Einbruch in Webseite von Boardsoftware phpBB

[webmichl]

...Nach Angaben des Internet Storm Center (ISC) konnte der Eindringling E-Mail-Adressen und die verschlüsselten Passwörter aller Nutzer des Forums auslesen...

heise online

[Boris]

Wäre an sich ja nicht schlimm - die Passwörter sind verschlüsselt und ein Salt wird auch genommen bei phpBB3. Wenn nur doch die User wirklich gute Passwörter nutzen würden, wäre eine Bruteforce Methode so gut wie sinnlos.

Bei phpBB2 sieht das anders aus:

phpBB3 uses a complex hashing algorithm in order to prevent someone from determining the plaintext value of a password. phpBB2, however, used a much simpler and less secure md5 algorithm to store passwords. This is one of the many reasons why we have decided to no longer support the phpBB2 software. Because hashes cannot be reversed, phpBB3 is set to convert phpBB2 hashes to the new phpBB3 standard during the first user login. Those users who registered while phpBB.com used phpBB2 and did not login on the new phpBB3 board continue to have their password hashes stored in the old format. Passwords stored in the old format are much less secure than those stored in the new format. The attackers have been focusing purely on the passwords stored in the old format.

Aber auch hier wäre ein gutes Passwort mit "nur" MD5 sehr schwer zu knacken.

Doch leider haben die wenigsten User ein wirklich gutes Passwort - eher sowas wie "hausamgarten02" ...

[Stefan]

Neulich in der Schule ...

Benutzername: "Sonja Müller"
Passwort: "Sonja"

[fuchzga]

Gestern bei einer Schulung fürs neue Mailsystem:
Der Kollege Tutor: "Das Passwort sag ich nicht."
Es verging einige Zeit bis ich kapiert hab, wie das Passwort lautet...

(Sorry for OT!)

[LimaX]

Vielleicht sollte man dazu sagen, dass es "lediglich" phpBB.com betrifft und nicht phpBB.de?!
Macht in meinen Augen schon einen Unterschied ...