Mail mit emailadresse-login und korrektem Passwort

[Jokin]

vor 3 Minuten schrieb Fantasy:

Deine Theorie beruht ja nur auf der Annahme, dass man auf deine Scam-Seite hereinfällt.

Unterschätze nie die Dummheit anderer 😉

[Fantasy]

Natürlich nicht. Dass man Ratten mit billigen Mitteln fangen kann, ist ja bekannt

Aber wenn wir von "normalen", aufgeweckten Usern reden, dann ist das nicht so einfach.

[skunk]

vor 7 Stunden schrieb koiram:

Im Ernst: So ein Passwort muss man ja irgendwo abspeichern, das kann man sich schwer merken. Und dann ist ein Passwort ja auch nicht mehr sicher...

Genau diese Aufgabe übernimmt der Passwortmanager. Das Passwort wird gespeichert aber auf eine Art und Weise, dass ein Angreifer wie vorgerechnet 3 Jahre braucht um an die Passwörter zu kommen. Vorausgesetzt man folgt den Ratschlägen.

vor 7 Stunden schrieb koiram:

Dann lieber ein Passwort wie "Ihm!2018§bCFa$uIüCzb%", was man sich mit dem passenden Merksatz ("Ich habe mich 2018 beim Coin-Forum angemeldet...") merken könnte.

Ich würde es nicht riskieren. Es gibt auch dafür Strategien in den einschlägigen Foren. Als Wörterbuch wird für diesen Angriff einfach ein Buch genommen oder vergleichbare Quellen in denen man komplette Sätze findet. Dann einfach die Anfangsbuchstaben aneinander Ketten und die Sonderzeichen sind die von Menschen häufig gewählten Zeichen. An der Stelle steige ich mit meinem begrenzten Wissen auf dem Gebiet aber aus. Um diese Strategien zu testen fehlt mir leider die Zeit.

Spontan hätte ich gesagt, dass $%&!*+ usw als Sonderzeichen ungeeignet sind. Nimm besser was ausgefallenes wie °|². Die Position des Sonderzeichen ist bereits perfekt. Besser das Sonderzeichen nicht ans Ende stellen so wie es die meisten Menschen machen würden. Eigennamen wie Coinforum sind grundsätzlich gut weil das Wörterbuch damit größer wird aber natürlich nur solange du das Passwort nicht auf dieser Seite hier einsetzt. Als Angreifer werde ich für einen gezielten Angriff das Wort Coinforum sofort in mein Wörterbuch aufnehmen womit der Effekt hinüber wäre. Auch ungünstig wäre der Name deines Haustiers bei Facebook zu veröffentlichen und dann hier im Forum als Passwort zu nutzen. Auch damit rechnet der Angreifer und nimmt die entsprechenden Informationen mit in sein Wörterbuch auf.

vor 4 Stunden schrieb Fantasy:

nur ein fünfstelliges PW für dich? Ok, es sind fünf Wörter und eine Zahl, das wären doch mind. 6 Stellen. Folgefrage: Warum zählst du ein Wort als eine Stelle?

"MeinBesondersSicheresPasswort4Coinforum"

Ich habe für den Test ein deutsches Wörterbuch genommen. Bei 2 Wörtern dauert der Spaß nur 1 Minute und das unabhängig von der Anzahl der Zeichen. In der einen Minute wird jedes Wort mit jedem Wort kombiniert. Nehmen wir mal ein Wörterbuch mit nur zwei Wörtern. Daraus ergeben sich 4 Kobinationen. PasswortPasswort, PasswortCoinforum, CoinforumCoinforum, und CoinforumPasswort. Erklärt das warum es von der Sicherheit in etwa einer zweistelligen Zahl entspricht? Der Vergleich soll nur verdeutlichen, dass ein Passwort mit besonders vielen Zeichen nicht so sicher ist wie man glaubt.

