Email Passwort hacken

Hallo

Vor einem halben Jahr habe ich ein Programm heruntergeladen, mit dem man verschiedene Passwörter (aus einem txt file) an einem pop Account „ausprobieren“ konnte und dann das richtige ausgab. Ich habe das an meinem Account ausprobiert und musste mit erschreken feststellen, dass das funktionnierte!!!

Meine Frage: Geht das immer noch? Sind pop-passwörter wirklich so unsicher? Kann es leider nicht mehr selbst ausprobieren (würde es gerne) aber ich habe keine Ahnung mehr, wie das Programm heisst geschweige denn woher ich es hatte…

phyl

Hallo

Sind pop-passwörter wirklich so unsicher?

Die Frage lautet, ist dein Pop-Passwort so unsicher. In dem Textfile standen sicher häufig verwendete Passwörter. Je länger und „ungewöhnlicher“ ein Passwort ist, um so sicherer, also Groß- und Kleinbuchstaben sowie Ziffern bunt und ohne Schema zusammenwürfeln, dann hat so ein Angriff deutlich weniger Chancen.

gruß
Heavy

Hi,

Meine Frage: Geht das immer noch? Sind pop-passwörter wirklich
so unsicher?

Meines ist 100%ig sicher -> „God“ da kommt nie einer drauf - Hack the Planet SCNR

Zahlen, Buchstaben mixen, Gross-/Kleinschreibung benutzen, je länger umso besser und regelmässig ändern. z.b. Z15b1Tdhj32f
gibt auch Programme die solche Passwörter automatisch erzeugen.

Kann es leider nicht mehr selbst ausprobieren
(würde es gerne) aber ich habe keine Ahnung mehr, wie das
Programm heisst geschweige denn woher ich es hatte…

Mal nach Brut Force suchen. http://www.google.de/search?q=brut+force+pop3&btnG=S…

Gruss Jan

Hallo

Es handelt sich um ein 6-stelliges Passowrt mit gross/kleinschreibung und Zahlen… allderdings hatte ich im Textfile genau meine kombination angegeben… aber falls diese kombination bei einem anderen auch dabei ist habe ich trotzdem pech… kann man pop accounts wirklich so einfach knacken? gibt es keine sperren?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo

Hi,

gegen TOFU hilft [1].

Es handelt sich um ein 6-stelliges Passowrt mit
gross/kleinschreibung und Zahlen… allderdings hatte ich im
Textfile genau meine kombination angegeben…

Aeh…?

aber falls diese kombination bei einem anderen auch dabei
ist habe ich trotzdem pech…

Dann solltest Du dafuer sorgen, dass es eben bei andere nicht dabei ist.

kann man pop accounts wirklich so einfach knacken? gibt es
keine sperren?

Ich verstehe Dein Problem nicht so recht… wenn Du Deine mails abholen willst nutzt Du doch auch nur ein Programm, was den Zugang zu Deinem Postfach oeffnet, nach dem es das von Dir eingegebene Passwort uebertragen hat. Du nutzt jetzt ein anderes Programm, das Passwort hast Du eingegeben (in die Liste)… wo ist das Problem? Es probiert die Liste durch und findet irgendwann das richtige. Sowas scripte ich Dir in 10min zusammen.

Klar, es waere total Klasse, wenn ein POP3-Server nach N fehlgeschlagen Versuchen die Anmeldung von der IP# vorruebergehend sperrt… ich weisz nicht, ob es sowas gibt.

