Heute erst hatten wir "Besuch" von einem Werbe-Bot, der einen Alt-Account gekarpert hatte.
Was ist passiert?
Ein Bot hatte wahllos Nutzerkonten ausprobiert. Er hatte alle paar Minuten stumpf ein Einlogversuch bei einem zufälligen Nutzerkonto versucht.
Dies wiederholte sich zahlreich, bis der erfolgreiche Login möglich war...
Danach hatte der Bot "muter und fröhlich" Werbemüll hier abgeladen, bis ein aufmerksamer User dies gemeldet hatte!
Der Bot wurde nun gesperrt und der Müll gelöscht!
Auf Grund der Vorgehensweise,
vermute ich, dass der Bot nach der einfachsten Sicherheitslücke gesucht hatte: Nutzername = Passwort
Was kann man dagegen machen?
Ich selber kann da leider nicht viel machen, da ich nicht die Zeit und die Lust habe, 6365 User-Konten zu überprüfen, ob die diese fatale Sicherheitslücke produziert haben!
Leute, sorgt für ein sicheres Passwort! 1234567890 oder Nutzername=Passwort oder sowas ist absolut nicht sicher, gefährdet euer Nutzerkonto und macht es Störern leicht hier im Forum ihr Unwesen zu treiben!
Ich verlange ja noch nichtmal, das ihr "alle 3 Monate" eure Passwörter ändert, dadurch wird kein Passwort sicherer. Aber wählt ein gutes Passwort, welches nicht "automatisch" so schnell in 3 Versuchen gefunden werden kann!
Sollte ein Spamm-Bot sich ein Konto unter den Nagel reißen, werden wir dieses Konto sofort bei Entdeckung löschen! Eine Wiederherstellung wird nicht möglich sein!
Beiträge, PNs, eventuell Galerie-Bilder, alles wird weg sein!
Wie werden die Passwörter bei Automatenfreunde gespeichert?
Alle Passwörter hier von euch werden bei uns
nicht in "Klarschrift" gespeichert, sondern von den Passwörtern wird nur eine Art "Abdruck" generiert und "gesalzen" (verschlüsselt + "salted")!
Näheres darüber ist z.B. bei Wikipedia nachzulesen:
https://de.wikipedia.org/wiki/Salt_(Kryptologie)
Das ist auch der Grund dafür, warum wir euch beim vergessenen Passwort ein neues vom System generieren lassen müssen. Alte Passwörter werden bei uns nicht gespeichert! Das neue Passwort überschreibt also direkt das alte Passwort, ohne Archivierung!
Bei zu vielen Fehlversuchen in zu kurzer Zeit, wird der Account in eine Art "Sicherheits-Modus" versetzt und eine Anmeldung erstens erschwert (durch Capcha und co) und zweitens nach weiteren zu vielen Fehlversuchen die angreifende Adressse gesperrt für eine gewisse Zeit und drittens erhalte ich vom System bei weiteren Fehlversuchen dann eine Meldung, dass Adresse XY versucht User ABC zu knacken.
Haltet euer Nutzerkonto sicher!
Vielen Dank im Namen des Teams der Automatenfreunde!