nicht angemeldet
Hackerangriff??
Hallo,
auf meiner Startseite (index.htm) stand plötzlich nur noch "red eye by C4".
Mein Provider (Puretec) meint, dass jemand mein Passwort herausbekommen hat?
In Google finde ich diesen Begriff "red eye by C4" öfter. Ist jemand so ein Hacker bekannt.
Schützt wirklich eine Änderung des Passwortes?
Komischerweise war wirklich nur 1e Datei verändert. Als wenn ein Hacker, dann ein gutmütiger Hacker!
Also vielleicht weiß jemand was dazu.
mfg Luis Blank
-
hi
Schützt wirklich eine Änderung des Passwortes?
einen Versuch ist es wert. Wenn es nichts bringt, ist der Fehelr beim Provider.
Grüße aus Bleckede
Kai
-
Hi,
Schützt wirklich eine Änderung des Passwortes?
einen Versuch ist es wert. Wenn es nichts bringt, ist der Fehelr beim Provider.ja. Wobei ein Passwort immer so gewählt sein sollte, dass es _keine_ Bedeutung hat. Gar keine. Eine völlig sinnfreie Kette aus möglichst vielen Zeichen eines möglichst großen Zeichenvorrats (inkl. Groß- und Kleinbuchstaben, Ziffern, falls erlaubt Sonderzeichen), unter der sich _niemand_ etwas vorstellen kann, auch Du nicht.
Am besten ist sowas zufällig generiert. Und natürlich nirgendwo niedergeschrieben :-)
Cheatah
-
hi
Am besten ist sowas zufällig generiert. Und natürlich nirgendwo niedergeschrieben :-)
genau... bittesehr: B/U6ztz569/(Uz7
*g*
Grüße aus Bleckede
Kai
-
hi
Sers,
Am besten ist sowas zufällig generiert. Und natürlich nirgendwo niedergeschrieben :-)
Wer macht das schon, jeder hat irgendwo sein Passwort rumliegen!
genau... bittesehr: B/U6ztz569/(Uz7
Kann ich auch:
<?
echo md5("www.rHs-Domain.de");
// myResult: c8fabeb1c28c4d3
?>*g*
lol
Grüße aus Bleckede
KairH
-
Moin,
echo md5("www.rHs-Domain.de");
// myResult: c8fabeb1c28c4d3Kleine Anmerkung: MD5-Summen sind Hexadezimalzahlen, jedes Zeichen hat also nur 4 relevante Bits. Ein richtiges[tm] Passwort (also mit den von Cheatah erwähnten Zeichenklassen) hat wenigstens 6 relevante Bits pro Zeichen. Wenn du also darauf bestehst MD5-Summen oder Teile davon als Passwort zu nehmen, sollte dir bewusst sein, dass dein Passwort dann ca. 1,5 mal so lang sein muss wie ein Alternativpasswort mit vollem Zeichensatz um die selbe Sicherheit zu erreichen.
Und irgendwie ist es dann doch leichter sich ein 8 Zeichen langes Wort zu merken, als ein 12 Zeichen langes. (Zumal viele Provider die Länge des Passwortes auf 8 Zeichen beschränken.)
--
Henryk Plötz
Grüße von der Ostsee-
Hallo, Henryk,
(Zumal viele Provider die Länge des Passwortes auf 8 Zeichen beschränken.)
So etwas gibt es? Entschuldige, aber welcher seriöse Provider ist *so* *blöd*? ;) Ich wäre eher daran interessiert, dass das Passwort *mindestens* acht Zeichen besitzt, wenn es eine ernstzunehmende Sicherheitsbarriere darstellen soll.
Grüße,
Mathias-
Hallo,
So etwas gibt es? Entschuldige, aber welcher seriöse Provider ist *so* *blöd*? ;)
nicht jeder Provider ist seriös oder macht sich ein paar Gedanken darüber. Wie viele Provider können Dir Dein Passwort per Snail-Mail zuschicken, wenn Du es vergessen hast? Bestimmt relativ viele.
Ich wäre eher daran interessiert, dass das Passwort *mindestens* acht Zeichen besitzt, wenn es eine ernstzunehmende Sicherheitsbarriere darstellen soll.
Full ACK.
