Mail mit emailadresse-login und korrektem Passwort

[battlecore]

Gerade diese mail bekommen. Da gruslige ist, da steht tatsächlich das richtige Passwort drin!

Das einzige wo ich die mailadresse und dieses Passwort benutzt habe war die Airdrop-Aktion von InitiativeQ die wir hier im Forum hatten. also bitte alle nochmal nachdenken ob ihr da irgendwo eure wirkliche email und passwort mal angegeben habt.

Ich schreib das gleich nochmal in den Thread da rein.

 

Hello!

 

I have very bad news for you.

03/08/2018 - on this day I hacked your OS and got full access to your account abcdefghijklm@yxz.de On this day your account abcdefghijklm@yxz.de has password: 123456789

 

So, you can change the password, yes.. But my malware intercepts it every time.

 

How I made it:

In the software of the router, through which you went online, was a vulnerability.

I just hacked this router and placed my malicious code on it.

When you went online, my trojan was installed on the OS of your device.

 

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

 

A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock.

But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!

I'm talk you about sites for adults.

 

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the normal course!

 

And I got an idea....

I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).

After that, I made a screenshot of your joys (using the camera of your device) and glued them together.

Turned out amazing! You are so spectacular!

 

I'm know that you would not like to show these screenshots to your friends, relatives or colleagues.

I think $829 is a very, very small amount for my silence.

Besides, I have been spying on you for so long, having spent a lot of time!

 

Pay ONLY in Bitcoins!

My BTC wallet: 1GR7rJfntdcbfhKT1s33RDby4z5ex1ou4Z

 

You do not know how to use bitcoins?

Enter a query in any search engine: "how to replenish btc wallet".

It's extremely easy

 

For this payment I give you a little over two days (exactly 55 hours).

As soon as this letter is opened, the timer will work.

 

After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically.

If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your "enjoys".

 

I hope you understand your situation.

- Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server)

- Do not try to contact me (you yourself will see that this is impossible, I sent this email from your account)

- Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server.

 

P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment!

 This is the word of honor hacker

 

I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation.

 

Do not hold evil! I just do my job.

Good luck.

 

[Jokin]

So eine eMail hatte ich auch bekommen - auch mit echter eMail-Adresse und dem korrekten Passwort.

Das Passwort war nur für diesen Account und ich hatte es seit einiger Zeit schon geändert gehabt.

Ich hab keine Ahnung wie mir das Passwort verloren ging - zeigt mir jedoch, dass gelegentliches Passwortändern wichtig ist. Insbesondrre zu den wirklich wichtigen eMail-Accounts.

[battlecore]

vor 8 Minuten schrieb Jokin:

So eine eMail hatte ich auch bekommen - auch mit echter eMail-Adresse und dem korrekten Passwort.

Das Passwort war nur für diesen Account und ich hatte es seit einiger Zeit schon geändert gehabt.

Ich hab keine Ahnung wie mir das Passwort verloren ging - zeigt mir jedoch, dass gelegentliches Passwortändern wichtig ist. Insbesondrre zu den wirklich wichtigen eMail-Accounts.

Ja jedes Passwort das man bei halbseidenen Seiten angibt kann im Prinzip davon betroffen sein. Ich konnte das jetzt genau zuordnen weil ich diese Mailadresse nur dafür benutzt hatte. Ist also einigermaßen eindeutig was da abläuft. Entweder ist es SCAM der genau das beabsichtigt hat oder es wurden dort die Passwörter geklaut oder ausgeschleust weil sie nicht gesichert waren.

[skunk]

Was lernen wir daraus? Immer einen Passwort Manager nutzen und für jede Seite ein neues Passwort generieren. Damit bekommt ein Angreifer nur Zugriff auf eine und nicht auf alle Seiten.

Beim Mail Konto am besten gleich noch 2FA oder sogar Yubikey aktivieren. Geht das Mail Konto hops, werden auch alle anderen Konten über Passwort Reset erobert.

Bearbeitet 23. November 2018 von skunk

[Jokin]

vor 9 Minuten schrieb skunk:

Immer einen Passwort Manager nutzen 

Ich warte derzeit auf die erste Malware, die sich die Passwortmanager vornimmt - welch ein gefundenes Fressen.

[battlecore]

vor 1 Minute schrieb Jokin:

Ich warte derzeit auf die erste Malware, die sich die Passwortmanager vornimmt - welch ein gefundenes Fressen.

Da brauchste nicht mehr warten, da bist etwa ein Jahrzehnt oder zwei zu spät.

Die Passwortmanager sind teils selbst die Malware.

[pauli]

vor 2 Stunden schrieb battlecore:

Gerade diese mail bekommen. Da gruslige ist, da steht tatsächlich das richtige Passwort drin!

 

 

Zitat:

Und ich habe eine Idee ...
Ich habe einen Screenshot der Websites für Erwachsene gemacht, auf denen Sie Spaß haben (verstehen Sie, worum es geht, oder?).
Danach machte ich einen Screenshot Ihrer Freuden (mit der Kamera Ihres Geräts) und klebte  zusammen.
Fand sich erstaunlich! Du bist so spektakulär!

