Bitcoin Forum

Da im Moment erschreckend viele Accounts gehackt wurden,
poste ich hier eine Warnung, falls das auch mir passieren sollte:

nichts überweisen, falls die Adresse abweicht von: 1DE..49

einige User hier können diese Wallet aus vorigen Trades bestätigen

Und woher sollen wir wissen, ob Du nicht schon gehackt worden bist und die "einigen User", die das "aus vorigen Trades bestätigen" können auch? ;D

Finde das eine gut Idee. Ich kann die Adresse von Xer0 bestätigen.

Meine Adresse: 1MA...nL

Problem dabei ist nur, dass man die Posts hier editieren kann. Kann das ein Mod ändern?


Edit:

Stimmt, ein Quote reich schon aus, wenn man nicht zufällig bei Accounts gleichzeitig hackt


-> bestätigt


Idee: Xer0 kann im Startpost die Liste der Adressen führen und jeder der seine Adresse hinzugefügt haben möchte quotet den Startpost und schreibt seine Adresse darunter (nicht in den Quote). Dann hat man eine schöne History und kann davon ausgehen, dass die Adressen stimmen.

kann natürlich auch sein... wenn derjenige müsste fast meine ganze Trust-Liste durchhackt ;D

wenn man das umstellen könnte, wär das natürlich super.
ansonsten quoten wir uns halt einfach gegenseitig ;)

Einfacher wäre es, wenn der OP z.B. eine komplette Bitcoin Adresse jedes Users festhält. Im Zweifel wird dann eine Nachricht mit dieser Adresse signiert:


Bitcoin Signed Message von 1Akka1qjBz4XMCS5yvKjFii1UMGbFbMK1q



HIhyNyW5mhoGpA+Em5uUx3k68Q8mOHwyq9Y0zR2UIxMSHdbITZRqnuZcPGjN4VF429N2IFHMKrri169tXkY+oMY=


Das kann jetzt jeder mit seinem Bitcoin Client über Nachricht verifizieren überprüfen und damit sicher gehen, dass ich ich bin.

Bei zukünftigen Nachrichten die mit 1Akka1qjBz4XMCS5yvKjFii1UMGbFbMK1q signiert werden, kann dann jeder überprüfen, dass ich immer noch die gleiche Person bin. (Es sein denn meine Wallet.dat + Passphrase würden geklaut)

ja, wäre auch ne Option.

aber ich zB versuch immer so wenig Details wie möglich im Internet preiszugeben,
lässt sich auch so schon zu leicht alles verknüpfen und rausgooglen

weiß nicht, wie die anderen das sehen.
könnt aber natürlich eine Liste mit Addressen in den Startpost schreiben, wenn gewünscht

Wenn "der Hacker" den PrivKey Deiner Adresse auch erbeutet hätte, wären wir wohl wieder am Anfang.

Ist schon recht komplex für für den Durchschnitts-DAU


Kombination unserer Vorschläge: der OP führt die Liste im Startpost und signiert bei jeder Änderung mit seiner Adresse ("Anpassung der Adressliste 05.03.2014 durch Xer0"). Würde den Aufwand und die Komplexität für die Masse deutlich reduzieren. Natürlich müsste Xer0 den Aufwand betreiben wollen.


@Xer0: Wenn du deine Adresse nicht veröffentlichen willst, biete ich mich als OP (in einem neuen Thread an).

Erstelle eine neue Adresse, die du nur zum Signieren aber nicht für Transaktionen benutzt.




Ja, dass das einfacher ist, wahr wohl die falsche Begriffswahl.

ja gut, so gehts auch

Dann ist hiermit deine Signaturadresse zitiert. Jetzt musst Du nur noch die Liste im Startpost einfügen & signieren

mach du das doch mal lieber


mein Firefox hängt sich grad auf, wenn versuche mehr als eine Zeile zu signieren (Blockchain.info)

Kann ich morgen gerne machen

Findet ihr nicht, dass ihr ein wenig übertreibt? ;)

Macht einfach die Geheimfrage weg, dann kann auch keiner versuchen eure Antwort zu erraten...musst halt nur eure mail addy und account pwd sicher halten.

weißt wie scheiße es is wenn dein acci weg is und du den nich wieder kriegst???

