Casino-Winners.net - DIE Seite für Gewinner!

Nutze lieber das Einwegpasswort, als da nochmal ein Passwort zu speichern. Finde es trotzdem ne Frechheit eine gewollte Löschung nicht durch zu führen.
 
SCB-Media schrieb:
Ich persönlich finds gar net mal schlecht.
Manch ein User macht vielleicht nen schnell Schuss und will kündigen, ....
Zum Vergrößern anklicken....

Sehe ich genauso.
Und Seppl schreibt ja, man kann ja selbst alle Daten rauslöschen.

Ich fänds auch nicht okay, wenn sowas ausgenutzt wird, und sich die User dann löschen lassen, nachdem sie nen Haufen Anmeldelose vom Werber erhalten haben, um sich später dann erneut anzumelden. (Natürlich mit neuem Werber und Anmeldelosen) :-?
 
Die Klamm-ID behält er doch eh, also kann das nicht passieren. Dann noch der Rat ein Passwort ein zu geben. Muss ich jetzt doch mal lachen.
 
Moin,

ich wurde gebeten, hierzu etwas zu sagen:
seppl2000 schrieb:
Was aber nicht möglich ist, da SHA512 sicher ist und nicht auf das original-Passwort zurückgerechnet werden kann. Kann gerne auch mal theHacker bestätigen, weil er da sehr firm ist, was Programmierung angeht.
Zum Vergrößern anklicken....
"Sicher" ist immer relativ.

Ein bisschen Informatik vorher:
SHA-2 (SHA512) ist genauso wie SHA-1 und MD5 ein Hash-Algorithmus. Eine Hash-Funktion ist eine Funktion, die eine beliebige Zeichenmenge auf eine fixe Zeichenmenge (den Hash) abbildet. Da der Wertebereich beschränkt und der Definitionsbereich unendlich ist, kann die Funktion nicht injektiv sein und somit ist sie auch nicht bijektiv.
Heißt was? Es gibt grundsätzlich keine Umkehrabbildung!

Wenn jemand einen Hash hat - egal, welcher Algorithmus dahintersteckt :!: -, kann er ihn niemals zurückrechnen, da es unendlich viele Eingabewerte gibt, die diesen Hash erzeugen.
Gemäß den Medien ist ein Hash-Algorithmus schon "geknackt" und "nicht mehr sicher", wenn es jemanden gelungen ist, eine sogenannte Kollision zu finden, d.h. zwei Eingabewerte, die denselben Hash liefern.

Zurück zur Praxis:
Die Wertebereiche der Algorithmen sind dermaßen groß, dass für "ich hashe ein Passwort" das Kollisionsproblem irrelevant ist.
|W[sub]MD5[/sub]| = 2[sup]128[/sup] ~ 340.000.000.000.000.000.000.000.000.000.000.000.000
|W[sub]SHA-1[/sub]| = 2[sup]160[/sup] ~ 1.461.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000
|W[sub]SHA512[/sub]| = 2[sup]512[/sup] ~ 13.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000

Angenommen, ich bin ein Angreifer und hab - weil der Admin/Webmaster/Serveradmin zu doof war - die Hashes. Ich kann sie nicht zurückrechnen.

Jetzt kommts - wie immer und immer wieder und wieder gepredigt wird - auf das Passwortverhalten der User bzw. die Seitenprogrammierung an:


  • Hab ich User-Passwörter im Klartext, z.B. weil der User so doof war und hat sie woanders eingegeben, z.B. weil er überall dasselbe Passwort nimmt, muss ich nur die Liste der Passwörter hashen und kann checken, welches Passwort wo passt.

  • Rainbow-Tables (das sind vorgerechnete Wert-Hash-Paare) erlauben mir, Hashes mit zu einfachen Passwörtern, z.B. Geburtstag oder Wörterbuch-Wörter sofort zu erkennen. Das passiert immer dann, wenn der User so doof ist und keine Sonderzeichen oder Zahlen in sein Passwort einbaut.