Grüße,
Christian
-
Moin,
So etwas gibt es? Entschuldige, aber welcher seriöse Provider ist *so* *blöd*? ;) Ich wäre eher daran interessiert, dass das Passwort *mindestens* acht Zeichen besitzt, wenn es eine ernstzunehmende Sicherheitsbarriere darstellen soll.
Naja, das hat nicht unbedingt (jedenfalls nicht direkt ;) was mit Blödheit zu tun. Die alte Unix-crypt()-Funktion (dieses DES-Dingens), die noch recht verbreitet ist, hat das Passwort auf 8 Zeichen beschränkt.
--
Henryk Plötz
Grüße von der Ostsee -
Hallo
hui, so einen langen Thread hatte ich auch noch nie mit einer Anfrage "erzeugt".
Danke für die vielen Antworten!
Das mit den Passwörtern ist mir schon klar. Ich muß dazu sagen, dass es kein normales Wort ist, welches leicht zu erraten ist. Zumal muß ein Hacker Benutzername + Kennwort kennen, um sich per FTP oder über Browser einzuloggen.
Und dann frage ich mich, warum macht sich jemand die Arbeit an einer relativ unwichtigen Seite einen "unbedeutenden" Schaden zuzufügen? Ich meine, ich bin ja dankbar, dass nicht mehr passiert ist, aber wo ist der Sinn.
Weiter ist mir eben aufgefallen, dass scheinbar andere Homepages in der gleichen Weise manipuliert worden sind. Aber scheinbar ist das Phänomen "red eye by c4" doch unbekannt!
Na ja, ich werde auf jedem Fall mal das Passwort nochmals verpurzeln und hoffen...
Viele Grüße
Luis-
Hi,
Und dann frage ich mich, warum macht sich jemand die Arbeit an einer relativ unwichtigen Seite einen "unbedeutenden" Schaden zuzufügen?
Reinhold Messner antwortete einmal auf die Frage, warum er einen Berg besteigen wolle, mit: "Weil er da ist."
Cheatah
-
Hi Luis,
Und dann frage ich mich, warum macht sich jemand die Arbeit an einer relativ unwichtigen Seite einen "unbedeutenden" Schaden zuzufügen? Ich meine, ich bin ja dankbar, dass nicht mehr passiert ist, aber wo ist der Sinn.
Der Sinn scheint mir ja in diesem Fall darin zu stecken, Dir zu zeigen, wie unsicher der Provider ist. Wahrscheinlich soll der damit geschädigt werden. Und um von seinem Problem mit einer Sicherheitslücke an irgendeiner Stelle abzulenken, schreibt der dann was von "Passwort ändern"...
Wäre nicht das erste Mal das ein Provider so auf die Matte gezwungen werden soll: "Entweder du zahlst, oder wir zeigen Dir, wie schlau wir sind..."
Früher warens die Eisdielen und Pizzabuden, heute die Provider ;-|
Grüße
Tom
-
-
-
-
hi
Kann ich auch:
<?
echo md5("www.rHs-Domain.de");
// myResult: c8fabeb1c28c4d3
?>nein, dann is die sicherheit wieder nix - das Ding muss ein _zufalls_-String sein. einfach Wild auf der Tastatur rumkloppen.
Grüße aus Bleckede
Kai
-
Tach auch,
nein, dann is die sicherheit wieder nix - das Ding muss ein _zufalls_-String sein. einfach Wild auf der Tastatur rumkloppen.
Ich weiss ja nicht, Du kennst doch bestimmt das Sprichwort mit den 100 Affen und Shakespeare...
Gruss,
Armin-
Hi,
Ich weiss ja nicht, Du kennst doch bestimmt das Sprichwort mit den 100 Affen und Shakespeare...
die Informatiker nennen das Brute Force, was bei einem _guten_ Passwort auch der einzige Weg ist, dies herauszubekommen. Ein schlechtes Passwort lässt sich durch Variationen von Wörtern der richtigen Länge in wesentlich kürzerer Zeit herausbekommen.
Eine absolute Sicherheit gibt es ohnehin nicht. Jedoch existieren gigantische Unterschiede, die sich dadurch definieren, ob ein Passwort _irgendeine_ Bedeutung hat.
