Page 1 of 2

Blizzard gehackt?

Posted: Fri Aug 10, 2012 9:07 am
by Tovi
Engadget berichtet von einem Einbruch bei Blizzard. Ich denke, es ist an der Zeit, mal wieder das Passwort zu ändern...

Posted: Fri Aug 10, 2012 9:23 am
by Yonder
Ach was, es hat zu keiner Zeit Gefahr für die Bevölkerung bestanden.
The team is confident, however, that the compromised data isn't enough to give the attacker access to user accounts.

Posted: Fri Aug 10, 2012 10:18 am
by Tovi
Yonder wrote:Ach was, es hat zu keiner Zeit Gefahr für die Bevölkerung bestanden.
The team is confident, however, that the compromised data isn't enough to give the attacker access to user accounts.
Schön, dass das Team zuversichtlich ist. :-)
Bei Blizzard hatte ich aber tatsächlich ein Passwort, dass ich auch noch woanders verwende (anders als bei anderen Spielen). Mir steht also eine Passwortänderungsorgie bevor.

Posted: Fri Aug 10, 2012 11:58 am
by Veru
Hier ist übrigens die offizielle Stellungnahme von Blizzard:

http://eu.blizzard.com/de-de/securityupdate.html

Uns Europäern wurden wohl nur die E-Mail-Adressen gestohlen. Also achtet in Zukunft verstärkt auf Phishing-E-Mails (sind wohl schon welche in Umlauf). Mehr wurde von den Nordamerikanern gestohlen. Wer also auch ein US-Account hat, sollte sein Passwort und seine Sicherheitsfrage ändern. Es kann natürlich generell nicht schaden, sein Passwort zu ändern.

Ansonsten muss man wohl sagen, dass Blizzard seine Aufgaben in Sachen Sicherheit gemacht hat. Die Passwörter sind gut gesichert und müssen einzeln geknackt werden, ein Aufwand den sich die Angreifer kaum machen dürften. Und auch dass sie den Einbruch gleich zugeben finde ich positiv. Wenn man da an manche Einbrüche in der Vergangenheit denkt ("Achja, uns wurden vor ein paar Wochen Eure Passwörter geklaut, die wir im Übrigen im Klartext abgespeichert haben. Und bei Euch so?").

Jedenfalls sollte ich wohl wirklich mal langsam dazu übergehen, für jeden Dienst ein individuelles Passwort zu nutzen. Nur wer soll sich das merken? Und von Passwort-Programmen möchte ich nicht abhängig sein. :|

Posted: Fri Aug 10, 2012 1:41 pm
by Yonder
Ich kriege übrigens eh endlos viel WoW Phishing. Sieht stark danach aus, als wären einige meiner Email-Adressen, die ich für WoW-Foren benutze, bereits in Umlauf und würden fleißig bedient.

Posted: Fri Aug 10, 2012 2:03 pm
by thylor
Veru wrote:Nur wer soll sich das merken?
immerhin besser als nichts ist ein kleiner trick, den ich zumindest für die "unwichtigen" passwörter benutze. ich hänge an ein von mir gewähltes "passwort für unwichtige webseiten" den namen der webseite an, ein wenig verunstaltet nach einem einfachen prinzip.

Posted: Fri Aug 10, 2012 3:18 pm
by Tovi
Ich hab den Vorfall genutzt, die wichtigsten meiner Passwörter zu ändern (auch vorgehend nach einem Muster für jede Seite ein eigenes) und in KeePass zu sichern. Ein Passwort-Safe hilft nicht nur, sich Passwörter zu merken. Er hilft vor allem auch, eine Liste aller Seiten zu pflegen, auf denen man Accounts hat. So kann man im Falle, dass mal wieder irgendwo eingebrochen wird, schnell alle Seiten abklappern und Passwörter austauschen. Ohne Liste weiß man schließlich schon nach einem halben Jahr nicht mehr, wo man sich zuletzt angemeldet hatte.
Mal schaun, ob ich es durchhalte, den Passwort-Safe zu pflegen...

Posted: Sat Aug 11, 2012 7:45 am
by Shareel
Spätestens wenn man One Site One Password voll durchzieht kommt man ehh nicht um KeePass & Co herum.

Posted: Sat Aug 11, 2012 3:13 pm
by Veru
KeePass mag ja für einen Rechner ganz nett sein, aber ich habe einen Desktop, einen Laptop, ein Tablet und ein Smartphone. Und auf allen diesen Geräten bräuchte ich dann Zugriff auf die Passwortliste, und zwar synchronisiert, da ich bestimmt keine Lust habe die vierfach zu pflegen.

Die einzige Software, die ich kenne, die das bietet ist 1Password aber die ist leider richtig teuer. Da müsste ich für jedes Gerät eine eigene Lizenz kaufen und käme damit auf über 100€. Ne danke.

Posted: Sat Aug 11, 2012 3:45 pm
by Bahkauv
1Password habe ich seit Jahren im Einsatz, kann ich auch empfehlen. Die haben öfters Sonderaktionen, ich habe damals Mac+iPhone Version zusammen für 40 USD gekauft. iPhone und iPad teilen sich eine Lizenz, das geht problemlos, läuft ja über die Apple-ID.

Die Aktion lief damals über https://www.mupromo.com/ , da habe ich schon öfter ganz nette Preise gefunden. Natürlich sehr mac-lastig, aber einige Anbieter haben ja auch Windows-Versionen im Programm.

Einen Nachteil hat die Sache aber: Wirklich sichere Passwörter benutze ich nur dort, wo ich es selten eingeben muss. Da stört es mich nicht, wenn ich über das 1PW Browser-plugin oder per copy&paste gehen muss. Für wow/Diablo habe ich dann ein zwar auch langes und komplexes PW, das ich mir aber auch merken muss. Also meistens irgendein Wort oder Akronym und paar Zahlen hinten dran oder vorne weg. Ich habe jedenfalls keine Lust bei jedem Diablo login wnWG63XamBbkihpAUXPQETs7h2pUih einzugeben...

Posted: Sat Aug 11, 2012 6:49 pm
by Veru
Bahkauv wrote:1Password habe ich seit Jahren im Einsatz, kann ich auch empfehlen. Die haben öfters Sonderaktionen, ich habe damals Mac+iPhone Version zusammen für 40 USD gekauft. iPhone und iPad teilen sich eine Lizenz, das geht problemlos, läuft ja über die Apple-ID.
Mein Problem ist, dass mein Desktop unter Windows läuft und mein Laptop ist ein Macbook. Ich bräuchte also auf jeden Fall zusätzlich eine Windows-Version.

Oder ich kaufe mir einen iMac. Hm...
Bahkauv wrote: Ich habe jedenfalls keine Lust bei jedem Diablo login wnWG63XamBbkihpAUXPQETs7h2pUih einzugeben...
Es ist übrigens ein Mythos, dass starke Passwörter so aussehen müssen. xkcd hat da mal einen schönen Comic zu gehabt:

Image

Selbst in einem Microsoft-Dokument wurde mal vorgerechnet, dass mehrere zufällige englische Wörter hintereinander einen viel größeren Suchraum ergeben als sogenannte komplexe Passwörter mit 8 Zeichen. Und trotzdem nerven einen Admins weltweit mit Regeln wie Groß- und Kleinschreibung, ein Sonderzeichen, eine Ziffer etc. :bash:

Posted: Sat Aug 11, 2012 11:39 pm
by Bahkauv
Das war ein von 1Password generiertes PW. Die benutze ich bei accounts, die ich direkt in 1PW abspeichere und bei denen ich nie wieder selber das PW eingeben werde. Könnte ich auch gar nicht :D Somit sind die am häufigsten benutzten PW auch die unsichersten. Aber du hast völlig recht, ich könnte da auch meine Schreibfaulheit überwinden und ein simples PW einfach über die Länge sicherer machen.
Theresaladywhossureallthatglittersisgold ist aber vermutlich auch nicht soo sicher :D

Posted: Sun Aug 12, 2012 12:39 am
by Shareel
Blöd nur wenn das System nur 8 Buchstaben in den Hash einbezieht und den Rest einfach verwirft. Kommt leider recht oft vor, dass man zwar Passwörter mit 10+ Zeichen verwenden kann, davon aber nur 8 Zeichen relevant sind.

Ich bastle meine Passwörter immer aus Sätzen und nehm von jedem Wort den Anfangsbuchstabe. Wenn der Satz in Beziehung zum Account steht kann ich mir auch ohne Keepass Aufruf einige dieser Sätze merken. Für den Notfall hab ichs nochmal im Keepass stehen, im Normalfall hab ich die Dinger aber im Kopf.

Und Passwörter mit 25 Zeichen würden bei mir nur dafür sorgen das nach 3 Versuchen der Account gesperrrt wird.

Posted: Sun Aug 12, 2012 12:45 am
by Tovi
KeePass gibt es für Windows, Linux (bzw. jedes Unix), Mac und Android. Sogar eine angepasste Version für USB Sticks kann man runterladen. Und immer kostenlos. Darüber hinaus gibt es 5 unterschiedliche Portierungen für's iPhone/iPad.
Wenn man die Passwortdatei noch bei Wuala ablegt, ist sie doppelt verschlüsselt, überall verfügbar und immer automatisch synchronisiert.

Posted: Sun Aug 12, 2012 9:07 am
by Dodga
ich verwende seit einigen Jahren Lastpass. Zu denen bin ich gekommen, da die XMarks - synced Bookmarks zwischen verschiednenen Borwsern und Betriebssystemen - gekauft haben. Bin ganz zufrieden damit