 

Ich weiß, dass Sie diese Screenshots nicht Ihren Freunden, Verwandten oder Kollegen zeigen möchten.
Ich denke, 829 $ sind ein sehr, sehr kleiner Betrag für mein Schweigen.
Außerdem habe ich dich so lange ausspioniert, weil ich viel Zeit verbracht habe!

Zitat Ende

Und, hast bezahlt? Ts Ts, websites für Erwachsene, habe es gerade meiner Freundin übersetzt, die hat sich gekringelt vor Lachen..... 😁

Bearbeitet 23. November 2018 von pauli

[skunk]

vor 3 Stunden schrieb Jokin:

Ich warte derzeit auf die erste Malware, die sich die Passwortmanager vornimmt - welch ein gefundenes Fressen.

Der Vergleich hinkt. Willst du allen ernstes von Passwortmanagern abraten und lieber ein Standardpasswort auf mehreren Seiten nutzen? Das Maleware Problem hättest du dann nicht? Auch die anderen Angriffe vor denen ein Passwortmanager schützt sind nicht relevant?

Das gefundene Fressen sind alle User die kein Passwortmanager nutzen. Sagen wir mal ich will dein Geld und hier im Forum gibt es die Möglichkeit über SQL Injection an alle User Accounts ran zu kommen. Über ein Rainbowtable Angriff werde ich dann etwas mehr als 60% aller Passwörter bekommen. Menschen folgen bei ihrer Passwortwahl gewissen Regeln. "MeinBesondersSicheresPasswort4Coinforum!" Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen. Es ist auch noch lang. Die meisten Seiten würden das als sehr sicheres Passwort bezeichnen. Für mich ist das ein 5 stelliges Passwort. Sowas knacke ich in wenigen Minuten. Über solche oder andere Sicherheitslücken komme ich an dein Passwort. Dagegen kannst du dich nicht schützen weil ich das Forum und nicht dein PC angreife. Nehmen wir also an ich habe dein Passwort. Wo nutzt du das gleiche Passwort noch überall? Das ist dann ein gefundenes Fressen für mich.

Als Angreifer werde ich versuchen mit minimalem Aufwand den maximalen Gewinn zu erwirtschaften. Da ich relativ einfach an mehr als 60% aller Passwörter kommt, werde ich mir nicht die Mühe machen eine Malware speziell für einen Passwortmanager zu schreiben. Der Nutzen wäre zu gering. Wenn dann würde ich versuchen einen von mir geschriebenen Passwortmanager in Umlauf zu bringen aber genau dagegen kannst du dich recht einfach schützen. Insofern kann ich deinen Einwand so nicht stehen lassen.

Edit: Wenn wir schon dabei sind hier mal was man nicht als Passwort nutzen sollte.

Jedes bekannte oder auch zukünftige Datum. Hat zwar 8 Stellen inklusive Jahresangabe aber der gültige Wertebereich ist deutlich kleiner als bei einer 8 stelligen Zahl. So ein Passwort wird auch in sehr kurzer Zeit geknackt.

Außerdem ungünstig sind Wörter. Als Angreifer werde ich nicht den Duden nehmen um ein Wörterbuch zu erstellen. Neuerdings nimmt man dafür Youtube Kommentare oder ähnliches. Da findet man dann auch Wörter die so nicht im Duden zu finden sind. Auch Fremdwörter sind kein Thema. Mit einigen Transformationsregeln kann man erstaunlich viele Passwörter damit knacken. Man kann einige Buchstaben durch Zahlen austauschen, zwischen den Wörtern die 2, 4 oder das & Zeichen setzen und einige beliebte Sonderzeichen ans Ende setzen. Es gibt noch ein paar weitere ähnliche Regeln. Wer fühlt sich jetzt ertappt und hat das Bedürfnis sein Passwort zu ändern?

Bearbeitet 23. November 2018 von skunk

[Jokin]

vor 17 Minuten schrieb skunk:

Willst du allen ernstes von Passwortmanagern abraten

Ja, so war das gemeint.

vor 17 Minuten schrieb skunk:

und lieber ein Standardpasswort auf mehreren Seiten nutzen?

Nein, so war das nicht gemeint.

Ich habe für alles, was unwichtig ist ein Standard-Spam-Passwort, das ist mir egal wenn das verloren geht. Alles was wichtig ist hat individuelle Passwörter, die einem bestimmten Schema folgen. Du brauchst also mindestens zwei Passwörter um dieses Schema ansatzweise zu durchschauen.

vor 17 Minuten schrieb skunk:

Über ein Rainbowtable Angriff werde ich dann etwas mehr als 60% aller Passwörter bekommen.

Du hättest dann die gehashten Passwörter, die Dir nicht sooo richtig viel nützen.

