Lücke in Sony-Webseiten gefährdete Kunden-Passwörter

sskm...

ich mein, die welt ist doch eh selber schuld. würd geld nicht der religionsersatz für milliarden sein, wäre die welt vermutlich besser und es würde vermutlich auch weniger hacker geben...

ha ha

und täglich werden es mehr, die erkennen:
ps3 sux xbox rockz

Nur um den "Bug" in Relation zu setzen:

1. Es geht nicht automatisiert, da Captcha
2. Du brauchst die E-Mail zur Registrierung + korrektes Geburtsdatum
3. Auf die E-Mail kommt eine Bestätigung zur PW Änderung

Klar ist der Fehler peinlich und unnötig wie sonstwas, und Sony hat wieder einmal geschlampt. Nur bin ich mir sicher, das Gleiche gibts auch bei Anderen.

Hier schon wieder groß aufzuschreien ist wirklich sinnlos.

..hab gerade mit paylife wegen meiner kk telefoniert, bis dato ist denen österreichweit kein missbrauch bekannt. die karten welche dort registriert sind, stehen aber aktuell unter genauerer beobachtung um einen missbrauch möglichst rasch orten zu können..

like nothing happened ;)

mein onlinegeburtsdatum ist immer 1.1.1980. Leicht zu merken...

meins variiert immer (wie es mir grad einfällt) trägt zur Verwirrung bei ;-)

tolle idee, aber wie merken sie sich dann das datum für solche fälle wie jetzt beim neu-einloggen beim PSN?

sie haben sich innerhalb der letzten tage beim ersten verbinden mit dem PSN mittels ihrem alten kennwort einloggen können?

nach der eingabe des alten passworts wurde ich dann aufgefordert das kennwort zu ändern.

aber außer der emailadresse und dem PW hab ich dazu nicht gebraucht. auch kein geburtsdatum.

gestern wars, um genau zu sein :-)

hehehe, ja gestern, verstehe, da wurde nämlcih die seite neu gelaunched nachdem sie sich ja beim ersten relaunch anfang der woche gleich wieder angepatzt haben. daher der geänderte login-screen.

ins psn muss ich mich niemals einloggen. bei Xbox-Live genügt meine Windows Live-ID ... da wird kein Geb.-Datum gefragt.

Sollte sowas mal kommen, hab ich ein Problem ;-) aber dann muss ich mir halt ein Wunsch-Geb-Datum überlegen.

vielleicht zu klarstellung: wenn sie sich nun nach dem neustart des PSN anmelden wollen, dann werden sie zur rudimentären identifizierung nach der verwendeten emailadresse und ihrem bei der erstregistration angegebenen geburtsdatum gefragt - ich wünsche viel spaß :-)

Dsa dürfte aber nur bei denen sein wo die PS3 mittlerweile getauscht ist.

Ich habe noch immer die gleiche PS3 auf der ich damals den Account erstellt habe und bei mir musste ich nur das PW neu ändern. Keine Frage nach einer Mail-Adresse oder nach einem Geburtsdatum.

bei meiner (nie getauschten) ps3 wurde auch nichts gefragt.

Phu ... noch ein Grund, wieso keine ps3 ;-)
Gut bei meinem Profil gibts ein Kennwort und E-Mail-Adresse. Beim psn ist wohl statt nem Kennwort das Geb.-Datum oder?

neiiiiiiin. die kennwörter wurden ja durch den hack geknackt, daher sind diese alle zurückgesetzt worden. damit man nun das neue kennwort setzen kann muss man zuerst email-adresse und geb.datum eingeben, damit man das kennwort für den bestehenden account setzen kann. ohne geb.datum kein neues kennwort = kein zugriff auf den psn-account. das ist nur JETZT durch den hack so.

Die Kennwörter wurden nicht geknackt, sondern lediglich die Hashes ausgelesen. Gehen wir mal von einem 8-stelligen Kennwort aus, und einem MD5 Hash, dann reden wir von Bruteforce Zeiten von ein paar Monaten. Ist es SHA-1 leg noch was drauf. Das Ganze mal 70 Mio Accounts, da wünsche ich viel Spaß.

Das Ganze wird, neben der Tatsache, das Sony natürlich Mist gebaut hat, ziemlich von den Medien hochgekocht.

Nein, weil die Kennwörter im Klartext abgespeichert wurden.

brutforce braucht man für 90% der kennwörter nicht, da reichen vorberechnete tables mit den üblichen dictionaries. und sowas umgeht man als sicherheitsbewusste firma durch nutzung eines random-salt für die hash-funktion sowie durch ein mind. 1000-maliges hashing. der salt pro eintrag verhindert die nutzung von dictionaries, und das iterieren bedeutet, dass man den source code kennen muss um die anzahl zu kennen. ein rückrechnen bzw. nutzung von dictionaries ist damit hinfällig.

aaaaaachso - verstehe :-)
Da frag ich mich, wie das bei meinem Live-Konto ist ... da hab ich ja kein Geb.Datum angegeben ... naja werde mal die Optionen kontrollieren ... sicher ist sicher - danke für deine Info und Geduld ;-))))

gerne, bei freunden der forcierten autofahrt (gtc, richtig?) bemüht man sich ;-)

hey wie meinst du das jetzt? ist das jetzt positiv oder negativ? ja - mein GTC ;-) mein ganzer Stolz (nicht ganz ernst gemeint, aber doch) und immer wieder auch Opfer von dummen Angriffen - abschrauben der Antenne, 2 mal ein Kratzer)

ernst gemeint. fahr zwar jetzt ein relativ braves auto, aber bin grundsätzlich anhänger von vielen ps und "geht wie sau".

Mein Traum wäre der GTC OPC (240 PS) gewesen, aber ja, das liebe Geld. Heute hätte ich lieber den 105 PS-Motor drinnen ... aber ja, zu meinen schnellen Zeiten hatte ich viel Spaß mit dem GTC. Heute halte ich mich großteils an die Limits, reize aber das tolle Fahrwerk immer wieder gerne aus ;-)