Bitcoin Forum
November 09, 2024, 09:45:36 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1] 2 »  All
  Print  
Author Topic: Aktueller Kraken Sicherheitshinweis  (Read 1366 times)
ds06 (OP)
Hero Member
*****
Offline Offline

Activity: 608
Merit: 500


View Profile
February 24, 2017, 12:28:21 PM
 #1

Hallo, habe vor 10 min eine Meldung von Kraken erhalten:

A bug was recently discovered with Cloudflare, which Kraken and many other websites use for DoS protection and other services. Due to the nature of the bug, we recommend as a precaution that you change your Kraken security credentials:
Change your password
Change your two-factor authentication (remove and re-enable it)
Clients who use API keys should generate a new set of keys

Jeder der dort ein Konto hat sollte sein Passwort umgehend ändern.

Ich hoffe die Info hilft jemandem...

Gruß
s0nix
Hero Member
*****
Offline Offline

Activity: 784
Merit: 511


View Profile
February 24, 2017, 12:45:31 PM
 #2

Stimmt.

Das gleich gilt für Poloniex und einige andere Dienste.
Die empfehlen allerdings nur eine Änderung des Passwortes.
5tift
Legendary
*
pizza
Offline Offline

Activity: 2525
Merit: 1114


First BTCT UserName stiftmaster | ID 23592


View Profile
February 24, 2017, 12:45:39 PM
 #3

Geht bestimmt darum

https://www.heise.de/newsticker/meldung/Cloudbleed-Geheime-Inhalte-von-Millionen-Webseiten-durch-Cloudflare-oeffentlich-3634075.html

.
I  C  Λ  R  U  S
██████████
██████▀▀▀██
████▀█████▀█
██████████
██████████
█████████████
░▄████
█████████████
███████████████████
███████████████████
████████░░░▀▀▀▀▀▀▀▀
████████▄▄▄████████
███████████████████
█████████████████▀
░░░██
▄▄▄█
█████
░░░██
░░░██
░░░██
░░░██
░░░
░░░
░░░
▄██████
█▌░▐██
███████▀
█████████████████████
██
███████████████████
██
███████████████████
██
████▀▀▀▀████▀▀█████
██
██░░▄▄░░██░░░█████
██
███▄▄██░░███░░█████
██
███▀▀▀▀░░▀██░░█████
██
██░░░░▄▄▄▄█▀░░▀████
██
██░░░░░░░░█░▀▀░████
██
███████████████████
██
███████████████████
██
███████████████████
█████████████████████
████
██
██
██
██

██
██
██
██
██
██
██
████
████
██
██
██
██

██
██
██
██
██
██
██
████
████
██
██
██
██

██
██
██
██
██
██
██
████
████
██









██
████
████
██









██
████
[/ce
s0nix
Hero Member
*****
Offline Offline

Activity: 784
Merit: 511


View Profile
February 24, 2017, 12:53:09 PM
 #4


Ja richtig.

Nun bin ich mal gespannt, was da noch kommt.
Denn viele Anbieter nutzen Cloudflare, Bittrex glaube ich auch.
Von dort habe ich aber noch keine Warnung erhlaten.
ds06 (OP)
Hero Member
*****
Offline Offline

Activity: 608
Merit: 500


View Profile
February 24, 2017, 12:54:08 PM
 #5

Gerade über Twitter gelesen das Bitcoin.de auch betroffen ist...
MinerVonNaka
Sr. Member
****
Offline Offline

Activity: 854
Merit: 284



View Profile
February 24, 2017, 01:45:40 PM
 #6

Für heutige Zeiten ist eben 2FA ein muss.

Persönlich finde die 2FA Lösung von bitcoin.de schon ganz gut.
coinling
Sr. Member
****
Offline Offline

Activity: 431
Merit: 251


View Profile
February 24, 2017, 02:12:39 PM
 #7

Google 2FA ohne offline Installation wie es z.b. Electrum anbietet macht meines Erachtens keinen wirklichen Unterschied.

Die großen Börsen sollten wirklich mal an der Security arbeiten und intelligentere Lösungen anbieten.

s0nix
Hero Member
*****
Offline Offline

Activity: 784
Merit: 511


View Profile
February 24, 2017, 03:38:44 PM
 #8

Google 2FA ohne offline Installation wie es z.b. Electrum anbietet macht meines Erachtens keinen wirklichen Unterschied.

Die großen Börsen sollten wirklich mal an der Security arbeiten und intelligentere Lösungen anbieten.

Aber was könnte das denn in diesem Fall sein?
Denn wenn ich das richtig gelesen hatte, geht es hier doch erstmal um einen Bug in Cloudflare.

Jedenfalls finde ich 2FA für mich schon notwendig. Und wenn möglich noch die E-Mail Bestätigung beim Withdraw.
Armin van Bruggen
Full Member
***
Offline Offline

Activity: 232
Merit: 101


Stratege, berechnend


View Profile
February 24, 2017, 04:30:54 PM
 #9

Als kurze Erklärung, 2FA sollte auch erneuert werden.
Beim erstmaligen Einrichten von 2FA habt ihr einen Code erhalten (oder per Smartphone gescannt). Wenn dieser Code abgefangen wurde (durch den Bug bei Cloudflare) kann der Angreifer sich auch passende OTP Tokens erstellen. Halte ich zwar für sehr unwahrscheinlich, aber ich wollte es mal aufgeklärt haben.
Buchi-88
Legendary
*
Offline Offline

Activity: 3976
Merit: 2640



View Profile
February 24, 2017, 05:40:10 PM
 #10

Für heutige Zeiten ist eben 2FA ein muss.

Persönlich finde die 2FA Lösung von bitcoin.de schon ganz gut.

Auch Bitcoin.de sendet es aus, vermutlich einfach einmal zur Vorsichtsmaßnahme...
Quote
Sicherheitswarnung
Sehr geehrter Herr Buchigner,

ein heute öffentlich bekannt gegebener Fehler (Stichwort: "cloudbleed") bei unserem Dienstleister Cloudflare betraf weltweit mehrere Millionen Webseiten und leider auch bitcoin.de.

Der Fehler, der in nur sehr seltenen Fällen zu einer ungewollten Veröffentlichung von (auch verschlüsselten) Informationen führen konnte, wurde seitens Cloudflare mittlerweile behoben. Auch wenn die unverschlüsselte Übermittlung von eigentlich verschlüsselten Informationen nur in einem von ca. 3,3 Millionen Webseitenaufrufen auftrat, kann es aber in diesen seltenen Fällen zu einer Gefährdung der Sicherheit gekommen sein oder noch kommen.

Auch wenn wir bisher keinen konkreten Anlass haben anzunehmen, dass Kunden von Bitcoin.de zu Schaden gekommen sind, empfehlen wir als Vorsichtsmaßnahme trotzdem allen Kunden, ihr Passwort auf bitcoin.de zu ändern.

Da viele weitere bekannte Webseiten von dem Fehler betroffen sind, sollten Sie zudem überprüfen, ob Sie auch bei weiteren Diensten Ihre Benutzernamen und/oder Passwörter ändern müssen. Unter dem nachfolgenden Link finden Sie eine (sehr lange) Liste der von "cloudbleed" betroffenen Webseiten: sites-using-cloudflare.

Wichtig! Bitte benutzen Sie NIEMALS das gleiche Passwort für mehrere Webseiten oder Dienste. Passwort-Tools wie 1Password, LastPassword und andere "Passwort-Tresore" bieten zwar auch keinen 100%igen Schutz, aber immer das gleiche Passwort zu benutzen ist definitiv eine größere Gefahr.

Bei einer 2-Faktor-Authentifizierung über eine App (wie beispielsweise Google-Authenticator) ist die Wahrscheinlichkeit, dass der einmalig angezeigte Seed durch "cloudbleed" veröffentlicht wurde, noch wesentlich geringer. Dennoch empfehlen wir als Vorsichtsmaßnahme auch die 2-Faktor-Authentifizierung bei Bitcoin.de zu deaktivieren und sofort wieder zu aktivieren. Nutzer eines Yubikeys und einer Passwort-Tabelle sind nicht betroffen und müssen nichts unternehmen.

Sofern Sie immer noch keine 2-Faktor-Authentifizierung eingerichtet haben, empfehlen wir Ihnen dies dringend, da ein unberechtigter Zugriff auf Ihren Account so deutlich erschwert wird. Weitere Infos dazu finden Sie in unseren FAQ: https://www.bitcoin.de/de/faq/was-ist-die-2-step-verification-2-faktor-authentifizierung/46.html

Weitere Informationen zu "Cloudbleed" finden Sie unter:

heise.de: Cloudbleed: Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich

Golem: Cloudflare verteilt private Daten übers Internet


Mit freundlichen Grüßen
Ihr Team von Bitcoin.de

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
Aswan
Legendary
*
Offline Offline

Activity: 1734
Merit: 1015



View Profile
February 24, 2017, 07:50:13 PM
 #11

Ich weiß schon warum ich bei bitcoin.de die Passworttabelle genommen habe. Ist meiner Meinung nach eine der sichersten 2FAs.
MinerVonNaka
Sr. Member
****
Offline Offline

Activity: 854
Merit: 284



View Profile
February 24, 2017, 08:16:40 PM
 #12

Quote
die Passworttabelle genommen habe. Ist meiner Meinung nach eine der sichersten 2FAs.
Obwohl ich 2FA + Yubikey noch etwas sicherer finde, übrigens diesen kann man auch bei Kraken einsetzen.

Dennoch die Fragen die ich mir immer stelle sind:
(a) was wenn der Key mechanisch kaputt geht?
(b) wie Loge ich mich dann wieder ein?
(c) welchen Aufwand muss man betreiben um alles wieder zurück zu setzen?


Weist jemand Bescheid? Oder vergleichbares erlebt?
Aswan
Legendary
*
Offline Offline

Activity: 1734
Merit: 1015



View Profile
February 24, 2017, 11:11:35 PM
 #13

Quote
die Passworttabelle genommen habe. Ist meiner Meinung nach eine der sichersten 2FAs.
Obwohl ich 2FA + Yubikey noch etwas sicherer finde, übrigens diesen kann man auch bei Kraken einsetzen.

Das wäre dann 3FA. Klar, je mehr von einander unabhängige Authentifizierungsmethoden genutzt werden, desto sicherer wird das ganze.


Dennoch die Fragen die ich mir immer stelle sind:
(a) was wenn der Key mechanisch kaputt geht?
Du weist dem Betreiber, bei den du den Zugang damit gesichert hast, deinen Anspruch auf den Zugang nach. Da gibts bis hin zur notariellen Geblaubigung viele Möglichkeiten, die man sonst eben nicht nutzt weil es zu teuer/aufwendig sein kann. Aber wenn der Key tatsächlich kaputt ist, dann muss man eben dieses mal auf eine aufwendigere Methode zurückgreifen. Wenn der Betreiber den Key dann entfernt hat, kannst du einen neuen hinzufügen.


(b) wie Loge ich mich dann wieder ein?
Indem der Betreiber den Key von deinem Account entfernt.

(c) welchen Aufwand muss man betreiben um alles wieder zurück zu setzen?

Das kommt immer auf den Betreiber an. Da gibts viele Möglichkeiten. Wenn man seinen Anspruch glaubhaft nachgewiesen hat, sollte das meist kein Problem sein. Natürlich gibts immer Betreiber mit schlechtem Support die sich nicht gut kümmern. Das bekommt man aber oft schon vor Nutzung oder bei Nutzung relativ schnell mit und wenn man das Angebot dann weiterhin nutzt, dann weiß man ja, worauf man sich einlässt bzw. ist selbst schuld wenn es dann nur schleppend vorangeht.
Serpens66
Legendary
*
Offline Offline

Activity: 2954
Merit: 1131



View Profile
February 25, 2017, 02:01:53 AM
 #14

Quote
die Passworttabelle genommen habe. Ist meiner Meinung nach eine der sichersten 2FAs.
Obwohl ich 2FA + Yubikey noch etwas sicherer finde, übrigens diesen kann man auch bei Kraken einsetzen.

Dennoch die Fragen die ich mir immer stelle sind:
(a) was wenn der Key mechanisch kaputt geht?
(b) wie Loge ich mich dann wieder ein?
(c) welchen Aufwand muss man betreiben um alles wieder zurück zu setzen?


Weist jemand Bescheid? Oder vergleichbares erlebt?

ganz genau weiß ichs auch nicht, aber du kannst bei Kraken einen "Masterkey" anlegen. Wenn du also normal den Yubikey benutzt, kannst du als Masterkey ein Passwort oder auch Google Authenticator verwenden. Wenn du dann dein Yubikey verlierst, kannst du mit dem Masterkey beweisen, dass du du bist.
Musst aber bei der Aktivierung des Masterkeys auf die Einstellungen achten. Gibt da diverse Sicherheitseinstellungen, zb. dass dein Account danach x Tage unbenutzbar ist (aus sicherheitsgründen), kann man aber abwählen glaube ich.

Mit Cointracking (10% Rabatt) behältst du die Übersicht über all deine Trades und Gewinne. Sogar ein Tool für die Steuer ist dabei Wink                          
Great Freeware Game: Clonk Rage
binance.com hat nun auch SEPA und EUR Paare! Mit dem RefLink bekommst du 5% Rabatt auf die Tradinggebühren!
willi9974
Legendary
*
Offline Offline

Activity: 3612
Merit: 2845


Enjoy 500% bonus + 70 FS


View Profile
February 25, 2017, 11:10:29 AM
 #15

Ich benutze den google authentificator für Bitcoin.de und wollte da jetzt gerade Kraken auch mit schützen und irgendwie klappt das nicht.

Wie macht ihr das?
Ich wollte nur den Login bei Kraken schützen und hab im google Auth. per plus einen neuen Service hinzufügen und den Barcode scannen, aber weder mit TOPT noch HOTP

Bei Bitcoin.de war es einfacher und intuitiver
Hat das schon wer gemacht von euch und kann da mal einen Tip in die Runde werfen?

Viele Grüße
willi


█████████████████████████▄▄▄
████████████████████████▐███▌
█████████████████████████▀▀▀
██▄▄██▄████████████████████████▄███▄
▐██████▐█▌████▌███▌▐███▐███▀▀████▌
▀▀███▌██▌▐████▌▐███
█████▌███▌██████▌
██▐██████████████████▐███▐██████▐███
█████▌████████▐██████████▌███▌██████▌
███▀▀████▀▀████▀▀▀█████▀▀███▀▀█████▀▀


▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
|
▄▄█████████████████▄▄
███████████████████████
██████████▀▀▀▀▀██████████
███████▀░▄█████▄░▀███████
██████░▄█▀░░▄░░▀█▄░██████
█████░██░░▄███▄░░██░█████
█████░██░███████░██░█████
█████░██░░▀▀█▀▀░░██░█████
██████░▀█▄░▀▀▀░▄█▀░██████
███████▄░▀█████▀░▄███████
██████████▄▄▄▄▄██████████
███████████████████████
▀▀█████████████████▀▀
 
LICENSED CRYPTO
CASINO & SPORTS
|
▄▄█████████████████▄▄
███████████████████████
█████████████████████████
███████████████▀▀████████
███████████▀▀█████▐█████
███████▀▀████▄▄▀█████████
█████▄▄██▄▄██▀████▐██████
███████████▀█████████████
██████████▄▄███▐███████
███████████████▄████████
█████████████████████████
███████████████████████
▀▀█████████████████▀▀
 
TELEGRAM
APP
|
..WELCOME BONUS..
500% + 70 FS
 
.
..PLAY NOW..
Queenvio
Hero Member
*****
Offline Offline

Activity: 838
Merit: 534



View Profile
February 25, 2017, 11:27:32 AM
 #16

Ich benutze den google authentificator für Bitcoin.de und wollte da jetzt gerade Kraken auch mit schützen und irgendwie klappt das nicht.

Wie macht ihr das?
Ich wollte nur den Login bei Kraken schützen und hab im google Auth. per plus einen neuen Service hinzufügen und den Barcode scannen, aber weder mit TOPT noch HOTP

Bei Bitcoin.de war es einfacher und intuitiver
Hat das schon wer gemacht von euch und kann da mal einen Tip in die Runde werfen?

