Zitat von
Fliwa
[gekuerzt...]
zu 2.) Doch, das glaube ich, kommt auch darauf an wie man in kürzester Zeit definiert. Sicherlich dauert das einige Stunden bis Tage, und? Ich hab bei einem Kunden so etwas demonstriert, ich hatte über Wochenende 98% der Passwörter, u.a. ein 10 Zeichen langes mit 2 Sonderzeichen.
Ich bin kein Hacker und in diesen Dingen wenig bewandert, weiss jedoch aufgrund meiner Ausbildung als Server Administrator genug.
Es ist doch ganz einfach, qer benutzt Sondrzeichen die nicht auf der Tastatur sind? Wenn du Gross/Kleinbuchstaben und Zahlen zusammenzählst und die Sonderzeichen ebenfalls, dann merkst du, dass es eigentlich garnicht so viele sind. Lange Passwörter und Sonderzeichen die nicht auf der Tastatur sind, sind da weit sicherer, aber auch zu knacken. Passwörter mit 10 und weniger Zeichen dagegen sind kein Problem, solange man den Accountnamen hat.
Kurz OT dazu:
Leider kann ich das nur bestaetigen - ein Bekannter hat mir mal mit einem Test bewiesen, das Accounts ohne weitere Sicherheitsvorkehrungen seitens der Loginprozedur jederzeit angreifbar sind.
Wir haben einen Test mit einer Forensoftware auf dem eigenen Server gemacht und da mal mit einer BF Software getestet. Innerhalb von ca. 12h war ein 13 stelliges Passwort in der Form 3Rt~5%}'*wF2v gehackt.
Solange der Login keine "Penalties" bei Fehleingabe macht, geht sowas schnell. Wenn aber nach jeder Fehleingabe erstmal 30 Sekunden Wartezeit und nach dem 3. Versuch 1h, sowie nach dem 10. Versuch dann 24h Sperren benutzt werden (oder etwas in aehnlicher Dauer und Form), dann steigt die Sicherheit des Accounts in Bereiche, in denen jahrelange Attacken noetig sind
Frueher dachte man, das ein Account nur so sicher ist, wie sein Passwort, unter Unix hatte man aber schon lange paranoider gedacht und inzwischen stellt sich raus, das das gar nicht so paranoid ist. Ein Account ist also eher nur so sicher, wie die Software fuer die Accountverwaltung.
Natuerlich sind User verpflichtet, ordentliche Passwoerter zu benutzen aber die Zukunft geht viel eher Richtung Keys statt Passphrases. Das ist einfacher zu handeln und viel sicherer (auch gegen Man in the Middle Attacks).
--------
Und um Ontopic zu bleiben *gg*
Ich druecke den Gewinnern alle Daumen, das sie moeglichst schnell ihre Freischaltung erhalten - und vergesst dabei bitte nicht, das ihr einen Beta Account gewonnen habt. Das heisst nicht nur kostenlos Fun haben, sondern auch Bugs reporten und dazu beizutragen, zur Release ein optimales Spiel fuer alle zu haben .-)
:D2
Gruessle, flyer303
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher. - Albert Einstein
Lesezeichen