Diskussion über gekaperten Mod-Account

Entschuldigung Dexter dass ich Deinen Beitrag verdächtig fand, tut mir leid :oops:

So, bin wieder da nach dem ganzen Ärger. Noch hab ich keine Ahnung, wie das passieren konnte, da mein altes Passwort mit normalen Wörterbuchattaken nicht zu hacken ist und per brute force sicher ziemlich schwierig ist.
Ich hab jetzt passworttechnisch trotzdem nochmal aufgerüstet und bin echt heilfroh, dass nicht mehr passiert ist!

Man man man, so ein Schreck...

^

offtopic

die Frage stellt sich (aber die brauchst Du uns hier nicht beantworten), ob Du Dein Moderatorenpasswort im Passwortmanager Deines Firefox (2.0) abgespeichert hast. Der hat nämliche einen ärgerlichen Bug:

http://www.firefox-browser.de/forum/viewtopic.php?t=43635
https://bugzilla.mozilla.org/show_bug.cgi?id=360493

ansonsten schlage ich vor, bis hier zu archivieren und einen neuen spamthread zu eröffnen, siehe:
http://www.firefox-browser.de/forum/viewtopi…p=224992#224992

In den Feldern Username und Passwort der Phishing-Seite (die mir per PN untergeschoben wurde) war nichts automatisch eingetragen. Ich weiss aber nicht, ob diese Angaben nicht trotzdem übertragen wurden, obwohl ich die Seite sofort wieder verlassen hatte.

Deswegen hatte ich mein Passwort sofort nach dem Verlassen der Seite vorsichtshalber geändert.

Ich muss allerdings auch dazu sagen, dass ich das Häkchen bei Automatisch anmelden gesetzt habe, demzufolge eingeloggt war, und es mir komisch vorkam, wieder nach Usernamen und Passwort gefragt zu werden.

Ich hab meine Passwörter nicht gespeichert. Versuche gerade nachzuvollziehen, ob ich irgendwie auf der Phishing-Seite gelandet sein könnte. Bisher bin ich da aber noch kein Stück weiter gekommen.

Kann eine direkte Passwort-Knack-Attacke eigentlich ausgeschlossen werden?

PS: Thread auf Amsterdammers Wunsch hin abgetrennt.

Evtl. sollte man darüber nachdenken, den Adminbereich zusätzlich mit Htaccess zu sicher. Sofern das bei PhpBB von der Struktur her möglich ist. So kann der Hijacker mit einem Mod/Admin-Account nicht mehr anfangen, als mit einem Normalen Useraccount.

Zitat von Belly

Kann eine direkte Passwort-Knack-Attacke eigentlich ausgeschlossen werden?

Naja, wie soll man schon etwas ausschließen? Aber im Grunde sollte das nicht möglich sein. Die Passwörter werden natürlich verschlüsselt abgespeichert und bei einer Schlüssellänge von sieben Zeichen dürfte schon einige Zeit vergehen, bis das Passwort per Brute Force geknackt ist.

Gruß
Abdulkadir Topal

Tja
man muss halt vorsichtig sein, sonst

HACKI HACKI HACKI :wink:

Die Belly hat einfach vergessen ein paar Folgen von Planetopia online zu schauen.

Vielleicht sollte Belly ihn um Rat fragen

PS: Brute force attacken sind im Durchschnitt kaum erfolgreich.

Im Einzelfall kann es durchaus im ersten Versuch klappen.

Im Einzelfall kann rein statistisch auch die Entropie besiegt werden.

Das nur von der Seite des Dr. rer. nat., der einfach mal nichts ausschliesst. Das ändert nichts daran, dass so ziemlich jedes andere Verfahren zum Knacken von Passwörtern erfolgsversprechender ist.

Ketzerische Frage an Belly, hast du das Passwort auch woanders gebraucht? So würde es mir mit so ziemlich jedem meiner Passwörter gehen. Entweder vergessen oder wiederverwendet. Oder aber ich belasse es bei den mir zugeschickten, die dann aber per mail durchs Universum gelaufen sind :-(.