[HaBo]

necro · 29.02.04, 13:13

Hallo Leute,
Ich bin so vor mich hin gesurft und habe dabei einen interessanten Artikel entdeckt in dem stand, dass die Mail-Accounts von Web.de sehr unsicher sind, und dass man mit Hilfe von Programmen die Account Zugriffspasswörter binnen weniger Stunden herausbekommen kann.

So nun frage ich euch, wie geht so was?! Also rein theoretisch, ich will keine genauen Programme oder Anleitungen, das ist 1)verboten und hat 2) Kiddie style

Google hab ich schon 2h befragt, aber entweder man landet bei Scriptkiddies oder Dialer Seiten.

Mit freundlichen Grüßen
N3cr0

29.02.04, 13:45

Könntest du evtl. mal einen Link zu diesem Artikel posten?

Anzeige

- Anzeige -

29.02.04, 14:59

hmm die passwörter werden mit sicherheit nicht direckt ausgelesen
aber man könnte etwas brute-force ähnliches anwendeb
ausserdem muss man bei web mit mindestens 6.634.204.312.890.625
möglichen passwörtern pro user rechnen (gilt nur für neu anmldungen)
das man früher auch weniger als 8 verwenden durfte

silent

necro · 29.02.04, 23:22

Hm, Wo gibts gute deutsche Wortlisten?!

01.03.04, 14:41

ich würd ja behaupten im www
aber das hilft dir wahrscheinlich nicht

silent

01.03.04, 14:46

@necro

web.de sperrt den Account nach drei "falschen" Eingaben eines Passworts. Und dann
ist schluss. Es gab aber bei web.de eine zeitlang (ca. 1 Jahr lang) eine Sicherheits-
lücke mit deren Hilfe mal eMails beliebiger Nutzer "ohne Passwort" lesen konnte.
Die Lücke wurde nun aber vor ein paar Wochen geschlossen als "kleines Sicherheits-
problem eines einzelnen Servers" runtergespielt.

MfG Rushjo

P.S. Für was brauchst Du eine "wordlist", wenn Du nicht "brute forcen" willst? :-)

necro · 01.03.04, 14:58

Alles klar, das wollte ich nur wissen, -- wegen web.de
naja die wordlist brauch ich für was anderes ausserdem is bruteforcen ja mit allen möglichkeiten ausprbieren und das mit wordlist hat noch n spezielleren namen aber so genau weiß ich das auch net!

dead_guy · 30.03.04, 14:29

bitte was heißt hier in binnen von stunden das geht mit cain und abel innerhalb von minuten ein freund von mir hats gemacht hat ca. 2 min. gebraucht das blöde war nur er wusste selber nicht wie ers macht und hats später auch nicht mehr fertig gebracht. ach nur damit niemand falsche schlüße zieht er hat sich nur selber gehackt.

lg dead

pHateX · 30.03.04, 14:42

@ Necro

Was du meinst nennt sich Dictionary Attack.

@dead_guy

Cain&Abel ist ein Passwort Recovery Tool, es liest die Passwörter aus die Windws gespeichert hat, z.B. in Outlook.

dead_guy · 30.03.04, 19:11

nicht nur es kann enthält auch brute force es ist nicht um sonst eine wordlist dabei und somit ist es möglich auch passwörter im internet zu hacken aber vielleicht war sein passwort auch einfach sehr easy zu cracken auf jeden fall hats nur ein paar minuten gedauert.

gx dead

[nighty] · 25.04.04, 23:33

@dead_guy

1. Werden bei Web.de wie bei den meisten anderen Emaildiensten die Kennwörter unverschlüsselt übertragen, was es mit Arp Poisening wohl ziemlich einfach macht an die Kennwörter zu kommen da sie nicht mehr decrypted werden müssen. Es dauert nur so lange bis sich das Opfer einmal an seinem Email account angemeldet hat, d.h. wenn man so schlau ist und das Arp Poisoning zwischen dem router und dem/den Opfern anzuwenden und nich irgendwie anders.

2. Bei keinem Brute Force Attack wird jemals eine wordlist verwendet, sonst gäbe es keine Dictionary attacks. Brute Force heisst "Brutale Gewalt". Woraus man schon schliessen kann das hier keine Möglichkeit offen gelassen wird. Also keine Wordlist.

3. Wenn man Hashes von Windoof schneller knacken will kann man das in wenigen minuten anhand von Rainbowtables erledigen, sofern man welche angelegt hat.

Ich hoffe alle Klarheiten sind beseitigt

ngreetz

nighty

29.04.04, 08:34

übrigens:
der account wird nicht nach 3-maliger fehleingabe des passwortes gesperrt

@[nighty]:
web.de dürfte es sich inzwischen leisten können eine verschlüsselte
verbindung aufzubauen (was ja auch so ist) also warum sollten die passwörter
nicht auch vrschlüsselt werden??

[nighty] · 29.04.04, 22:26

@ silent

Probier es aus. Die kennwörten von den Email accounts bei web.de werden im Klartext übertragen! Hab es grade nochmal probiert um sicher zu gehen.

http://www.oxid.it/downloads/cain25b47.exe

Poisening zwischen Router und Client Opfer und bei sniffer steht das Passwort direkt ohne zu entschlüsseln.

Mfg nighty

ivegotmail · 29.04.04, 22:49

das passwort wird nur plain übertragen wenn man sich ohne ssl einloggt
und dazu muss man eigentlich erst "ohne ssl" rechts neben dem login button klicken
also standardmäßig wird wird das passwort verschlüsselt übertragen

kann es sein das du nicht webmail nutzt sondern nen email client wo ssl nicht aktiviert ist ?

[nighty] · 30.04.04, 16:02

bis jetzt hab ich nur outlook verwendet aber habs nochmal getestet. geht auch mit dem webmailer

Anzeige

- Anzeige -

29.02.04, 13:13	#1 (permalink)
necro Registriert seit: 23.10.03 Likes: 0	Email on Web.de Anzeige Hallo Leute, Ich bin so vor mich hin gesurft und habe dabei einen interessanten Artikel entdeckt in dem stand, dass die Mail-Accounts von Web.de sehr unsicher sind, und dass man mit Hilfe von Programmen die Account Zugriffspasswörter binnen weniger Stunden herausbekommen kann. So nun frage ich euch, wie geht so was?! Also rein theoretisch, ich will keine genauen Programme oder Anleitungen, das ist 1)verboten und hat 2) Kiddie style Google hab ich schon 2h befragt, aber entweder man landet bei Scriptkiddies oder Dialer Seiten. Mit freundlichen Grüßen N3cr0

29.04.04, 22:49	#14 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	das passwort wird nur plain übertragen wenn man sich ohne ssl einloggt und dazu muss man eigentlich erst "ohne ssl" rechts neben dem login button klicken also standardmäßig wird wird das passwort verschlüsselt übertragen kann es sein das du nicht webmail nutzt sondern nen email client wo ssl nicht aktiviert ist ? __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Email in Opera	assura	Die Problemzone	0	30.03.07 23:16
ip an email	KaM!KoZe	(Web-) Design und webbasierte Sprachen	5	21.11.05 21:39
email @ web.de	bluuuudi	Internet Allgemein	8	23.09.04 19:39

29.02.04, 13:45	#2 (permalink)
gelöscht Guest Likes:	Könntest du evtl. mal einen Link zu diesem Artikel posten?

29.02.04, 14:59	#3 (permalink)
silent Guest Likes:	hmm die passwörter werden mit sicherheit nicht direckt ausgelesen aber man könnte etwas brute-force ähnliches anwendeb ausserdem muss man bei web mit mindestens 6.634.204.312.890.625 möglichen passwörtern pro user rechnen (gilt nur für neu anmldungen) das man früher auch weniger als 8 verwenden durfte silent

29.02.04, 23:22	#4 (permalink)
necro Themenstarter Registriert seit: 23.10.03 Likes: 0	Hm, Wo gibts gute deutsche Wortlisten?!

