Bitcoin Forum
November 15, 2024, 11:54:05 AM *
News: Check out the artwork 1Dq created to commemorate this forum's 15th anniversary
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: WICHTIG!!! Passwörter auf allen Börsen ändern WICHTIG!!!!  (Read 835 times)
schnötzel (OP)
Legendary
*
Offline Offline

Activity: 1316
Merit: 1041

Bitcoin is a bit**


View Profile
March 20, 2017, 10:11:46 AM
 #1

Da ich wohl nicht der einzigste bin, der es komplett verschlafen (Nachricht is vom 24.2) hat:

https://twitter.com/Poloniex/status/834991232959066113


Von Poloniex:


1/3 IMPORTANT NOTICE: Due to the widespread impact of Cloudflare's recently-discovered parser bug #cloudbleed…

2/3 …we highly recommend that all users change their password and enable 2FA immediately.


3/3 This affects far more sites than Poloniex, including other exchanges. It is imperative to use unique passwords and 2FA for all services.

Block_303
Sr. Member
****
Offline Offline

Activity: 322
Merit: 250



View Profile
March 20, 2017, 11:17:42 AM
 #2

Du bist aber spät dran.

Alle Inhaber von diversen Accounts auf den Börsen oder anderen Dienstleistungen wurden damals doch umgehen via E-Mail informiert.

dadingsda
Legendary
*
Offline Offline

Activity: 1310
Merit: 1000


View Profile
March 20, 2017, 11:27:47 AM
 #3

Du bist aber spät dran.

Alle Inhaber von diversen Accounts auf den Börsen oder anderen Dienstleistungen wurden damals doch umgehen via E-Mail informiert.

Bin auch so einer, der nichts mitbekommen hat. Die Mails lese ich fast nie  Roll Eyes Embarrassed

INVALID BBCODE: close of unopened tag in table (1)
Block_303
Sr. Member
****
Offline Offline

Activity: 322
Merit: 250



View Profile
March 20, 2017, 11:42:35 AM
 #4

Du bist aber spät dran.

Alle Inhaber von diversen Accounts auf den Börsen oder anderen Dienstleistungen wurden damals doch umgehen via E-Mail informiert.

Bin auch so einer, der nichts mitbekommen hat. Die Mails lese ich fast nie  Roll Eyes Embarrassed

Na ja gut, alle lese ich auch nicht. Aber in diesem Fall wurde man ja förmlich bombardiert mit Meldungen von allen Seiten.

quasimodo
Legendary
*
Offline Offline

Activity: 2700
Merit: 1178


Reflinks und User die solche posten sind Scheisse


View Profile
March 20, 2017, 11:59:19 AM
 #5

Du bist aber spät dran.

Alle Inhaber von diversen Accounts auf den Börsen oder anderen Dienstleistungen wurden damals doch umgehen via E-Mail informiert.

Bin auch so einer, der nichts mitbekommen hat. Die Mails lese ich fast nie  Roll Eyes Embarrassed

Na ja gut, alle lese ich auch nicht. Aber in diesem Fall wurde man ja förmlich bombardiert mit Meldungen von allen Seiten.

Genau, ich hab mindestens 10 Mails von verschiedenen Seiten bekommen und auf POLO unter den Notizen wars ja auch.
dadingsda
Legendary
*
Offline Offline

Activity: 1310
Merit: 1000


View Profile
March 20, 2017, 12:01:56 PM
 #6

War noch etwas anderes als die normalen Börsen betroffen? ICO Seiten,...?

INVALID BBCODE: close of unopened tag in table (1)
nrg1zer
Legendary
*
Offline Offline

Activity: 1190
Merit: 1000



View Profile
March 20, 2017, 12:07:19 PM
 #7

War noch etwas anderes als die normalen Börsen betroffen? ICO Seiten,...?

Es gab noch eine andere Liste mit unzählingen Seiten, die betrofen waren. Leider finde ich sie nicht. Aber das hier wird deine Frage zumindest teilweise beantworten:

https://bitcointalk.org/index.php?topic=1803933.0

edit: Da isser: https://github.com/pirate/sites-using-cloudflare/blob/master/README.md
Block_303
Sr. Member
****
Offline Offline

Activity: 322
Merit: 250



View Profile
March 20, 2017, 01:45:57 PM
 #8

War noch etwas anderes als die normalen Börsen betroffen? ICO Seiten,...?