Als Ziffer wählt der Mensch sehr häufig die 2 oder 4. Der Grund dafür dürfte einleuchten. Ähnliches Regeln gibt es auch für Sonderzeichen. Damit ist die Sicherheit nur minimal höher als zuvor um genau zu sein würde ich die zwei Ziffern und & als Sonderzeichen probieren. Der Angriff dauert dadurch nur minimal länger obwohl das hinzufügen von Sonderzeichen und Zahlen doch vermeintlich die Sicherheit deutlich erhöhen sollten. Genau auf diesen Denkfehler möchte ich hinweisen. Mein Wissen auf dem Gebiet ist begrenzt. Geht einfach davon aus, dass die Angreifer noch ein paar weitere Tricks auf Lager haben die dann auch die von euch gewählten Zahlen und Sonderzeichen abdecken.

vor 5 Stunden schrieb Fantasy:

Dritte Frage: Ich dachte es kommt hauptsächlich auf die LÄNGE des Passwortes an, nach dem Lesen deines Beitrags bin ich mir nicht mehr so sicher. Das oben genannte Beispiel war lang genug aber laut deiner Aussage ist es ein leicht zu knackendes PW.

Die entscheiden Frage ist wie groß mein Wörterbuch sein muss. In der Hinsicht versagt mein Beispiel natürlich völlig. Die von mir gewählten Wörter sind trivial und wären selbst in einem kleinen Wörterbuch zu finden. Entsprechend schnell würde der Angriff erfolgreich sein. Muss ich dagegen auf größere Wörterbücher zurückgreifen, steigt die Dauer des Angriffs deutlich. Mangels Erfahrung kann ich aber nicht sagen ab wann ein solches Passwort als sicher durchgehen würde. Ich bleibe dann besser bei 50 zufälligen Zeichen mit einem gewaltigen Zeichenvorrat. Da bin ich mir sicher.

vor 5 Stunden schrieb Fantasy:

Vierte und vorerst letzte Frage: sollten die meisten (seriösen) Webseiten nicht nach dem 3. Versuch am besten abschalten / Timer laufen lassen / Benachrichtigung rausschicken etc. Irgend eine Sicherheitsmaßnahme sollte doch vorhanden sein. Bei ebay/amazon kann ich - wenn ich es richtig im Kopf habe - auch nicht beliebig oft verschiedene PW-Kombinationen ausprobieren.

Ja die meisten Seiten haben einen Counter. Der schützt aber nicht in jedem Fall. Folgende Strategien funktionieren trotzdem:
1.) Ein Passwort für mehrere Seiten. Wird die Datenbank vom Coinforum gehackt, habe ich mit der Passwort Hash Liste beliebig viele Versuche. Außerdem kann ich mir mehrere Tage Zeit nehmen und selbst komplizierte Passwörter probieren. Ich muss jedes Passwort nur einmal probieren und kann das Resultat mit der kompletten Listen vergleichen. Bei genug Usern gibt es da garantiert einige Treffer. Mal angenommen ich errate dein Passwort. Wo kann ich das gleiche Passwort noch nutzen? Da hilft dann auch kein Counter bei Paypal wenn es das gleiche Passwort ist.
2.) Selbst seriöse Seiten zählen die Versuche hoch aber warnen den User nur ungenügend. Ich kann auch einfach mehrere Millionen Usernamen mit einem Passwort probieren. Am nächsten Tag wähle ich das nächste Passwort von der Liste. Logst du dich alle 3 Tage ein, wird der Counter zurückgesetzt und du merkst nichts von dem Angriff. Aus meiner Sicht sind das dann trotzdem mehrere Millionen Versuche pro Tag.
3.) Selbst der Counter ist keine Garantie. Ich habe meine ersten Erfahrungen mit einem Online Spiel gemacht. Die Webseite hatte einen Counter. Das Spiel in der aktuelle Version auch. In den ersten Beta Versionen fehlte der Schutz aber. In meinen damals noch jungen Jahren habe ich schon erstaunlich viele Accounts knacken können. Im Forum wurden entsprechende Meldungen nicht ernst genommen weil es in der aktuellen Version mit Counter nicht möglich sei. Die Tücke liegt eben im Detail.

In allen 3 Fällen hätte der Passwortmanager geholfen.

vor 5 Stunden schrieb Fantasy:

War zwar nicht angesprochen, aber ich habe Interesse   allerdings nicht zum Missbrauch sondern um andere zu sensibilisieren und zu zeigen, wie schnell das gehen kann.

Kein Thema. Ich muss zwar grundsätzlich etwas aufpassen wem ich diese Information alles gebe aber dich zähle ich mit zu den Personen denen ich genug vertraue. Lass mich bei Gelegenheit nochmal versuchen das einen Passwort zu knacken dann kann ich dir die entsprechenden Befehle gleich mit in die PM schreiben.

vor 5 Stunden schrieb Jokin:

Es ist nicht schwer eine Webseite zu erstellen mit Informationen wie man Keypass benutzt und man bietet die Originalversion an.

Da das Ding OpenSource ist, kann man da prima zu einem späteren beliebigen Zeitpunkt eine neue Version zum mit Schadcode erstellen, der sehr einfach ist ("lade passwort + keypass-DB auf externen Server") und bietet diese Version lediglich für ein paar Tage an und danach wieder die alte Version.

Erstmal heißt das gute Stück keepass. Ich muss darauf jetzt rumreiten damit die Leute nicht auf deine keypass reinfallen^^

So einfach wie du dir das vorstellst ist es nicht. Die Original Version ist signiert. Deine Version wäre es nicht. Windows reagiert darauf gleich mehrfach. Der Download wird teilweise geblockt. Spätestens beim Ausführen folgt eine Dicke Warnung die erstmal nur einen Abbrechen Button anbietet. Der User kann nicht versehentlich auf deine Version reinfallen. Es ist nicht so einfach deine Version trotz der Warnungen zu installieren. Du könntest noch versuchen die Datei selber zu signieren. Deine Signatur würde aber die Warnung ebenfalls auslösen. Erst wenn genügend Anwender deiner Signatur vertrauen, würde die Warnung verschwinden. Aus Erfahrung kann ich sagen, dass das nicht so einfach ist.

Außerdem würdest du nur neue User damit in die Falle locken können. Wer bereits eine Version von keepass installiert hat, wird die Update Benachrichtigung kennen. Deiner vermeintlich neueren Version würde ich erst dann trauen wenn mit keepass eine Update Nachricht anzeigt und dann würde ich auch nur diese neue Version und nicht deine installieren. Genau dafür gibt es derartige Update Benachrichtigungen. 

vor 5 Stunden schrieb Jokin:

Worauf ich hinaus will und Ihr bestätigt meine Theorie wunderbar: Single-Point-Of-Failure! ... Ihr gebt etwas aus der Hand was Ihr dringend und zwingend in der eigenen Hand behalten müsst.

Bitte nicht die Tatsachen verdrehen. Der Single-Point-Of-Failure ist in diesem Fall der dumme User und nicht der Passwortmanager. Der Passwortmanager würde selbst bei den dummen Usern die Sicherheit erhöhen weil er sie vor Keyloggern, unsicheren Passwörtern und anderen Trojanern schützt. Ja richtig. Keepass legt die Passwörter selbst im Arbeitsspeicher nur verschlüsselt ab. Das ist dann selbst für Keylogger und Trojaner ein Hindernis. Bevor dir keepass zum Verhängnis wird, hat der bereits vorher von dir installierte Keylogger alle Passwörter bei der Eingabe kopiert. Mit keepass wäre das nicht passiert.

Worauf ich hinaus will ist, dass es natürlich richtig ist, dass auch dumme Menschen mit keepass noch reichlich Gelegenheit haben ihre Passwörter Preis zu geben. Gegen Dummheit gibt es kein Heilmittel. Wir müssen hier aber nicht den Passwortmanager dafür verantwortlich machen. Ich behaupte exakt dieser Personenkreis gehört ohnehin zu den 65% deren Passwörter bereits bekannt sind. Da wäre der Passwortmanager fast schon pflicht. Hilft nicht gegen Dummheit aber macht es den Angreifern trotzdem deutlich schwerer an die Passwörter zu kommen.

