PBeM-Spiele
Aktuelle Zeit: 28.03.2024 12:48

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 9 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Passwortsicherheit
BeitragVerfasst: 13.01.2016 14:52 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2152
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Liebe Spieler!

Heute will ich mal ein ernstes Thema ansprechen, und Fehler meinerseits eingestehen. Nein, der Server ist nicht gehackt worden, keine Panik. Aber was nicht ist, könnte ohne weiteres mal werden, denn das Internet ist eine Schlangengrube.

Die Passworte der Eressea-Parteien sind in meiner Datenbank im Klartext gespeichert. Das ist aus historischen Gründen so, und es ist mir peinlich. Ich bin beruflich in der IT-Branche tätig, und dort auch als Sicherheitsexperte zu Gange, ich weiß eigentlich wie man so etwas richtig machen muss, und entsprechend klar ist mir, dass Eressea es falsch macht.

Was das für Euch bedeutet: Wenn mir mal irgend jemand meinen Laptop klaut, in den Server einbricht, oder anderswie an meine Daten kommt, hat der zu jeder Eurer Parteien das Passwort und die Email-Adresse. Falls also jemand zufällig die gleiche Kombination aus Passwort und Email für seinen Dropbox- oder Paypal-Account benutzt, kann das für denjenigen dann eine milde Katastrophe bedeuten.

Deshalb meine Bitte: Wer ein Passwort für Eressea benutzt, dass er auch anderswo im Einsatz hat, dann bitte überall da Passwort wechseln. Meinerseits gelobe ich Besserung, und werde versuchen, so weit wie möglich ordentlich und meine internen Abläufe nach aktuell bester Praxis umbauen (das wird aber ein wenig dauern, ist eine Menge Arbeit).

mit freundlichen Grüßen, die Spielleitung.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Passwortsicherheit
BeitragVerfasst: 13.01.2016 15:05 
Offline
Donator
Donator

Registriert: 28.09.2011 18:33
Beiträge: 246
Wohnort: Bonn
Der Kampf gegen die Windmühlen. :-)

Hier ist ein gutes Beispiel. (Sorry, Enno.) Man sollte eigentlich niemals gleiche Passwörter an mehreren sensiblen Stellen verwenden, selbst wenn der betreffende Dienst an und für sich vertrauenswürdig und kompetent ist. Denn irgendwo schleicht sich immer mal ein Fehler ein und wenn dann ein Dienst angreifbar wird, ist das doof, kommen Hacker damit aber an viele/alle Dienste, ist das doofer/am doofsten. Das passiert, wenn ein Eressea-Passwort zum Beispiel auch auf einen Emailaccount passt.

Und wenn man sowieso für jeden Dienst ein anderes Passwort verwendet, ist eine Nachricht wie die obige zwar irgendwie doof, aber eigentlich auch wieder nicht. Ich jedenfalls weiß, dass weder ein böser Laptopdieb mit Ennos Laptop noch Enno, wenn er Nachts als Mr. Hyde auf Beutezug geht, an meine anderen Dienste kommt. Oder jedenfalls nicht leichter als ohne die Eressea-Passwörter.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Passwortsicherheit
BeitragVerfasst: 13.01.2016 15:56 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2152
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
argolas hat geschrieben:
Der Kampf gegen die Windmühlen. :-)


Ich sollte meinen Computer in Rosinante umbenennen.

Zitat:
Hier ist ein gutes Beispiel. (Sorry, Enno.)


Ich versuche, da mit gutem Beispiel voran zu gehen. Ich habe selber auch einen Passwort-Manager für alle meine Konten, und benutze so gut wie nie das gleiche Passwort für verschiedene Dienste (Ausnahmen gibt es immer).

Und als Betreiber von so einem Dienst will ich da auch lieber mit offenen Karten spielen, und sagen wenn etwas nicht in Ordnung ist. Ich habe von beiden Seiten erlebt, wie doof das ist, wenn die Daten futsch sind. Nachdem Patreon geknackt wurde, hat meine Paypal-Email in einem Monat so viel Spam und Phishing-Mails bekommen wie vorher in Jahren nicht. Und als Betreiber ist es uns mal passiert, dass jemand ein third-party PHPBB Forum geknackt hat, in dem unsere User unter ihrem gleichen Account-Namen miteinander kommuniziert haben, und geschätzt mehr als die Hälfte von denen haben dann auch das gleiche Passwort da benutzt wie bei uns (wo man mit dem Passwort an die Kreditkarten dran kam). Wer also hier im Forum das Passwort für das Eressea-Spiel benutzt, sollte das vielleicht als allererstes ändern. Für sun-e und PHPBB kann ich nämlich auch nichts garantieren (obwohl ich durchaus garantieren kann, dass PHPBB eine Dreckssoftware ist).


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Passwortsicherheit
BeitragVerfasst: 15.01.2016 09:35 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2152
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Ich habe den ersten Schritt unternommen auf einem längeren Weg: Die Passworte in der Datenbank werden (ab Version 3.8 voraussichtlich) verschlüsselt gespeichert.