Sicherer wird Dein mailacount nur, wenn Du ein sicheres Passwort verwendest: Grosz-/Kleinschreibung, Zahlen, Sonderzeichen. Die Zeichenklasse [a-zA-Z0-9] hat eine Maechtigkeit von 62. Bei sechs Zeichen fuer das Passwort gibt es 62⁶=56800235584 moegliche Kombinationen. Auch, wenn es nicht sinnvoll waere, die in einer Liste zu speichern, waere diese bei 7 (6+Zeilenumbruch) Byte pro Zeichen ca. 370GB grosz. Bei systematischen Durchprobieren aller moeglichen Passwoerter mit USER/PASS musz ein Angreifer pro Versuch 11 Zeichen an den POP3-Server uebermitteln. Macht insgesamt ca. mindestens 580GB Datenvolumen upload fuer den Angreifer. Anstaendige POP3 server nehmen nur APOP an, da muessen pro Versuch 4+1+len(username)+1+33+1=~50 Zeichen uebertragen werden, macht ueber 2.5TB insgesamt. Je nach Konfiguration des servers antwortet der unterschiedlich geschwaetzig, macht grob geschaetzt noch mindestens ein TB download fuer ihn. Du kannst Dir selbst ueberlegen, ob jemand ein derart hohes Interesse an Deinen emails hat.

Zusammenfassung: es gibt deutlich einfachere Wege, Deine mails zu lesen, als ueber den Angriff auf Dein (hoffentlich gut gewaehltes) Passwort.

HTH,
Gruss vom Frank.
===footnotes===
[1] http://learn.to/quote

Hallo

Es handelt sich um ein 6-stelliges Passowrt mit
gross/kleinschreibung und Zahlen… allderdings hatte ich im
Textfile genau meine kombination angegeben…

wahrscheinlich noch in der 1. Zeile?
Dann wir dein Account freilich „geknackt“, es ist ja dann das erste Passwort, welches das Tool ausprobiert.

kann man pop accounts wirklich so einfach knacken?
gibt es keine sperren?

Gegen ein auf Anhieb erratenes Passwort (das hast du mit deinem Versuch vermutlich simuliert) kann man nix machen.
Was man machen kann ist nach z.B. 3 Fehlversuchen weitere Versuche vom selben Rechner zu untersagen, bzw. erst nach einem gewissen Zeitraum wieder zuzulassen. Damit wird das knacken eines Passwortes mit diesem Prinzip ziemlich unwahrscheinlich. Ob und wie das gemacht wird hängt aber von den Servereinstellungen und damit vom Provider ab.

gruß
Heavy

Hallo,

Klar, es waere total Klasse, wenn ein POP3-Server nach N
fehlgeschlagen Versuchen die Anmeldung von der IP#
vorruebergehend sperrt… ich weisz nicht, ob es sowas gibt.

Ja.

Sicherer wird Dein mailacount nur, wenn Du ein sicheres
Passwort verwendest:

Naja, solange man POP pur nutzt (da werden die Daten unverschlüselt übertragen) muß man sich IMHO auch nicht allzuviel Gedanken um die Passwörter machen. Mindestens APOP oder POP/SSL seien empfohlen.

Zusammenfassung: es gibt deutlich einfachere Wege, Deine mails
zu lesen, als ueber den Angriff auf Dein (hoffentlich gut
gewaehltes) Passwort.

Amen.

Gruß,

Sebastian

Aber es gibt solche Programme und - obwohl ich keines finden kann - es gibt welche die Funktionnieren. oder? Und ich denke vorallem bei einfachen Passwörtern sind sie eine gefahr. oder nicht? Würde das trozdem bei meinem account gerne nochmals ausprobieren weil, wie glauber ich schon mal erwähnt, mein provider anscheinend eine neue sperre eingebaut haben soll (ich glaube sperrt die IP#)

phyl

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

Aber es gibt solche Programme und - obwohl ich keines finden
kann - es gibt welche die Funktionnieren. oder?

Ja.

Und ich denke
vorallem bei einfachen Passwörtern sind sie eine gefahr. oder
nicht?

Ja, „einfache Passwörter“, also etwa das, was man in einschlägigen Word-Lists findet, sind ein potenzielles Problem.

Würde das trozdem bei meinem account gerne nochmals
ausprobieren weil,
wie glauber ich schon mal erwähnt, mein
provider anscheinend eine neue sperre eingebaut haben soll
(ich glaube sperrt die IP#)

Wenn Du wirklich die Sperre testen willst, so kannst Du das mit jedem Mail-Programm machen. (Mehrfach ein falsches Passwort angeben).

