Battle.net hackat, krypterade lösenord på vift

Ja, men det hade ju en bruteforce också kunnat göra. Frågan är ju dock hur lång tid det skulle ta.. Jag skulle gissa på alldeles för lång tid

Som säkert fler har tänkt så undrar jag hur många som använt samma lösen till sitt battlenet som till mailen, facebook etc. Ouch.

Jag använder inte authenticator sen jag började byta programvara på telefonen, om jag ställer in authenticator och telefonen slutar fungera blir jag inte utlåst då?

Du går nog säker för bulkattacker med brute force, men när de krypterade lösenorden kommer ut på TPB och någon manuellt försöker komma åt just ditt (eller just någon annans) konto, då ligger man brunare till. Särskilt som du just avslöjade din algoritm =).

Låter som du har varit oförsiktig snarare. Jag har haft battle.net sedan dess begynnelse och aldrig blivit hackad. Har endast bytt lösenord två-tre gånger på all denna tid.

Nu ska vi inte kasta spjut i radhus:)

Precis, att sen inte ens erbjuda gemener och versaler i lösenordet...det känns lite väl 90-tal.

Skickades från m.sweclockers.com

Det borde vara skottpengar på de jävlar som lägger ned tid på att hacka konton. Är så trött på detta. GRISAR!

Fyfan vad otrevliga ni är då. 15 gillar att pojken blivit hackad flera gånger!
och det är inte ALLTID ens eget fel. ovarsamhet + otur skulle jag säga.

OT

Detta skrämmer mig, kommer trolige byta pwsd på mitt battlenet acc.
har ju en battle.net authenticatior... vettefan hur mycket säkrare man gå med en sådan dock..

Ja, om bara vi kunde få dem att sluta TVINGA oss att köpa deras spel. Mannen i kostym bakom mig med en pistol riktad mot mitt huvud är snart redo att "föreslå" nästa spel som jag "borde" köpa.

Nej, inte sålänge du har tillgång till telefonnumret som du registrerat din authenticator med.

Nej då. Bara kontakta supporten, så löser dom det ganska omgående. Har du noterat koderna som du får när du aktiverar authenticatorn så fixar man det själv...

Skickades från m.sweclockers.com

Det kan man göra, det är en from av kryptering, där man inte kan få ut originalet bara. Dock så kan ju Blizzard ha alla känslig data krypterad, inklusive hasharna, för att göra det jobbigare för utomstående att skilja lösenorden från varandra.

För de icke insatta så innebär det att om jag hashar mitt lösenord "123HÄStar" så skulle jag kunna få hashen:
"43Hy^"

Av en ren slump så har även strängen: "89fyjghu8gbukjå9osfimÅMJfå'¨å" hashen:
"43Hy^"

Medan strängen "123HäStar" har hashen:
"oK!6b"

Detta är bara exempel.

Hade uppgraderat mailen till en Outlook, men då slutade inloggningen och allt på min Windows Phone pga den nya emailen -.- Så hade tänkt återställa den och allting, och då hade jag varit tvungen att stänga av Authenticator-appen... Tur man inte gjorde det då

Tur var att vi i Europa bara fick emails på vift - Men chansen finns att dom börja skicka phising-spam :S

Mhm kul. Speciellt kul för MIG med tanke på att jag har en gaming mail som endast används för spel.
Har inte fått ett ÄNDA skräp mail, får jag det nu så vet jag varför.

Blizzard SUGER! Visst, det kan hända alla företag. Men efter Diablo3 så är det sista gången jag köper deras spel.

Jag är inte jättepåläst nej, men om dom nu har verifiern till SRPn så kan dom ju göra dictionary-attacker på hasharna.

Tar vi då Sprengdpandas exempel med blizzards lösenords-policies.
ubåtHästMåne , tre vanliga ord, skulle definitivt lösas via en ordlista på dom 10000 vanligaste svenska orden, Blizzard gör inte skillnad på gemener och versaler så lösenordet skulle i Blizzards fall knäckas på 10000^3=1 000 000 000 000 unika fraser. Visst några sekunder som jag sa var överdrivet, men med dagens cpu-krafter så handlar det inte om dagar för ett sånt här lösenord att knäckas.
Tar vi istället X2c1kk5m4c så har vi 10 tecken som ska lösas. Vi räknar på 26 bokstäver + 10 siffror (lågt räknat, normalt sett får man addera tecken också.) ta 26^10 och du får 3 656 158 440 062 976, betydligt säkrare alltså.

Tycker du att jag har räknat fel så är du välkommen att rätta, jag är som sagt inte jättepåläst om detta och kan lika gärna ha fel i mina beräkningar.

Förklarar varför någon från kina försökt logga in på mitt google-konto, ugh.

Det jag stör mig mest på är att alla sidor har olika krav på sina lösenord. Finns det något standard som fungerar överallt? Typ 5 bokstäver, 1 siffra, 1 stor bokstav.

Min taktik är att köra samma lösenord (om möjligt) på alla sidor utom min mail. Tycker det funkar ok.

Bäst är att kombinera saltade hashes med peppar.. Altså man har en hemlig kod i en php-fil som bakas med i lösenordet (som inte finns i databasen)... Jag antar Blizzard har tänkt steget länge ändå med flera andra säkerhetslösningar.