Intern: Bitte Passwörter ändern (Nachtrag)

Lei­der müs­sen wir euch mit­tei­len, dass offen­bar Nut­zer­da­ten ein­schließ­lich der Pass­wör­ter von unse­rem Forum aus­ge­le­sen wur­den und im Dar­knet kur­sie­ren. Da wir ein vBul­le­tin-Forum ver­wen­den, mut­maß­lich durch eine Sicher­heits­lü­cke in der vB-Soft­ware.

Natür­lich spei­chert die vBul­le­tin-Foren­soft­ware Pass­wör­ter nicht im Klar­text, son­dern mehr­fach ver­hasht und mit einem Salt ver­se­hen. Jedoch lässt sich letzt­lich auch das mit­tels Bru­te Force deko­die­ren. Mit der Leis­tung aktu­el­ler Gra­fik­kar­ten geht das lei­der schnel­ler als man glau­ben mag, ins­be­son­de­re bei ein­fa­chen Pass­wör­tern.

Der Daten­satz stammt angeb­lich vom Sep­tem­ber 2016. Wir haben den neu­es­ten Patch für vBul­le­tin 4.2.3 instal­liert, die Sicher­heits­lü­cke soll­te damit geschlos­sen sein. Da wir im Gegen­satz etwa zu einem Online-Shop weder Klar­na­men, noch Adres­se oder gar Kre­dit­kar­ten-Infor­ma­tio­nen erhe­ben oder spei­chern, dürf­ten sich die poten­zi­el­len Zugangs­da­ten auf das Forum beschrän­ken.

Bit­te ändert eure Pass­wör­ter.

Nach­trag 13.11.2016
Da lei­der bis­her nur ein klei­ner Bruch­teil der User das Pass­wort geän­dert haben und es sicher­lich auch nach län­ge­rer War­te­zeit nie 100% wer­den, haben wir uns ent­schlos­sen, das Pass­wort für alle ande­ren zurück­zu­set­zen, um die­ses schwe­ben­de Damo­kles­schwert zu besei­ti­gen. Da vBul­le­tin kei­ne ein­ge­bau­te Funk­ti­on dafür hat, muss­ten wir dafür zuerst ein­mal ein funk­tio­nie­ren­des Ver­fah­ren sel­ber aus­tüf­teln ohne das Forum kaputt­zu­ma­chen.

Wir ent­schul­di­gen uns für die­se Unan­nehm­lich­keit, aber das Pass­wort soll­te sowie­so von jedem öfter mal geän­dert wer­den, dies gilt hier genau­so wie auf allen ande­ren Web­sei­ten. Beim nächs­ten Ein­log­gen ins Forum wird jeder sei­nen Account reak­ti­vie­ren müs­sen, der sein Pass­wort seit ges­tern noch nicht geän­dert hat. Dazu kann man sich hier ein neu­es Pass­wort zuschi­cken las­sen:

Danach kann/sollte ein neu­es Pass­wort ver­ge­ben wer­den. Die­ses soll­te wie üblich klei­ne und gro­ße Buch­sta­ben, Zah­len und Son­der­zei­chen ent­hal­ten und auf kei­nen Fall zu kurz sein, denn 8 Zei­chen gel­ten heu­te schon als schnell knack­bar, also das Pass­wort bes­ser deut­lich län­ger machen! Zudem soll­te es natür­lich ein Pass­wort sein, das sonst nir­gend­wo benutzt wird, vor allem nicht für die Mail­box oder für Accounts mit Zah­lungs­op­tio­nen (Paypal, Ama­zon, gene­rell Online­shops).