ähm

wer gibt denn Passwörter in Suchstrings ein?

Auf die Idee bin ja noch nie gekommen :)

Diese Signatur ist in Ihrem Land nicht verfügbar...

Benutzer wird von Ihnen ignoriert. Anzeigen

Na ja, unter dem Vorwand, dass der ahnungslose User prüfen kann, ob sein Kennwort in einer Liste von "geleakten" Kennwörtern auftaucht, birgt diese Methode doch eine ganze Menge Potential. Blöd ist nur, dass der "Angreifer" danach eine Liste von Kennwörtern hat und a) nicht weiß ob diese überhaupt vollständig/ korrekt eingetippt wurden und b) nicht weiß zu welchen Accounts diese Kennwörter überhaupt gehören. Insofern lässt sich über diese Lücke doch weitestgehend hinwegsehen :-D

R.I.P. Fisch :-(

Benutzer wird von Ihnen ignoriert. Anzeigen

wie "unbedarft" muss man sein, um auf einer Seite zu prüfen, ob dort das eigene Kennwort vorkommt :)

Ist ja so, also ob jemand in der Fußgängerzone einen Automaten aufstellen würde, mit der Aufschrift:

Stecken Sie ihre EC-Karte hier ein und prüfen sie nach, ob ihre PIN bereits geknackt wurde.

Obwohl, ich glaub, ein paar würden es machen...

Diese Signatur ist in Ihrem Land nicht verfügbar...

Benutzer wird von Ihnen ignoriert. Anzeigen

azeu schrieb:
--------------------------------------------------------------------------------
> wie "unbedarft" muss man sein, um auf einer Seite zu prüfen, ob dort das
> eigene Kennwort vorkommt :)
>
> Ist ja so, also ob jemand in der Fußgängerzone einen Automaten aufstellen
> würde, mit der Aufschrift:
>
> Stecken Sie ihre EC-Karte hier ein und prüfen sie nach, ob ihre PIN bereits
> geknackt wurde.
>
> Obwohl, ich glaub, ein paar würden es machen...


Mit dem Unterschied, dass die EC-Karte der dazugehörige Benutzername und Anbieter ist, der bei preventDefault() leider noch fehlt.

Benutzer wird von Ihnen ignoriert. Anzeigen

azeu schrieb:
--------------------------------------------------------------------------------
> wie "unbedarft" muss man sein, um auf einer Seite zu prüfen, ob dort das
> eigene Kennwort vorkommt :)

Überhaupt ist es doch etwas kontraproduktiv: Auf der verlinkten Seite wird ja jeder Suchstring als "Treffer" auf der Seite selbst angezeigt. Dann denkt sich der unbedarfte User: "Oh, mein Passwort steht da ja auch, also ändere ich das mal".

Dann hat der Angreifer ja ein Passwort, welches nicht mehr aktuell ist. :)

Benutzer wird von Ihnen ignoriert. Anzeigen

geile idee.... :D

Benutzer wird von Ihnen ignoriert. Anzeigen

+1 :-D

R.I.P. Fisch :-(

Benutzer wird von Ihnen ignoriert. Anzeigen

> Dann denkt sich der unbedarfte User: "Oh, mein Passwort steht da ja auch, also ändere ich das mal".

Erstellt sich ein neues Passwort und prüft dieses wieder nach und stellt fest, dass es schon wieder geknackt wurde; und wenn sie nicht gestorben sind, dann tippen sie noch heute :)

Diese Signatur ist in Ihrem Land nicht verfügbar...

Benutzer wird von Ihnen ignoriert. Anzeigen

azeu schrieb:
--------------------------------------------------------------------------------
> Ist ja so, also ob jemand in der Fußgängerzone einen Automaten aufstellen
> würde, mit der Aufschrift:
>
> Stecken Sie ihre EC-Karte hier ein und prüfen sie nach, ob ihre PIN bereits
> geknackt wurde.
>
> Obwohl, ich glaub, ein paar würden es machen...

True Story: Schulkamerad hat in einer Firma gearbeitet die Geldautomaten repariert. Er am Automaten der außen in der Mauer eingelassen ist am Arbeiten. Außen ein Schild: "Defekt".

Während er dran arbeitete kahmen nacheinander drei(!) Karten durch den Schlitz.

Soviel zu Einstein... :-)

Benutzer wird von Ihnen ignoriert. Anzeigen