Jemand hat versucht in meinen Mt.Gox Account einzudringen.

[phantastisch]

Ist die Passwort Reset Mail von Mt Gox zufällig in deinem Mülleimer ?

Nein, das ist ja das seltsame, die Mail war noch ungeöffnet.
Hätte derjenige sie sofort nach dem Ändern des Passworts gelöscht, hätte ich es erst bemerkt, wenn ich mich wieder bei Gox angemeldet hätte.

Dann hast du warscheinlich zu schnell reagiert oder er hat die Mail mit Absicht auf ungelesen gestellt. Mein Eindringling hat die Mails gleich hübsch in den Papierkorb verlegt.

[OhShei8e]

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe vergibt. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.

[Zephir]

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe vergibt. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.

Kann man die 2FA von Gox ohne den API-Keys eigentlich knacken?

[phantastisch]

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe verwendet. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.

Mhm, was für weiteren Schutz sorgen könnte , wäre ein E-Mail-Client und E-Mail-Provider mit Unterstützung für einen Yubikey oder einem anderen physikalischen Token, diesen sollte man sich nicht klauen lassen. ;-)

Kennt jemand einen Mailanbieter der so einen ähnlichen Ansatz schon unterstützt?

[OhShei8e]

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe vergibt. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.

Kann man die 2FA von Gox ohne den API-Keys eigentlich knacken?

Na ja, wenn Du eine Sicherheitslücke in deren Software kennst/findest, die Dich auch ohne gültiges Yubikey- oder Google-Einmalpasswort passieren lässt, klar. Klassisch läuft sowas über Stack-Overflows oder SQL-Injections. Wenn die Software verwundbar ist, nützt Dir auch das beste Hardwaretoken (Yubikey) nichts.

Ein weiterer Angriff besteht im Abgreifen vorgenerierter Einmalpasswörter.  

[Gordon Bleu]

Verwendest du dein Passwort nur 1x für Hotmail ? oder bei mehreren Seiten das gleiche PW ?
Gox Pw zurücksetzen ginge (sollte ja) auch ohne Zugriff auf den Mailaccount.
Bei welchen Seiten hast du dasselbe Passwort benutzt ?
musst nicht alle Seiten aufzählen nur die Anzahl evtl. oder die verdächtigen Seiten, wo du denselben USER / MAIL wie bei Gox benutzt hast.
offensichtlich hattest du ein anderes Passwort bei Gox, aber auch ein anderes als bei Hotmail ?

[Zephir]

Na ja, wenn Du eine Sicherheitslücke in deren Software kennst/findest, die Dich auch ohne gültiges Yubikey- oder Google-Einmalpasswort passieren lässt, klar. Klassisch läuft sowas über Stack-Overflows oder SQL-Injections. Wenn die Software verwundbar ist, nützt Dir auch das beste Hardwaretoken (Yubikey) nichts.

Ein weiterer Angriff besteht im Abgreifen vorgenerierter Einmalpasswörter.  

Verwende keine Einmalpasswörter.
Für jedes Passwort, dass ich irgendwo verwende, wo es um sensible Sachen geht, nehme ich ein Post-it zur Hand und schreibe 20-30 versch. Buchst./Zeichen/Zahlen auf. Dann hefte ich mir den Post-it auf meinen Bildschirm und im Normalfall kenne ich das Passwort nach einer Stunde spätestens auswendig. Danach wird der Post-it verbrannt, sollte also relativ sicher sein.
Nervig wird es, wenn es so wie heute ist und ich mir jetzt mehr als 5 neue Passwörter auf einmal merken muss, da benötige ich die Post-it länger.
Hatte bisher noch nie das Problem, dass ein Passwort oder Zugang kompromittiert wurde, bisher haben die Passwörter noch allem standgehalten. Bin unendlich froh, dass ich mich Anfang dieses Jahres von einem Kollegen zu 2FA überreden ließ.
Bin jetzt aber trotzdem noch misstrauischer dem Ganzen gegenüber als vorher und werde, wie von dir empfohlen nur mehr mit dem c't Bankix traden. Hab mich auch mit einem Kollegen in Verbindung gesetzt, der mir am Montag das Netbook neu aufsetzt(Linux) und mir auch das mit dem c't Bankix zeigt und erklärt.
Danke für Alles.
MfG

Edit: Verwende auf versch. Seiten nicht 2x das selbe Passwort(Wie dämlich wäre das denn?).
        Achja, leider sind bei Hotmail zB nur 16 Zeichen möglich, also bei denen so viele wie möglich.