Ein weiterer Schritt, den ich im Auge habe, ist die optionale Verschlüsselung der Emails zwischen Spieler und Server mit PGP. Da stellt sich allerdings die Frage, wie viele Spieler das eigentlich nutzen würden. In Magellan könnte man es evtl. einbauen, dann würde der Versand aus dem Client heraus das automatisch mit sich bringen, aber wer seine Mails von Hand schickt, der muss das dann selber einrichten.

Gibt es da jemanden, für den das interessant wäre? Wie viele Spieler schicken ihre Mails überhaupt noch von Hand ein? Wie kriege ich das raus, ob sich die Arbeit lohnt?


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Passwortsicherheit
BeitragVerfasst: 15.01.2016 18:40 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2152
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Enno hat geschrieben:
Gibt es da jemanden, für den das interessant wäre? Wie viele Spieler schicken ihre Mails überhaupt noch von Hand ein? Wie kriege ich das raus, ob sich die Arbeit lohnt?


Es scheint, dass die Quote derer, die Magellan zum Versand benutzen, bei etwas unte 30% liegt. Das ist also schon einmal ein signifikanter Anteil, der dann PGP als Default benutzen würde, das lohnt die Mühen für mich wohl.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Passwortsicherheit
BeitragVerfasst: 31.01.2016 14:00 
Offline
Frischling
Frischling
Benutzeravatar

Registriert: 31.01.2016 13:36
Beiträge: 24
Ich nutze Magellan, bisher immer mit Direktversand. Grundsätzlich würde ich PGP-Unterstützung bei Eressea befürworten, aus Prinzip, um PGP weiterzuverbreiten, und es vielleicht sogar nutzen. Optimal wäre, wenn Magellan dies ebenso unterstützen würde.

Thalian


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Passwortsicherheit
BeitragVerfasst: 31.01.2016 14:26 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2152
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Caranthir hat geschrieben:
Ich nutze Magellan, bisher immer mit Direktversand. Grundsätzlich würde ich PGP-Unterstützung bei Eressea befürworten, aus Prinzip, um PGP weiterzuverbreiten, und es vielleicht sogar nutzen. Optimal wäre, wenn Magellan dies ebenso unterstützen würde.


Aus Prinzip finde ich ja PGP eher bescheuert. Für den Endnutzer zu kompliziert, offensichtlich, und da hat sich jetzt auch nach Jahren nichts dran getan. Wenn die einzigen, die in den Genuss von sicherer Kommunikation kommen, dann doch wieder nur die Magellan-Nutzer sind (weil das nur mit Magellan sinnvoll zu bedienen ist), dann kann man auch eine Übertragung mit SSL und Webservice machen. Das ist wohl auch das, was ich als erstes implementieren werde. Gelegenheit, mal wieder etwas PHP zu schreiben, ist schon wieder lange her.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Passwortsicherheit
BeitragVerfasst: 14.02.2016 16:50 
Offline
Forumjunkie
Forumjunkie
Benutzeravatar

Registriert: 04.01.2005 01:23
Beiträge: 290
Wohnort: Berlin
Aus Sicht des effizienten Einsatzes der / Deiner Ressourcen würde ich mich um den sicheren Transport von Eressea-Befehlen nicht weiter kümmern - es geht um Befehle für ein RPG - wer hat Nutzen davon, die zu hacken?

Ich denke, Aufwand und Nutzen stehen in keinem sinnvollen Verhältnis.
Gruß Fiete

P.S. ... es sei denn, dass Basteln an einer sicheren Lösung bereit Dir Freude und wandert damit mit gehörigem Impact auf die "Nutzenseite" der Betrachtung...

_________________
Bild


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Passwortsicherheit
BeitragVerfasst: 14.02.2016 16:59 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2152
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Fiete hat geschrieben:
Aus Sicht des effizienten Einsatzes der / Deiner Ressourcen würde ich mich um den sicheren Transport von Eressea-Befehlen nicht weiter kümmern - es geht um Befehle für ein RPG - wer hat Nutzen davon, die zu hacken?

Es gibt Menschen, die benutzen das gleiche Passwort für alles. Wenn jemand sein Online-Banking gehackt wird, weil er in meinem Spiel die Email-adresse und Passwort geklaut bekommen hat, würde ich mich schlecht fühlen. Mal abgesehen davon, dass ich schon echt irre Eressea-Spieler gehabt habe, denen ich alles zutraue. I've seen things you people wouldn't believe. Attack ships on fire off the shoulder of Orion, etc.

Außerdem ist es mir peinlich, das mein Spiel Passworte im Klartext speichert. Das ist ein totaler Anfängerfehler, den ich beruflich nur mit Facepalm quittieren würde, da kann ich das nicht in meinem eigenen großen open-source Projekt falsch machen.

Zitat:
P.S. ... es sei denn, dass Basteln an einer sicheren Lösung bereit Dir Freude und wandert damit mit gehörigem Impact auf die "Nutzenseite" der Betrachtung...


Natürlich auch. Ich lerne etwas über Webserver, SSL-Zertifikate, und ein neues PHP Framework, und verstärke meine Erfahrung mit Crypto-Algorithmen. Was man nicht alles tut, wenn man keinen Job hat, aber mental fit bleiben will.


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 9 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 66 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
Webhosting by sunrise design ohg