[mawa73]

Habe mir den ganzen Müll hier nicht durchgelesen aber so viel zum eigentlichen Thema:

 

https://www.heise.de/security/meldung/Erpressungsmails-mit-echten-Passwoertern-im-Umlauf-4109834.html

 

[skunk]

vor 15 Stunden schrieb Jokin:

Na gut - also das Ding hat ein deutsches Wort, eine Ziffer, einen zusammengesetzten englischen Begriff und ein Sonderzeichen drin. 

Gut ich habs. Das erste Wort war das Problem. Das fehlte in meinem Wörterbuch. Ich schreibe mal die Lösung noch nicht hier rein damit @Fantasy auch noch seinen Spaß damit haben kann.

Ein kompletter Durchlauf mit einem deutlich größeren Wörterbuch würde etwa eine Stunden dauern. Ich habe es jetzt in wenigen Sekunden gemacht in dem ich das zweite Wörterbuch mit nur zwei Wörtern gefüttert habe. Wäre aber ohne deinen Hinweis so nicht möglich gewesen.

Danke dir für diese Übung.

[Fantasy]

vor 4 Stunden schrieb skunk:

vor 10 Stunden schrieb Fantasy:

War zwar nicht angesprochen, aber ich habe Interesse   allerdings nicht zum Missbrauch sondern um andere zu sensibilisieren und zu zeigen, wie schnell das gehen kann.

Kein Thema. Ich muss zwar grundsätzlich etwas aufpassen wem ich diese Information alles gebe aber dich zähle ich mit zu den Personen denen ich genug vertraue. Lass mich bei Gelegenheit nochmal versuchen das einen Passwort zu knacken dann kann ich dir die entsprechenden Befehle gleich mit in die PM schreiben.

Sehr gerne. Lass dir Zeit, ich hab es nicht eilig. Danke für dein Vertrauen.

Ich vertrete mit großer Überzeugung die Meinung, dass man mit "kriminellen" Sachen sehr schnell sehr viel Geld verdienen kann - das ist aber keine "Kunst", daher lehne ich "Böses" auch grundsätzlich ab. Hier fasziniert mich wirklich die Technik bzw. die "Kunst" wäre hier, das PW zu knacken -> hat aber mit "schwarz" oder "illegal" Geld verdienen nichts zu tun Im Gegenteil - heute wurden auch mir die Augen geöffnet. Keepass kenne ich und unser Kunde setzt das in seinem Unternehmen standardmäßig in der Grundinstallation schon ein. Dadurch, dass ich mir "sicher" war, komplizierte und schwer zu knackende PW gewählt zu haben, habe ich Keepass nie genutzt.

Es wird Zeit, diese "Strategie" zu überdenken

Vielen lieben Dank für die ausführlichen Antworten. Ich ziehe meinen Hut vor deinem Wissen.

 

vor 4 Stunden schrieb skunk:

Mal angenommen ich errate dein Passwort. Wo kann ich das gleiche Passwort noch nutzen? Da hilft dann auch kein Counter bei Paypal wenn es das gleiche Passwort ist.

Hört sich logisch an, aber auf die Idee wäre ich echt nie gekommen.

 

Edit: grad gesehen, ich habe Post. Aber noch nicht gelesen.

Bearbeitet 27. November 2018 von Fantasy

[Fantasy]

@skunk

Kannst du vielleicht noch was zu den portablen Versionen erzählen? Wenn ich z.B. auf meinem Desktop-PC keepass eingerichtet habe, was mache ich, wenn ich mit meinem Windows Phone 8.1 oder iPhone unterwegs auf meine Accounts zugreifen möchte?

https://keepass.info/download.html

Da ist eine Liste unter "Contributed/Unofficial KeePass Ports" - kann man mobil und Desktopversion irgenwie "verheiraten"? Muss man sich bei "unofficial" irgendwelche Sorgen machen?