Cheatah
-
Tach auch,
Ich weiss ja nicht, Du kennst doch bestimmt das Sprichwort mit den 100 Affen und Shakespeare...
die Informatiker nennen das Brute Force, was bei einem _guten_ Passwort auch der einzige Weg ist, dies herauszubekommen. Ein schlechtes Passwort lässt sich durch Variationen von Wörtern der richtigen Länge in wesentlich kürzerer Zeit herausbekommen.
Ich glaube Du hast meinen Kommentar missverstanden: Kai hatte "wildes auf der Tastatur rumhacken" vorgeschlagen um ein gutes Passwort zu bekommen. Wo mein "Gegenargument" die beruechtigten 100 Affen waren. Google mal nach "100 monkeys shakespeare"...
Gruss,
Armin-
Hi,
Ich glaube Du hast meinen Kommentar missverstanden:
nö :-)
Cheatah
-
-
-
-
Tagchen
einfach Wild auf der Tastatur rumkloppen.
Hmm ... aber wenn Du dieses Passwort dann wirklich mal vergißt, stehst Du echt auf dem Schlauch.
Ich mache das anders. Ich denke mir einen Begriff aus, z.B. soll mein Passwort "Thomas_J" heißen.
thomas_j
Das "o" sieht einer "0" ähnlich, und das "s" kann auch als "5" durchgehen. Ergibt:
th0ma5_j
Dann schreibe ich jeden zweiten Buchstaben groß und drehe das ganze um:
J_5aM0hT
Nun habe ich schon mal ein Passwort, das schön chaotisch aussieht, aber im Zweifelsfall von mir wieder rekonstruiert werden kann.
MfG
J_5aM0hT ähh Thomas J.-
Hallo,
Nun habe ich schon mal ein Passwort, das schön chaotisch aussieht, aber im Zweifelsfall von mir wieder rekonstruiert werden kann.
Schon mal von einer Wörterbuchattake gehört, die genau das gleiche anwendet? Sind nur das 12-20 fache an Möglichkeiten pro Wort und eine Wörterbuchattake ist innerhalb von 1 sec durch (lokal) - im Web wird's zwar länger dauern, aber unmöglich ist es nicht.
Grüße,
Christian
-
Tach
aber unmöglich ist es nicht.
Natürlich nicht. Das gilt allerdings auch für ein zufällig in die Tastatur "geklopptes" Passwort.
Thomas J.
-
Hi,
Natürlich nicht. Das gilt allerdings auch für ein zufällig in die Tastatur "geklopptes" Passwort.
ja schon - aber für ein Zufallspasswort kann man kein Wörterbuch als Grundlage nehmen und mann muss per Brute Force "operieren" - dadurch gibt es wesentlich mehr Möglichkeiten für ein Passwort und dadurch dauerts auch länger (wenn es lang genug ist, dann würde es bei heutiger Rechenleistung länger dauern, als das Universum alt ist; aber so extremen Schutz brauchen wir ja nicht - 2000 Jahre reichen ja ;) )
Grüße,
Christian
-
Hallo Christian,
...dadurch dauerts auch länger (wenn es lang genug ist, dann würde es bei heutiger Rechenleistung länger dauern, als das Universum alt ist; aber so extremen Schutz brauchen wir ja nicht - 2000 Jahre reichen ja ;) )
Was da (hoffentlich) lange dauert, ist ja die Datenübertragung. Dadurch steigt der Schutz eines Passwortes enorm. Wenn ich nach jedem Fehlversuch 3 Sekunden warten muss, biss ich wieder darf, ist eben nicht so sicher, als wenn ich 150 Sekunden warten muss.
Grüße aus Braunschweig
Tom
-
Hallo,
Was da (hoffentlich) lange dauert, ist ja die Datenübertragung. Dadurch steigt der Schutz eines Passwortes enorm. Wenn ich nach jedem Fehlversuch 3 Sekunden warten muss, biss ich wieder darf, ist eben nicht so sicher, als wenn ich 150 Sekunden warten muss.
welcher Provider lässt einen 150 Sekunden bei einem Fehlversuch warten? Bis dahin ist ja ein TCP-Timeout passiert. Aber Recht hat Du im Prinzip. Doch wehe einem Cracker fällt die /etc/shadow in die Hände ... (dann hält mein Passwort vmtl. ein paar Tage länger als das von Thomas)
Grüße,
Christian
-
-
ja schon - aber für ein Zufallspasswort kann man kein Wörterbuch als Grundlage nehmen und mann muss per Brute Force "operieren"
Das gilt aber im Prinzip auch für mein Verfahren.