Na eigentlich alle Seiten, die Cloudflare benutzten. Das sind sicher etliche tausend...

Xeelee
Full Member
***
Offline Offline

Activity: 165
Merit: 100



View Profile
March 20, 2017, 07:44:25 PM
 #9

Wie real die Gefahr ist: Ich habe noch einen kleinen Bittrex-Account, bei dem ich für 0.1 BTC kleinere Coinpositionen hielt. Auf einmal trudelte gestern eine E-Mail herein, über einen erfolgreichen Login.
Ich reagierte schnell, der Eindringling hatte aber bereits einen Teil verkaufen können. Das Passwort zu Bittrex war extrem gut und nur mit Papier und Bleistift notiert.
Das fand ich etwas erschreckend.
Klar: Hätte ich mehr bei Bittrex liegen gehabt, hätte ich auch schnell das Passwort geändert, bereits vor einigen Tagen.
Auch bei Cryptox hatte ich einen Eindringling, dort hatte ich aber nichts mehr liegen. Die Gefahr ist also real.

NXT-Wallet: NXT-UBDL-3XU4-NQBZ-FT33G
laugh2btc
Hero Member
*****
Offline Offline

Activity: 531
Merit: 500


View Profile
March 20, 2017, 07:53:41 PM
 #10

Betrifft das jetzt nur die Börsen oder auch andere Webseiten?
shewasfourteen
Sr. Member
****
Offline Offline

Activity: 686
Merit: 261



View Profile
March 20, 2017, 09:00:54 PM
Last edit: March 20, 2017, 09:16:40 PM by shewasfourteen
 #11

Wie real die Gefahr ist: Ich habe noch einen kleinen Bittrex-Account, bei dem ich für 0.1 BTC kleinere Coinpositionen hielt. Auf einmal trudelte gestern eine E-Mail herein, über einen erfolgreichen Login.
Ich reagierte schnell, der Eindringling hatte aber bereits einen Teil verkaufen können. Das Passwort zu Bittrex war extrem gut und nur mit Papier und Bleistift notiert.
Das fand ich etwas erschreckend.
Klar: Hätte ich mehr bei Bittrex liegen gehabt, hätte ich auch schnell das Passwort geändert, bereits vor einigen Tagen.
Auch bei Cryptox hatte ich einen Eindringling, dort hatte ich aber nichts mehr liegen. Die Gefahr ist also real.

Es gibt keine Hinweise, dass die Lücke in der Wildbahn bekannt war oder auch überhaupt ausgenutzt worden ist. In den analysierten Logs gab es auch keine hinweise auf Passwörter, Kreditkarteninformation ect.
Es ist sowas von unwahrscheinlich, dass dann gerade bei zwei Börsen die Lücke ausgenutzt wurde.

Falls ja, dann wärst du bestimmt nicht der einzige Nutzer gewesen, sondern etliche weitere und wäre auch schon längst überall zu lesen.

Hört sich eher an, als ob jemand anders Zugriff bekommen hat.
Ein starkes Passwort schützt dich auch nicht vor einen infizierten Rechner, der Passwörter aus-oder mitliest.

ps. eine 2-Weg-Authentifizierung sollte Standard sein. Meines Wissen bieten beide Börsen das an.....
schnötzel (OP)
Legendary
*
Offline Offline

Activity: 1316
Merit: 1041

Bitcoin is a bit**


View Profile
March 20, 2017, 09:06:30 PM
 #12

Cryptox kenne ich nicht, aber Bittrex bietet es an.
teletobi
Hero Member
*****
Offline Offline

Activity: 734
Merit: 500



View Profile
March 20, 2017, 09:41:24 PM
 #13

Bei cryptox ist glaube ich sogar Pflicht. Ohne bekommst du keinen Account.

@Xeelee: Nur informativ, magst du das vermeintlich sichere Passwort veröffentlichen? Ist ja inzwischen hinfällig und hoffentlich nirgendwo anders in Gebrauch. Es gibt verschiedene Meinungen, ob ein Passwort sicher ust.

Join the Elastic revolution!  Elastic - The Decentralized Supercomputer
ELASTIC WEBSITE | NEW ANNOUNCEMENT THREAD | ELASTIC SLACK | ELASTIC FORUM
Xeelee
Full Member
***
Offline Offline

Activity: 165
Merit: 100



View Profile
March 21, 2017, 07:57:58 AM
 #14

Bei cryptox ist glaube ich sogar Pflicht. Ohne bekommst du keinen Account.

@Xeelee: Nur informativ, magst du das vermeintlich sichere Passwort veröffentlichen? Ist ja inzwischen hinfällig und hoffentlich nirgendwo anders in Gebrauch. Es gibt verschiedene Meinungen, ob ein Passwort sicher ust.

Ich kann nur sagen was mir zugestossen ist. Ich habe das im Zusammenhang mit Cloudfare gebracht, aber vielleicht ist wars das auch ein Zufall?
Mein altes Bittrex-Passwort war: Walter_1977+X-Y3!

NXT-Wallet: NXT-UBDL-3XU4-NQBZ-FT33G
Kryptowerk
Legendary
*
Offline Offline

Activity: 2114
Merit: 1403


Disobey.


View Profile
March 22, 2017, 06:40:32 PM
 #15

Bei cryptox ist glaube ich sogar Pflicht. Ohne bekommst du keinen Account.

@Xeelee: Nur informativ, magst du das vermeintlich sichere Passwort veröffentlichen? Ist ja inzwischen hinfällig und hoffentlich nirgendwo anders in Gebrauch. Es gibt verschiedene Meinungen, ob ein Passwort sicher ust.

Ich kann nur sagen was mir zugestossen ist. Ich habe das im Zusammenhang mit Cloudfare gebracht, aber vielleicht ist wars das auch ein Zufall?
Mein altes Bittrex-Passwort war: Walter_1977+X-Y3!
Nichts für ungut, aber ein außergewöhnlich sicheres Passwort ist das nicht. Bin kein Experte auf dem Gebiet, aber gute Brute-Force Algorythmen greifen auf Datenbanken mit Wörtern und Namen zurück. Falls dann noch Dein Name bekannt ist und Dein Geburtsdatum können die Dinger so konfiguriert werden, dass unzähle Kombinationen mit einem oder beiden dieser "Daten" ausprobiert werden.
Es ist vielleicht über dem abc123 oder Passw0rt Niveau, aber heutzutage empfehlen sich wirklich 14 oder mehrstellige Passwörte inklusive Groß-, Kleinschreibung und Sonderzeichen (trifft alles auf Deines zu, insofern schonmal gut), aber möglichst ohne jegliche bekannte Wörter oder simple Abwandlungen davon (z.B. nicht H4us statt Haus verwenden). Auch Jahreszahlen u.ä., und idealerweise alles was in irgendeiner Weise mit Dir verknüpft werden kann, sollte vermieden werden.
Eine Alternative zu dieser Art von kryptischen, schwer zu merkenden Passwörtern sind lange Sätze die möglichst einzigartig sind.

Get educated about Bitcoin. Check out Andreas Antonopoulos on Youtube. An old but gold talk: https://www.youtube.com/watch?v=rc744Z9IjhY

UPDATE 2024: Daniel Schmachtenberger on The Meta-Crisis: https://www.youtube.com/watch?v=LSx8j8lSewA Important talk about the current state of this planet and human society in general.
teletobi
Hero Member
*****
Offline Offline

Activity: 734
Merit: 500



View Profile
March 22, 2017, 08:11:28 PM
 #16

Bei cryptox ist glaube ich sogar Pflicht. Ohne bekommst du keinen Account.

@Xeelee: Nur informativ, magst du das vermeintlich sichere Passwort veröffentlichen? Ist ja inzwischen hinfällig und hoffentlich nirgendwo anders in Gebrauch. Es gibt verschiedene Meinungen, ob ein Passwort sicher ust.

