Guild Wars 2: 11.000 Accounts kompromittiert

**Annika_Kremer** · 08. 09. 2012, 10:28

Berichten zufolge wurden mehr als 11.000 Accounts des populären MMORPGs Guild Wars 2 gehackt. Ein Teil der von den Angreifern erbeuteten und anschließend mit Hilfe von Passwort-Crackern entschlüsselten Datensätze stammt offenbar von einer vor kurzem kompromittierten Fan-Seite.

zur News

**AluMiez** · 08. 09. 2012, 11:21

passwort123456
sogar 14 Zeichen. Unknackbar!

**Rob_ert** · 08. 09. 2012, 11:58

passwort!12345

Wenn man sich angewöhnt noch jede "Wort" mit nem Sonderzeichen zu trennen wird das Passwort noch sicherer. Hier hat meins dieselbe Länge und auch nicht weiter schwer zu merken. Man kann ja immer das gleiche Zeichen benutzen.

Teilweise hatte ich aber auch das Problem, dass die erlaubte Zeichenlänge auf einer Website/bei einem Spiel zu klein war für meine gewohnten Passwörter. Da müssen auch die Hersteller mal ihr System teilweise überdenken.

**Kakihara123** · 08. 09. 2012, 13:01

und in keinem der beiden oben erwähnten fälle hätte das auchnur irgendetwas gebracht. wennman sich nen keylogger einfängt knn das pw auch 1000 stellen haben. wennman das gleiche pw auf ner fansite verwendet, die kompromittiert wird, gilt dasselbe. insofern sollten es endlich mal nen auth wie bei blizzard geben. da kann pw+ nutzername bekannt sein und es bringt dem jenigen garnix.

**KilahDentist** · 08. 09. 2012, 13:34

Bei dieser Diskussion verweiße ich gerne auf xkcd. Gerade aus diesem Grund sollten Passwortfelder so lange wie möglich sein.

**alter_Bekannter** · 08. 09. 2012, 13:50

Zitat von Rob_ert

Teilweise hatte ich aber auch das Problem, dass die erlaubte Zeichenlänge auf einer Website/bei einem Spiel zu klein war für meine gewohnten Passwörter. Da müssen auch die Hersteller mal ihr System teilweise überdenken.

Nein, nicht teilweise, sondern komplett, Hashwerte sind immer gleich lang, das heisst wenn man es ordentlich macht kann einem die Passwortlänge der User so egal sein wie sie es sein soll. Jegliche Form der Passwortspeicherung ist als aus technischer Sicht definitv grob fahrlässiges vorgehen. Mehr als 10 oder 20 Fehleingaben sollte man jeder IP sowieso nicht (ohne weiteres) durchgehen lassen.

**hyx** · 08. 09. 2012, 14:32

Mein längstes/sicherstes Passwort geht auch bei den meisten Anbietern nicht. Entweder zu lang oder Sonderzeichen nicht erlaubt, so ein Fail

**wellen** · 08. 09. 2012, 19:02

Services die keine Sonderzeichen in Passwörtern zulassen sind nicht seriös und werden von meiner Seite auch gemieden.

**Igel0** · 08. 09. 2012, 19:07

wundert mich ehrlich gesagt nich. für ein so beliebtes spiel ham se kein großartiges sicherheitssystem. es wird kein besonders konplexes pw verlangt und es gibt auch keine 2 phasen authentifizierung.

wenn ichs richtig verstanden hab verlangen sie ja auch keine extra authentifizierung wenn das login ausm ausland kommt, man bekommt nur ne info.

naja, da müssen se nochmal nachbessern.

**Die4all** · 08. 09. 2012, 20:08

Zitat von Igel0

wenn ichs richtig verstanden hab verlangen sie ja auch keine extra authentifizierung wenn das login ausm ausland kommt, man bekommt nur ne info.

naja, da müssen se nochmal nachbessern.

Nein absolut falsch.

Der Standard ist, dass man bei jeden IP-Wechsel seinen Zugang über seine E-Mail Adresse authentifizieren muss. Was mich aktuell zwar nervt aber nach dieser News doch sinnvoll erscheinen lässt.

**xxextaxx** · 09. 09. 2012, 09:42

was nix bringt, wenn die mail mit demselben pw ausgestattet ist wie gw2

**zeyka** · 09. 09. 2012, 22:23

Zitat von Igel0

naja, da müssen se nochmal nachbessern.

bin ich persöhnlich anderer meinung. ich sehe das ganze eher als sowas wie natürliche auslese

wenn die angaben aus den news wirklich stimmen, dann sind die user selber schuld (mal von primitiven passwörtern abgesehen). auf diversen webseiten und ingame dasselbe passwort benutzen ist einfach ein nogo

**Proximo** · 10. 09. 2012, 16:22

@Rob_ert:
Kein schlechter Ansatz, allerdings sind Mutatoren von 1-3 Zeichen keine echte Hürde für moderne Rechner. Generell gilt aber dass Sonderzeichen als Worttrenner einfach zu merken sind und dennoch die Sicherheit ungemein erhöhen.

@Kakihara123:
Bei einer Infektion durch einen guten Trojaner ist praktisch jede Sicherheitsmaßnahme ineffektiv. Ausgenommen vielleicht einweg-Passwörter welche von der Hardware des infizierten Rechners getrennt sind. E-Mail-Accounts sind allerdings erhebliche Schwachstellen.

@alter_Bekannter:
Der Sinn eines Hashes ist die nicht-wiederherstellbarkeit des Originalwertes ohne allerdings die Möglichkeit zur Validierung zu verlieren. Selbstverständlich kann ein Hash "nur" so viele unterschiedliche Werte einnehmen wie seine Länge ermöglicht. Zusätzlich können Hash-Kollisionen (Zeichenkette welche den gleichen Hash-Wert wie das reale Passwort haben und somit vom Server meist nicht vom realen Passwort unterschieden werden können), im Fall von MD5, schon innerhalb von 30 Minuten unter Verwendung handelsüblichen Grafik-GPU's gefunden werden.

Dennoch gibt es genug Methoden diese Verfahren zu erschweren (Static + Dynamic Salts, Zeichenlängevergleich, mehrere Hash-Verfahren) und im realen Leben wird ein einzelner Hash nur dann Ziel eines Angriffs wenn sich dies mit dem Wert der Aktion vereinen lässt.

Das Hauptproblem ist also, wie üblich, einige Zentimeter vor dem Bildschirm, da eben lediglich listen bekannter Hashes mit der Datenbank verglichen werden. Treffer sind dann selbstverständlich alle unsicheren Passwörter und ja, auch ein Rufezeichen zwischen 2 Wörtern hätte einem eine Kompromitierung erspart^^

@ Topic:
Als GW2-Spieler finde ich dies selbstverständlich nicht so toll und würde mir einen offline Authentificator fürs Handy, besser noch als eigenes Gerät, wünschen.