Mein Beispiel mit meinem Namen (den ich Ernstfall nie benutzen würde) war natürlich sehr einfach gehalten. Es ging mir auch nur darum, ein Passwort zu kreieren, das vom Benutzer irgendwie wieder rekonstruiert werden kann. Die "Bildungsregeln" lassen sich dabei natürlich beliebig verkomplizieren.thomas_j
Th0Ma5_J
a5_JTh0M
M0hTJ_5a <-- Diesem Passwort rückst Du auch nicht mehr mit einem Wörterbuch auf die Pelle. Und trotzdem steckt einen Regel dahinter, die ich nochvollziehen kann, wenn ich mir irgendwann z.B. über die Groß-/Kleinschreibung nicht mehr im Klaren bin.
Wenn Du dagegen ein "echtes" Zufallspasswort vergißt, war's das.Thomas J.
-
Hallo,
M0hTJ_5a <-- Diesem Passwort rückst Du auch nicht mehr mit einem Wörterbuch auf die Pelle.
mit einem Wörterbuch nicht, aber mit einer kombinierten Wörterbuch/Brute Force Attake schon (ich meine, selbst wenn man für jedes Wort 20.000 versch. Kombinationsmöglichkeiten hat, dann sind die insgesamten Möglichkeiten immer noch weniger als die insgesamten Möglichkeiten bei Brute force)
Wenn Du dagegen ein "echtes" Zufallspasswort vergißt, war's das.
Passwörter soll man nicht vergessen ;-)
(ja - ich habe meins auch schon mal vergessen)Grüße,
Christian
-
Hallo,
M0hTJ_5a <-- Diesem Passwort rückst Du auch nicht mehr mit einem Wörterbuch auf die Pelle.
mit einem Wörterbuch nicht, aber mit einer kombinierten Wörterbuch/Brute Force Attake schon (ich meine, selbst wenn man für jedes Wort 20.000 versch. Kombinationsmöglichkeiten hat, dann sind die insgesamten Möglichkeiten immer noch weniger als die insgesamten Möglichkeiten bei Brute force)
Und genau das glaube ich nicht.
Denn erstens kann kein Wörterbuch alle möglichen "Wortverunstaltungsregeln" berücksichtigen. Da kannst Du auch gleich mit brute force anfangen.
Und zweitens läßt sich mit etwas gutem Willen und Erfindungsreichtum in fast jedes "echte" Zufallspasswort ein Algorithmus hineininterpretieren.Der Beweis: p40J5eAmE0aHe4
Sieht sehr zufällig aus, hat aber ein relativ einfaches System. Daran scheitert jede Wortliste. Doch falls dieser Thread im Datennirvana verschwinden sollte, hätte ich absolut kein Problem, diese Zeichenkette exakt wieder so zu reproduzieren.-
Hallo,
Und genau das glaube ich nicht.
Denn erstens kann kein Wörterbuch alle möglichen "Wortverunstaltungsregeln" berücksichtigen. Da kannst Du auch gleich mit brute force anfangen.
Und zweitens läßt sich mit etwas gutem Willen und Erfindungsreichtum in fast jedes "echte" Zufallspasswort ein Algorithmus hineininterpretieren.Der Beweis: p40J5eAmE0aHe4
Moment! Ich bin von einfachen "Verunstaltungsregeln" ausgegangen; ein Passwort wie das obige (auf das ich geantwortet habe) kann man so knacken; so eins wie Dein Beweis ist natürlich sophistizierter (gibt's das Wort überhaupt?) und da kann man wirklich gleich Brute Force nehmen und das ganze Universum lang rechnen ;-)
Grüße,
Christian
-
Hallo,
Moment! Ich bin von einfachen "Verunstaltungsregeln" ausgegangen; ein Passwort wie das obige (auf das ich geantwortet habe) kann man so knacken;
Mag sein. Aber mir ging es ja auch nur um's Prinzip.