SQL-Injections hab ich schon Anfang der 2000er in meinen Codes grundsätzlich abgefangen, nur noch wirklich lausig programmierte Software sollte das ermöglichen.

vor 17 Minuten schrieb skunk:

"MeinBesondersSicheresPasswort4Coinforum!" Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen. Es ist auch noch lang. Die meisten Seiten würden das als sehr sicheres Passwort bezeichnen. Für mich ist das ein 5 stelliges Passwort. Sowas knacke ich in wenigen Minuten.

Dann brauchst Du dafür nur 2 Minuten, es ist für Dich ein 2-stelliges Passwort:

*E16276B42F54D60412E616606243B7A111A708B1

... das ist das Ergebnis der password()-Funktion von MySQL - errate das Passwort 🙂

vor 17 Minuten schrieb skunk:

Wo nutzt du das gleiche Passwort noch überall?

Ich hab dasselbe Passwort wie hier in den meisten anderen Foren.

vor 17 Minuten schrieb skunk:

Da ich relativ einfach an mehr als 60% aller Passwörter kommt

Hmm, also dürftest Du obiges Passwort tatsächlich binnen weniger Minuten herausbekommen haben.

Ich hab sogar ganz bewusst ein sehr einfaches Passwort benutzt 🙂

Bearbeitet 23. November 2018 von Jokin

[Amsi]

vor 4 Stunden schrieb skunk:

Was lernen wir daraus?

Nicht seine Adresse und Passwort bei 8236283479769 "Airdrops" und den ganzen Refshit angeben.
Man kann natürlich für jede eine eigene Mail und Passwort verwenden, aber ich denke es machen "genug" Leute eben nicht.

[battlecore]

vor 13 Stunden schrieb skunk:

Der Vergleich hinkt. Willst du allen ernstes von Passwortmanagern abraten und lieber ein Standardpasswort auf mehreren Seiten nutzen? Das Maleware Problem hättest du dann nicht? Auch die anderen Angriffe vor denen ein Passwortmanager schützt sind nicht relevant?

 

Zitat gekürzt

Wie ich oben ja schon schrieb sind die Passwortmanager an sich ja das Problem. Egal wo man irgendwas im internet sucht, immer wieder werden einem Passwortmanager angeboten für alles mögliche. Ob dann der auserwählte auch sicher ist oder doch nur ein SCAM kann man vorher nicht wissen wenn man nicht ausgiebig Informationen darüber sucht. Auch wenn man einen sicheren Passwortmanager benutzt kann es immer noch sein das er über den Speicherort der Passwörter angegriffen werden kann, oder ein Server auf dem die Passwörter dämlicherweise gespeichert werden. Oder oder oder.

Gar nichts machen kann man aber bei Seiten die nur auf so etwas aus sind. Das kann man jetzt bei InitiativeQ ja sehen das es nicht sicher ist. Ob nun die Seite selbst extra zum mailadressen und Passwörter abgreifen gemacht wurde oder ob die Seite angegriffen wurde wissen wir jetzt ja nicht.

Ich mache mir das aber relativ einfach. Meine Passwörter für unwichtige Sachen sind relativ gleich. Für wichtige Sachen sind die Passwörter so gewählt das sie weder in einem Wörterbuch noch sonstwo in öffentlichen Texten zu finden sind. Nach diesem Schema richte ich mich zum Beispiel. Ausnahmen bestätigen aber die Regel, es gibt son paar Insiderwitze mit Wortspielen die ich ab und zu mit einflechte

Ein Beispiel: Wer errät das Passwort das ich aus dem Mischrezept für Rosso Monza 159 BL+ gemacht habe?? Also die Vorlage war jetzt echt mehr als steil.

Alternative: Wer errät das Passwort das ich aus den Fahrgestellnummern einiger geschlachteter Lancia Delta 836 HF Turbo  gemacht habe? Das ist jetzt echt mehr als easy.

Wer es errät hat die Ehre das ich meine Spende an die Arche für Weihnachten verdoppele. Normalerweise 50 Euro, ich mach 100 draus. Obwohl, jetzt spend ich soweiso 100. aber ihr habt ein gutes Gefühl das ihr mich dazu gebracht habt. Ist doch auch was ne. Kinderglück von ner Wette abhängig machen war mir jetzt doch zu pervers.

Bearbeitet 24. November 2018 von battlecore

[skunk]

vor 13 Stunden schrieb Jokin:

Nein, so war das nicht gemeint.

Ich habe für alles, was unwichtig ist ein Standard-Spam-Passwort, das ist mir egal wenn das verloren geht. Alles was wichtig ist hat individuelle Passwörter, die einem bestimmten Schema folgen. Du brauchst also mindestens zwei Passwörter um dieses Schema ansatzweise zu durchschauen.