Anleitungen für Programme, mit denen man Wörterbuchlisten durchrattern, wirs Du hier (hoffentlich) nicht bekommen.

Gruß,

Sebastian

hallo phil!
ich bekam von einem bekannten so ein set mit passwortknackern.
ich habe testweise eine eigendlich einfache word zahlen sonderzeichen kombination mit 16 stellen eingegeben.nach ca. 8 std laufen lassen, war es noch nicht gefunden.ich habe dem programm die vorhandenen eigenschaften des passwortes ( diese 3 oben genannten möglichkeiten )
mit ja bestätigt. da es in der zeit nicht geknackt wurde, und beim mailaccount ja noch dauernd eine abfrage mit samt bestätigung vom server erfolgen würde ob richtiges passwort,kann ich mir nicht vorstellen, wie das ohne trojaner auf deinem rechner geknackt werden sollte.
also wenn du den empfehlungen der sicherheitsexperten folgst und eine solche kombination wählst und auch ab und zu mal das passwort wechelst,
dürfte bei nicht vorhandenen spitzeltool dein rechner ohne sorgen mails schreiben und abrufen können,ohne mitschnitt.

mfg

Naja, solange man POP pur nutzt (da werden die Daten
unverschlüselt übertragen) muß man sich IMHO auch nicht
allzuviel Gedanken um die Passwörter machen. Mindestens APOP
oder POP/SSL seien empfohlen.

Sehe ich nicht so. Um meinen POP-Verkehr zu belauschen müßte der Angreifer schon irgendwo zwischen meinem Rechner und dem Server sitzen. Passwörter durchprobieren kann er bequem von zuhause aus.
Das ist ein anderes Angriffsszenario.
Ich zB bin bereit, das Risiko von unverschlüsseltem POP zu tragen, will aber trotzdem nicht, daß Hinz und Kunz Zugang zu meinem Account haben.

LG
Stuffi

Sehe ich nicht so. Um meinen POP-Verkehr zu belauschen müßte
der Angreifer schon irgendwo zwischen meinem Rechner und dem
Server sitzen.

Kein Problem bei den WLANs meiner Nachbarn. Und letztendlich auch kein Problem bei meinem eigenen mit dem guten WEP gesicherten WLAN.

Stefan

Kein Problem bei den WLANs meiner Nachbarn. Und letztendlich
auch kein Problem bei meinem eigenen mit dem guten WEP
gesicherten WLAN.

WLAN - da ist eh Hopfen und Malz verloren
Und ich hab Gewissensbisse, ob ich mir nun ein Funkkeyboard kaufen soll…
SCNR

LG
Stuffi

Tach,

Klar, es waere total Klasse, wenn ein POP3-Server nach N
fehlgeschlagen Versuchen die Anmeldung von der IP#
vorruebergehend sperrt… ich weisz nicht, ob es sowas gibt.

GMX macht das. Nach 4-5 mal kurz hintereinander Mailabrufen, kommt nur noch eine Fehlermeldung. Dann darf man 5min* bis zum nächsten Versuch warten.

Gruss Jan

* gefühlte Zeit, nachgemessen hab ich es noch nicht

Tach,

'n Abend,

GMX macht das. Nach 4-5 mal kurz hintereinander Mailabrufen,
kommt nur noch eine Fehlermeldung. Dann darf man 5min* bis zum
nächsten Versuch warten.

Stimmt. Aber nur bei erfolgreichen Anmeldungen. Falsches PW darf man beliebig oft eingeben.

Gruss vom Frank.

JA. In der Regel schon. Ausser bei SSH-Pop-Mailaccounts und
wenn der User nen „harten“ schlüssel wie z.B. „1rt4g7ü?6“ benutzt,
denn sowas steht in keinem dictionary…Aber die Provider der Mailaccounts loggen die IP´s der Zugriffe mit,d.h. wenn einer sowas versucht und der Accountbesitzer merkt und meldet es…

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]