  • Ein dritter Aspekt geht jetzt noch auf die Webseite an sich hin: Wenn das Passwort einfach nur gehasht in der Datenbank steht und kein Passwort-Salt (das ist eine zufällige Zeichenkette, die auch noch user-individuell sein sollte, die zusätzlich mitgehasht wird) verwendet wird, kann ich als Angreifer selbst mit Brute-Force (d.h. Durchprobieren) alle User gleichzeitig testen. Ist ein Salt in Verwendung, muss ich den ganzen Aufwand für jeden User einzeln machen, d.h. ich muss mich auf bestimmte User konzentrieren. Wörterbuch- und Listen-Attacken (s. obere beiden Punkte) werden damit auch entsprechend ausgeschlossen.

Soweit der Crash-Course "Hashing und Passwörter knacken". Ich hab jetzt nicht den Thread gelesen und weiß jetzt auch nicht, in wie weit mein Posting Fragen beantwortet bzw. sich in den Kontext integriert. Also gerne nochmal konkret nachfragen.
 
Vielen Dank für die sehr gute Erklärung @theHacker.

Das mit dem Salt habe ich auch gelesen, daher werden die Passwörter bei mir mit 2 Salts versehen.
- Einen globalen, der nur in der PHP-Datei steht (damit sind die Passwörter sicher, wenn jemand in die Datenbank kommen sollte).
- Einen User-äbhängigen Salt.

Somit sollte alles, was man bei der Passwort-Verschlüsselung (Hash) beachten sollte, auch erfüllt sein.
 
Naja da gäbe es noch weitere.

z.b. neuer Ansatz den ich gar nicht schlecht finde, aber etwas aufwendiger ist.
Zwei Passwörter in der DB, wobei eins das echte ist und das andere ein Honeypot ist. Je nachdem welches PW eingegeben wird landet man im echten System oder im gesicherten Bereich (man denkt man ist drin aber stimmt gar nicht).

Natürlich darf über die DB nicht ersichtlich sein, welches das richtige PW ist.
 
Bububoomt schrieb:
Naja da gäbe es noch weitere.

z.b. neuer Ansatz den ich gar nicht schlecht finde, aber etwas aufwendiger ist.
Zwei Passwörter in der DB, wobei eins das echte ist und das andere ein Honeypot ist. Je nachdem welches PW eingegeben wird landet man im echten System oder im gesicherten Bereich (man denkt man ist drin aber stimmt gar nicht).

Natürlich darf über die DB nicht ersichtlich sein, welches das richtige PW ist.
Zum Vergrößern anklicken....

Dann erhöhe die Anzahl doch noch einwenig, und sobald ein "falsches" Passwort aus dieser Liste eingegeben wird, gibts eine Sicherheitssperre und alle Lose vom wandern EF in den Tresor.
Interessant wird es ja aber nun, wenn die Passwörter an anderer Stelle abgefangen werden.
 
Und am Ende soll ich wohl noch meinen Namen vor der Webcam tanzen um mich irgendwo einloggen zu können!
 
Im Endeffekt dürfte man dem User gar nicht erlauben sich nur mit K-ID und L-Passwort einzuloggen.
Außerdem dürfe kein Webmaster dem User das erstellen des Passwortes überlassen.


Adminseite
1. eMailadresse bei Anmeldung pflicht
2. PW wird vom System erstellt und an den User verschickt

Userseite
eMailaccount muss per Keepass geschützt sein.

Alles andere ist dämlich :D
 
Hallo!
Was mache ich wenn ich mein Losepasswort abgestellt habe und das Passwort nicht mehr weiss ??
Ich finde nichts wo man sie das Passwort zusenden lassen kann!
Oder habe ich da was übersehen!
Mit den ständigen Passwort ändern, habe ich da irgendwie das Passwort verloren :yawn:

Habe mein Passwort gefunden !!
Aber wie ist es in Zukunft wenn man es verliert???
Kommt man da irgendiwe wieder dazu ??
 
