Datenklau bei Gameware?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15853

26.08.2011 - 08:06

Zitat von EvilGohan
Danach läufts so wie Colo das schon oben beschrieben hat.

das halt ich nicht für praktikabel bzw. glaub ich nicht daran
wenn jemand das passwort im klartext verschickt ist das imho auch zu 99% als klartext in der datenbank

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3231

26.08.2011 - 08:45

befürchte auch eher, dass ein klartextpasswort in einer mail gleichbedeutend mit klartextpasswort in der DB ist

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

26.08.2011 - 08:48

Lassts mir halt meine Hoffnung...die Alternativen sind so grausig...

Luzandro

OC Addicted

Registered: Mar 2006
Location: 2482
Posts: 708

26.08.2011 - 09:03

Also ich habe ein neu generiertes Pwd zugeschickt bekommen, mit dem Hinweis das sofort zu ändern. Das Sicherheitsproblem in so einem Fall ist halt, dass das Mail trotzdem unverschlüsselt übertragen wird, aber das sieht für mich eigentlich nicht danach aus, dass das Passwort im Klartext gespeichert wird

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16789

26.08.2011 - 09:20

Zitat von Neo-=IuE=-
befürchte auch eher, dass ein klartextpasswort in einer mail gleichbedeutend mit klartextpasswort in der DB ist

wie soll man das passwort anders zusenden als im klartext?

sehe hier die verbindung nicht. gibt viel software die gehasht ablegt aber in klartext versendet, einfach weils keine andere einfach funktionierende möglichkeit gibt, wenn man sich dafür entscheidet das passwort per mail zuzusenden.
ob ich bei einem passwort reset dem user eine magic-url zusende oder ein klartext-passwort ist egal. eine magic-url sehen halt die wenigsten als authentifizierung an.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15853

26.08.2011 - 09:25

wenn das mail mit dem klartext passwort in fremde hände gerät, kannst halt überall die passwörter ändern wost das selbe verwendest (also bei 90% der leute (fast) überall)
bei ner magic-url hast nur auf der seite/dem login ein problem

aber ich bin schon mal verwundert das es wirklich software gibt die das so betreibt

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16789

26.08.2011 - 09:30

ok, ich hab jetzt vom reset passwort gesprochen. das initialpasswort des users würde ich ihm auch nicht schicken, wird aber trotzdem bei gewissen php boards standardmäßig gemacht obwohl die passwörter md5 gehasht sind - also das eine hat mit dem anderen nix zu tun. wenn ich dir den hash schicke dann kennst dich erst recht nicht aus.

bei der magic-url hast kein problem beim login, da diese nix anderes als eine url+resetpasswort ist. gameware kann das in diesem fall nicht anders machen.
entweder klartext resetpasswort oder magic-url die dir erlaubt das passwort zu ändern - beides kann genauso von einem dritten ausgeführt werden, ganz klar.

Bumblebee

OC Addicted

Registered: Mar 2008
Location: Bez. Baden
Posts: 2016

26.08.2011 - 13:30

juhuu auch diese mail bekommen

hatte bei gameware genau ein pswd verwendet was ich sonst nirgens verwendet habe.

nur das mit den KK daten beunruhigt mich. steht zwar, sie haben nur die letzten 4 stellen...aber wer weiß!?

XXL

insomnia

Registered: Feb 2001
Location: /dev/null
Posts: 15703

26.08.2011 - 13:33

im grunde ists eh egal, selbst wenn wer deine kreditkarte belastet, ein anruf und die buchung ist weg, für das zahlt man ja die gebühren bei der KK ...

zankarne

Legend
no Custom User Text

Registered: Oct 2001
Location: back in austria
Posts: 4632

26.08.2011 - 17:00

Zu sichere Passwörter sind auch schlecht. Ich konnte mich bei Midtowncomics.com nicht mehr einloggen. 20 Zeichen, Groß/klein, Zahlen und 3 Sonderzeichen ergeben folgende Supportantwort:

Clark Kent: Ok, we have sent you a password that should work. the previous one was causing system problems. Let me know if it works...

Ich: are there any characters I'm not allowed to use?
Clark Kent: one moment...
Clark Kent: Not necessarily, the combination that was created was being interpreted as some sort of code by our system. It was a freak combination. Other than that you can use whatever suits your purpose.

:rolleyes:

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16789

26.08.2011 - 17:37

Gratulation du hast einen exploit entdeckt

zankarne

Legend
no Custom User Text

Registered: Oct 2001
Location: back in austria
Posts: 4632

26.08.2011 - 17:56

der mich aus meinem kundenkonto ausloggt...

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49688

26.08.2011 - 18:23

im grunde ist jedes passwort sicher solang man die login versuche begrenzt und die login zeit (künstlich) bremst damit bruteforce nicht klappt.

dazu die klassischen verfahren um PAsswörter zu speicher sprich Salt und mehrfaches hashen

e-Lummi-N@tor

Newsposter
Provocateur D`Automobile

Registered: Nov 2001
Location: Linz
Posts: 2197

26.08.2011 - 21:08

so auch gerade die Mail bekommen und das Passwort zurückgesetzt.

paulus

Addicted

Registered: May 2004
Location: Wien
Posts: 522

26.08.2011 - 21:29

Ich hab gar nicht mehr gewusst, dass ich bei Gameware registriert bin.
Bestellt hab ich zum Glück nie etwas, Zahlungsinfos waren auch keine hinterlegt. Sicherheitshalber aber mal alle Passwörter erneuert, die schon lange überfällig waren.

userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15853	26.08.2011 - 08:06 Zitat von EvilGohan Danach läufts so wie Colo das schon oben beschrieben hat. das halt ich nicht für praktikabel bzw. glaub ich nicht daran wenn jemand das passwort im klartext verschickt ist das imho auch zu 99% als klartext in der datenbank
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3231	26.08.2011 - 08:45 befürchte auch eher, dass ein klartextpasswort in einer mail gleichbedeutend mit klartextpasswort in der DB ist
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	26.08.2011 - 08:48 Lassts mir halt meine Hoffnung...die Alternativen sind so grausig...
Luzandro OC Addicted Registered: Mar 2006 Location: 2482 Posts: 708	26.08.2011 - 09:03 Also ich habe ein neu generiertes Pwd zugeschickt bekommen, mit dem Hinweis das sofort zu ändern. Das Sicherheitsproblem in so einem Fall ist halt, dass das Mail trotzdem unverschlüsselt übertragen wird, aber das sieht für mich eigentlich nicht danach aus, dass das Passwort im Klartext gespeichert wird
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16789	26.08.2011 - 09:20 Zitat von Neo-=IuE=- befürchte auch eher, dass ein klartextpasswort in einer mail gleichbedeutend mit klartextpasswort in der DB ist wie soll man das passwort anders zusenden als im klartext? sehe hier die verbindung nicht. gibt viel software die gehasht ablegt aber in klartext versendet, einfach weils keine andere einfach funktionierende möglichkeit gibt, wenn man sich dafür entscheidet das passwort per mail zuzusenden. ob ich bei einem passwort reset dem user eine magic-url zusende oder ein klartext-passwort ist egal. eine magic-url sehen halt die wenigsten als authentifizierung an.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15853	26.08.2011 - 09:25 wenn das mail mit dem klartext passwort in fremde hände gerät, kannst halt überall die passwörter ändern wost das selbe verwendest (also bei 90% der leute (fast) überall) bei ner magic-url hast nur auf der seite/dem login ein problem aber ich bin schon mal verwundert das es wirklich software gibt die das so betreibt
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16789	26.08.2011 - 09:30 ok, ich hab jetzt vom reset passwort gesprochen. das initialpasswort des users würde ich ihm auch nicht schicken, wird aber trotzdem bei gewissen php boards standardmäßig gemacht obwohl die passwörter md5 gehasht sind - also das eine hat mit dem anderen nix zu tun. wenn ich dir den hash schicke dann kennst dich erst recht nicht aus. bei der magic-url hast kein problem beim login, da diese nix anderes als eine url+resetpasswort ist. gameware kann das in diesem fall nicht anders machen. entweder klartext resetpasswort oder magic-url die dir erlaubt das passwort zu ändern - beides kann genauso von einem dritten ausgeführt werden, ganz klar.
Bumblebee OC Addicted Registered: Mar 2008 Location: Bez. Baden Posts: 2016	26.08.2011 - 13:30 juhuu auch diese mail bekommen hatte bei gameware genau ein pswd verwendet was ich sonst nirgens verwendet habe. nur das mit den KK daten beunruhigt mich. steht zwar, sie haben nur die letzten 4 stellen...aber wer weiß!?
XXL insomnia Registered: Feb 2001 Location: /dev/null Posts: 15703	26.08.2011 - 13:33 im grunde ists eh egal, selbst wenn wer deine kreditkarte belastet, ein anruf und die buchung ist weg, für das zahlt man ja die gebühren bei der KK ...
zankarne Legend no Custom User Text Registered: Oct 2001 Location: back in austria Posts: 4632	26.08.2011 - 17:00 Zu sichere Passwörter sind auch schlecht. Ich konnte mich bei Midtowncomics.com nicht mehr einloggen. 20 Zeichen, Groß/klein, Zahlen und 3 Sonderzeichen ergeben folgende Supportantwort: Clark Kent: Ok, we have sent you a password that should work. the previous one was causing system problems. Let me know if it works... Ich: are there any characters I'm not allowed to use? Clark Kent: one moment... Clark Kent: Not necessarily, the combination that was created was being interpreted as some sort of code by our system. It was a freak combination. Other than that you can use whatever suits your purpose.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16789	26.08.2011 - 17:37 Gratulation du hast einen exploit entdeckt
zankarne Legend no Custom User Text Registered: Oct 2001 Location: back in austria Posts: 4632	26.08.2011 - 17:56 der mich aus meinem kundenkonto ausloggt...
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49688	26.08.2011 - 18:23 im grunde ist jedes passwort sicher solang man die login versuche begrenzt und die login zeit (künstlich) bremst damit bruteforce nicht klappt. dazu die klassischen verfahren um PAsswörter zu speicher sprich Salt und mehrfaches hashen
e-Lummi-N@tor Newsposter Provocateur D`Automobile Registered: Nov 2001 Location: Linz Posts: 2197	26.08.2011 - 21:08 so auch gerade die Mail bekommen und das Passwort zurückgesetzt.
paulus Addicted Registered: May 2004 Location: Wien Posts: 522	26.08.2011 - 21:29 Ich hab gar nicht mehr gewusst, dass ich bei Gameware registriert bin. Bestellt hab ich zum Glück nie etwas, Zahlungsinfos waren auch keine hinterlegt. Sicherheitshalber aber mal alle Passwörter erneuert, die schon lange überfällig waren.

Datenklau bei Gameware?

Forum Index > Real Life > Offtopic

userohnenamen

Neo-=IuE=-

EG

Luzandro

Smut

userohnenamen

Smut

Bumblebee

XXL

zankarne

Smut

zankarne

Viper780

e-Lummi-N@tor

paulus