Und genau das ist das Problem. Schau dir zum Spaß mal Hashcat an. Da kannst du dein erdachtes Schema als Regel hinterlegen und dann mal prüfen wie viele andere User das gleichen Schema nutzen. Wer glaubst als Mensch ein Schema gefunden zu haben, der tappt doch exakt in die Falle die ich hier gerade versuche zu erklären. Genau dagegen schützt der Passwortmanager. Die Angreifer sind nicht blöd. Es gibt im Internet Listen und die Herausforderung ist es dann so viele Passwörter wie möglich von diesen Listen zu knacken. Die Erfolgsquote ist erschreckend groß. Kannst du selbst ausprobieren: https://www.notsosecure.com/one-rule-to-rule-them-all/

Um es mit aller Deutlichkeit zu sagen. Wer glaubt sich selbst ein Passwort ausdenken zu können, der gehört mit aller Wahrscheinlichkeit zu den 65%, die geknackt wurden. Haben diese 65% mit Absicht ein unsicheres Passwort bzw eine unsicheres Schema gewählt? Nein sie denken Ihre Regel wären sicher gewesen genau wie du das von deiner glaubst. Zählen dich also besser mit zu der Gruppe und überdenke deine Situation.

vor 13 Stunden schrieb Jokin:

Du hättest dann die gehashten Passwörter, die Dir nicht sooo richtig viel nützen.

Diese Hash Listen sind Gold Wert wie du an oben stehendem Link sehen kannst. Folgendes passiert sobald ein neuer Server gehackt wurde.
1.) Die Liste wird im Internet verteilt oder gegen Geld verkauft.
2.) Andere Hacker lassen Programme darüber laufen um möglichst viele Passwörter zu knacken. Ziel ist es eine Regel mit besonders hoher Erfolgsquote zu finden.
3.) Jetzt werden die verbleibenden 40% betrachtet. Es wird einfach eine Reihe von Zufälligen Regeln generiert. Die Regeln mit hoher Erfolgsquote werden immer weiter verbessert. Das mag einige Tage oder Wochen dauern. Am Ende dieses Prozesses haben alle Hacker ein Satz neuer Regeln mit der sie in Zukunft auch dein Passwort knacken können.

Vor kurzem dachte ich noch es würde reichen wenn jede Webseite die Passwörter zusammen mit einem Salt durch die Hash Funktion jagt. Leider sind die Tools zum knacken der Hashlisten auch darauf vorbereitet. Kostet nur etwas mehr Zeit dann ist der Salt bekannt mit dem selben Resultat am Ende.

Soviel zu den vermeintlich unnützen gehashten Passwörtern. Die sind wie gesagt Gold Wert. Selbst wenn du auf jeder Seite ein anderes Passwort nutzt, steigt mit jeder veröffentlichten Hash Liste das Risiko, dass alle deiner Passwörter geknackt werden. -> Passwörter besser von einem Passwortmanager generieren lassen.

vor 13 Stunden schrieb Jokin:

SQL-Injections hab ich schon Anfang der 2000er in meinen Codes grundsätzlich abgefangen, nur noch wirklich lausig programmierte Software sollte das ermöglichen.

Das habe ich bis vor kurzem auch gedacht aber ich habe nicht mit der Inkompetenz der Menschen gerechnet die sich selbst für gute Programmier hält. Es ist abenteuerlich was dabei rauskommt. Dank ICO wird solchen Leuten auch noch massenhaft Geld hinterher geworfen. Sie bekommen zu wenig Geld um sich sofort zur Ruhe setzen zu können. Sie bekommen aber zu viel Geld um aus ihren Fehlern zu lernen. So züchten wir uns gerade eine Generation von Vollidioten ran, die nichts anderes können als Scam und Shit Coins zu implementieren. Ja die bauen auch weiterhin SQL Injection ein weil sie davon noch nie etwas gehört haben. Selbst ohne SQL Injection gibt es noch genug andere Möglichkeiten um an die Daten ran zu kommen.

vor 14 Stunden schrieb Jokin:

Dann brauchst Du dafür nur 2 Minuten, es ist für Dich ein 2-stelliges Passwort:

*E16276B42F54D60412E616606243B7A111A708B1

... das ist das Ergebnis der password()-Funktion von MySQL - errate das Passwort 🙂

 

Das wäre Illegal oder zumindest eine Grauzone. Der Besitz der Tools ist in Deutschland erlaubt. Tests ob das eigenen System sicher ist, sind ebenfalls erlaubt. Fremde Systeme zu testen ist dagegen illegal. Selbst eine schriftliche Erlaubnis oder sogar ein Bounty machen es nicht besser. Diese Grauzone möchte ich nicht betreten. Wenn dann müsstest du selber dein Passwort testen. Die notwendigen Tools und Befehle kann ich dir via PM zukommen lassen wenn gewünscht.

vor einer Stunde schrieb battlecore:

Wie ich oben ja schon schrieb sind die Passwortmanager an sich ja das Problem. Egal wo man irgendwas im internet sucht, immer wieder werden einem Passwortmanager angeboten für alles mögliche. Ob dann der auserwählte auch sicher ist oder doch nur ein SCAM kann man vorher nicht wissen wenn man nicht ausgiebig Informationen darüber sucht. Auch wenn man einen sicheren Passwortmanager benutzt kann es immer noch sein das er über den Speicherort der Passwörter angegriffen werden kann, oder ein Server auf dem die Passwörter dämlicherweise gespeichert werden. Oder oder oder.

Ja klar beim Passwortmanager einfach den erst besten Trojaner installieren aber ohne Passwortmanager auf keinen Trojaner reinfallen? Bitte nochmal die Argumentation überdenken. Wer sich einen solchen Trojaner installiert der macht diesen Fehler bei jeder Software und nicht speziell beim Passwortmanager.

Meine Argumentation ist dagegen, dass man sich sehr einfach vor all diesen Risiken schützen kann. Folgendes wäre meine Empfehlung:

1.) Keepass installieren. Der ist Open Source, für seine Sicherheit bekannt und es gibt kein Online Backup eurer Passwörter oder ähnliche Risiken. Alles lokal auf eurem PC.
2.) Passwort Datenbank mit einem sicheren Passwort absichern. Die "PoW challenge" hochsetzen (Database Settings -> Security). Ich habe diese "PoW" challenge so hoch gedreht, dass jeder Versuch ca 2 Sekunden dauert. Die Tools können mein Passwort knacken aber wenn sie pro Versuch 2 Sekunden benötigen dann schaffen sie es nicht mehr in diesem Leben.

Alternativ können auch Zertifikate oder Yubikey genutzt werden. Ich neige aber dazu den USB Stick mit der Zertifikatsdatei im Notebook stecken zu lassen was bei einem Diebstahl ungünstig wäre. Daher nutze ich ein Passwort.
3.) Regelmäßige Backups der Passwort Datenbank sonst gehen bei einem Hardware Fehler alle Passwörter verloren.
4.) FAQ bezüglich weiterer Sicherheitsmaßnahmen befragen. Unter anderem kann Keepass auch die Passwörter so eingeben, dass selbst ein Keylogger sie nicht kopieren kann. Es stehen auch einige Browser Plugins zur Verfügung die einem den gewohnten Service beim Login bieten aber ohne dabei gleich die Sicherheit komplett zu untergraben.

vor 1 Stunde schrieb battlecore:

Ein Beispiel: Wer errät das Passwort das ich aus dem Mischrezept für Rosso Monza 159 BL+ gemacht habe?? Also die Vorlage war jetzt echt mehr als steil.

Ich habe mich vielleicht etwas unglücklich ausgedrückt. Das Wörterbuch dient eigentlich nur als eine art besserer Zufallsgenerator. Ein völlig neu erfundenes Wort würde auch weiterhin bekannte Buchstaben Kombination enthalten. Die menschliche Sprache folgt gewissen Regeln und genau diese kann man mit einem Wörterbuch nachahmen ohne gleich einen 1zu1 Treffer notwendig zu machen. Es ist also nicht notwendig ein Wort in seinem Passwort zu haben. Es reicht völlig wenn man sein Passwort lesen kann. Wenn das möglich ist, dann werden die lesbaren Teile in einem Wörterbuch zu finden sein.

vor 1 Stunde schrieb battlecore:

Alternative: Wer errät das Passwort das ich aus den Fahrgestellnummern einiger geschlachteter Lancia Delta 836 HF Turbo  gemacht habe? Das ist jetzt echt mehr als easy.

Kein Thema. Anstelle der Wortliste einfach eine Liste von Fahrgestellnummern nehmen und dann wie gehabt vorgehen. Ein paar Transformationsregeln und schon kann man auch diese Passwörter knacken.

vor 1 Stunde schrieb battlecore:

Wer es errät hat die Ehre das ich meine Spende an die Arche für Weihnachten verdoppele. Normalerweise 50 Euro, ich mach 100 draus. Obwohl, jetzt spend ich soweiso 100. aber ihr habt ein gutes Gefühl das ihr mich dazu gebracht habt. Ist doch auch was ne. Kinderglück von ner Wette abhängig machen war mir jetzt doch zu pervers.

Wie gesagt ich werde diese Grauzone nicht betreten. Die Tools habe ich darf sie aber nur gegen meine eigenen Passwörter anwenden. Wenn dann musst du deine Passwörter selber testen.

[battlecore]

@skunk

so ungefähr hab ich dich verstanden was du meintest. Ich ging jetzt halt von Wörterbuchattacken aus um Passwörter zu erraten.

Wenn man das nicht 1:1 erraten braucht,  würde das im Prinzip dann heissen das gar kein Passwort etwas nutzt egal wie es aussieht. Dann wäre auch ein Passwortmanager unnütz weil der  vielleicht zwar Passwörter generieren kann, aber selbst auch durch ein Passwort geschützt werden muss? Und das denkt sich der Mensch aus, ein gut zu merkendes Passwort, statt eines Passwortes das der PW-Manager vorschlägt. Warscheinlich also ein eher einfaches, zu erratendes.

Der Mensch ist faul und ein Gewohnheitstier.

Aber mein Misstrauen gegen Passwortmanager ist vorhanden.

