Email on Web.de

necro

New member
Hallo Leute,
Ich bin so vor mich hin gesurft und habe dabei einen interessanten Artikel entdeckt in dem stand, dass die Mail-Accounts von Web.de sehr unsicher sind, und dass man mit Hilfe von Programmen die Account Zugriffspasswörter binnen weniger Stunden herausbekommen kann.

So nun frage ich euch, wie geht so was?! Also rein theoretisch, ich will keine genauen Programme oder Anleitungen, das ist 1)verboten und hat 2) Kiddie style

Google hab ich schon 2h befragt, aber entweder man landet bei Scriptkiddies oder Dialer Seiten.

Mit freundlichen Grüßen
N3cr0
 
G

gelöscht

Guest
Könntest du evtl. mal einen Link zu diesem Artikel posten?
 
S

silent

Guest
hmm die passwörter werden mit sicherheit nicht direckt ausgelesen
aber man könnte etwas brute-force ähnliches anwendeb
ausserdem muss man bei web mit mindestens 6.634.204.312.890.625
möglichen passwörtern pro user rechnen (gilt nur für neu anmldungen)
das man früher auch weniger als 8 verwenden durfte


silent
 
S

silent

Guest
ich würd ja behaupten im www
aber das hilft dir wahrscheinlich nicht


silent
 
R

Rushjo

Guest
@necro

web.de sperrt den Account nach drei "falschen" Eingaben eines Passworts. Und dann
ist schluss. Es gab aber bei web.de eine zeitlang (ca. 1 Jahr lang) eine Sicherheits-
lücke mit deren Hilfe mal eMails beliebiger Nutzer "ohne Passwort" lesen konnte.
Die Lücke wurde nun aber vor ein paar Wochen geschlossen als "kleines Sicherheits-
problem eines einzelnen Servers" runtergespielt.

MfG Rushjo

P.S. Für was brauchst Du eine "wordlist", wenn Du nicht "brute forcen" willst? :)
 

necro

New member
Alles klar, das wollte ich nur wissen, -- wegen web.de
naja die wordlist brauch ich für was anderes ausserdem is bruteforcen ja mit allen möglichkeiten ausprbieren und das mit wordlist hat noch n spezielleren namen aber so genau weiß ich das auch net!
 

dead_guy

New member
bitte was heißt hier in binnen von stunden das geht mit cain und abel innerhalb von minuten ein freund von mir hats gemacht hat ca. 2 min. gebraucht das blöde war nur er wusste selber nicht wie ers macht und hats später auch nicht mehr fertig gebracht. ach nur damit niemand falsche schlüße zieht er hat sich nur selber gehackt.

lg dead
 

pHateX

New member
@ Necro

Was du meinst nennt sich Dictionary Attack.

@dead_guy

Cain&Abel ist ein Passwort Recovery Tool, es liest die Passwörter aus die Windws gespeichert hat, z.B. in Outlook.
 

dead_guy

New member
nicht nur es kann enthält auch brute force es ist nicht um sonst eine wordlist dabei und somit ist es möglich auch passwörter im internet zu hacken aber vielleicht war sein passwort auch einfach sehr easy zu cracken auf jeden fall hats nur ein paar minuten gedauert.

gx dead
 

[nighty]

New member
@dead_guy

1. Werden bei Web.de wie bei den meisten anderen Emaildiensten die Kennwörter unverschlüsselt übertragen, was es mit Arp Poisening wohl ziemlich einfach macht an die Kennwörter zu kommen da sie nicht mehr decrypted werden müssen. Es dauert nur so lange bis sich das Opfer einmal an seinem Email account angemeldet hat, d.h. wenn man so schlau ist und das Arp Poisoning zwischen dem router und dem/den Opfern anzuwenden und nich irgendwie anders.

2. Bei keinem Brute Force Attack wird jemals eine wordlist verwendet, sonst gäbe es keine Dictionary attacks. Brute Force heisst "Brutale Gewalt". Woraus man schon schliessen kann das hier keine Möglichkeit offen gelassen wird. Also keine Wordlist.

3. Wenn man Hashes von Windoof schneller knacken will kann man das in wenigen minuten anhand von Rainbowtables erledigen, sofern man welche angelegt hat.

Ich hoffe alle Klarheiten sind beseitigt ;)

ngreetz

nighty
 
S

silent

Guest
übrigens:
der account wird nicht nach 3-maliger fehleingabe des passwortes gesperrt

@[nighty]:
web.de dürfte es sich inzwischen leisten können eine verschlüsselte
verbindung aufzubauen (was ja auch so ist) also warum sollten die passwörter
nicht auch vrschlüsselt werden??
 

ivegotmail

Member of Honour
das passwort wird nur plain übertragen wenn man sich ohne ssl einloggt
und dazu muss man eigentlich erst "ohne ssl" rechts neben dem login button klicken
also standardmäßig wird wird das passwort verschlüsselt übertragen

kann es sein das du nicht webmail nutzt sondern nen email client wo ssl nicht aktiviert ist ?
 

ivegotmail

Member of Honour
das kann eigentlich nicht sein, denn wie gesagt ist web.de webmail standardmäßig ssl verschlüsselt wenn man nicht extra "ohne ssl" anklickt
habs selber auch nochmal ausprobiert und es geht nicht
ich vermute mal du hast vergessen username:pw aus cain raus zu löschen bevor du es erneut ausprobiert hast ?!
 
Oben