[OhShei8e]

Verwende keine Einmalpasswörter.

Noch ein Tipp: Lass Dir von Gox einen Yubikey schicken. Ich glaube, wenn Du im Sicherheitscenter auf hinzufügen eines Yubikeys gehst, gelangst Du darüber auf die Bestellseite. Bisher hat er Yubikey inklusive Versand immer 0€ gekostet, war also kostenlos. Gox schickt Dir den Key dann direkt aus Japan. Waren in diesem Wert sind zollfrei, so dass Dir keinerlei Kosten entstehen.

[OhShei8e]

Für jedes Passwort, dass ich irgendwo verwende, wo es um sensible Sachen geht, nehme ich ein Post-it zur Hand und schreibe 20-30 versch. Buchst./Zeichen/Zahlen auf. Dann hefte ich mir den Post-it auf meinen Bildschirm und im Normalfall kenne ich das Passwort nach einer Stunde spätestens auswendig. Danach wird der Post-it verbrannt, sollte also relativ sicher sein.

Respekt. So paranoid bin nicht mal ich.

[Zephir]

Für jedes Passwort, dass ich irgendwo verwende, wo es um sensible Sachen geht, nehme ich ein Post-it zur Hand und schreibe 20-30 versch. Buchst./Zeichen/Zahlen auf. Dann hefte ich mir den Post-it auf meinen Bildschirm und im Normalfall kenne ich das Passwort nach einer Stunde spätestens auswendig. Danach wird der Post-it verbrannt, sollte also relativ sicher sein.

Respekt. So paranoid bin nicht mal ich.

Da hilft mir mein "fast photographisches Gedächtnis" dabei.
Als ich damit vor 15 Jahren oder so anfing, tat ich mir noch schwer damit, mittlerweile ergibt sich in meinem Kopf automatisch ein Muster, dass die einzelnen Symbole so miteinander verbindet, dass sie für mich einen Sinn ergeben.
Hilft auch ungemein im Alltag, man vergisst kaum etwas, aber wehe du stellst dich mit deinem Namen bei mir persönlich vor, den merke ich mir nach dem 5.Mal dann immer noch nicht.

[OhShei8e]

Hilft auch ungemein im Alltag, man vergisst kaum etwas, aber wehe du stellst dich mit deinem Namen bei mir persönlich vor, den merke ich mir nach dem 5.Mal dann immer noch nicht.

Und wenn ich WaiR7shel4eimeech4Eezeub8 heiße? 

[Zephir]

Hab von Gox einen Yubikey geschenkt bekommen, mich aber damit nicht näher befasst, dachte mit der 2FA ist es sicher genug.
Erhöht ein Yubikey die Sicherheit, gegenüber der 2FA oder ist es annähernd das selbe?

[Zephir]

Am meisten froh bin ich, dass ich seit gestern bei 101.5$ mit 90% in FIAT bin und keine offenen Order mehr habe.
Ist vielleicht besser so, heute nicht zu traden, zu unsicher wohin es gerade geht.

[Red_Evil]

Hab von Gox einen Yubikey geschenkt bekommen, mich aber damit nicht näher befasst, dachte mit der 2FA ist es sicher genug.
Erhöht ein Yubikey die Sicherheit, gegenüber der 2FA oder ist es annähernd das selbe?

kA ob das sicherer ist .... eine antwort darauf wäre sicherlich hilfreich habe heute auch einfach mal einen bestellt ...

[OhShei8e]

Hab von Gox einen Yubikey geschenkt bekommen, mich aber damit nicht näher befasst, dachte mit der 2FA ist es sicher genug.
Erhöht ein Yubikey die Sicherheit, gegenüber der 2FA oder ist es annähernd das selbe?

Der Yubikey wird auf Gox auch zur 2FA eingesetzt. Du gibst dann zuerst Dein normales Passwort ein und betätigst danach den Yubikey, der ein Einmalpasswort generiert und auf der Standardausgabe ausgibt. Ich persönlich finde das wesentlich komfortabler als alles andere.

Zur Sicherheit: Da es sich beim Yubikey um ein echtes Hardwaretoken handelt ist das natürlich grundsätzlich sicherer als eine Softwarelösung wie die von Google. Natürlich musst Du den Yubikey sicher aufbewahren. Aber ein Angreifer aus dem Netz, der irgendwo auf der Welt zugange ist, hat wohl kaum eine realistische Möglichkeit an Deinen Yubikey zu kommen.

[Chefin]

Da dein Hotmailpasswort nicht geändert war und 2FA aktiv, dürfte es sicher sein, das deine Systeme komprimittiert sind. Wie du sagtest, ist dein PC sowie dein Smartphone mit Zugriff auf Mailaccount ausgestattet. Moderne Bankingtrojaner sind drauf ausgerichtet, beim Verbinden der Geräte das jeweils andere zu infizieren. Dadurch ist auch 2FA komprimittiert. Vorallem weil der Key bei Softwarelösungen in Klartext in der Registry steht.

2FA ohne zusätzliche unabhängige Hardware ist den Aufwand nicht wert. Genauso wie dein Riesenpasswort die selbe Sicherheit wie 1234 hat. Da du der Meinung warst, alles nur technisch machbar unternommen zu haben, dich zu schützen warst du unvorsichtig, weil du meintest das die Technik dich schützt.

Statt also dich weiterhin mit paranoiden Einstellungen am PC zu geiseln, überlege dir lieber wie es sein konnte das dein Rechner verseucht wurde und zwar so, das sogar dein Virenscanner nichts davon mitbekommen hat. Da dies wohl mehr an deiner Handlungsweise als an der Technik liegt, nutzt dir wohl auch kein gehärtetes OS(so nennt man auf extreme Sicherheit ausgelegte Systeme).

Fakt ist jedenfalls, das der Täter dein Passwort und die 2FA für Hotmail hatte. Er musste ja kein Passwort ändern. Hast du in einem anderen Programm oder Dienst eine Komfortoption für dein Mailkonto eingerichtet? zB das man im Browser sieht wenn eine neue Mail da ist oder bei Google+ oder Facebook eine Querverbindung, so das Facebook deine Adressen auslesen kann zum sync in der Freundesliste. Das alles sind Lücken, über die man den Zugriff in den Mailaccount durch die Hintertüre bekommt. Ein direktes Hacken des Accounts ist unwahrscheinlich, da selbst Hotmail nur wenige Passwortfalscheingaben zulässt.

[hasherl]

Vielleicht lag es auch einfach an:

...Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub)...

?

Kann den besten passieren

[klaus]

NEWS zum Topic

https://bitcointalk.org/index.php?topic=255630.0

[Zephir]

Ja, leider wiegt man sich zu oft in falscher Sicherheit, aber ich bin ja nicht der einzige, dem das heute passiert ist.

Wie ich schon geschrieben hab, ist es ein Netbook mit keiner anderen Software außer Kaspersky und win7 als Betriebssystem.
Die 2FA hat ja bei Gox standgehalten, soll heißen, der Angreifer hat, laut support, mehrmals versucht ein 2FA Passwort einzugeben, ist aber daran gescheitert.
Habe von Microsoft eine Liste aller IPs, die sich in meinen emailacc. eingeloggt haben, angefordert, aber derzeit noch keine Rückmeldung erhalten.
Ich vermute eher, dass die Email von Gox abgefangen werden konnte, da sie die recover passwort mails clear versenden, kann aber auch anders gewesen sein.

War in meinem Leben noch nie auf Facebook, Google+,Twitter,etc. auch kein Onlinebanking.
Habe nur vor kurzem für einen chat mit candoo einen alten skype acc.(lange vor Microsoft) reaktiviert, war aber auf einem anderen Computer, und habe ihn mittlerweile wieder stillgelegt und deinstalliert.

Zum surfen oder arbeiten habe ich andere Laptops oder Computer, dieses Netbook ist nur zum traden.
Ebenfalls habe ich heute die Kontoverknüpfung zur Smartphone outlook app aufgelöst, falls da was gewesen sei.

Ich werde OhShei8es Ratschlag beherzigen und ab morgen nur mehr mit dem c't Bankix traden.
Und wie ich schon schrieb, tu ich mir mit dem merken der Passwörter nicht schwer und besser als 1234 sind sie auf jeden Fall.

War mir aber auf jeden Fall eine Lehre auf meine eigene Einschätzung bezüglich der Sicherheit zu vertrauen und werde mich am Montag von einem Kollegen unterweisen lassen, auf was ich noch alles achten muss.
Aber Danke für deinen Reply Chefin.
MfG

[Zephir]

Vielleicht lag es auch einfach an:

...Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub)...

?

Kann den besten passieren

Dabei hätte mich gestern nach dem Grillen (viel zuviel Knoblauchsosse) und dem ganzen Bier und Schnaps, nicht mal meine eigene Frau angegriffen, geschweige denn eine Andere.