Um zum Ursprung zurückzukehren, in dem Fall mit InitiativeQ nutzt kein Passwort der Welt. Obwohl das ja ein vollkommen dumpfer Angriff ist.

Bearbeitet 24. November 2018 von battlecore

[skunk]

vor 50 Minuten schrieb battlecore:

Wenn man das nicht 1:1 erraten braucht,  würde das im Prinzip dann heissen das gar kein Passwort etwas nutzt egal wie es aussieht.

Der Passwort Manager würde zum Beispiel "¤¶ê->³"ôÑI+ëÓz)̲B®ÁHé@%AWÙÙ¡7Ë×·ISµj`ÒàfÈk~BRº«ô[" generieren. Der Angriff mit dem Wörterbuch zielt auf die Schwachstelle Mensch ab. Ein Mensch hat im Kopf eine Liste von Wörtern oder auch Fahrgestellnummern. Er überlegt sich dazu eine tolle Regel, die er sich merken kann und glaubt damit ein sicheres Passwort generieren zu können. Der Angreifer baut die Liste nach (Wörterbuch oder ähnliches) so baut auch die Regeln nach oder nimmt einfach zufällig Regeln. So kommt er an die Passwörter. Funktioniert nur bei Passwörtern die vom Menschen generiert werden. Es funktioniert nicht bei dem Beispiel Passwort weil das eine zufällige Zeichenfolge ist.

vor 50 Minuten schrieb battlecore:

Dann wäre auch ein Passwortmanager unnütz weil der  vielleicht zwar Passwörter generieren kann, aber selbst auch durch ein Passwort geschützt werden muss? Und das denkt sich der Mensch aus, ein gut zu merkendes Passwort, statt eines Passwortes das der PW-Manager vorschlägt. Warscheinlich also ein eher einfaches, zu erratendes.

Am sichersten sind Yubikey oder ein USB Stick mit einer Zertifikatsdatei. Damit ist die Passwort Datenbank auch vor diesem Risiko geschützt.
Alternativ wie oben beschrieben die "PoW Challenge" hochschrauben. In meinem Fall sind es derzeit 2 Sekunden pro Versuch. Nehmen wir mal eine 8 Stellige Zahl (kein Datum!). Nach ca 50 Millionen Versuchen wird der Angreifer das richtige Passwort erraten können. Dauert in meinem Fall aber 100 Millionen Sekunden. Das wird also 3 Jahre dauern. Ich brauche aber nur maximal 3 Wochen um mein Backup wiederherzustellen und dann alle Passwörter neu zu generieren. Damit hat der Angreifer nach 3 Jahren den 8 Stelligen Pin erraten kann aber mit dem Inhalt nichts mehr anfangen.

(Nein ich nutze keine 8 Stellige Zahl für meinen Passwort Manager. Ich habe die Messlatte nochmal deutlich höher gesetzt. Ich will nur sagen die "PoW" Challenge macht hier den entschiedenen Unterschied.)

vor 50 Minuten schrieb battlecore:

Um zum Ursprung zurückzukehren, in dem Fall mit InitiativeQ nutzt kein Passwort der Welt. Obwohl das ja ein vollkommen dumpfer Angriff ist.

Das ist so nicht ganz richtig. Jedes von Menschen generierte Passwort ist Gold Wert. Selbst wenn du dir für InitiativeQ ein komplett neues Passwort ausdenkst so gibst du den Angreifern zusätzliche Daten mit der er am Ende alle deine Passwörter knacken wird. Nimm besser einen Passwortmanager. Der generiert zufällige Zeichenfolgen die dem Angreifer nicht ermöglichen eine Regel zu erstellen mit der er auch alle anderen Passwörter errät.

Bearbeitet 24. November 2018 von skunk

[battlecore]

Mit den Jahren und Wochen bei deinem Passwort liegst du vielleicht falsch. Je nachdem wie oft jemand sein Passwort wechselt. Wenn man erst wechselt wenn man den Diebstahl bemerkt, ist alle Mühe vergebens.

Meine Passwörter folgen nicht den gleichen Regeln. Die Regel ist ja das die Passwörter eben nicht einer Regel folgen. Eine Regel würde Passwörter wie Qwertz123 ergeben, danach dann Qwertz456, usw. So machen es Arbeitskollegen z.b. bei der Arbeit am Computer.

[Jokin]

Am 24.11.2018 um 11:20 schrieb skunk:

Das wäre Illegal oder zumindest eine Grauzone. Der Besitz der Tools ist in Deutschland erlaubt. Tests ob das eigenen System sicher ist, sind ebenfalls erlaubt. Fremde Systeme zu testen ist dagegen illegal. Selbst eine schriftliche Erlaubnis oder sogar ein Bounty machen es nicht besser. Diese Grauzone möchte ich nicht betreten. Wenn dann müsstest du selber dein Passwort testen. Die notwendigen Tools und Befehle kann ich dir via PM zukommen lassen wenn gewünscht.

 Ich habe eine Zeichenfolge gehasht, kein System abgesichert.

