PC Games & Co. - Angriffe auf Seiten von Computec

An den vergangenen Wochenenden kam es zu erfolgreichen virtuellen Angriffen auf Webseiten der Computec Media AG. Dabei wurde unter anderem Malware verteilt, die möglicherweise nicht von gängigen Virenscannern erkannt wurde. mehr... Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr Hacker, Tastatur, Maus Hacker, Tastatur, Maus Davide Restivo / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Jeden kanns treffen, man ist nie sicher...
 
Ja.. habe schon mein Pw vorhin geändert-.-
 
Das ist natürlich worst case, weil da selbst die sicherste Datenspeicherung inkl. Verschlüsselung der Datenbanken rein gar nix bringt, wenn der Eindringling einfach das Eingabeformular für die Login-Daten manipuliert und die Daten so früh schon abgreift. Wenn nur verschlüsselt gespeicherte Passwörter kopiert wurden, kann einem das ziemlich egal sein, wenn die Verschlüsselung halbwegs modern war, kann damit niemand was anfangen. Aber gegen einen Website-Keylogger, der alle Eingaben in Formulare auf der Seite überwacht, hilft das alles nix.
Wenn einem Sicherheit wichtig ist, kann man heute wirklich nichts anderes mehr machen als für jede einzelne Website ein eigenes starkes Passwort zu nutzen, damit sich der Schaden wirklich immer nur auf die jeweilige Seite beschränkt.
Wenn man die alle in einen Passwortmanager speichert und dieser die Daten mit einem Master-Passwort, dass man dann natürlich nirgendwo anders im Internet einsetzt, verschlüsselt, ist man gegen solche Angriffe relativ sicher.
 
@mh0001: Ich setzte bei meinem CMS schon auf client-seitige Verschlüsselung der Passwörter. Somit wird nur noch der Hash übertragen.
 
@Stratus-fan: Deine cleint-seitige Verschlüsselung wird sicher mit JS realisiert. Wenn aber die Angreifer Zugang zum Front-End hatten bringt das auch nicht. Denn Sie können ja alles ändern.

Was man unteranderen damit abwähren kann ist das klartext auslesen einer MITM Attacke.
 
@xeno: Das ist natürlich richtig. Sofern die Leute so tiefen Systemzugriff haben, dürfte es eine Sache von Minuten sein die PWs wieder unverschlüsselt zu übertragen. Trotzdem weiß man nie wo der Angriff stattfindet und da ist jedes noch so kleine Prozent Sicherheit gut. Abgesehen davon "erfährt" der Server so nicht ein einziges Mal das echte Passwort - hat auch seine Vorteile bei einigen Angriffen.
 
@Stratus-fan: Das ist dann aber keine Verschlüsselung, sondern die Generierung eines Hash-Keys, da ist ein gehöriger Unterschied. Ein Clientside-Hash ist komplett nutzlos, eine Verschlüsselung über SSL wär da schon ein ganz anderes Thema.
 
@klika: Natürlich nutzt man trotzdem SSL. Tut mir leid, ich dachte das wäre selbstverständlich. Und warum sollte es nutzlos sein nur den Hash zu übertragen?! Wenn das Passwort nie im Klartext (egal ob verschlüsselt oder nicht) den Server erreicht, ist das ein Angriffspunkt weniger. --- PS: Abgesehen davon würde ich einen Hash per Definition schon als Verschlüsselung ansehen, nur nach heutigem Wissensstand nicht reversibel.
 
Wo sind denn plötzlich alle die, die bei News zu Av Software immer schreiben das sie sowas nicht brauchen da sie brain.exe haben?
Hat die Superbrain.exe die nicht davor geschützt? Mein AV jedenfalls hatte die Webseiten als Infektiös erstmal blockiert (Bullguard).
 
Mit Anti-Malware Pro kein Problem. :)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen