|
ds06 (OP)
|
 |
February 24, 2017, 12:28:21 PM |
|
Hallo, habe vor 10 min eine Meldung von Kraken erhalten:
A bug was recently discovered with Cloudflare, which Kraken and many other websites use for DoS protection and other services. Due to the nature of the bug, we recommend as a precaution that you change your Kraken security credentials:
Change your password
Change your two-factor authentication (remove and re-enable it)
Clients who use API keys should generate a new set of keys
Jeder der dort ein Konto hat sollte sein Passwort umgehend ändern.
Ich hoffe die Info hilft jemandem...
Gruß
|
|
|
|
|
|
s0nix
|
|
February 24, 2017, 12:45:31 PM |
|
Stimmt.
Das gleich gilt für Poloniex und einige andere Dienste.
Die empfehlen allerdings nur eine Änderung des Passwortes.
|
|
|
|
|
5tift
Legendary
 Offline
Activity: 2525
Merit: 1114
First BTCT UserName stiftmaster | ID 23592
|
|
February 24, 2017, 12:45:39 PM |
|
|
.
I C Λ R U S | | | | █████▄▄█████▄▄
████████▀▀▀████
██████▀█████▀███
████████████████
████████████████
████████████████
░▄█████████████████
███████████████████
███████████████████
████████░░░▀▀▀▀▀▀▀▀
████████▄▄▄████████
███████████████████
█████████████████▀ | ░░░███
▄▄▄███
██████
░░░███
░░░███
░░░███
░░░███
░░░███
░░░███
░░░███
▄████████
███▌░▐███
████████▀ | | | | | █████████████████████
█████████████████████
█████████████████████
██████▀▀▀▀████▀▀█████
█████░░▄▄░░██░░░█████
█████▄▄██░░███░░█████
█████▀▀▀▀░░▀██░░█████
████░░░░▄▄▄▄█▀░░▀████
████░░░░░░░░█░▀▀░████
█████████████████████
█████████████████████
█████████████████████
█████████████████████ | ████
██
██
██
██
██
██
██
██
██
██
██
████ | ████
██
██
██
██
██
██
██
██
██
██
██
████ | ████
██
██
██
██
██
██
██
██
██
██
██
████ | | | | ████
██
██
████ | | ████
██
██
████ |
[/ce |
|
|
|
s0nix
|
|
February 24, 2017, 12:53:09 PM |
|
Ja richtig. Nun bin ich mal gespannt, was da noch kommt. Denn viele Anbieter nutzen Cloudflare, Bittrex glaube ich auch. Von dort habe ich aber noch keine Warnung erhlaten. |
|
|
|
|
|
ds06 (OP)
|
|
February 24, 2017, 12:54:08 PM |
|
Gerade über Twitter gelesen das Bitcoin.de auch betroffen ist...
|
|
|
|
|
|
MinerVonNaka
|
|
February 24, 2017, 01:45:40 PM |
|
Für heutige Zeiten ist eben 2FA ein muss.
Persönlich finde die 2FA Lösung von bitcoin.de schon ganz gut.
|
|
|
|
|
|
coinling
|
|
February 24, 2017, 02:12:39 PM |
|
Google 2FA ohne offline Installation wie es z.b. Electrum anbietet macht meines Erachtens keinen wirklichen Unterschied.
Die großen Börsen sollten wirklich mal an der Security arbeiten und intelligentere Lösungen anbieten.
|
| █
█ | | █
█ | |
████
████
████
████
████
████
████
████
████
████
████
████
████
████
████
████
████
|
|
|
|
|
s0nix
|
|
February 24, 2017, 03:38:44 PM |
|
Google 2FA ohne offline Installation wie es z.b. Electrum anbietet macht meines Erachtens keinen wirklichen Unterschied.
Die großen Börsen sollten wirklich mal an der Security arbeiten und intelligentere Lösungen anbieten.
Aber was könnte das denn in diesem Fall sein? Denn wenn ich das richtig gelesen hatte, geht es hier doch erstmal um einen Bug in Cloudflare. Jedenfalls finde ich 2FA für mich schon notwendig. Und wenn möglich noch die E-Mail Bestätigung beim Withdraw. |
|
|
|
|
Armin van Bruggen
Full Member
Offline
Activity: 232
Merit: 101
Stratege, berechnend
|
|
February 24, 2017, 04:30:54 PM |
|
Als kurze Erklärung, 2FA sollte auch erneuert werden.