01.03.04, 14:41	#5 (permalink)
silent Guest Likes:	ich würd ja behaupten im www aber das hilft dir wahrscheinlich nicht silent

01.03.04, 14:46	#6 (permalink)
Rushjo Guest Likes:	@necro web.de sperrt den Account nach drei "falschen" Eingaben eines Passworts. Und dann ist schluss. Es gab aber bei web.de eine zeitlang (ca. 1 Jahr lang) eine Sicherheits- lücke mit deren Hilfe mal eMails beliebiger Nutzer "ohne Passwort" lesen konnte. Die Lücke wurde nun aber vor ein paar Wochen geschlossen als "kleines Sicherheits- problem eines einzelnen Servers" runtergespielt. MfG Rushjo P.S. Für was brauchst Du eine "wordlist", wenn Du nicht "brute forcen" willst? :-)

01.03.04, 14:58	#7 (permalink)
necro Themenstarter Registriert seit: 23.10.03 Likes: 0	Alles klar, das wollte ich nur wissen, -- wegen web.de naja die wordlist brauch ich für was anderes ausserdem is bruteforcen ja mit allen möglichkeiten ausprbieren und das mit wordlist hat noch n spezielleren namen aber so genau weiß ich das auch net!

30.03.04, 14:29	#8 (permalink)
dead_guy Registriert seit: 30.03.04 Likes: 0	bitte was heißt hier in binnen von stunden das geht mit cain und abel innerhalb von minuten ein freund von mir hats gemacht hat ca. 2 min. gebraucht das blöde war nur er wusste selber nicht wie ers macht und hats später auch nicht mehr fertig gebracht. ach nur damit niemand falsche schlüße zieht er hat sich nur selber gehackt. lg dead

30.03.04, 14:42	#9 (permalink)
pHateX Registriert seit: 04.03.04 Likes: 0	@ Necro Was du meinst nennt sich Dictionary Attack. @dead_guy Cain&Abel ist ein Passwort Recovery Tool, es liest die Passwörter aus die Windws gespeichert hat, z.B. in Outlook.

30.03.04, 19:11	#10 (permalink)
dead_guy Registriert seit: 30.03.04 Likes: 0	nicht nur es kann enthält auch brute force es ist nicht um sonst eine wordlist dabei und somit ist es möglich auch passwörter im internet zu hacken aber vielleicht war sein passwort auch einfach sehr easy zu cracken auf jeden fall hats nur ein paar minuten gedauert. gx dead

25.04.04, 23:33	#11 (permalink)
[nighty] Registriert seit: 25.04.04 Likes: 0	@dead_guy 1. Werden bei Web.de wie bei den meisten anderen Emaildiensten die Kennwörter unverschlüsselt übertragen, was es mit Arp Poisening wohl ziemlich einfach macht an die Kennwörter zu kommen da sie nicht mehr decrypted werden müssen. Es dauert nur so lange bis sich das Opfer einmal an seinem Email account angemeldet hat, d.h. wenn man so schlau ist und das Arp Poisoning zwischen dem router und dem/den Opfern anzuwenden und nich irgendwie anders. 2. Bei keinem Brute Force Attack wird jemals eine wordlist verwendet, sonst gäbe es keine Dictionary attacks. Brute Force heisst "Brutale Gewalt". Woraus man schon schliessen kann das hier keine Möglichkeit offen gelassen wird. Also keine Wordlist. 3. Wenn man Hashes von Windoof schneller knacken will kann man das in wenigen minuten anhand von Rainbowtables erledigen, sofern man welche angelegt hat. Ich hoffe alle Klarheiten sind beseitigt ngreetz nighty

29.04.04, 08:34	#12 (permalink)
silent Guest Likes:	übrigens: der account wird nicht nach 3-maliger fehleingabe des passwortes gesperrt @[nighty]: web.de dürfte es sich inzwischen leisten können eine verschlüsselte verbindung aufzubauen (was ja auch so ist) also warum sollten die passwörter nicht auch vrschlüsselt werden??

29.04.04, 22:26	#13 (permalink)
[nighty] Registriert seit: 25.04.04 Likes: 0	@ silent Probier es aus. Die kennwörten von den Email accounts bei web.de werden im Klartext übertragen! Hab es grade nochmal probiert um sicher zu gehen. http://www.oxid.it/downloads/cain25b47.exe Poisening zwischen Router und Client Opfer und bei sniffer steht das Passwort direkt ohne zu entschlüsseln. Mfg nighty

30.04.04, 16:02	#15 (permalink)
[nighty] Registriert seit: 25.04.04 Likes: 0	bis jetzt hab ich nur outlook verwendet aber habs nochmal getestet. geht auch mit dem webmailer

[HaBo]

Email on Web.de