Viele Grüße
willi

HOTP, SHA1 und OTP Length 6  sollte gehen.

und vergesse nicht ein Master Passwort zu seten, sonst kommest du nicht mehr rein, sollte mal was mit dem Handy passieren.
MinerVonNaka
Sr. Member
****
Offline Offline

Activity: 854
Merit: 284



View Profile
February 25, 2017, 03:41:00 PM
 #17

wie dem aus sei; ich denke, dass "Login per Fingerabdrucksensor" das beste wäre…
Handys haben es mittlerweile, also abwarten bis die Exchanges es auch einführen  Wink
5tift
Legendary
*
pizza
Offline Offline

Activity: 2525
Merit: 1114


First BTCT UserName stiftmaster | ID 23592


View Profile
February 25, 2017, 03:54:40 PM
 #18

Ich nutze für 2FA Authy auf dem Handy, den Account kann man mit einer anderen Instanz syncen (bei mir ein mininal Linux+Authy Paket als virtuelle Maschine).
Sollte das Handy mal den Geist aufgeben kann man die VM hochfahren und da Authy nutzen.

.
I  C  Λ  R  U  S
██████████
██████▀▀▀██
████▀█████▀█
██████████
██████████
█████████████
░▄████
█████████████
███████████████████
███████████████████
████████░░░▀▀▀▀▀▀▀▀
████████▄▄▄████████
███████████████████
█████████████████▀
░░░██
▄▄▄█
█████
░░░██
░░░██
░░░██
░░░██
░░░
░░░
░░░
▄██████
█▌░▐██
███████▀
█████████████████████
██
███████████████████
██
███████████████████
██
████▀▀▀▀████▀▀█████
██
██░░▄▄░░██░░░█████
██
███▄▄██░░███░░█████
██
███▀▀▀▀░░▀██░░█████
██
██░░░░▄▄▄▄█▀░░▀████
██
██░░░░░░░░█░▀▀░████
██
███████████████████
██
███████████████████
██
███████████████████
█████████████████████
████
██
██
██
██

██
██
██
██
██
██
██
████
████
██
██
██
██

██
██
██
██
██
██
██
████
████
██
██
██
██

██
██
██
██
██
██
██
████
████
██









██
████
████
██









██
████
[/ce
s0nix
Hero Member
*****
Offline Offline

Activity: 784
Merit: 511


View Profile
February 25, 2017, 04:35:40 PM
 #19

wie dem aus sei; ich denke, dass "Login per Fingerabdrucksensor" das beste wäre…
Handys haben es mittlerweile, also abwarten bis die Exchanges es auch einführen  Wink

Naja, solange nichts übertragen wird.  Cool
2FA halte ich immer noch für relativ sicher und auch praktikalbel.
willi9974
Legendary
*
Offline Offline

Activity: 3612
Merit: 2845


Enjoy 500% bonus + 70 FS


View Profile
February 25, 2017, 08:08:10 PM
 #20

Super hat geklappt!
Jetzt noch die Frage, wo finde ich das Masterpasswort?


█████████████████████████▄▄▄
████████████████████████▐███▌
█████████████████████████▀▀▀
██▄▄██▄████████████████████████▄███▄
▐██████▐█▌████▌███▌▐███▐███▀▀████▌
▀▀███▌██▌▐████▌▐███
█████▌███▌██████▌
██▐██████████████████▐███▐██████▐███
█████▌████████▐██████████▌███▌██████▌
███▀▀████▀▀████▀▀▀█████▀▀███▀▀█████▀▀


▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
|
▄▄█████████████████▄▄
███████████████████████
██████████▀▀▀▀▀██████████
███████▀░▄█████▄░▀███████
██████░▄█▀░░▄░░▀█▄░██████
█████░██░░▄███▄░░██░█████
█████░██░███████░██░█████
█████░██░░▀▀█▀▀░░██░█████
██████░▀█▄░▀▀▀░▄█▀░██████
███████▄░▀█████▀░▄███████
██████████▄▄▄▄▄██████████
███████████████████████
▀▀█████████████████▀▀
 
LICENSED CRYPTO
CASINO & SPORTS
|
▄▄█████████████████▄▄
███████████████████████
█████████████████████████
███████████████▀▀████████
███████████▀▀█████▐█████
███████▀▀████▄▄▀█████████
█████▄▄██▄▄██▀████▐██████
███████████▀█████████████
██████████▄▄███▐███████
███████████████▄████████
█████████████████████████
███████████████████████
▀▀█████████████████▀▀
 
TELEGRAM
APP
|
..WELCOME BONUS..
500% + 70 FS
 
.
..PLAY NOW..
Pages: [1] 2 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!