selbst wenn du die obrigen Schritte befolgtst,bist du nicht ganz sicher.
Denn wer deine IP-Adresse hat,kann deine IP-Adresse als VicSock benutzen und mit deiner IP-Adresse surfen.Dabei kann man ganz schön mist bauen.
Selbst wenn du die obrigen Schritte befolgtst,bist du nicht ganz sicher.
Denn wer deine IP-Adresse hat,kann deine IP-Adresse als VicSock benutzen und mit deiner IP-Adresse surfen.Dabei kann man ganz schön mist bauen.
Das allerdings ist Mist, du kannst niemanden als "VicSocks" benutzen, nur weil du seine IP Adresse kennst. Dazu musst du schon Zugriff auf den jeweiligen Rechner (vic) erlangen, und dort einen ProxyServer aufsetzen. Da die meisten Privatrechner nicht über eine statische IP Adresse verfügen, sondern bei jeder Einwahl vom Provider eine neue zugeteilt bekommen, musst du außerdem einen Prozess auf dem jeweiligen Vic Rechner laufen haben, der sich bei Einwahl in das Internet mit seiner aktuellen IP Adresse auf einem Server von dir (natürlich mit statischer IP oder Hostname) meldet, denn wenn du den Vic nicht mehr findest, kannst du auch nicht auf ihn connecten ^^
Wobei es hier auf PSPKing lange Zeit möglich war, der Boardsoftware eine beliebige IP Adresse vorzugaukeln, da in der Funktion zum erfassen der IP Adresse des Clientrechners, HTTP_X_FORWARDED_FOR und HTTP_CLIENT_IP, die vom Client aus beliebig gesendet werden können, bevorzugt wurden.
RE: Sicherheitsleitfaden für PSPKing - fkrone - 23.07.2011 23:31
Klar kann ich es ergänzen. Nur dann wird es so klingen als sei es das sicherste, gar nicht mehr an den PC zu gehen. Also sehe ich nicht unbedingt das Bedürfnis, das zu erweitern, da es dann eh kaum einer mehr versteht
RE: Sicherheitsleitfaden für PSPKing - Whynot - 31.08.2011 14:09
Naja das mit dem sicheren PW bezweifle ich. Allein schon wenn die sql datenbank mithilfe eines 0815 sql inject ausgelesen wird , hilft dir auch dein 12 stelliges PW nix ...
RE: Sicherheitsleitfaden für PSPKing - _Kai_ - 31.08.2011 15:54
Whynot :
Naja das mit dem sicheren PW bezweifle ich. Allein schon wenn die sql datenbank mithilfe eines 0815 sql inject ausgelesen wird , hilft dir auch dein 12 stelliges PW nix ...
Passwörter stehen in der Form md5(md5(salt).md5(pw)) in der Datenbank
RE: Sicherheitsleitfaden für PSPKing - PhysXPSP - 31.08.2011 16:18
WIKI :
Message-Digest Algorithm 5 (MD5) ist eine weit verbreitete kryptographische Hashfunktion, die aus einer beliebigen Nachricht einen 128-Bit-Hashwert (deutsch: Prüfsumme) erzeugt. MD5 wurde 1991 von Ronald L. Rivest entwickelt. Sie gilt inzwischen nicht mehr als sicher, da es mit überschaubarem Aufwand möglich ist, unterschiedliche Nachrichten zu erzeugen, die dieselbe MD5-Prüfsumme aufweisen.
RE: Sicherheitsleitfaden für PSPKing - PhysXPSP - 31.08.2011 16:29
Hash vom passwort + hash vom salt = großer hash
und dieser hash wird nochmal mit md5 verschlüsselt
zb Passwort: Hallo
Hallo(MD5) = d1bf93299de1b68e6d382c893bf1215f
salt = 123 ABC # (ürgendwas halt)
salt(MD5) = 1b7547beee4e8321d4c9f50f087ce43c
neuer hash
d1bf93299de1b68e6d382c893bf1215f1b7547beee4e8321d4c9f50f087c e43c
und das ist 9be5605ac8e86f60acf76de3df351248
RE: Sicherheitsleitfaden für PSPKing - _Kai_ - 31.08.2011 16:36
Relok :
Und was heißt das? (Bitte in Noobsprache!)
