Ebay Passwort Panne

Also bei Aufruf der Ebay Webseite, erscheint bei mir kein Hinweis wegen des Passwort´s.

 

ibäh ist da (wieder mal) recht "sparsam" ... -> http://community.ebay.de/t5/Sicherh...r-ihr-Passwort-zu-ändern/m-p/2122339#U2122339

 

Wie? Kriege ich keine Mail mit ordentlicher Anrede.

 

als Kunde zweiter oder dritter Klasse wirste wohl noch ein paar Tage warten müssen!

ich hatte die mail heute Nachmittag ...

 

Ich bin jetzt mal selbst aktiv geworden und das Passwort geändert.
Dazu haben sie mir eine "Passwort zurücksetzen" E-Mail geschickt und die hatte die korrekte Antwort.
Im Spamverdachtordner war nichts, außer die üblichen Painpal Phishing Mails.

 

mal so als blöde frage: was bringt es, das passwort zu ändern, wenn es am server so grottig gesichert wird?

 

Das geht dann nach der Anzahl an Bewertungspunkten.

 

http://feedback.ebay.de/ws/eBayISAPI.dll?ViewFeedback2&userid=deoroller&ftab=AllFeedback

/scnr

 

Warum sollte ein verschlüsseltes Passwort das "einfachgestrickt" ist leichter zu knacken sein? Wenn einer den Algorithmus geknackt hat entschlüsselt er jedes Passwort.

 

password1 probiert der übliche bruteforcer gleich als erstes. da bist gear***t, egal wie gut der hash ist.

genau das darf ja nicht geschehen.

der algorithmus muss verhindern, dass ein angriff mehrere passwörter gleichzeitig trifft.
der übliche anfängerfehler ist, kein salz und pfeffer zu verwenden; findet man bei so einer fehlkonstruktion 2x den selben hash, dann steckt da 2x das selbe klartext passwort dahinter. das darf nicht sein.

 

Cool, entweder haben wir uns am gleichen Tag entschlossen, Ebay zu nutzen oder die hatten irgendwann schon mal eine Datenpanne und haben alle Altkunden auf den 1.AprilApril99 gesetzt.
Ich habe es allerdings auch ab und zu genutzt und den Account nicht so lieblos vergammeln lassen.

So viel zum Thema "Bitte ändern Sie ihr Passwort":

 

Benutzt du noch den Opera mit Presto Engine?

 

Ja, ich nutze noch den echten Opera.
Einfach noch mal neu laden hat letztendlich geholfen.

 

wenn das Passwort als Hashwert abgelegt wird, ist es nicht möglich, Rückschlüsse auf den PW-Klartext zu ziehen. Bei der Brute Force-Methode würde es selbst mit einem Mainframe x Jahre dauern, auch nur ein 10 digit langes PW mit alphanumerischem Inhalt zu entschlüsseln. Dann ist auch "John the Ripper" längst in Rente und für einen Hacker somit unökonomisch.

 

Mittlerweile gibt es schnelleres als WOPR.

 

sry, unglückliche Wortwahl. Richtiger wäre "Super-Duper-Computer"

 

brut-forcen macht man nur wenn gar nichts anderes funktioniert. vorher versucht man z.b. wörterbuch attacken. 2 oder 3 wort-kombis mit den gängigen ersetzungen (o -> 0, i -> 1, etc) plus ein paar sonderzeichen/zahlen vorne und hinten dran sind in ein paar stunden abgefrühstückt.

 

yep, ich ging aber davon aus, dass PW im Klartext nicht so einfach gestrickt nach Muster: 0-9, (oder) a-z, (oder) A-Z. Von Sonderzeichen ganz zu schweigen. Also >

Genau deshalb wird serverseitig das Salt-Verfahren angewendet, indem vor dem hashen des simplen User-PW ein eigener, per Random generierter Zeichenstring angehangen und daraus der Hash gebildet und jeweils verglichen wird. Das erschwert erst mal das Auslesen aus vorberechneten Hash-Tabellen oder den Rainbow-Tables zur Ermittlung des Klartextes.
Einen Nachteil hat dieser Prozess jedoch, denn solche Algorithmen sind auf Schnelligkeit getrimmt, um Prüfsummen großer Datensätze effizient verarbeiten zu können. Zur Erschwernis bei einer potenziellen Brute force-Attacke wird deshalb z.B. aus dem 1. errechneten Basis-Hash mehrmals ein Hash - also rekursiv - neu errechnet und das kann bspw. 1000 mal in einer Schleife generiert werden. Mit Bcrypt oder noch besser Scrypt kann dann ein (fast?) totsicheres Krypto-Verfahren sichergestellt werden.

 

Als "guter" User ändere ich regelmäßig meine Passwörter (Schulterklopf ) Nun der Hammer: ich gehe auf mein Profil bei EBAY, dann auf Passwort ändern, jo.. nächste Stufe.. ups... wieso steht dort zwecks Zusendung etc. eine andere Mailadresse als die meine? Nächstes ups, was ist das für eine Handynummer, an die man mir den Code schicken will? Alles, aber nicht meins! Also EABY angerufen, freundliche Dame am Telefon, kann ich helfen? Problem geschildert.. sie, äh, nein, das kann nicht sein, das muß ihnen gehören. Ich nein! Definitiv nicht. Mit ihr zusammen meine Daten abgeglichen, Ratlosigkeit. Das muß ich weiterleiten, sie bekommen von unserer Sicherheitsabteilung dann an die von ihnen hinterlegte Mailadresse weitere Anweisung. 3.ups... in meinem Profil steht zwar die richtige Mailadresse, aber... siehe oben? An wen geht denn diese Sicherheitsanweisung nun?? Null Antwort.. hoffen.. bisher... nichts! Und nun????????
Dieter