Zuletzt bearbeitet:
Und die nächste mit Behauptungen, die vorne und hinten nicht stimmen (HotPartyMouse).

Merkt denn hier eigentlich keiner, dass laufend versucht wird, mich und meine Seiten schlecht zu machen?

Wenn mal wirklich jemand da ist, der helfen will und irgendwelche Beweise oder sonst was hat, immer her damit. (Bisher nur ein User, der auf CW mit mir in Kontakt steht und versucht, zu helfen)
 
puntigammer schrieb:
...
Habe mein Passwort gefunden !!
Aber wie ist es in Zukunft wenn man es verliert???
Kommt man da irgendiwe wieder dazu ??
Zum Vergrößern anklicken....

Ne, da kommt man nicht mehr dran, da es in der Datenbank nur als Hash vorliegt, welchen man nicht mehr zurückrechnen kann.

Die Vorgehensweise ist dann, dass ich das Losepasswort für den Login aktiviere, du dich einloggst, ein neues Passwort vergibst.

@all: die Liste mit den Passwörtern war definitiv die alte, vom 22.04.13. (Wurde auch mehrfach bestätigt von Usern, die die Liste auch gesehen haben)
Wir hatten dann ja alle Passwörter mit Zuffalszeichen überschrieben und euch extra darauf hingewiesen, dass die alten Passwörter nicht mehr sicher sind.

Wer jetzt allerdings wieder das Passwort von vor dem 22.04. verwendet, der ist diesmal wirklich selber Schuld, so Leid es mir tut.
 
Newsletter:

Shoutboxquizz, Roulette-Sonderrally, letzte Vorkommnisse

Hallo liebe User,

heute Abend um 19 Uhr startet wieder das beliebte Shoutboxquizz mit Bardy. Dabei wird es 20 Fragen geben, jeweils mit 50 Gutscheinen a 500k und zusätzlich 5 Gutscheine a 1 Mio. Hier müsst ihr einfach "erster" vor die Lösung schreiben.

Momentan läuft auch eine Sonderrally am Roulette. Zu gewinnen gibt es 5 MRD Klammlose. Die Rally steht aktuell bei ca. 13 %. Es gibt auch einen Gutschein zum Thema: Roulette-Sonderrally aktiv

Ich möchte jetzt gerne noch ein abschließendes Wort zu den letzten Vorkommnissen hier auf CW loswerden:
Dass am 22.04. durch eine Nachlässigkeit meines Hosters einem Unbefugten Zugriff auf den Server gegeben wurde, hatten wir ja im Newsletter Nr. 271 bekannt gegeben. Daraufhin wurden alle Passworte von allen Usern mit Zufallswerten ersetzt und zusätzlich haben wir jetzt eine Verschlüsselung (SHA512-Hash) der Passwörter eingebaut.

Entgegen der Behauptungen von manchen Usern sind eure Passwörter hier sicher. Genauso eure Lose, Anteile, Treuepunkte usw.
Wichtig ist nur, dass ihr euer Passwort nur hier verwendet und sonst nirgendwo.
Außerdem darf das Passwort, das ihr hier vor dem 22.04. hattet, nirgendwo mehr benutzt werden. Ich weise hier jetzt extra nochmal darauf hin, da es bei vielen Usern leider vorkommt, dass sie immer noch das alte Passwort verwenden, sei es hier, auf Klamm oder sonst wo. (siehe: https://www.klamm.de/forum/7082207-post983.html und https://www.klamm.de/forum/7083122-post1006.html ) --> Unbedingt ändern!!!

euer Admin
seppl2000
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Moe2001
Offizieller Weblose.de Thread - social Casino - Online seit 2003
Antworten
6
Aufrufe
6K
HBFLUSA
H
Moe2001
Offizieller Cool-Casino.deThread - social Casino - nur cachefreie und exklusive Games
Antworten
12
Aufrufe
35K
Moe2001
Moe2001
rainpaid
Ist Adnade.net bei euch auch tot?
Antworten
4
Aufrufe
5K
pac
P
Zurück
Oben