Also kannst Du den Hash in eine plausible Zeichenfolge zurückwandeln oder nicht?

Innerhalb von 2 Minuten.

[skunk]

Am 25.11.2018 um 14:08 schrieb Jokin:

 Ich habe eine Zeichenfolge gehasht, kein System abgesichert.

Also kannst Du den Hash in eine plausible Zeichenfolge zurückwandeln oder nicht?

Innerhalb von 2 Minuten.

Ein Durchlauf mit halber CPU Leistung dauert etwas mehr als eine Minute. Ich habe das erst beste deutsche Wörterbuch genommen was ich finden konnte. Ein Passwort mit 2 Wörtern? Für das optional & Zeichen / Ziffer zwischen beiden Wörtern habe ich jetzt einfach das & Zeichen genommen. Ich müsste den Versuch mit der Ziffer 2 und 4 wiederholen und auch das Sonderzeichen am Ende fehlt noch. Groß und Kleinschreibung habe ich ebenfalls nicht getestet. Wenn man mal die maximal Ausprägung nimmt, dürfte der Spaß ca 40 Minuten dauern. Wenn ich es nicht in einer VM laufen lasse sondern die volle CPU Leistung zuweise, dann wäre es auch in unter 20 Minuten machbar.

Was mir aktuell fehlt ist eine Regel um das alles in einem Durchlauf abdecken zu können und eine Installation auf bare metal um nicht auf die VM Limitierung beschränkt zu sein. Ist wie gesagt in Deutschland nicht erlaubt daher sind meine Erfahrungen auf dem Gebiet beschränkt. Magst du mir vielleicht etwas mehr zu deinem Passwort sagen? Deutsche Wörter? Nur Kleinbuchstaben oder mit Großbuchstaben? Zahlen und Sonderzeichen?

Bearbeitet 26. November 2018 von skunk

[Jokin]

vor 11 Minuten schrieb skunk:

Deutsche Wörter? Nur Kleinbuchstaben oder mit Großbuchstaben? Zahlen und Sonderzeichen?

Von jedem etwas - das Passwort ist wirklich einfach und Du wirst Dir denken "oh man - hätte ich mir auch ohne meine Tools denken können" 😉 

[skunk]

Ich versuche hier nur etwas Aufklärung zu betreiben. Ob ich mir das Passwort hätte denken können oder nicht sollte dafür keine Rolle spielen. Für mich persönlich eher interessant ist die Frage wie ich die Tools richtig bedienen müsste. Da stelle ich mich aktuell etwas zu blöd für an.

[Jokin]

Na gut - also das Ding hat ein deutsches Wort, eine Ziffer, einen zusammengesetzten englischen Begriff und ein Sonderzeichen drin. 

[koiram]

Am 24.11.2018 um 14:20 schrieb skunk:

Der Passwort Manager würde zum Beispiel "¤¶ê->³"ôÑI+ëÓz)̲B®ÁHé@%AWÙÙ¡7Ë×·ISµj`ÒàfÈk~BRº«ô[" generieren.

Super, dieses Passwort sieht sicher aus, das nehme ich jetzt für alle meine Accounts...

Im Ernst: So ein Passwort muss man ja irgendwo abspeichern, das kann man sich schwer merken. Und dann ist ein Passwort ja auch nicht mehr sicher...

Dann lieber ein Passwort wie "Ihm!2018§bCFa$uIüCzb%", was man sich mit dem passenden Merksatz ("Ich habe mich 2018 beim Coin-Forum angemeldet...") merken könnte.

[Axiom0815]

vor 1 Stunde schrieb koiram:

Super, dieses Passwort sieht sicher aus, das nehme ich jetzt für alle meine Accounts...

Im Ernst: So ein Passwort muss man ja irgendwo abspeichern, das kann man sich schwer merken. Und dann ist ein Passwort ja auch nicht mehr sicher...

Dann lieber ein Passwort wie "Ihm!2018§bCFa$uIüCzb%", was man sich mit dem passenden Merksatz ("Ich habe mich 2018 beim Coin-Forum angemeldet...") merken könnte.

Bei Passworten kommen immer die "ganz schlauen Empfehlungen". Ich selbst habe schon in USA vor der Tastatur gesessen und krampfhaft überlegt, wie ich jetzt meine "Super Sonderzeichen" eingeben kann zum login.

Ne, mindestens die Bitcoin Fans sollten wissen, ein paar zufällige Wörter hintereinander erreichen eine hohe Sicherheit. Man sollte 128 bit "Zufall" (Entropie ) oder mehr (256 bit) benutzen.
Dazu muss man nur eine beliebige HD Wallet bemühen und den Seed  nutzen. (Wallet natürlich löschen.)
Oder hier ... https://iancoleman.io/bip39/, oder hier https://bip32jp.github.io/english/ ...

(Zum sehr guten, preiswerten Zufallsgenerator muss ich ja wohl nichts mehr sagen. 20-seitiger Würfelª oder 16-seitiger Würfel (Hexadezimal!!!)ª 
Mindestens jeder Bitcoiner sollte darüber bescheid wissen und sein Seed sicher erzeugen.)