Anders gefragt: wie handhabst du das?

Bearbeitet 27. November 2018 von Fantasy

[Jokin]

Meine 2-minute-challenge ist noch nicht erledigt, oder?

Also doch nicht so einfach mit den Rainbowtables?

 

Bearbeitet 27. November 2018 von Jokin

[skunk]

vor 8 Stunden schrieb Fantasy:

@skunk

Kannst du vielleicht noch was zu den portablen Versionen erzählen? Wenn ich z.B. auf meinem Desktop-PC keepass eingerichtet habe, was mache ich, wenn ich mit meinem Windows Phone 8.1 oder iPhone unterwegs auf meine Accounts zugreifen möchte?

Habe ich keine Erfahrungen mit gemacht. Grundsätzlich würde ich auf meinem Handy zu keinem Zeitpunkt meine komplette Passwort Datenbank speichern. Das Handy ist zu langsam. Damit es die Datenbank entsperren kann muss man die "PoW Challenge" reduzieren. Damit ist die Datenbank dann aber nicht mehr so sicher wie von mir anfangs vorgerechnet. Außerdem ist der PIN Schutz, Fingerabdruck oder Gesichtserkennung sehr einfach umgangen. Daher traue ich meinem Handy kein Stück. Ich lasse es viel zu oft unbeaufsichtigt in der Wohnung oder im Büro rumliegen. Genug Zeit um die Datenbank ohne mein Wissen zu kopieren. 

Wenn dann würde ich für das Handy eine separate Datenbank erstellen damit im Fall der Fälle nur die unwichtigen Accounts hops gehen. Die wichtigen Accounts würde ich vom Handy so oder so nicht aufrufen. Einiges muss dann einfach warten bis ich zuhause bin

Was die Sache deutlich vereinfacht sind spezielle Apps für jeden Anwendungsfall. Damit muss man nur einmal seine Zugangsdaten eingeben und hat dann Ruhe. Dafür schließe ich mein Handy an meinen PC an und gebe das Passwort darüber ein. Sich selbst eine Nachricht per Telegram schicken ist auch eine Option. Solange man das Passwort nur ein einiges mal eingeben muss, kann man das durchaus machen.

vor 4 Stunden schrieb Jokin:

Meine 2-minute-challenge ist noch nicht erledigt, oder?

Also doch nicht so einfach mit den Rainbowtables?

Die Challenge ist erledigt. Ich habe Fantasy bereits eine PM zukommen lassen damit er dein Beispiel Passwort ebenfalls knacken kann. Ich wollte ihm jetzt nicht den Spaß nehmen. Wenn gewünscht kann ich dir die Lösung gern per PM schicken.

[Jokin]

vor 3 Stunden schrieb skunk: 

Wenn gewünscht kann ich dir die Lösung gern per PM schicken.

Schreib es doch direkt öffentlich - hast ja am Passwort gesehen, dass das ganz bestimmt kein von mir benutztes Passwort ist 🙂

Bearbeitet 28. November 2018 von Jokin

[skunk]

e16276b42f54d60412e616606243b7a111a708b1:Stinktier4Coinforum!

Damit nicht langweilig wird hier die nächste Übung: c5e33c64d685ec7f47069ceca94c746a8c5134b4

[Jokin]

Prima!

Aber das war schon deutlich länger als nur 2 Minuten 😉

[skunk]

vor 3 Stunden schrieb Jokin:

Prima!

Aber das war schon deutlich länger als nur 2 Minuten 😉

Ich versuche es ein letztes mal zu erklären obwohl ich glaube bereits mehr als deutlich gewesen zu sein. Ich versuche hier Aufklärung zu betreiben. Du hast ein Passwort mit 20 Zeichen gewählt, das Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthält. Klingt also erstmal nach einem sehr sicheren Passwort. Auch ich habe in der Vergangenheit Passwörter mit ähnlichem Schema gewählt. Solche Passwörter sind höchst unsicher. Auf dieses Problem möchte ich hinweisen.

Wir können zum Spaß auch mal eine 8 stellige Zahl probieren. Das war eines meiner erstes Passwörter und sollte ebenfalls in sehr kurzer Zeit knackbar sein.

Meine mangelnde Erfahrung mit den entsprechenden Tools und auch die Beschaffung von besseren Wörterbüchern ändert daran leider nichts. Der eigentliche Durchlauf war deutlich kürzer. Um genau zu sein 3,5 Millionen Passwörter in 2 Sekunden bei halber CPU Leistung (VM Limitierung). Im Extremfall hätte es 6 Tage gedauert um 3 Billionen Passwörter zu testen. Ich bin mir sicher die Profis würde die Auswahl weiter einschränken können. Immerhin schaffen sie es 65% aller Passwörter zu knacken. Diese Zahl sollte jedem eine Warnung sein.

Wer mir an diesem Punkt trotzdem nicht glaubt, der muss wohl erst selber schlechte Erfahrungen machen. Das ist dann zwar schade aber nicht zu vermeiden. Muss eben jeder selber wissen ob ein Passwortmanager wie Keepass eine Hilfe oder eine Gefahr ist.

Ich bin der Meinung Keepass ist eine Hilfe. Der Installer ist signiert. Diese Signatur kann man überprüfen und damit jeden Trojaner sofort erkennen. Die Passwort Datenbank kann man so absichern, dass sie selbst im Verlust Fall erst nach Jahren geknackt werden kann. Das sind die Fakten auf die ich gern die Aufmerksamkeit lenken würde.

[skunk]

Oha. Eine 8 Stellige Zahl würde nur 6 Sekunden dauern. Da werde ich wohl einige noch sehr alte Passwörter anpassen müssen. Aus gewohnt hatte ich das nicht getan und glaubte bisher sie würden etwas länger als 6 Sekunden durchhalten. Selbst 10 Sellen sind in wenigen Minuten geknackt. 12 Stellen würde immerhin einen Tag durchhalten.

[Axiom0815]

Das Passwort-Thema scheint ja wirklich interessant zu sein. 😉

Neben meiner Variante zum Würfeln, habe ich natürlich noch ein paar andere. Also hier mein Passwort-Generator, ohne dass man mit vergessen ein Problem bekommt. Auch kein Passwort-Manager oder ähnliches. Die Axiom-Methode ☝️

Wer erst mal das Passwort einschätzen will:

H/uXLXgHo0L4HZ3KK7+VO4Qx7bKoNsUeE3vZPiwAYLmjYz7v9kL9z9mNfX1Yj0GBjLAjVtWpr8iwkZxrqWShIgQ=

Der Profi erkennt schon hinten "=", Base64. *lächel*
 

Und hier die Lösung:

Ich brauche ein Passwort für Coinforum 11/2018, wobei ich monatlich wechseln will.

Ich öffne Electrum, habe eine "Kennwort-Wallet" und signiere Coinforum 11/2018 einfach mit der Adresse. Hier z.B. 17vAuaMfe4eGWcL8n77KT8ZDrw9ouANgvg

Fertig, ich brauch keine andere Software und die Sicherheit ist hoch. Ich kann das Passwort auch immer wieder herstellen, muss als keine verschlüsselten Datenbanken oder ähnliches führen.

Will ich dann im Dezember ein neues Passwort haben, kein Problem.

Coinforum 12/2018

ILmUEkxbB0j0uGJKk6pi4DIbrvOp71O8/TAc3FgWt7MlaHDk8Ju3s19BfosLyQxvYg4ZHAzB7CtoG08FaGbfN9M=

Und selbst, wenn ich die öffentliche Adresse verrate, es hilft keinem wirklich weiter. 

 

Und, kann man meine Axiom-Methode irgendwie angreifen? Ich glaube ja eher nicht.
(Zum Nano S muss ich ja jetzt hier nichts weiter schreiben.)

Axiom

PS: Der Seed sollte aber ausgewürfelt sein. 🙊

 

 

 

Bearbeitet 29. November 2018 von Axiom0815