schnötzel (OP)
Legendary
Offline
Activity: 1316
Merit: 1041
Bitcoin is a bit**
|
|
March 20, 2017, 10:11:46 AM |
|
Da ich wohl nicht der einzigste bin, der es komplett verschlafen (Nachricht is vom 24.2) hat: https://twitter.com/Poloniex/status/834991232959066113Von Poloniex: 1/3 IMPORTANT NOTICE: Due to the widespread impact of Cloudflare's recently-discovered parser bug #cloudbleed… 2/3 … we highly recommend that all users change their password and enable 2FA immediately. 3/3 This affects far more sites than Poloniex, including other exchanges. It is imperative to use unique passwords and 2FA for all services.
|
|
|
|
Block_303
|
|
March 20, 2017, 11:17:42 AM |
|
Du bist aber spät dran.
Alle Inhaber von diversen Accounts auf den Börsen oder anderen Dienstleistungen wurden damals doch umgehen via E-Mail informiert.
|
|
|
|
dadingsda
Legendary
Offline
Activity: 1310
Merit: 1000
|
|
March 20, 2017, 11:27:47 AM |
|
Du bist aber spät dran.
Alle Inhaber von diversen Accounts auf den Börsen oder anderen Dienstleistungen wurden damals doch umgehen via E-Mail informiert.
Bin auch so einer, der nichts mitbekommen hat. Die Mails lese ich fast nie
|
INVALID BBCODE: close of unopened tag in table (1)
|
|
|
Block_303
|
|
March 20, 2017, 11:42:35 AM |
|
Du bist aber spät dran.
Alle Inhaber von diversen Accounts auf den Börsen oder anderen Dienstleistungen wurden damals doch umgehen via E-Mail informiert.
Bin auch so einer, der nichts mitbekommen hat. Die Mails lese ich fast nie Na ja gut, alle lese ich auch nicht. Aber in diesem Fall wurde man ja förmlich bombardiert mit Meldungen von allen Seiten.
|
|
|
|
quasimodo
Legendary
Offline
Activity: 2700
Merit: 1178
Reflinks und User die solche posten sind Scheisse
|
|
March 20, 2017, 11:59:19 AM |
|
Du bist aber spät dran.
Alle Inhaber von diversen Accounts auf den Börsen oder anderen Dienstleistungen wurden damals doch umgehen via E-Mail informiert.
Bin auch so einer, der nichts mitbekommen hat. Die Mails lese ich fast nie Na ja gut, alle lese ich auch nicht. Aber in diesem Fall wurde man ja förmlich bombardiert mit Meldungen von allen Seiten. Genau, ich hab mindestens 10 Mails von verschiedenen Seiten bekommen und auf POLO unter den Notizen wars ja auch.
|
|
|
|
dadingsda
Legendary
Offline
Activity: 1310
Merit: 1000
|
|
March 20, 2017, 12:01:56 PM |
|
War noch etwas anderes als die normalen Börsen betroffen? ICO Seiten,...?
|
INVALID BBCODE: close of unopened tag in table (1)
|
|
|
|
Block_303
|
|
March 20, 2017, 01:45:57 PM |
|
War noch etwas anderes als die normalen Börsen betroffen? ICO Seiten,...?
Na eigentlich alle Seiten, die Cloudflare benutzten. Das sind sicher etliche tausend...
|
|
|
|
Xeelee
|
|
March 20, 2017, 07:44:25 PM |
|
Wie real die Gefahr ist: Ich habe noch einen kleinen Bittrex-Account, bei dem ich für 0.1 BTC kleinere Coinpositionen hielt. Auf einmal trudelte gestern eine E-Mail herein, über einen erfolgreichen Login. Ich reagierte schnell, der Eindringling hatte aber bereits einen Teil verkaufen können. Das Passwort zu Bittrex war extrem gut und nur mit Papier und Bleistift notiert. Das fand ich etwas erschreckend. Klar: Hätte ich mehr bei Bittrex liegen gehabt, hätte ich auch schnell das Passwort geändert, bereits vor einigen Tagen. Auch bei Cryptox hatte ich einen Eindringling, dort hatte ich aber nichts mehr liegen. Die Gefahr ist also real.
|
NXT-Wallet: NXT-UBDL-3XU4-NQBZ-FT33G
|
|
|
laugh2btc
|
|
March 20, 2017, 07:53:41 PM |
|
Betrifft das jetzt nur die Börsen oder auch andere Webseiten?
|
|
|
|
shewasfourteen
|
|
March 20, 2017, 09:00:54 PM Last edit: March 20, 2017, 09:16:40 PM by shewasfourteen |
|
Wie real die Gefahr ist: Ich habe noch einen kleinen Bittrex-Account, bei dem ich für 0.1 BTC kleinere Coinpositionen hielt. Auf einmal trudelte gestern eine E-Mail herein, über einen erfolgreichen Login. Ich reagierte schnell, der Eindringling hatte aber bereits einen Teil verkaufen können. Das Passwort zu Bittrex war extrem gut und nur mit Papier und Bleistift notiert. Das fand ich etwas erschreckend. Klar: Hätte ich mehr bei Bittrex liegen gehabt, hätte ich auch schnell das Passwort geändert, bereits vor einigen Tagen. Auch bei Cryptox hatte ich einen Eindringling, dort hatte ich aber nichts mehr liegen. Die Gefahr ist also real.
Es gibt keine Hinweise, dass die Lücke in der Wildbahn bekannt war oder auch überhaupt ausgenutzt worden ist. In den analysierten Logs gab es auch keine hinweise auf Passwörter, Kreditkarteninformation ect. Es ist sowas von unwahrscheinlich, dass dann gerade bei zwei Börsen die Lücke ausgenutzt wurde. Falls ja, dann wärst du bestimmt nicht der einzige Nutzer gewesen, sondern etliche weitere und wäre auch schon längst überall zu lesen. Hört sich eher an, als ob jemand anders Zugriff bekommen hat. Ein starkes Passwort schützt dich auch nicht vor einen infizierten Rechner, der Passwörter aus-oder mitliest. ps. eine 2-Weg-Authentifizierung sollte Standard sein. Meines Wissen bieten beide Börsen das an.....
|
|
|
|
schnötzel (OP)
Legendary
Offline
Activity: 1316
Merit: 1041
Bitcoin is a bit**
|
|
March 20, 2017, 09:06:30 PM |
|
Cryptox kenne ich nicht, aber Bittrex bietet es an.
|
|
|
|
teletobi
|
|
March 20, 2017, 09:41:24 PM |
|
Bei cryptox ist glaube ich sogar Pflicht. Ohne bekommst du keinen Account.
@Xeelee: Nur informativ, magst du das vermeintlich sichere Passwort veröffentlichen? Ist ja inzwischen hinfällig und hoffentlich nirgendwo anders in Gebrauch. Es gibt verschiedene Meinungen, ob ein Passwort sicher ust.
|
|
|
|
Xeelee
|
|
March 21, 2017, 07:57:58 AM |
|
Bei cryptox ist glaube ich sogar Pflicht. Ohne bekommst du keinen Account.
@Xeelee: Nur informativ, magst du das vermeintlich sichere Passwort veröffentlichen? Ist ja inzwischen hinfällig und hoffentlich nirgendwo anders in Gebrauch. Es gibt verschiedene Meinungen, ob ein Passwort sicher ust.
Ich kann nur sagen was mir zugestossen ist. Ich habe das im Zusammenhang mit Cloudfare gebracht, aber vielleicht ist wars das auch ein Zufall? Mein altes Bittrex-Passwort war: Walter_1977+X-Y3!
|
NXT-Wallet: NXT-UBDL-3XU4-NQBZ-FT33G
|
|
|
Kryptowerk
Legendary
Offline
Activity: 2114
Merit: 1403
Disobey.
|
|
March 22, 2017, 06:40:32 PM |
|
Bei cryptox ist glaube ich sogar Pflicht. Ohne bekommst du keinen Account.
@Xeelee: Nur informativ, magst du das vermeintlich sichere Passwort veröffentlichen? Ist ja inzwischen hinfällig und hoffentlich nirgendwo anders in Gebrauch. Es gibt verschiedene Meinungen, ob ein Passwort sicher ust.
Ich kann nur sagen was mir zugestossen ist. Ich habe das im Zusammenhang mit Cloudfare gebracht, aber vielleicht ist wars das auch ein Zufall? Mein altes Bittrex-Passwort war: Walter_1977+X-Y3! Nichts für ungut, aber ein außergewöhnlich sicheres Passwort ist das nicht. Bin kein Experte auf dem Gebiet, aber gute Brute-Force Algorythmen greifen auf Datenbanken mit Wörtern und Namen zurück. Falls dann noch Dein Name bekannt ist und Dein Geburtsdatum können die Dinger so konfiguriert werden, dass unzähle Kombinationen mit einem oder beiden dieser "Daten" ausprobiert werden. Es ist vielleicht über dem abc123 oder Passw0rt Niveau, aber heutzutage empfehlen sich wirklich 14 oder mehrstellige Passwörte inklusive Groß-, Kleinschreibung und Sonderzeichen (trifft alles auf Deines zu, insofern schonmal gut), aber möglichst ohne jegliche bekannte Wörter oder simple Abwandlungen davon (z.B. nicht H4us statt Haus verwenden). Auch Jahreszahlen u.ä., und idealerweise alles was in irgendeiner Weise mit Dir verknüpft werden kann, sollte vermieden werden. Eine Alternative zu dieser Art von kryptischen, schwer zu merkenden Passwörtern sind lange Sätze die möglichst einzigartig sind.
|
|
|
|
teletobi
|
|
March 22, 2017, 08:11:28 PM |
|
Bei cryptox ist glaube ich sogar Pflicht. Ohne bekommst du keinen Account.
@Xeelee: Nur informativ, magst du das vermeintlich sichere Passwort veröffentlichen? Ist ja inzwischen hinfällig und hoffentlich nirgendwo anders in Gebrauch. Es gibt verschiedene Meinungen, ob ein Passwort sicher ust.
Ich kann nur sagen was mir zugestossen ist. Ich habe das im Zusammenhang mit Cloudfare gebracht, aber vielleicht ist wars das auch ein Zufall? Mein altes Bittrex-Passwort war: Walter_1977+X-Y3! Nichts für ungut, aber ein außergewöhnlich sicheres Passwort ist das nicht. Bin kein Experte auf dem Gebiet, aber gute Brute-Force Algorythmen greifen auf Datenbanken mit Wörtern und Namen zurück. Falls dann noch Dein Name bekannt ist und Dein Geburtsdatum können die Dinger so konfiguriert werden, dass unzähle Kombinationen mit einem oder beiden dieser "Daten" ausprobiert werden. Es ist vielleicht über dem abc123 oder Passw0rt Niveau, aber heutzutage empfehlen sich wirklich 14 oder mehrstellige Passwörte inklusive Groß-, Kleinschreibung und Sonderzeichen (trifft alles auf Deines zu, insofern schonmal gut), aber möglichst ohne jegliche bekannte Wörter oder simple Abwandlungen davon (z.B. nicht H4us statt Haus verwenden). Auch Jahreszahlen u.ä., und idealerweise alles was in irgendeiner Weise mit Dir verknüpft werden kann, sollte vermieden werden. Eine Alternative zu dieser Art von kryptischen, schwer zu merkenden Passwörtern sind lange Sätze die möglichst einzigartig sind. Ich kann mich Xeelee nur anschliessen, wirklich sicher finde ich das nicht. Ich würde so ein Passwort nicht verwenden, schon gar nicht wenn kein 2FA aktiviert ist. Ich benutze einen Passwortmanager wie keepass oder 1Password. Da ist es allerdings EXTREM wichtig dass ein tatsächlich sicheres Masterpasswort verwendet wird. Es gibt einige Aluhüte hier denen solche Passwortmanager aus genau diesem Grund zu heikel ist. Aber man braucht so viele Passwörter dauernd und überall im Internet, die kann ich mir nicht alle merken. Dafür sehen generierte Passwörter dann aber auch so aus: NGorQUfAyiMamUxQzkv6ZJmM pKsErCidjefvjbbdxHG9VqWF oder auch gleich so EgdtbNg23PWKLwUuK[i[ZXXPwFU6X.hd@EokNroH?BdQ6KPAQ
|
|
|
|
laugh2btc
|
|
March 22, 2017, 08:23:03 PM |
|
Und ich kann mich nur dir anschließen, teletobi. Mit einem Passwortmanager ist es auch egal, ob man 40 oder 400 Zeichen hat. Ist ja alles nur ein Klick
|
|
|
|
shewasfourteen
|
|
March 22, 2017, 09:32:11 PM |
|
"Walter_1977+X-Y3!"
Also gegen eine Brute-Force Attacke ist das schon recht sicher.
Brute Force ist auch nicht grossartig heutzutage das Problem, sondern eher Malware oder Datenleaks bei Anbieter oder Webseiten. Für die "12345" Leute wird Brute Force immer ein Problem bleiben...
Wichtig ist, dass man bei "wichtigen" Seiten/Anbieter jeweils andere Passwörter benutzt. Nach Datenleaks zb. werden meistens die Passwörter auf anderen Seiten ausprobiert. Personen, die dann immer die gleichen Passwörter benutzen kucken dann oft in die Röhre.
Für "belanglose" Seiten kann man ruhig immer die gleichen 2-3 Passwörter benutzen. Also irgendwo wo man sich mal kurz anmeldet oder einem halbwegs egal sein kann wenn jemand das Passwort stiehlt.
Alles wichtige, sprich was mit Geld zu tun hat und persönlich/wichtige/Private Daten (zb. Paypal, banking, alles rum um Bitcoin, Icloud, Facebook, Ebay,Email ect) --> einzigartiges sicheres Passwort und am besten 2FA wenn möglich
Keepass ist dann dafür auf jedenfall ein nützliches Tool, wobei ich selber keinen Passwordmanager benutze.
|
|
|
|
|