Seltsames beim Account-Passwort

[Grushdak]

Moin,

soeben habe ich etwas Merkwürdiges beim Einloggen festgestellt.
Normal habe ich ein 22 stelliges Passwort Mit Zahlen + Groß~und Kleinschreibung.

Nun habe ich eben versehentlich vergessen, die letzte Zahl einzugeben.
Dennoch gab es ein erfolgreiches Einloggen.

Wie kann das sein?

Gut, Groß und Kleinschreibung wurde schon vor längerer Zeit egal.
Aber daß nun nicht mehr alle Zeichen benötigt werden, finde ich schon etwas seltsam.

Kann es sein, daß nur eine bestimmte Anzahl von Zeichen registriert werden, z.B. nur 10 zeichen?

greetz

 

[kaepteniglo]

Passwort-Regeln
Ihr Passwort darf nur Buchstaben aus dem Alphabet (A–Z), Zahlen (0–9) und Interpunktionen (!"#$%) beinhalten.
Ihr Passwort muss mindestens einen Buchstaben und eine Zahl enthalten.
Sie können nicht Ihren Accountnamen als Passwort angeben.
Ihr Passwort muss zwischen acht und sechzehn Zeichen lang sein.
Zu Ihrer Sicherheit empfehlen wir Ihnen, ein einzigartiges Passwort zu wählen, das Sie für keinen anderen Online-Account benutzen.

Das sind die Regeln für Battle.Net Account Passwörter.

 

[Blutsegeladmiral]

Jo, wenn ich mich nich irre ist bei 16 Zeichen Schluss.

 

[Serodian]

hmm meines wissen gingen doch nur 16 zeichen oO oder verwechsel ich das grad? naja einerlei. dazu dass nur ein paar zeichen registriert worden wären wäre es nie gekommen, da du vorher die meldung bekommen hättest "ungültiges passwort" oder sowas wie "das passwort ist zu lang" (meine beim erstellen des accounts)... somit ist es wirklich sehr seltsam oO

bist du dir sicher, dass du die ziffer vergessen hattest? schonmal versucht das zu reproduzieren? vllt haste dir nur eingebildet es vergessen zu haben? Passiert mir auch manchmal und ich hab niedliche 9 stellen^^

 

[Grushdak]

Ah danke für die Info.

Allerdings hatte ich es sonst, daß bei einem Fehler nach 16 Zeichen das Einloggen fehlschlug.
Irgendwie habe ich das Gefühl, daß Blizzard selbst die Sicherheiten immer mehr lockert.

 

[Deathloc]

Beim Authenticator ist es ja dasselbe. Jeder Code umfasst genau 6 Zahlen. Ich kann bei jedem Einloggen darüber hinaus noch mehr Zahlen eingeben, sofern die ersten 6 Zahlen stimmen. Beim Passwort wird es ähnlich sein - nur die ersten 16 Stellen zählen.

/edit: Warum sollten damit Sicherheiten "gelockert" werden? 16 Zeichen sind schon eine beachtliche Länge. Gerade wenn man Groß-und Kleinschreibung, Zahlen und Sonderzeichen benutzt, ist man auf der sicheren Seite.

https://passwortcheck.datenschutz.ch/

 

[Serodian]

Irgendwie habe ich das Gefühl, daß Blizzard selbst die Sicherheiten immer mehr lockert.

DAS gefühl hab ich schon lange^^ siehe der rückschritt von selbst ausgedachten accountnamen auf die emailadresse

 

[Grushdak]

Wie gesagt, früher musste man sogar auf Groß~und Kleinschreibung achten -
und bei einem Fehler, z.B. beim 18. Zeichen, gab's ne Meldung: Passwort inkorrekt.

bist du dir sicher, dass du die ziffer vergessen hattest? schonmal versucht das zu reproduzieren?

Ja, habe Beides versucht.
- einmal 21 Zeichen ohne die letzte Zahl
- einmal 22 Zeichen inc der letzten Zahl

Beides führt zum erfolgreichen Einloggen.

 

[Serodian]

ohkay oO das sollte blizz aber schleunigst ändern oO aber SEHR schnell ...

 

[Deathloc]

Wie gesagt, früher musste man sogar auf Groß~und Kleinschreibung achten -
und bei einem Fehler, z.B. beim 18. Zeichen, gab's ne Meldung: Passwort inkorrekt.


Ja, habe Beides versucht.
- einmal 21 Zeichen ohne die letzte Zahl
- einmal 22 Zeichen inc der letzten Zahl

Beides führt zum erfolgreichen Einlogen.

Groß- und Kleinschreibung sind definitiv ein entscheidendes Merkmal eines sicheren Passworts. Aber da ja öffentlich bekannt ist, dass Battle.net-Passwörter zwischen 8 und 16 Zeichen lang sein müssen, würde es im Falle einer Brute-Force-Attacke keinen Sinn machen, weitere Zeichen zu knacken.

 

[nrg]

ohkay oO das sollte blizz aber schleunigst ändern oO aber SEHR schnell ...

Warum wenn nur 16 ausgewertet werden? Der Threadersteller sollte nur mal die ersten 16 Zeichen seines Passworts eingeben, rein theoretisch soltle sogar das funktionieren. Ein 16 stelliges Passwort reicht in der Regel aus um den Schutz vor unbefugtem Zugriff hart genug zu halten, wenn man natürlich Dinge nimmt wie den Vornamen und das Geburtsdatum ist den Leuten nicht mehr zu helfen.

 

[Serodian]

hmm ... an sich auch wieder wahr.. ich hab dabei nur irgendwie unbehagen. naja egal werde mir auch mal son 16zeichen ding bauen.

 

[Deathloc]

Die Länge des Passworts würde ich als sicher einstufen. Man hat immernoch die Wahl zwischen 8 - 16 Zeichen, was es einem Cracker erheblich erschweren würde.

Ich habe mal einen Test durchgeführt und geguckt, wieviele Versuche - in Bezug azf Groß-und Kleinschreibung - ein Passwort-Cracker theoretisch brauchen würde. Passwort-Länge: 10 Zeichen | Variante (1) ist konform mit den Battle.net-Passwortvoraussetzungen, Variante (2) nicht.

7!gy%jams4 - 123'483'037'287'351'476
7!gY%jaMs4 - 147'484'825'378'985'652'098

Grundlage

https://passwortcheck.datenschutz.ch/

Ihr sehr, das Passwort mit den Großbuchstaben wäre schwerer zu knacken. Dennoch bewegen sich beide Zahlen in astronomischer Höhe, so dass man auch bei Benutzung von Kleinbuchstaben auf der sicheren Seite ist - vorausgesetzt das PW an sich ist sicher. ;D

 

[Loony555]

16 Zeichen sind schon eine beachtliche Länge. Gerade wenn man Groß-und Kleinschreibung, Zahlen und Sonderzeichen benutzt, ist man auf der sicheren Seite.

Ist man nicht! Also imo. Die große Mehrheit aller Passwörter wird sicherlich per Keylogger und nicht per Brute-Force (=systematisches Ausprobieren) gestohlen,
da kann man 200 Sonderzeichen als Passwort haben, nützt es auch nichts.

Echte Sicherheit bringt nur der Authenticator, weil man hier per Keylogger nur ein wirklich minimales Zeitfenster hat, um die Zahl zu klauen.
Deshalb wurde er bislang nur in extrem seltenen Einzelfällen mal ausgehebelt.

 

[Deathloc]

Ist man nicht! Also imo. Die große Mehrheit aller Passwörter wird sicherlich per Keylogger und nicht per Brute-Force (=systematisches Ausprobieren) gestohlen,
da kann man 200 Sonderzeichen als Passwort haben, nützt es auch nichts.

Dass ein Großteil der PWs via Keylogger gestohlen werden, ist mir klar. Und was Brute-Force ist weiß ich auch. Ich bin oben einfach von einer Brute-Force-Attacke und nicht von einem Keylogger augegangen, da ein Keylogger in den meisten Fällen Eigenverschulden ist.
Wenn ein Keylogger im Einsatz ist, ist ein PW nunmal weg. Bei Brute-Force sieht das schon anders aus. ;D

 

[Serodian]

ich denke was gemeint war war "was die passwortsicherheit betrifft auf der sicheren seite". wer sich keylogger einfängt muss schon auf äußerst dubiosen seiten rumeiern oder irgendwo ne riesen sicherheitslücke haben. dafür kann der passwortschutz ja nichts. wurde der authenticator denn wirklich schon geknackt oder bliebs immernoch bei der "man-in-the-middle" methode?

 

[Loony555]

Das habe ich schon an deinem Fachwissen erkannt, dass du das weisst, aber sicher nicht alle anderen, die hier so mitlesen...

 

[Drakhgard]

Ich find das sehr bedenklich. Dass 1. die Groß und Kleinschreibung keine Rolle spielt und 2. es "nur" bis 16 Zeichen geht und alles danach nicht zählt.

Klar, es wird sehr lange dauern, bis man einen Buchstaben- & Zahlensalat, der 16 Zeichen lang ist, knackt. Aber es hat halt einen bitteren Beigeschmack...

 

[Deathloc]

wurde der authenticator denn wirklich schon geknackt oder bliebs immernoch bei der "man-in-the-middle" methode?

Soweit ich weiß, wurde der Authenticator nicht gehackt. Bei dem Angriff handelte es sich afaik um Man-in-the-middle. Aber dabei muss wirklich jeder Handgriff stimmen, denn die Lebensdauer eines Authenticator-Codes ist nicht gerade hoch.