!! Sicherheitlücke von pokerstrategy.com !!

    • incomplete_05
      incomplete_05
      Bronze
      Dabei seit: 13.02.2005 Beiträge: 726
      Also kurze Version:

      PS.de ist gegen Hacker unzureichend geschuetzt,
      und meiner Meinung nach eines der groessten Sicherheitsloecher fuer die ps.de getrackten User!


      Wieso:

      Mit gewissen Tools ist der Login von ps.de auf kurz oder lang IMMER zu knacken, da Fehlversuche aus einer IP nicht nach x-erfolgslosen Versuchen gesperrt werden,
      sondern unendlich viele Versuche moeglich sind.
      (Kann ja jeder ausprobieren, in dem er fuer seinen Login drölfmillionen Mal ein falsches Passwort eingibt. Man darf trotzdem immer weiterprobieren..)

      Das Prinzip, wie man hier was hacken könnte, wäre das selbe wie bei Pornsite acc-cracks.

      Schlaue Leute können sich einfach ein Tool ausm Internet ziehen,
      und mit grossen Wörterbüchern oder Bruteforce einfach über verschiedene Accountnamen laufenlassen.Um das hinzukriegen muss man grade einmal die Grundschule besucht haben...


      Bitte überlegt euch etwas gescheites solch eine Sicherheitslücke zu schließen,
      denn es ist unverantwortlich gegenüber den Ps.de Usern,
      grade nach so vielen Hackerattacken in letzter Zeit.

      Überlegenswert wären z.B. random Security codes wie

      sowas, nach z.b. 3 fehlgeschlagenen Loginversuchen, um Passwortcrackern das Leben etwas schwerzumachen.

      Oder das Sperren von IP Adressen nach 5 fehlgeschlagenen Anmeldungen für die nächsten 2 Stunden.

      Oder aber auch jeweils doppelte Wartezeiten vor einem erneutem Versuch bei falscher Passworteingabe: 1Fehlversuch 1 Sekunden warten,
      bei 2-->4, bei 3.-->6 bei 4-->8 usw usw.

      Gerade mit dem neuen "Community" Applet ist doch solch eine Lücke tödlich, da können Accs vielseitig mißbraucht werden.


      An alle anderen:
      Bitte ps.de Passwort NIE bei einem anderen Pokeranbieter benutzen!
  • 35 Antworten
    • Enormo
      Enormo
      Bronze
      Dabei seit: 03.04.2006 Beiträge: 721
      Damit wäre dann auch schnell erklärt, warum diverse Accounts gehackt wurden, die auf der Pokersite das gleiche PW hatten wie hier..

      IP blocken oder x Stunden Tempban bei mehreren Fehlversuchen wäre schon ne gute Sache.
    • Knudsen
      Knudsen
      Bronze
      Dabei seit: 19.07.2005 Beiträge: 4.314
      Original von Enormo
      Damit wäre dann auch schnell erklärt, warum diverse Accounts gehackt wurden, die auf der Pokersite das gleiche PW hatten wie hier..
      und das ist ja nicht das einzige.
      dadurch werden ja die loginnames bekannt und die sollten ja i.A. geheim sein.
    • incomplete_05
      incomplete_05
      Bronze
      Dabei seit: 13.02.2005 Beiträge: 726
      nein, die loginnames werden nicht bekannt,
      da hat ps.de schon das richtige getan.

      Wenn du mal in dein Profil guckst, sind deine Loginnames nicht Sichtbar, da sie durch einen Platzhalter ersetzt werden
    • Lesya
      Lesya
      Bronze
      Dabei seit: 18.11.2007 Beiträge: 264
      eine meldung wenn einer versucht hat sich einzuloggen, aber das passwort falsch war wäre auch nicht schlecht...
    • Knudsen
      Knudsen
      Bronze
      Dabei seit: 19.07.2005 Beiträge: 4.314
      Original von incomplete_05
      nein, die loginnames werden nicht bekannt,
      da hat ps.de schon das richtige getan.

      Wenn du mal in dein Profil guckst, sind deine Loginnames nicht Sichtbar, da sie durch einen Platzhalter ersetzt werden
      danke für die richtigstellung. das wurde anscheinend korrigiert.
    • Instinctively
      Instinctively
      Bronze
      Dabei seit: 02.12.2008 Beiträge: 2.191
      *edit*
      jo, keepass ftw
    • halfmoon
      halfmoon
      Gold
      Dabei seit: 27.01.2008 Beiträge: 1.512
      OhOhOh.... welche technischen Sachen dahinter stecken wird hier sicherlich nicht preis gegeben.

      Klar könnte man es verbessern um zum mindestens Bruteforceattacken auszuschliessen.

      Dennoch hat man viel Spaß mit Bruteforce wenn man ein PW verwendet wie z.B.

      EYmDBN9LxRmqI

      Also nimm einfach ein sicheres PW wie z.B. durch Keepass und du dämmst als User schon so ein Risiko enorm ein.
    • Play4forlife
      Play4forlife
      Bronze
      Dabei seit: 11.12.2007 Beiträge: 13.809
      Original von Instinctively
      push....
      würde gern mal was offizieles dazu höhren
      Sorry, aber halb 3 nachts ist nicht unbedingt zu erwarten das ps.de ein Statement dazu abgibt.
    • p00s88
      p00s88
      Bronze
      Dabei seit: 08.09.2007 Beiträge: 8.947
      Original von Play4forlife
      Original von Instinctively
      push....
      würde gern mal was offizieles dazu höhren
      Sorry, aber halb 3 nachts ist nicht unbedingt zu erwarten das ps.de ein Statement dazu abgibt.

      omg wie ich diese der-thread-is-5-min-auf-keiner-hat-geantwortet-obwohl-es-erst-2-uhr-is-push-schreier-hasse sorry des musste ich ma iwo loswerden :D
      aber gut ich stimm dem ganzen natürlich zu bloß merk ich grad dass ich mir ganet sicher bin wie mein ps passwort lautet :D
    • Nani74
      Nani74
      Black
      Dabei seit: 15.12.2005 Beiträge: 12.382
      Erstmal mal mit den Sicherheitsabfragen machst du es nur etwas schwerer, die ganzen hacker tools ala accessdiver haben auch formbased login optionen. Generell ist bei bruteforce attacken nur mögl. zu knacken wenn das PW irgendwie Sinn macht. Also einfach Zahlen, Buchstaben und Sonderzeichen beliebig mixen, das PW dann nur in schriftform irgendwo aufbewahren und nirgends im rechner speichern. Keine keylogger benutzen (nur unnötig angriffsfläche) dann sollte trotz dieser "sicherheitslücke" kein bruteforcer der welt eine chance haben.
    • xites
      xites
      Bronze
      Dabei seit: 02.06.2006 Beiträge: 1.011
      omg ich cash aus mein passwort ist nämlich "love" dachte hier wäre es sicher.
    • Instinctively
      Instinctively
      Bronze
      Dabei seit: 02.12.2008 Beiträge: 2.191
      Original von p00s88
      Original von Play4forlife
      Original von Instinctively
      push....
      würde gern mal was offizieles dazu höhren
      Sorry, aber halb 3 nachts ist nicht unbedingt zu erwarten das ps.de ein Statement dazu abgibt.

      omg wie ich diese der-thread-is-5-min-auf-keiner-hat-geantwortet-obwohl-es-erst-2-uhr-is-push-schreier-hasse sorry des musste ich ma iwo loswerden :D
      aber gut ich stimm dem ganzen natürlich zu bloß merk ich grad dass ich mir ganet sicher bin wie mein ps passwort lautet :D
      lol np, einer muss es ja machen^^
    • Xantos
      Xantos
      Bronze
      Dabei seit: 07.09.2005 Beiträge: 8.761
      Eine detaillierte technische Stellungnahme wird von der IT kommen.

      Eine Relation zu den Account-Hacks zu sehen, ist allerdings nicht besonders logisch:

      1. Die Screennames sind auf vielen Seiten == den Login-Names & damit eh bekannt (Data Mining, Websites mit Spielerverzeichnissen, Screenshots etc.).