Irgendwie selber Schuld...ihr 3 hattet wohl alle zu einfach zu erratende Antworten, wie der "Hacker" es am Beispiel pazor zeigte ;)

jap und nein...
aber würde irgendwie gern ma deine reaktion sehen, wenn du in unserer lage wärst (nich das ich dir die situation wünschen würde) aber in deiner situation is es halt einfach kluge sprüche zu reißen...  ;)

Wäre nicht allzu schlimm...kann theymos mit 2 Adressen beweisen das ich der echte bin. Eine vom GB Menig und eine von Labrat Mining :)

Diese Sicherheitsfragen finde ich persönlich sowieso total dämlich.
Jeder, der Dich etwas besser kennt kann sofort Deinen Account übernehmen (sofern man wahrheitsgemäß geantwortet hat).

Account weg ist immer scheiße, klar.
Aber ich muss leider dazu sagen: Einen Fehler auf der Seite, der es möglich macht, dass Accounts gehackt werden resultiert darin, dass es Beschwerden zu Hauf auf einen Schlag gibt. Wenn mal hier einer und mal da einer sich über einen gehackten Account beschwert, dann ist eigentlich immer der Accountinhaber selbst dran schuld durch zu laxe Sicherheitsvorkehrungen (Passwort benutzt das er sonst für alles andere auch verwendet, einfache Sicherheitsfragen, Passwort das auf jeder bruteforce-Liste ganz oben steht usw.)

Nichts für ungut!

Mein prob is ja, das ich auf die frage wie ich es beweisen kann keine antwort bzw. nach 8 tagen den link bekommen hab... hätt er nich einfach sagen können das ich ne addy, die ich hier im forum genutzt hab zur verification nutzen soll? oder die mods entsprechend anzuweisen diese info im fall der fälle weiterzuleiten? damit man als user klar weiß, okay, die daten will er dafür und gut is...

aber naja, seine kekse, seine regeln...

Naja ich und noch paar andere könnten zumindest die Echtheit der Adresse auf dem du damals die Coins für den Kredit bekamst verifizieren. (sofern du noch Zugriff auf diese hast und signieren kannst)
Aber ob theymos das als Beweis reicht weiß ich nicht...

Habe den Thread erstellt:

https://bitcointalk.org/index.php?topic=502920.new#new

Würde mich freuen, wenn der eine oder andere mitmacht :)

super, danke dir :)

Wie doof muss man sein?
Das ist der erste Trick den jedes verschissene Scriptkid testet: Was ist die Sicherheitsfrage, was kann ich aus dem Facebook/Twitter/Google rausbekommen, 3 Versuche, passt.

Bei egal welcher Sicherheitsfrage ist die Antwort eben genau _nicht_ die Antwort auf die Frage.
Zudem sollte es ein einfaches sein, 10 "blöde" Fragen zur Auswahl anzubieten, die man dann auch noch richtig aussuchen muss.
So wüsste der Hacker nicht, welche Frage ich genommen habe, geschweige denn die falsche Antwort drauf.

Und mittlerweile sollte klar sein, das man nicht nur hier ein Passwort benutzt, das man woanders nicht benutzt.

Mal als Vorschlag eines Sicherheitsfeatures: Jeder verschi**ene Pool kann eine eingetragene BTC-Adresse locken, so das nicht mal der Admin da was machen kann/will.
Das wäre hier doch ideal?

Danke, habe ich eingefügt

Dir und mir ist das vielleicht alles klar, aber wenn dem Otto-Normal-User diverseste Webseiten erklären: "Bitte geben Sie eine Frage ein, deren Antwort nur Sie kennen" (oder noch schlimmer: man bekommt verschiedene Fragen vorgeschlagen aus denen man auswählen MUSS), dann wird der Otto-Normal-User genau das tun, was der umsichtige Webseitenbetreiber einem aus "Sicherheitsgründen" da vorschlägt.
Denn der Otto-Normal-User weiß, dass sich im Internet viele Schmutzfüße rumtreiben, hat aber selber wenig Ahnung von Sicherheit und hat daher umso mehr Angst um sich und seine Daten/Konten. Also vertraut er dem Webseitenbetreiber ("Der wird schon wissen, was gut für mich ist")...
Der Otto-Normal-User ist allerdings auch faul. Also nimmt er hier auch ein Passwort, dass er überall benutzt. Falls er tatsächlich ein anderes nimmt, legt er es sich unter die Tastatur oder unters Mousepad

An den Zettel musste aber auch erstma' rankommen.
So gesehen ist ein Zettelchen gegen Forenhacker wie den neuen Pazor doch erste wahl.
Das kann er niemals erraten, es kann lang zufällig und sicher sein, und ohne eine Sicherheitsfrage auch nicht zurücksetzbar.

So ein Zettelchen ist Scheiße gegen fiese Kollegen oder schnüffelnde Ehefrauen, aber im Internet die sicherste aller Methoden, sein Passwort aufzubewahren.

Gut, gegen Keylogger ist das nichts, aber die fangen KeepAss auch ab.

Und du hast recht, die meisten Leute nutzen 123456 an jeder Ecke. Dagegen hilft nix...

So ein Zettelchen hat dann aber auch eben das Problem, das es nur zu Hause liegt :D

Mach doch einfach ein Photo davon auf deinem Handy ::)

Genau. Und wenn ihr schon dabei seid, eure Passwörter überall hin zu kritzeln, vergesst dabei nicht eure PIN auf die ec-Karte zu schreiben! ;)

Du könntest einen Teil deines Passworts überal gleich machen und diesen Teil im Kopf merken. Einen anderen Teil kannst Du dann in einem Passwortsafe z.B. auf dem Handy oder auf einem Zettel im Geldbeutel herumtragen. Im Optimalfall kannst du letzteren Teil noch verfälschen. (z.B. immer den dritten Buchstaben des zweiten Teils groß bzw. klein schrieben, wenn er auf dem Zettel klein bzw. groß steht. Und/oder beim ersten Teil z.B. immer den dritten Buchstaben durch den dritten Buchstaben in der URL der jeweiligen Seite ersetzen.

Was tolle Ideen sind, aber dazu führt, das die Passwörter für "deine" Seiten ausreichend gleich sind, das sie per Bruteforce geknackt werden können.
Und wenn 2+x Konten von dir bekannt sind, dabei von zweien das Passwort geöffnet wird, ist der Rest x gleich mit kompromittiert: Die Bruteforcer-Algorithmen erkennen, das in deinem GMX-Passwort ein "G" steht und versuchen bei ebay ein "e", und wenn das klappt, klingelt die Kasse.

@scranagar:
Schlau angewendet kann dir das deine Karte schnell wiederbeschaffen:
Schreib die Nummern für deine Karten auf den Zettel, inklusive Bezeichnung, aber verdreht.
Der Dieb wird zuerst die versuchen an der EC steht, 1. Fehlversuch.
Dann die Drunter, 2. Fehler.
Dann die Drüber, 3. Fehler.
Karte kassiert, Konto sicher.

Hilft nicht gegen Pin-Abschöpfer die in 14 Ländern mit Kopien deines Magnetstreifens Limit abheben, aber der Allerwelts-Taschendieb ist damit dran.

Das kommt ganz darauf an, wie lange man die Teile jeweils macht. Zwei Teile á 7 Zeichen, da wird es auch mit Bruteforce schon schwer. Vor allem weiß der Hacker ja nicht, welcher Teil der konstante ist (so lange er nur einen Account geknackt hat). und ich habe noch ein zusätzliches achtes Zeichen, dass im festen Teil auch abweicht.  

Wenn man den ersten Teil (G bei GMX nimmt, e bei ebay) nimmt, ist das einfach zu erkennen. Beim dritten (x bei GMX oder a bei ebay) oder auch beim zweiten Buchstaben braucht man aber schon mindestens 3 gehackte Accounts und muss ein Talent als Detektiv haben um die Abweichung im festen Teil zu erkennen ;)

z.B. ebay: aöl3k($;d<e9M2  gmx: xöl3k($xüsm2dn

Drittes Zeichen steht am Anfang. Noch besser wäre es, wenn man dieses Zeichen an das Ende des festen Teils stellen würde. öl3k($ ist der feste Teil. Bei nur zwei gehackten Accounts wird es schon schwierig das zu erkennen. Die letzten 7 Zeichen stehen auf einem Zettel im Geldbeutel. Kann man auch mit 10 Zeichen machen um wirklich bestmöglich sicher zu sein.

Ganz sicher kann man nie sein, es geht nur darum den Aufwand so groß zu halten, dass es unwirtschaftlich wird.

zum Glück kann ich mir die PIN meiner Hauptkarte merken
und bei den Kreditkarten musste ich immer unterschreiben oO

was man heutzutage für Aufwand treiben muss, ist schon krass

Ich habs einfach.
EC, Tankkarte und DHL-Karte (wobei die ja auch mTAN umgestellt wurde).
Interessanterweise haben alle ähnliche Nummern (was schon oft Kartenkassierung zur Folge hatte, scheiß Gedächtnis):
Mit der Karte meines SO habe ich 4 Karten mit 4 Ziffern, also 16 insgesamt:
7x 5
5x 1
2x 4
1x 0
1x 2

Soviel zum Zufall. ;D

@muto
Deine Passwörter funktionieren an den wenigsten Stellen, da Sonderzeichen oft verboten sind, ebenso wie Umlaute.
Hingegen wird oft rumgezickt...
- "Die erste Stelle muss ein Großbuchstabe sein", oder "...darf kein..."
- "Du musst mindestens eine Ziffer benutzen",
- "Du darfst nicht mehr als 2 Großbuchstaben, Kleinbuchstaben oder Ziffern hintereinander haben",
- "Du musst 6-10 Zeichen verwenden" oder "genau 8 Zeichen" (ganz schlimm "genau 6")
- "Das letzte Zeichen darf keine Ziffer sein", oder eben "...muss..."
- "Du musst (mindestens) ein Sonderzeichen haben, aber nur +-.,/&%$!, das darf aber nicht am Ende/Anfang stehen" oder eben "Du darfst kein Sonderzeichen haben"
- und am schönsten: "Das Passwort muss alle 4 Wochen geändert werden und darf keine Bestandteile >2 Zeichen der letzten 10 Passwörter enthalten".

Das sind alles Regeln, die hier oder da bei meinen Accounts gelten, ein Passwort das überall passen würde ist schon schwer (oder leicht) genug, das macht das Fest-Plus-Ergänzung-System beinahe unmöglich.
Nicht das ich das nicht ähnlich machen würde...
Aber es gibt eben Seiten, bei denen ich mich nicht oft anmelde, und die Regel ist simpel, führt aber aufgrund o.g. Regeln zu ungültigen Passwörtern, weswegen auch hier wieder gilt: "Die Ausnahme bestätigt die Regel".
aWallet auf'm Schlaufon sei Dank gehts aber...

Und in der c't war mal ein Test solcher Passwortknacker, die man in einschlägigen Foren kaufen kann.
Und ja, die können die Regeln, die deinen Passwörtern innewohnen, erkennen und so teilweise Passwörter zu anderen deiner Accounts recht gut erraten, oder andersrum deine Accounts aus Passwortdatenbanken herausfischen.
Der Mensch ist nicht zufällig genug. Du bevorzugst bestimmte Zeichen oder Tastenpositionen unbewusst, was die Maschine leicht erkennt.
Vielleicht jetzt nicht exakt bei "dir", aber Statistik ist eine Hure.
Klar, 7 zufällige Zeichen sind schwer zu bruten, aber da kannst du auch gleich ein komplett zufälliges PW nutzen. Die wenigsten Leute tun das.

Leider kann ich mit einer schnelleren Bearbeitung der gehackten Accounts nicht dienen, aber nichtsdestotrotz macht eine Sammlung von Adressen zum Signieren meiner Einschätzung nach Sinn. Im Fall von Pazor war sofort ersichtlich dass er gehackt wurde , da er gleich eine signierte Nachricht gesendet hat, von einer Adresse die auch ich einsehen konnte.

Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread. Also das ganze nochmal in unmoderiert und mit der Ansage dass alle Kommentare die keine direkten Zitate sind gelöscht werden und dann würde ich dem auch einen Sticky verpassen.

Sollte ich neue Informationen zu den Hacks haben , gebe ich sie an die beteiligten weiter.

Du schreibst ja so als ob es super leicht wäre accounts zu "hacken". Der "Hacker" durchsucht das Forum nach accounts, die eine Geheimfrage haben und versucht die Antwort zu erraten. Hat nichts mit hacken zu tun.
Aber eigentlich netter Zeitvertreib wenn man nichts zu tun hat :P

Es ist total egal wie das passiert. Solange es die Möglichkeit gibt dass es passiert brauchen wir leider sowas.

Mach ich gleich, dann musst Du aber dafür sorgen, dass der Thread nicht vollgemüllt wird.

Ich war eigentlich der Meinung, dass es auffallen würde, wenn plötzlich alle Posts weg sind. Aber Deine Möglichkeit ist natürlich trotzdem besser.

Das ist oftmals ein Problem, da hast du Recht. Es ist eine Schande, dass es 2014 noch immer Seiten gibt, bei denen Passwörte maximal oder genau x Zeichen lang sein dürfen. Genau so unzeitgemäß ist es, wenn seiten keine Sonderzeichen erlauben. Ich versuche solchen Seiten fern zu bleiben. Geht aber leider nicht immer, vor allem wenn man den Zugang geschäftlich benötigt.

Heh! Woher hast du MEIN PASSWORT  :o ?! Gib das sofort zurück!  ::)

Aber na gut, das Problem ist sicherlich der Cookiestore von diesem verkackten Firefox. Ich such ja schon nach einem besseren Browser ... der nicht alle URLs an irgendein obscures "safe browsing" verpetzt, sich über das Flash-Plugin an jeder 2ten Ecke im Internet aufmachen läßt und generell Passwörter in Webformularen "erst einmal abspeichern" möchte.

In Chrome kann man das alles deaktivieren...

Meinst du, das Google sich das entgehen lässt? ;)
Du magst vielleicht den Haken auf aus stellen, aber die Funktion kann ja auf den Haken scheißen, oder?

Wenn du wirklich sicher sein willst, darfst du die Funktionen auch gar nicht erst nutzen. Flash und Java gehört in keinem sicheren Browser 24/7 aktiviert. CookieMonster und NoScript regeln den Rest. Passwörter kann man sich auch im Kopf merken, anstatt diese zu Komfortzwecken einzuspeichern.

Wenn man so paranoid ist dann muss man alles selbst compilieren (nachdem man den Quelltext kontrolliert hat).
Nee, danke.

Au Contraire...
Wenn du dir ein Passwort merken kannst, ist es egal. Ist ja nur eins.
Wenn du dir alle Passwörter merken kannst, sind sie zu leicht. Oder du bist ein Genie.

Mal als Vorschlag: Ein USB-Stick, der eine beinahe beliebige Zahl von Passwörtern speichern und zufällig neu generieren kann, mit für und durch jeden Benutzer einzigen Parametern für die Generierung, der die Passwörter "in echt" eintippt, als Tastatur.
Wäre das was? und:Gibts sowas? Oder muss ich mir das echt selber bauen?

wäre nicht schwer,
Mikrocontroller und USB-HID Stack
aber der bringt nix am Handy oder Tablet :\

also, mein Z1 kann angeblich USB-Tastaturen am Hostport, und Maus auch.
Getestet hab ich das allerdings noch nicht.