Beim erstmaligen Einrichten von 2FA habt ihr einen Code erhalten (oder per Smartphone gescannt). Wenn dieser Code abgefangen wurde (durch den Bug bei Cloudflare) kann der Angreifer sich auch passende OTP Tokens erstellen. Halte ich zwar für sehr unwahrscheinlich, aber ich wollte es mal aufgeklärt haben.
|
|
|
|
|
Buchi-88
Legendary
Offline
Activity: 3976
Merit: 2640
|
|
February 24, 2017, 05:40:10 PM |
|
Für heutige Zeiten ist eben 2FA ein muss.
Persönlich finde die 2FA Lösung von bitcoin.de schon ganz gut.
Auch Bitcoin.de sendet es aus, vermutlich einfach einmal zur Vorsichtsmaßnahme... Sicherheitswarnung Sehr geehrter Herr Buchigner, ein heute öffentlich bekannt gegebener Fehler (Stichwort: "cloudbleed") bei unserem Dienstleister Cloudflare betraf weltweit mehrere Millionen Webseiten und leider auch bitcoin.de. Der Fehler, der in nur sehr seltenen Fällen zu einer ungewollten Veröffentlichung von (auch verschlüsselten) Informationen führen konnte, wurde seitens Cloudflare mittlerweile behoben. Auch wenn die unverschlüsselte Übermittlung von eigentlich verschlüsselten Informationen nur in einem von ca. 3,3 Millionen Webseitenaufrufen auftrat, kann es aber in diesen seltenen Fällen zu einer Gefährdung der Sicherheit gekommen sein oder noch kommen. Auch wenn wir bisher keinen konkreten Anlass haben anzunehmen, dass Kunden von Bitcoin.de zu Schaden gekommen sind, empfehlen wir als Vorsichtsmaßnahme trotzdem allen Kunden, ihr Passwort auf bitcoin.de zu ändern. Da viele weitere bekannte Webseiten von dem Fehler betroffen sind, sollten Sie zudem überprüfen, ob Sie auch bei weiteren Diensten Ihre Benutzernamen und/oder Passwörter ändern müssen. Unter dem nachfolgenden Link finden Sie eine (sehr lange) Liste der von "cloudbleed" betroffenen Webseiten: sites-using-cloudflare. Wichtig! Bitte benutzen Sie NIEMALS das gleiche Passwort für mehrere Webseiten oder Dienste. Passwort-Tools wie 1Password, LastPassword und andere "Passwort-Tresore" bieten zwar auch keinen 100%igen Schutz, aber immer das gleiche Passwort zu benutzen ist definitiv eine größere Gefahr. Bei einer 2-Faktor-Authentifizierung über eine App (wie beispielsweise Google-Authenticator) ist die Wahrscheinlichkeit, dass der einmalig angezeigte Seed durch "cloudbleed" veröffentlicht wurde, noch wesentlich geringer. Dennoch empfehlen wir als Vorsichtsmaßnahme auch die 2-Faktor-Authentifizierung bei Bitcoin.de zu deaktivieren und sofort wieder zu aktivieren. Nutzer eines Yubikeys und einer Passwort-Tabelle sind nicht betroffen und müssen nichts unternehmen. Sofern Sie immer noch keine 2-Faktor-Authentifizierung eingerichtet haben, empfehlen wir Ihnen dies dringend, da ein unberechtigter Zugriff auf Ihren Account so deutlich erschwert wird. Weitere Infos dazu finden Sie in unseren FAQ: https://www.bitcoin.de/de/faq/was-ist-die-2-step-verification-2-faktor-authentifizierung/46.html Weitere Informationen zu "Cloudbleed" finden Sie unter: heise.de: Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich Golem: Cloudflare verteilt private Daten übers Internet Mit freundlichen Grüßen Ihr Team von Bitcoin.de |
|
|
|
Aswan
Legendary
Offline
Activity: 1734
Merit: 1015
|
|
February 24, 2017, 07:50:13 PM |
|
Ich weiß schon warum ich bei bitcoin.de die Passworttabelle genommen habe. Ist meiner Meinung nach eine der sichersten 2FAs.
|
|
|
|
|
|
MinerVonNaka
|
|
February 24, 2017, 08:16:40 PM |
|
die Passworttabelle genommen habe. Ist meiner Meinung nach eine der sichersten 2FAs. Obwohl ich 2FA + Yubikey noch etwas sicherer finde, übrigens diesen kann man auch bei Kraken einsetzen. Dennoch die Fragen die ich mir immer stelle sind: (a) was wenn der Key mechanisch kaputt geht? (b) wie Loge ich mich dann wieder ein? (c) welchen Aufwand muss man betreiben um alles wieder zurück zu setzen?
Weist jemand Bescheid? Oder vergleichbares erlebt? |
|
|
|
|
Aswan
Legendary
Offline
Activity: 1734
Merit: 1015
|
|
February 24, 2017, 11:11:35 PM |
|
die Passworttabelle genommen habe. Ist meiner Meinung nach eine der sichersten 2FAs. Obwohl ich 2FA + Yubikey noch etwas sicherer finde, übrigens diesen kann man auch bei Kraken einsetzen. Das wäre dann 3FA. Klar, je mehr von einander unabhängige Authentifizierungsmethoden genutzt werden, desto sicherer wird das ganze. Dennoch die Fragen die ich mir immer stelle sind:
(a) was wenn der Key mechanisch kaputt geht?
Du weist dem Betreiber, bei den du den Zugang damit gesichert hast, deinen Anspruch auf den Zugang nach. Da gibts bis hin zur notariellen Geblaubigung viele Möglichkeiten, die man sonst eben nicht nutzt weil es zu teuer/aufwendig sein kann. Aber wenn der Key tatsächlich kaputt ist, dann muss man eben dieses mal auf eine aufwendigere Methode zurückgreifen. Wenn der Betreiber den Key dann entfernt hat, kannst du einen neuen hinzufügen. (b) wie Loge ich mich dann wieder ein? Indem der Betreiber den Key von deinem Account entfernt. (c) welchen Aufwand muss man betreiben um alles wieder zurück zu setzen?
Das kommt immer auf den Betreiber an. Da gibts viele Möglichkeiten. Wenn man seinen Anspruch glaubhaft nachgewiesen hat, sollte das meist kein Problem sein. Natürlich gibts immer Betreiber mit schlechtem Support die sich nicht gut kümmern. Das bekommt man aber oft schon vor Nutzung oder bei Nutzung relativ schnell mit und wenn man das Angebot dann weiterhin nutzt, dann weiß man ja, worauf man sich einlässt bzw. ist selbst schuld wenn es dann nur schleppend vorangeht. |
|
|
|
|
Serpens66
Legendary
Offline
Activity: 2954
Merit: 1131
|
|
February 25, 2017, 02:01:53 AM |
|
die Passworttabelle genommen habe. Ist meiner Meinung nach eine der sichersten 2FAs. Obwohl ich 2FA + Yubikey noch etwas sicherer finde, übrigens diesen kann man auch bei Kraken einsetzen. Dennoch die Fragen die ich mir immer stelle sind: (a) was wenn der Key mechanisch kaputt geht? (b) wie Loge ich mich dann wieder ein? (c) welchen Aufwand muss man betreiben um alles wieder zurück zu setzen?
Weist jemand Bescheid? Oder vergleichbares erlebt?ganz genau weiß ichs auch nicht, aber du kannst bei Kraken einen "Masterkey" anlegen. Wenn du also normal den Yubikey benutzt, kannst du als Masterkey ein Passwort oder auch Google Authenticator verwenden. Wenn du dann dein Yubikey verlierst, kannst du mit dem Masterkey beweisen, dass du du bist. Musst aber bei der Aktivierung des Masterkeys auf die Einstellungen achten. Gibt da diverse Sicherheitseinstellungen, zb. dass dein Account danach x Tage unbenutzbar ist (aus sicherheitsgründen), kann man aber abwählen glaube ich. |
Mit Cointracking (10% Rabatt) behältst du die Übersicht über all deine Trades und Gewinne. Sogar ein Tool für die Steuer ist dabei 
Great Freeware Game: Clonk Rage
binance.com hat nun auch SEPA und EUR Paare! Mit dem RefLink bekommst du 5% Rabatt auf die Tradinggebühren!
|
|
|
willi9974
Legendary
Offline
Activity: 3612
Merit: 2845
Enjoy 500% bonus + 70 FS
|
|
February 25, 2017, 11:10:29 AM |
|
Ich benutze den google authentificator für Bitcoin.de und wollte da jetzt gerade Kraken auch mit schützen und irgendwie klappt das nicht.