Können die geknackt werden?
Oder ist das diese Überprüfungszahlen?
Womit man z.b bei nem English Patch checkt ob die ISO untouched ist?
Können die geknackt werden?
Oder ist das diese Überprüfungszahlen?
Womit man z.b bei nem English Patch checkt ob die ISO untouched ist?
Der Salt ist eine zufällige Zeichenkette die bei der Anmeldung für jeden User per Zufall generiert und in einer Datenbankspalte gespeichert wird. Durch den Salt kann z.b. ausgeschlossen werden, dass 2 User mit dem selben Passwort auch den selben Passworthash besitzen.
MD5 ist wie PhysXPSP schon sagt Hashfunktionen, Zeichenketten lassen sich mit MD5 verschlüsseln, aber nicht entschlüsseln. Beim Login wird das eingegebene Passwort zusammen mit dem Salt neu verschlüsselt und mit dem Schlüssel in der Datenbank abgeglichen, wenn sie übereinstimmen bist du eingeloggt.
Es gibt wie gesagt keine Möglichkeiten einen solchen Passworthash zu entschlüsseln, die einzige Möglichkeit wäre Bruteforce. Bei dieser Methode werden automatisch verschiedenste Zeichenketten verschlüsselt und die Hashes verglichen. Einfache Passwörter die in einer Wordlist vorkommen sind auf diese Art und Weise mit Sicherheit schnell geknackt, Buchstaben und Zahlenkombinationen mit einer beachtlichen Länge allerdings, lassen sich je nach Rechenleistung nur in Monaten oder Jahren knacken, wenn überhaupt.
Eine einfache Wordlist Attacke könnte in etwa so aussehen:
PHP-Code:
<?php
$pw = "" // PW HASH
$salt = "" // SALT
$fp = fopen("wordlist.txt", "r");
while(!feof($fp))
{
$current = fgets($fp, 1024);
$current = preg_replace("/\r|\n/s", "", $current);
if(md5(md5($salt).md5($current)) == $pw)
{
echo 'Erfolgreich ! HASH: '.$pw.' SALT: '.$salt.' PW: '.$current;
}
}
fclose($fp);
?>
RE: Sicherheitsleitfaden für PSPKing - Whynot - 31.08.2011 16:49
PSP-Hilfe :
Whynot :
Naja das mit dem sicheren PW bezweifle ich. Allein schon wenn die sql datenbank mithilfe eines 0815 sql inject ausgelesen wird , hilft dir auch dein 12 stelliges PW nix ...
Passwörter stehen in der Form md5(md5(salt).md5(pw)) in der Datenbank
Das weiß ich ... . Und das cracken dauert zwar , aber es gibt schlimmeres.
Und solche network cluster gibts wie sand am meer ... pyrit sei dank
RE: Sicherheitsleitfaden für PSPKing - 3m!n - 31.08.2011 17:33
Whynot :
Und das cracken dauert zwar
Hey,
das ist völliger mist ! MD5 ist nicht zurückberechenbar.md5 ist eine einwegverschlüsselung, genau wie crypt. no chance to get back.Base64 ist dagegen entschlüsselbar und man erhaltet sogar den Originalzustand.
Korrigiert mich wenn ich falsch liege !
Danke,
3m!n
RE: Sicherheitsleitfaden für KingX - go-boy - 27.03.2014 22:21
Ist zwar total veraltet der Thread, aber naja:
Ich empfehle auf jeden Fall die benutzung des Plugins NoScript (für Chrome Safescript)
Sollte m.M.n in keinem Browser fehlen.
Am anfang nervt es vielleicht, da einfach alle Inhalte erstmal geblockt werden, aber nach einer gewissen Zeit bemerkt man das Plugin gar nicht mehr. Wenn man dann noch ein vernünftiges Antivir und einen gesunden Menschenverstand besitzt ist man eigentlich Optimal geschützt
RE: Sicherheitsleitfaden für KingX - ToXXiN - 14.04.2014 22:01
NoScript ist etwas, dass euch ersten viele Nerven und 2tens viele Probleme sparen kann: