Passwörter hacken - wenn der Nickname zum gewählten Passwort passt

Alloha ihr Lieben,

meine Freundin spielt ein Browsergame, und als sie darüber spekulierte, wie es wohl wäre, einen besseren Account zu haben, kam mir ein Gedanke (an der Stelle möchte ich einwerfen, dass ich ihr den nicht besorgen möchte, obwohl ich es könnte...).

Und zwar fragte ich mich, ob es nicht möglich wäre, anstatt des Passworts den Nicknamen zu erraten. Also ich nehme mal ein vermutlich typisches Passwort wie eventuell "pferd98" mit dem Gedanken, dass kleine Mädchen, Geburtsjahr '98, eventuell auf Pferde stehen.

Jetzt wähle ich einmal Brute-Force und gehe sämtliche Nicknamen durch - sollte nur mit (Klein-)Buchstaben nicht lange dauern.

Was denkt ihr, wäre das umsetzbar? Erfolgsquoten?



PS.: Ich bin wirklich nicht daran interessiert, jemandem zu schaden, ich möchte mich nur mit der Theorie auseinandersetzen.

Ich glaube nicht, dass das unbedingt höhere Erfolgschancen verspricht als wie das Passwort zu bruteforcen. Der Nickname muss nämlich im Gegensatz zum Passwort üblicherweise eindeutig sein, wodurch es automatisch zu erheblich mehr unterschiedlichen Varianten kommt als wie bei Passwörtern. Ich kann mir zum Beispiel durchaus vorstellen, dass, bei einer ausreichend großen Anzahl an Benutzern vorrausgesetzt, viele das selbe Passwort benutzen und dementsprechend ein Durchprobieren der üblichen Passwörter eher zum Ziel führt.

mfg benediktibk

Rein theoretisch ist es möglich, wenn zwar das Passwort aber der Nickname eines Users nicht bekannt ist aber es ist meiner Meinung nach genau so sinnlos wie ein Brute Force Angriff auf das Passwort des Benutzers.

Schau dich mal in verschiedenen Foren im Internet um und du wirst sehen, daß einige User mehr Sonderzeichen, Großbuchstaben und Zahlen in ihrem Nicknamen verwenden als in ihrem Passwort.

Wie bei der "normalen" Brute Force Methode kann es genauso mehrere Jahre dauern bis du so an ein Passwort kommst.
Die Erfolgsquote ist also sehr gering.

Naja der Nickname muss jedoch nicht per Brute Force gefunden werden, viele Browsergames haben eine Bestenliste/Mitgliederliste in der man sich mit anderen Spielern vergleichen kann oder ähnliches.

Ein Bot der die Seiten dieser Mitgliederliste absucht und die Namen in eine Textdatei schreibt ist ja recht schnell programmiert. Und dann braucht man nur noch die beliebtesten Passwörter (->einfach mal googlen) durchtesten. :wink:

Afaik haben doch viele Browsergames einen seperaten Namen nur für den Login...?

enkore hat gesagt.:

Afaik haben doch viele Browsergames einen seperaten Namen nur für den Login...?

Zum Vergrößern anklicken....

Was meine Erfahrungen mit Browsergames betrifft ist es eher üblich sich mit der Emailadresse anzumelden, da der TE aber vom Nicknamen spricht, gehe mal davon aus, dass damit nicht die Emailadresse gemeint ist.

Ansonsten gibt es noch Browsergames bei denen es die Möglichkeit gibt, nachträglich seinen Anzeigenamen zu ändern, dann würde der von dir beschriebene Fall vorliegen.
Dieses Feature wird aber oftmals nur von wenigen Spielern genutzt, da es als störend empfunden wird, wenn man ständig neue Namen in seiner Freundesliste stehen hat. Besonders Spieler, die unter ihrem Nick bereits bekannt sind, verzichten meist darauf.

So wie du die Situation schilderst, dass die Entwickler bewusst zwei verschiedene Nicks, einen zum Anmelden und einen für das Spiel, voraussetzen habe ich noch nie gesehen, dafür wird wie gesagt meist die Emailadresse verwendet.

Das ist zumindest die Erfahrung die ich so mit Browsergames gemacht habe.

mfg

Ich spiel sowas nicht (Spiele haben bei mir auf meiner Festplatte zu liegen), kann daher nur hörensagen berichten ... aber auf jeden Fall danke für die Ausführliche Antwort

Ich kenne durchaus auch diverse Browsergames, bei denen der Login-Name nicht mit den angezeigten Charakter-Namen übereinstimmt. Das ist z.B. oft bei Rollenspielen der Fall, wo man mehrere Charaktere spielen kann, oder bei Spielen, wo man einen Spielernamen hat und einen Flottennamen o.ä.. In solchen Spielen wird der Spielername ausschliesslich für den Login genutzt, aber er taucht nie in irgendwelchen Statistiken auf.