Wie macht ihr das?
Ich wollte nur den Login bei Kraken schützen und hab im google Auth. per plus einen neuen Service hinzufügen und den Barcode scannen, aber weder mit TOPT noch HOTP
Bei Bitcoin.de war es einfacher und intuitiver
Hat das schon wer gemacht von euch und kann da mal einen Tip in die Runde werfen?
Viele Grüße
willi
|
|
|
|
|
Queenvio
|
|
February 25, 2017, 11:27:32 AM |
|
Ich benutze den google authentificator für Bitcoin.de und wollte da jetzt gerade Kraken auch mit schützen und irgendwie klappt das nicht.
Wie macht ihr das?
Ich wollte nur den Login bei Kraken schützen und hab im google Auth. per plus einen neuen Service hinzufügen und den Barcode scannen, aber weder mit TOPT noch HOTP
Bei Bitcoin.de war es einfacher und intuitiver
Hat das schon wer gemacht von euch und kann da mal einen Tip in die Runde werfen?
Viele Grüße
willi
HOTP, SHA1 und OTP Length 6 sollte gehen. und vergesse nicht ein Master Passwort zu seten, sonst kommest du nicht mehr rein, sollte mal was mit dem Handy passieren. |
|
|
|
|
|
MinerVonNaka
|
|
February 25, 2017, 03:41:00 PM |
|
wie dem aus sei; ich denke, dass "Login per Fingerabdrucksensor" das beste wäre… Handys haben es mittlerweile, also abwarten bis die Exchanges es auch einführen |
|
|
|
|
5tift
Legendary
Offline
Activity: 2525
Merit: 1114
First BTCT UserName stiftmaster | ID 23592
|
|
February 25, 2017, 03:54:40 PM |
|
Ich nutze für 2FA Authy auf dem Handy, den Account kann man mit einer anderen Instanz syncen (bei mir ein mininal Linux+Authy Paket als virtuelle Maschine).
Sollte das Handy mal den Geist aufgeben kann man die VM hochfahren und da Authy nutzen.
|
.
I C Λ R U S | | | | █████▄▄█████▄▄
████████▀▀▀████
██████▀█████▀███
████████████████
████████████████
████████████████
░▄█████████████████
███████████████████
███████████████████
████████░░░▀▀▀▀▀▀▀▀
████████▄▄▄████████
███████████████████
█████████████████▀ | ░░░███
▄▄▄███
██████
░░░███
░░░███
░░░███
░░░███
░░░███
░░░███
░░░███
▄████████
███▌░▐███
████████▀ | | | | | █████████████████████
█████████████████████
█████████████████████
██████▀▀▀▀████▀▀█████
█████░░▄▄░░██░░░█████
█████▄▄██░░███░░█████
█████▀▀▀▀░░▀██░░█████
████░░░░▄▄▄▄█▀░░▀████
████░░░░░░░░█░▀▀░████
█████████████████████
█████████████████████
█████████████████████
█████████████████████ | ████
██
██
██
██
██
██
██
██
██
██
██
████ | ████
██
██
██
██
██
██
██
██
██
██
██
████ | ████
██
██
██
██
██
██
██
██
██
██
██
████ | | | | ████
██
██
████ | | ████
██
██
████ |
[/ce |
|
|
|
s0nix
|
|
February 25, 2017, 04:35:40 PM |
|
wie dem aus sei; ich denke, dass "Login per Fingerabdrucksensor" das beste wäre… Handys haben es mittlerweile, also abwarten bis die Exchanges es auch einführen Naja, solange nichts übertragen wird.  2FA halte ich immer noch für relativ sicher und auch praktikalbel. |
|
|
|
|
willi9974
Legendary
Offline
Activity: 3612
Merit: 2845
Enjoy 500% bonus + 70 FS
|
|
February 25, 2017, 08:08:10 PM |
|
Super hat geklappt!
Jetzt noch die Frage, wo finde ich das Masterpasswort?
|
|
|
|
|