Ich kann nur sagen was mir zugestossen ist. Ich habe das im Zusammenhang mit Cloudfare gebracht, aber vielleicht ist wars das auch ein Zufall?
Mein altes Bittrex-Passwort war: Walter_1977+X-Y3!
Nichts für ungut, aber ein außergewöhnlich sicheres Passwort ist das nicht. Bin kein Experte auf dem Gebiet, aber gute Brute-Force Algorythmen greifen auf Datenbanken mit Wörtern und Namen zurück. Falls dann noch Dein Name bekannt ist und Dein Geburtsdatum können die Dinger so konfiguriert werden, dass unzähle Kombinationen mit einem oder beiden dieser "Daten" ausprobiert werden.
Es ist vielleicht über dem abc123 oder Passw0rt Niveau, aber heutzutage empfehlen sich wirklich 14 oder mehrstellige Passwörte inklusive Groß-, Kleinschreibung und Sonderzeichen (trifft alles auf Deines zu, insofern schonmal gut), aber möglichst ohne jegliche bekannte Wörter oder simple Abwandlungen davon (z.B. nicht H4us statt Haus verwenden). Auch Jahreszahlen u.ä., und idealerweise alles was in irgendeiner Weise mit Dir verknüpft werden kann, sollte vermieden werden.
Eine Alternative zu dieser Art von kryptischen, schwer zu merkenden Passwörtern sind lange Sätze die möglichst einzigartig sind.

Ich kann mich Xeelee nur anschliessen, wirklich sicher finde ich das nicht. Ich würde so ein Passwort nicht verwenden, schon gar nicht wenn kein 2FA aktiviert ist. Ich benutze einen Passwortmanager wie keepass oder 1Password. Da ist es allerdings EXTREM wichtig dass ein tatsächlich sicheres Masterpasswort verwendet wird. Es gibt einige Aluhüte hier denen solche Passwortmanager aus genau diesem Grund zu heikel ist. Aber man braucht so viele Passwörter dauernd und überall im Internet, die kann ich mir nicht alle merken. Dafür sehen generierte Passwörter dann aber auch so aus:

NGorQUfAyiMamUxQzkv6ZJmM
pKsErCidjefvjbbdxHG9VqWF  oder auch gleich so
EgdtbNg23PWKLwUuK[i[ZXXPwFU6X.hd@EokNroH?BdQ6KPAQ

Join the Elastic revolution!  Elastic - The Decentralized Supercomputer
ELASTIC WEBSITE | NEW ANNOUNCEMENT THREAD | ELASTIC SLACK | ELASTIC FORUM
laugh2btc
Hero Member
*****
Offline Offline

Activity: 531
Merit: 500


View Profile
March 22, 2017, 08:23:03 PM
 #17

Und ich kann mich nur dir anschließen, teletobi. Mit einem Passwortmanager ist es auch egal, ob man 40 oder 400 Zeichen hat. Ist ja alles nur ein Klick  Smiley
shewasfourteen
Sr. Member
****
Offline Offline

Activity: 686
Merit: 261



View Profile
March 22, 2017, 09:32:11 PM
 #18

"Walter_1977+X-Y3!"

Also gegen eine Brute-Force Attacke ist das schon recht sicher.

Brute Force ist auch nicht grossartig heutzutage das Problem, sondern eher Malware oder Datenleaks bei Anbieter oder Webseiten. Für die "12345" Leute wird Brute Force immer ein Problem bleiben...

Wichtig ist, dass man bei "wichtigen" Seiten/Anbieter jeweils andere Passwörter benutzt. Nach Datenleaks zb. werden meistens die Passwörter auf anderen Seiten ausprobiert. Personen, die dann immer die gleichen Passwörter benutzen kucken dann oft in die Röhre.

Für "belanglose" Seiten kann man ruhig immer die gleichen 2-3 Passwörter benutzen. Also irgendwo wo man sich mal kurz anmeldet oder einem halbwegs egal sein kann wenn jemand das Passwort stiehlt.

Alles wichtige, sprich was mit Geld zu tun hat und persönlich/wichtige/Private Daten (zb. Paypal, banking, alles rum um Bitcoin, Icloud, Facebook, Ebay,Email ect)  --> einzigartiges sicheres Passwort und am besten 2FA wenn möglich

Keepass ist dann dafür auf jedenfall ein nützliches Tool, wobei ich selber keinen Passwordmanager benutze.


Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!