Ich bin eben der Meinung, daß es besser ist, sich irgendein System zu basteln, anstatt einfach eine Colaflasche (leer) auf die Tastatur zu schmeißen.Thomas J.
PS: Mein Beweis oben hieß übrigens wieder einfach "ThomasJ." (ohne Leerzeichen)
-
Hallo,
Ich bin eben der Meinung, daß es besser ist, sich irgendein System zu basteln, anstatt einfach eine Colaflasche (leer) auf die Tastatur zu schmeißen.
Das ist auf alle Fälle besser - man kennt ja die Form einer Colaflasche und die Tastengrößen einer typischen Tastatur - jetzt muss man nur noch die relative Wurfausgangsposition, die Wurfgeschwindigkeit und die Neigung der Tastatur erraten ;-)
Grüße,
Christian
[scnr]
-
-
-
-
Hi Leute
M0hTJ_5a <-- Diesem Passwort rückst Du auch nicht mehr mit einem Wörterbuch auf die Pelle.
mit einem Wörterbuch nicht, aber mit einer kombinierten Wörterbuch/Brute Force Attake schon (ich meine, selbst wenn man für jedes Wort 20.000 versch. Kombinationsmöglichkeiten hat, dann sind die insgesamten Möglichkeiten immer noch weniger als die insgesamten Möglichkeiten bei Brute force)
Christian, wenn du bei einer kombinierten Wörterbuch/Brute Force Attacke x-Tausen variationen ausprobierst, hast du dann nicht das Problem, dass du einige Möglichkeiten mehrmals probierst? Speichern kannst du die Daten ja kaum, da es unmengen sind.
MfG
Tom2
-
-
-
-
Moin,
Natürlich nicht. Das gilt allerdings auch für ein zufällig in die Tastatur "geklopptes" Passwort.
Naja, aber imho ist es ein riesiger Unterschied, ob ich sicher alle möglichen Variationen (die du durch deinen Algorithmus ja beschränkt hast) innerhalb von ..sagenwirmal.. 3 Tagen durch habe, oder (ohne beschränkenden Algorithmus) innerhalb von 30 Jahren. Die Möglichkeit das richtige Passwort bereits nach 3 Sekunden zu finden besteht bei beiden Methoden.
Wer übrigens echte Zufallszahlen will - der wild-auf-der-Tastur-kloppen-Methode traue ich nicht, da einige Buchstaben deutlich bevorzugt werden und Tasten die auf der Tastatur nahe zusammen sind, auch im Ergebnis nahe zusammen sein werden - der kann sich auch mal http://www.random.org/, http://www.lavarnd.org/ (wenn es wieder online ist) oder http://www.fourmilab.ch/hotbits/ ansehen. Ich schätze selbst für einen Paranoiker sollte es ausreichen sich eine Handvoll zufällige Zeichen von jeder der Quellen zu besorgen, sie zusammen durch einen sicheren Hash zu jagen (wie SHA-1 oder MD5), das Ergebnis in BASE64-Kodierung darzustellen und dieses (oder zumindest einen Teil davon) als Passwort zu nehmen. BASE64 eignet sich besser als Hexadezimaldarstellung, da es 6 relevante Bits pro Zeichen hat, und damit Großbuchstaben, Kleinbuchstaben, Zahlen und zwei Sonderezeichen benutzt.
--
Henryk Plötz
Grüße von der Ostsee-
Moinmoin
Naja, aber imho ist es ein riesiger Unterschied, ob ich sicher alle möglichen Variationen (die du durch deinen Algorithmus ja beschränkt hast) innerhalb von ..sagenwirmal.. 3 Tagen durch habe, oder (ohne beschränkenden Algorithmus) innerhalb von 30 Jahren. Die Möglichkeit das richtige Passwort bereits nach 3 Sekunden zu finden besteht bei beiden Methoden.
Das Problem dabei ist, daß Du ja gar nicht wissen kannst, ob meinem Passwort ein Algorithmus zugrunde liegt oder nicht. Ich könnte mir auch ein Kunstwort wie z.B. "unkaputtbar" ausdenken und jedes Zeichen durch das ersetzen, was auf meiner Tastatur eine Reihe höher und drei Zeichen weiter links steht (ßö+et1ß99lt8).