      2. Die Account-Namen sind bei uns nicht sichtbar, selbst wenn man sich einloggen kann.

      3. Afaik messen wir durchaus die Anzahl der Logins auf einzelne Accounts & haben weder vor noch nach den Account-Hacks verdächtige Peaks feststellen können.
    • Paxis
      Paxis
      Coach
      Coach
      Dabei seit: 01.11.2006 Beiträge: 37.127
      wie schon gesagt wurde, nur weil man unendlich versuche hat, kann man ordentliche passwörter so auch nich knacken.
      da brauchen die progs bei guten PWs einfach jahre und das lohnt für keinen hacker ;)

      Ps.:
      natürlich ist es dennoch besser wenn man nicht unendlich angreifen kann, schon um botangriffe zu verhindern die den server abschmieren lassen wollen.
    • b10w
      b10w
      Bronze
      Dabei seit: 04.04.2007 Beiträge: 2.645
      Original von Paxis
      wie schon gesagt wurde, nur weil man unendlich versuche hat, kann man ordentliche passwörter so auch nich knacken.
      da brauchen die progs bei guten PWs einfach jahrzehnte und das lohnt für keinen hacker ;)
      FYP.

      Ein zehnstelliges, zufällig generiertes Passwort aus [a-z|0-9] ergibt bereits 36^10 mögliche Kombinationen (eine Zahl mit fünfzehn Stellen..). Betrachtet man die Tatsache, dass hier noch Daten über das Internet gesendet werden müssen und die Attacke nicht lokal bzw. in einem lokalen Netz geschieht, dürfte sich ein erfolgreicher Brute-Force-Angriff mindestens über Jahrhunderte erstrecken.. :D

      Bei entsprechend hohem Anfragevolumen würden derartige Versuche also schnell als Denial-of-Service (DoS/DDoS) Angriff gewertet und entsprechende Gegenmaßnahmen ergriffen. Die PokerStrategy-IT ist ja nun nicht blöd..

      Völlig überzogene Panikmache. :rolleyes: Ansonsten ganz Xantos' Auffassung.
    • kirre
      kirre
      Bronze
      Dabei seit: 10.03.2007 Beiträge: 393
      Erstmal: Keine Panik!

      Man kann hier nicht von einer Sicherheitslücke sprechen.
      Aber einige Aussage kann ich hier nicht teilen, denn ALLES ist knackbar und nichts ist 100% sicher.

      Ob etwas sicher ist bewertet man in der Regel so:
      Wenn die
      Kosten für den Aufwand des Hackens/Knackens>
      als der Wert des Nutzen den man daraus zieht
      dann ist es sicher.

      Es hängt also von den Werten ab, ob man diese in einen Tresor sperrt oder ob eine abgeschlossene Tür ausreicht.

      Gerade mit fortschreitender Technik werden einige Algorithmen unsicherer.
      Siehe C't 6/2009 und 7/2009 bezogen auf die Rechnenleistung die mit neueren Grafikkarten zu erreichen sind.
      Das setzt aber Vorraus das der Algorithmus bekannt ist und der verschlüsselte Wert zur Verfügung steht, ähnlich wie etwa im Titan Poker Vorfall. Davon kann man aber in diesem Fall nicht von sprechen.

      Die Idee die Anmeldung zusätzlich eine Grafikcodeeingabe sicherer zu machen, find ich nicht schlecht, allerdings sehe ich auch keine dringliche Notwendigkeit.
    • kirre
      kirre
      Bronze
      Dabei seit: 10.03.2007 Beiträge: 393
      Original von b10w
      .. Die PokerStrategy-IT ist ja nun nicht blöd..
      Computerprogramme werden von Menschen geschrieben,
      Computer werden von Menschen eingerichtet und administriert,
      Menschen machen Fehler.
      Hätte also nicht zwangsweise mit Blödheit zu tun :)
    • D4niD4nsen
      D4niD4nsen
      Bronze
      Dabei seit: 14.11.2007 Beiträge: 9.275
      Und wer will ein zufällig generiertes 10stelliges PW jedesmal eingeben wenn er sich auf ps.de einlogen will ?
    • Twirex
      Twirex
      Bronze
      Dabei seit: 29.08.2006 Beiträge: 3.524
      Original von D4niD4nsen
      Und wer will ein zufällig generiertes 10stelliges PW jedesmal eingeben wenn er sich auf ps.de einlogen will ?

      hier hier ich ich , bitte nimm mich!!
    • 1
    • 2