Axiom

Bearbeitet 27. November 2018 von Axiom0815

[Fantasy]

Ein durchaus interessanter Thread. @skunk hat hier zum Glück die komischen "Einwände" bezüglich PW-Manager richtig gestellt.

Bei PW-Manger und Malware musste ich doch ein bisschen schmunzeln. Wie schon richtig erläutert, ist z.B. Keepass open source und ein Tool, welches sich längst bewährt hat. Wäre da jemals Malware drauf gewesen, würde es im Netz von diesen "Sicherheitslücken-Warnungen" ja nur noch wimmeln. Dem ist aber nicht so.

Dennoch habe ich das Gefühl, (rein von der Technik her) bei skunk nur etwa 30% zu verstehen

Daher meine vierFragen: warum ist

Am 23.11.2018 um 20:08 schrieb skunk:

MeinBesondersSicheresPasswort4Coinforum

nur ein fünfstelliges PW für dich? Ok, es sind fünf Wörter und eine Zahl, das wären doch mind. 6 Stellen. Folgefrage: Warum zählst du ein Wort als eine Stelle?

Dritte Frage: Ich dachte es kommt hauptsächlich auf die LÄNGE des Passwortes an, nach dem Lesen deines Beitrags bin ich mir nicht mehr so sicher. Das oben genannte Beispiel war lang genug aber laut deiner Aussage ist es ein leicht zu knackendes PW.

Vierte und vorerst letzte Frage: sollten die meisten (seriösen) Webseiten nicht nach dem 3. Versuch am besten abschalten / Timer laufen lassen / Benachrichtigung rausschicken etc. Irgend eine Sicherheitsmaßnahme sollte doch vorhanden sein. Bei ebay/amazon kann ich - wenn ich es richtig im Kopf habe - auch nicht beliebig oft verschiedene PW-Kombinationen ausprobieren.
 

Am 24.11.2018 um 11:20 schrieb skunk:

Die notwendigen Tools und Befehle kann ich dir via PM zukommen lassen wenn gewünscht.

War zwar nicht angesprochen, aber ich habe Interesse   allerdings nicht zum Missbrauch sondern um andere zu sensibilisieren und zu zeigen, wie schnell das gehen kann.

[Jokin]

vor 16 Minuten schrieb Fantasy:

Wie schon richtig erläutert, ist z.B. Keepass open source und ein Tool, welches sich längst bewährt hat. Wäre da jemals Malware drauf gewesen, würde es im Netz von diesen "Sicherheitslücken-Warnungen" ja nur noch wimmeln. Dem ist aber nicht so.

Es ist nicht schwer eine Webseite zu erstellen mit Informationen wie man Keypass benutzt und man bietet die Originalversion an.

Da das Ding OpenSource ist, kann man da prima zu einem späteren beliebigen Zeitpunkt eine neue Version zum mit Schadcode erstellen, der sehr einfach ist ("lade passwort + keypass-DB auf externen Server") und bietet diese Version lediglich für ein paar Tage an und danach wieder die alte Version.

Die wenigsten User bekommen das mit, insbesondere wenn ich die Webseite auch mit sonstigen Sicherheits-News aktuell halte und die User gern wiederkommen.

Das wirklich Fatale an der Sache: Gerade diejenigen, die immer die letzten Updates haben wollen, werden darauf reinfallen und eine neue Version ziehen - sie werden gar nicht bemerken wie ich ihnen eine falsche Version unterjubel.

Auf diese Weise erhalte ich nicht nur ein einziges Passwort sondern auch noch sämtliche Zugänge, die der User irgendwo hat. Ich muss nur dafür sorgen, dass er nicht merkt, dass ihm seine Passwörter abhanden gekommen sind und kann ganz gemütlich mit aller Ruhe schauen wo es sich lohnt abzuwarten und strategisch vorgehen.

Meine Webseite kann ich sogar noch dazu benutzen um bestimmte Dienste zu bewerben "Erstelle Coinbase-Account und sorge mit Bitcoin vor" - später sammle ich alle Zugänge der User ein.

Worauf ich hinaus will und Ihr bestätigt meine Theorie wunderbar: Single-Point-Of-Failure! ... Ihr gebt etwas aus der Hand was Ihr dringend und zwingend in der eigenen Hand behalten müsst.

[Fantasy]

vor 1 Stunde schrieb Jokin:

Worauf ich hinaus will und Ihr bestätigt meine Theorie wunderbar: Single-Point-Of-Failure! ... Ihr gebt etwas aus der Hand was Ihr dringend und zwingend in der eigenen Hand behalten müsst.

Das sehe ich nicht so. Deine Theorie beruht ja nur auf der Annahme, dass man auf deine Scam-Seite hereinfällt.

Also sorry, wer sich einen Passwort-Generator von "irgend einer Seite" herunterlädt und nicht von der "originalen", ja, dem ist tatsächlich nicht zu helfen.