Aber ist ja auch egal, ich wollte mit meinem Beitrag eigentlich nur sagen, daß es nicht notwendig ist, mit dem Kopf auf die Tastatur zu fallen, um ein möglichst konfus aussehendes Passwort zu kreieren.
Thomas J.
PS: Prima Passwörter enstehen, wenn man sich ein JPG in einen ascii-Editor klemmt und eine beliebige Zeile kopiert. Nur mit dem merken ist's dann nicht ganz so einfach.
-
-
-
-
Hi Thomas,
und weil wir Deinen "social algorythm" nun kennen, können wir uns hinsetzen und rechnen...
Danke
sirhC
-
Tach
und weil wir Deinen "social algorythm" nun kennen, können wir uns hinsetzen und rechnen...
Bitte schön, nur zu. Mit J_5aM0hT wirst Du bei mir allerdings keinen Erfolg haben ...
Thomas J.
-
-
-
Ich hab mal auf irgendeiner HP einen Passwort-Generator entdeckt und ihn auf meinen FTP-Server raufgetan ...
Hier ist dir URL:
http://www.mariometzl.mine.nu/ftp/Eingang/Programme/Sonstige Programme/x-pass v1.0 - Passwort-Generator.zip(Das is ein nicht-dezidierter Server - also kann ales etwas langsam gehen ...)
LG,
MM-
Ich bins nochmal ...
Ich hab grad gemerkt, dass der Link nicht ganz funktioniert ...
Anscheinend liegts daran, dass der Punkt vor der Erweiterung (.zip) als %2E angezeigt wird ...Also hier nochmal ...
Die Zip-Datei ist nur 195 KB klein ...:
http://www.mariometzl.mine.nu/ftp/Eingang/Programme/Sonstige Programme/x-pass v1.0 - Passwort-Generator.zipAlso wie gesagt - es geht etwas langsam ... ich hab ADSL ...
LG,
MM-
Hallo,
und wer garantiert mir, dass dieser Passwortgenerator nicht die Passwörter die er generiert an jemanden weiterschickt? Oder dass der Algorithmus (Algorythmus?) nicht zu simpel ist?
Ich vertraue da lieber auf meinen "eingebauten" Zufallsgenerator: das Gehirn. Denn da hat noch keiner herausgefunden, wie es funktioniert ;-)
Grüße,
Christian
-
und wer garantiert mir, dass dieser Passwortgenerator nicht die Passwörter die er generiert an jemanden weiterschickt? Oder dass der Algorithmus (Algorythmus?) nicht zu simpel ist?
An wen soll er denn die Passwörter schicken, wenn du für einige Zeit offline bist?? Gut - er könnte ja warten, bis du wieder online gehst und dann alle ermittelten Passwörter an irgendwen sendet ... Allerdings wäre dann das Programm nicht nur 195 KB groß, sondern etwas größer, wenn das ein mitdenkendes Programm wäre ...
MM
-
Hallo,
An wen soll er denn die Passwörter schicken, wenn du für einige Zeit offline bist?? Gut - er könnte ja warten, bis du wieder online gehst und dann alle ermittelten Passwörter an irgendwen sendet ... Allerdings wäre dann das Programm nicht nur 195 KB groß, sondern etwas größer, wenn das ein mitdenkendes Programm wäre ...
Ich traue _keinem_ derartigen Programm, nicht einmal wenn ich selbst es geschieben hätte.
Grüße,
Christian
-
Ich traue _keinem_ derartigen Programm, nicht einmal wenn ich selbst es geschieben hätte.
*gg* ;) (mehr fällt mir dazu nicht ein)
Grüße,
Christian
-
Hallo,
Ich traue _keinem_ derartigen Programm, nicht einmal wenn ich selbst es geschieben hätte.
*gg* ;) (mehr fällt mir dazu nicht ein)
Hey, ich mach keinen Spaß! Das ist mein voller Ernst!
Grüße,
Christian
-
-
-
-
-
-
-
use Mosche;
nein, dann is die sicherheit wieder nix - das Ding muss ein _zufalls_-String sein. einfach Wild auf der Tastatur rumkloppen.
