#1 22. Mai 2006 Passwortdaten von Flirtlife.de kompromittiert Auf der Sicherheits-Mailing-Liste Full Disclosure wurde am vergangenen Sonntagabend eine Liste mit Zugangsdaten von rund 100.000 Nutzern der Internet-Dating-Website Flirtlife.de veröffentlicht. Der Betreiber reagierte nach eigenem Bekunden bereits an diesem Montagmorgen mit der Vergabe neuer Passwörter für die Accounts und informierte die Nutzer per E-Mail über die Maßnahme. Zur Reaktivierung des Accounts müssen Turteltäubchen nun ein neues Passwort setzen. Im eigenen Interesse sollte dies natürlich nicht wieder das alte Passwort sein, da es nun als bekannt angesehen werden muss. Flirtlife-Geschäftsführer Matthias Kopolt sagte gegenüber heise Security, dass es sich bei der Liste wahrscheinlich um einen alten Stand der Passwortdatenbank handelt, da etwa die Hälfte der Benutzernamen mittlerweile nicht mehr existierten. Demnach wären also höchstens rund ein Viertel der derzeit 200.000 Accounts von der Veröffentlichung betroffen. Wie die Account-Daten an die Öffentlichkeit gelangen konnten, ist für Kopolt derzeit noch schleierhaft. Passwörter würden bei Flirtlife ausschließlich als so genannte MD5-Hashes abgelegt und seien damit nicht im Klartext auslesbar. Er vermutet, dass die Angreifer nicht über eine Schwachstelle in der Flirtlife-Seite an die Daten gelangten. Man sei im Hause jedoch noch mit den Untersuchungen zugange. Derweil offenbart ein Blick auf die Passwortliste interessante Einsichten. Sie ist stellenweise mit HTML- beziehungsweise XML-ähnlichen Strukturen durchsetzt. Mehrfach auftretende BODY-Tags, wie sie zu Beginn und Ende jeder Webseite auftauchen, legen die Vermutung nahe, dass sie das Ergebnis mehrerer Sammelaktionen gewesen sein könnte. Offensichtliche Buchstabendreher in Account-Namen weisen auf die Protokollierung mehrfacher, erfolgloser Log-in-Versuche hin. Möglicherweise versuchten die Angreifer auch, sich mit einem Passwort aus einer Liste besonders häufig auftretender Passwörter bei möglichst vielen Accounts anzumelden. Vernachlässigt man Vertipper bei Accountnamen sowie unterschiedliche Groß- und Kleinschreibung, ergibt sich in der veröffentlichten Liste bei einer Gesamtzahl von rund 100.000 Datensätzen folgende Verteilung der häufigsten Passwörter: Code: 123456 1375 ♂️♀️n 404 12345 367 hallo 362 123456789 260 schatz 253 12345678 215 daniel 215 askim 184 nadine 177 1234 176 passwort 173 sommer 159 baby 159 frankfurt 159 Auffällig ist die starke Häufung der Ziffernfolge 1234, mit der insgesamt rund 2,5 Prozent aller Passwörter beginnen: Ein blinder Login-Versuch mit "123456" führt in fast 1,4 Prozent der Fälle zum Erfolg. Ebenfalls ein zu starker Themenbezug oder typische Vor- und Kosenamen als Passwort könnten zum Verhängnis werden. Auch sehr beliebt: Markennamen, Sportvereine und Jahreszahlen. Immerhin: Rund 40 Prozent der Passwörter tauchen nur einmal auf, ein Großteil davon sind unvorhersehbare Kombinationen aus Buchstaben, Zahlen und Sonderzeichen. Daran sollten sich Flirtlife-Nutzer für das neue Passwort ein Beispiel nehmen. (cr/c't) Quelle: http://www.heise.de/newsticker/meldung/73396 + Multi-Zitat Zitieren
#2 22. Mai 2006 Da sieht man mal was viele für schwachsinnige passwörter haben Aber im gegensatz zu "123456" is ja "♂️♀️n" noch sicher. Trotzdem, mein passwort ist zwar leicht aber so abstrakt dasses kenier rausbekommt^^ + Multi-Zitat Zitieren
#3 22. Mai 2006 Meins ist kurz, aber auch abnormal ^^ Wer von euch ist dort eigentlich angemeldet? Ich schon + Multi-Zitat Zitieren
#4 22. Mai 2006 Gibt weitaus bessere Communities, ich nenne hier mal keine , will ja nich werben Da bekommt jeder user seinen eigenen " Kanton " , das is ne login/online liste derer die näher <50 km wohnen. Das isn service der sich zum fliretn besser eignet als ewig zu suchen, aber gut, darum gehts nicht. Pass system is da auch n billiges^^ Gibt aber ne comm da musste auch nen sicherheitscode eingeben und deine mailadresse, neben passwort und username. Nichts ist unknackbar + Multi-Zitat Zitieren
#5 23. Mai 2006 Flirtlife ist genau wie knuddels nur auf das geld der user aus , je mehr user , desto mehr geld , desto mehr features bietet der serviece den leuten.Ob man da die große liebe findet ? ich hatte i´mmer nur was zum f. gefunden , das war gut , weil umsonst und oft sehr gut aussehend. Darf man die ganze liste der passwörter hier veröffentlichen ? + Multi-Zitat Zitieren
#6 23. Mai 2006 LoL hatte mal dort ein account war aber lange her und das pw war 123456...^^..bin aber lange nicht mehr auf solchen flirt communities,is unnötig in meinem auge ich suche meine großbe liebe nicht im internet aber jede hat seine eigene meinung mfg sHU + Multi-Zitat Zitieren
#7 23. Mai 2006 LOL an den Passwörtern sieht man welches "Clientel" sich da rumtreibt, also der Großteil. Jemand der öfters im Netz aktiv ist, und dem sein Acc da lieb ist, nimmt doch ein anderes PW als 123456 mfg + Multi-Zitat Zitieren
#8 23. Mai 2006 lol echt? naja aber das 123456 ist nicht wirklich nen sinnvolles pw Oo gut das ich da nicht binn + Multi-Zitat Zitieren
#9 23. Mai 2006 immerhin sind auch pws wie: also nicht nur Kiddies mit unsicheren PWs. + Multi-Zitat Zitieren
#10 23. Mai 2006 Dann musste aber bedenken dass viele keine %)§="(=" usw erlauben. Dann werden die passes gleich wieder ne große spur unsicherer + Multi-Zitat Zitieren
#11 23. Mai 2006 ist mir eigentlich egal mein pw ich binn eh net oft in fl on mein pw war 123 aba egal jetzt ist des ja geändert + Multi-Zitat Zitieren
#12 23. Mai 2006 Naja, Passwörter ^^ Hatte über ein jahr bei Ogame als passwort nur "t3" weil mir schlicht nichts besseres eingefallen ist. Wurde nue gehäckt oder sonstwas bis die admins einfach gesagt haben, das PWs eine Mindestlänge von 5 haben müssen (und nebenbei alte Passwörter nie kürzer wie dies war gesperrt haben ohne die möglichkeit sie einfach zu ändern) + Multi-Zitat Zitieren