Nene, ich mach das immer so: ich nehme meinen Namen (nr den Vornamen, mit nachnamen ist mir zu lang) also 'Matti', setze ihn in Kleinbuchstaben ('matti') und nehm das ganze als Passwort. Weil ich mir meinen Namen aber so schlecht merken kann, schreibe ich mir einen Zettel, auf den mein Name in einer verschlüsselten Geheimsprache ist - dieser Zettel hängt an meinem Monitor, ist aber recht abgegriffen, weil ich ihn relativ oft benutze. Diese Geheimsprache kenne nur ich.
Mist, jetzt hab ich mein Passwort verraten - wo kann man seinen Vornamen ändern?
use Tschoe qw(Matti);
PS: :-)
-
-
-
-
Hi Cheatah,
genau so ein Passwort habe ich seinerzeit mal bei der Einrichtung meines Schweizer Nummernkontos benutzt. Leider habe ich es vergessen und nun stapelt sich da das Geld und ich komm nicht mehr ran... *ggg*
Chis
-
Hi,
genau so ein Passwort habe ich seinerzeit mal bei der Einrichtung meines Schweizer Nummernkontos benutzt. Leider habe ich es vergessen und nun stapelt sich da das Geld und ich komm nicht mehr ran... *ggg*
Schweizer Nummernkonten haben noch ein Sekundärpasswort. Es lautet "Obelix" *g*
Cheatah
-
Hi
Schweizer Nummernkonten haben noch ein Sekundärpasswort. Es lautet "Obelix" *g*
Du meinst wohl Masterpasswort! Wieso wären wir Schweizer sonst so reich? ;-)
MfG
Tom2
-
-
-
-
Hi,
Schützt wirklich eine Änderung des Passwortes?
einen Versuch ist es wert. Wenn es nichts bringt, ist der Fehelr beim Provider.
Kann man so pauschal auch nicht sagen.
Möglicherweise hat Luis ja auch ein paar unsichere CGI- oder PHP-Skripten installiert, die jemand den Zugriff von Aussen ermöglichte.
Dies ist eigentlich der einfachere Hack heutzutage.
Zumal wenn der Provider schon gefragt wurde, dieser -wenn er etwas taugt- sicher schon in seine Logs geschaut haben wird.
Wenn dann die Antwort mit dem Passwort nur kam gibt es IMHO nur zwei Begründungen:
a) Es passierte wirklich ueber ein Newbie-Skript, das ungeprueft installiert wurde
b) Der Provider taugt wirklich nichts.Ciao,
Wolfgang
-
-
Hallihallo zusammen,
während unten im Thread die "Passwortschlacht" tobt wollte ich doch noch mal die These einwerfen, dass viele Hacker sowieso nicht durch die Vordertür kommen, sondern Sicherheitslücken im System ausnutzen und dafür braucht man eben kein Passwort.
Fast alle IIS auf Windows haben eine Lücke. Drum bin ich froh, dass ich hier Apache auf Linux habe. Der hat bestimmt auch welche, aber scheinbar nicht so viele bekannte.
Grüße
Tom
-
Hi,
während unten im Thread die "Passwortschlacht" tobt
Ich bekenne mich schuldig in allen Anklagepunkten ;-)
wollte ich doch noch mal die These einwerfen, dass viele Hacker sowieso nicht durch die Vordertür kommen, sondern Sicherheitslücken im System ausnutzen und dafür braucht man eben kein Passwort.
Hmmm - wenn man so darüber nachdenkt, hast Du sicherlich recht. Aber es gibt auch Cracker, die durch die Vordertür kommen (der Trojaner in OpenBSD kam durch kompromitierte CVS-Accounts)
Fast alle IIS auf Windows haben eine Lücke. Drum bin ich froh, dass ich hier Apache auf Linux habe. Der hat bestimmt auch welche, aber scheinbar nicht so viele bekannte.
Nein - der hat zwar bestimmt ein paar, aber sobald diese bekannt werden, werden sie _sofort_ gefixed. (und außerdem sind die Apache-Admins meistens keine DAUs; viele (nicht alle!) IIS-Admins sind dagegen DAUs)
Grüße,
Christian
-
Hi
Fast alle IIS auf Windows haben eine Lücke. Drum bin ich froh, dass ich hier Apache auf Linux habe. Der hat bestimmt auch welche, aber scheinbar nicht so viele bekannte.
Nein - der hat zwar bestimmt ein paar, aber sobald diese bekannt werden, werden sie _sofort_ gefixed. (und außerdem sind die Apache-Admins meistens keine DAUs; viele (nicht alle!) IIS-Admins sind dagegen DAUs)
Hm, wie kommst du darauf, dass es (wohl im Verhältniss zur Verbreitung) weniger Apache-Admins als IIS-Admins gibt, die DAUs sind?
MfG
Tom2
-
Hi,
Hm, wie kommst du darauf, dass es (wohl im Verhältniss zur Verbreitung) weniger Apache-Admins als IIS-Admins gibt, die DAUs sind?
weil sehr viele IIS-Server _trotz_ verfügbarem Patch von z.B. CodeRed oder Nimbda infiziert worden sind. Es gab auch Apache-Sicherheitslücken, aber ich habe nirgends gelesen, dass da ein großer Schaden entstanden ist. Das mit CodeRed und Nimda kam sogar in der Tagesschau ... Und dabei ist die Verbreitung des Apachen höher als die vom IIS, daher ist meine Aussage begründet.
Grüße,
Christian
-
Moin,
Es gab auch Apache-Sicherheitslücken, aber ich habe nirgends gelesen, dass da ein großer Schaden entstanden ist.
s/gab/gibt/ -> http://forum.de.selfhtml.org/archiv/2002/9/23649/
Das mit CodeRed und Nimda kam sogar in der Tagesschau ... Und dabei ist die Verbreitung des Apachen höher als die vom IIS, daher ist meine Aussage begründet.
CodeRed und Nimda hatten auch eine wesentlich aggressivere Verbreitungsroutine als Linux.Slapper, die selbst schon als Schadensroutine taugte (durch den verursachten Traffic). Ich bin davon überzeugt, dass wir nach der kürzlichen Welle von Open Source Sicherheitslücken (OpenSSH, OpenSSL, Apache, PHP) noch schärfere Würmer erleben werden.
Es gab in allen Fällen zwar wesentlich prompter Patches als bei der durchschnittlichen Microsoft-Lücke und professionelle Admins werden damit auch keine Probleme haben, aber es gibt immernoch genügend ungepatchte Systeme und einige User wissen nicht mal, dass sie einen Server laufen haben. Das ist der Fluch, der über uns kam, als Linux begann, sich auf dem Desktop durchzusetzen.
--
Henryk Plötz
Grüße von der Ostsee-
Hi,
Es gab in allen Fällen zwar wesentlich prompter Patches als bei der durchschnittlichen Microsoft-Lücke und professionelle Admins werden damit auch keine Probleme haben, aber es gibt immernoch genügend ungepatchte Systeme und einige User wissen nicht mal, dass sie einen Server laufen haben. Das ist der Fluch, der über uns kam, als Linux begann, sich auf dem Desktop durchzusetzen.
Dieser Fluch wird erst noch kommen.
Das größte Verbreitungshindernis von Linux sind immer noch die Spiele und die Downloads (Shareware, Freeware, Warez). Wenn aber Wine, WineX & Co. endlich mal soweit sind, dann wandern diese ganzen Spiele/Download-Typen die sich alles aus dem Internet ziehen zu uns rüber und machen mit ihrer Nullkostmentalität und ihrer Einstellung auf Linux weiter. Sie werden Linux nur verwenden, weil es "sicherer" ist. Jedoch sehen sie nicht ein, dass 75 % der Sicherheitslücken an Ihnen liegt. Microsoft ist zwar in Punkto Sicherheit eine sechs zu geben, aber diese Download/Spiele-Deppen sollte man (um jetzt meine Metapher fortzusetzen) ganz aus dem Bildungssystem rausschmeißen.
Ich habe nichts gegen Computerspiele und Programmen, die man aus dem Internet bekommen kann, aber die _meisten_ "Computerspieler"[tm] und "Vielsauger"[tm], die ich kenne, sind so, wie oben beschrieben.
So - und wenn _die_ jetzt erst mal Linux bevölkern, dann ist der ganze gute Ruf verloren ... (und Microsoft kommt dann mit seiner Wunderlösung "Palladium" und ...)
Grüße,
Christian
[düster in die Zukunft blickend]
-
-
-
-
-