LOBSTER (OP)
|
|
March 11, 2014, 12:58:33 PM |
|
Wieso machst du es nicht wie ich:
Beantworte eine Geheimfrage nie korrekt sondern denk dir eine völlig idiotische Antwort aus. Als Beispiel: herduschlampe.
War mal in alten IRC-Zeiten mein Passwort für den BOT der mir OP(operator-status) geben sollte. Ich musste also an den BOT Blowjob(jo das war wirtklich der Nickname meines Channelbots) -op herduschlampe schreiben. Leicht zu merken und damals noch recht sicher. Heute nur noch eine Anekdote.
Jedes Wort für eine Geheimfrage ist gut, ausser die korrekte Antwort. Name der Mutter: gorgonzola. Nicht so leicht auszufragen. Vorallem bekommt man nie die korrekte Antwort vom Opfer.
Das sollte einfach ein eiserner Grundsatz sein. Übrigens war das ein riesen Problem in den Jahren 98-2000 als viele Hotmail-Accounts auf diese Weise gehackt wurden. Also ist dieses Problem nicht neu, sondern 15 Jahre alt und die Lösung die frage falsch zu beantworten wurde damals schon propagandiert. Und es hat gewirkt.
Wir müssen lernen, mit dem Internet umzugehen. So wie wir gelernt haben, Haustüre oder Auto abzuschliessen und wertvolle Sachen nicht sichtbar liegen zu lassen. Wir haben aber auch keine Panzerstahltüren mit 3 verschiedenen Schlössern ans Haus gebaut. Dafür liegt auch kaum noch Geld im Haus rum, jedenfalls nicht so viel, das man deswegen ins Unglück stürzt. Wir haben unser Verhalten angepasst und nicht die Sicherheitsansprüche bis zur Unbenutzbarkeit hochgetrieben.
Leider scheint aber im Internet der Gedanke zu sein, das immer die anderen für die Sicherheit sorgen müssen. Das wird nie funktionieren. Es mag hier und da kleine Verbesserungen geben, aber man muss in erster Linie an sich selbst arbeiten.
Was soll ich noch sagen? Shit happens.
|
|
|
|
Xer0
|
|
March 11, 2014, 11:28:11 PM |
|
2FA im Forum macht aber auch nur Sinn, wenn man sich nicht per Cookie einloggt. Sich aber jedes mal einloggen zu müssen, dann noch das Handy dabei haben müssen, App suchen und warten bis sie startet, wäre mir zB zu lästig.
Ich würds eher begrüßen, wenn 2FA erst abgefragt wird wenns "heikel" wird. zB um ne PN zu schicken, oder im Marktplatz zu posten, die Grundfunktionen aber per Cookie gehen. wie bei eBay, da kannst auch Artikel beobachten aber Passwort nochmal eingeben musst erst, wenn bieten oder in den Käufe/Verkäufe Bereich willst
|
|
|
|
Chefin
Legendary
Offline
Activity: 1882
Merit: 1108
|
|
March 12, 2014, 08:13:41 AM |
|
Und schon sind wir wieder am Punkt: wieso soll ich aufpassen, ändert doch mal bitte die Technik. dabei gibt es nichts leichteres als eine KI auszutricksen. Eal wie ausgefuchst sie ist. Aber sie macht immer das selbe in einer bestimmten Situation. Also wird jedes Verfahren auch wieder Schwachstellen mitbringen.
Lernt euch selbst zu schützen. Nur was ich selbst mache, mache ich auch richtig. Und wenn ich es nicht richtig mache, sollte ich mal nachdenken, wieso ich Dinge mache von denen ich keinen Schimmer habe. bzw mein persönliches Sicherheitslevel so hoch schrauben, das es dem Risiko des Mediums entspricht. Wenn ich weis, das Forenaccounts gehackt werden können, vertraue ich keiner PM. Ich verifiziere sie.
"Sei nicht böse, aber bevor ich dir 10btc leihe, sage mir wieviel Coins ich dir das letze mal geschickt hab". Ein Hacker gibt hier auf und suchst sich den nächste in der Liste der doof genug ist, ohne nachfragen zu schicken. Vertrauen ist gut, Kontrolle ist besser. Oft gehört, die meisten kapieren es bis ans Lebensende nicht.
|
|
|
|
amigaman
|
|
March 12, 2014, 08:40:24 AM |
|
@Chefin: Dazu müssten die Unwissenden wissen, das sie unwissend sind. "Ich weiß das ich nichts weiß", hat schon vor vielen Jahren jemand nicht unbedingt dummes von sich gegeben.
Ich hab tagtäglich mit Leuten zu tun, denen genau diese Eigenschaft abgeht, und ich zähle das für mich zum sogenannten "Gesunden Menschenverstand".
Nebenbei: Ich find den Vorschlag von Xer0 eigentlich ganz cool. Lesen kann man sowieso alle Posts, eine 2FA dann nur für den Profil-, PN- und Postzugriff wäre sicher und nicht allzu lästig. Zwei Nachteile hat die Sache: 1. theymos gibt'n Scheiß auf Sicherheit, hab ich den Eindruck 2. Mit welcher App macht man das? Es gibt mittlerweile fast so viele Auth-Apps, wie es Cryptocoins gibt, und alle haben den Nachteil, das man sie nur an einer Stelle verwenden kann. Egal wie sich wer auch immer entscheiden würde, achttausend User fangen an zu schreien "Och menno, warum nicht Authy/VIP/GoogleAuth/..., die hab ich schon"
|
|
|
|
Xer0
|
|
March 12, 2014, 10:40:49 AM |
|
GAuth, das ist nämlich die RFC Implementierung gibts sogar Java Apps für praktisch jedes Handy
|
|
|
|
Chefin
Legendary
Offline
Activity: 1882
Merit: 1108
|
|
March 13, 2014, 01:06:44 PM |
|
GAuth, das ist nämlich die RFC Implementierung gibts sogar Java Apps für praktisch jedes Handy
Ich besitze kein Appfähiges Handy, werde ich auch vorläufig nicht. Bringt nur Stress und mann muss ständig neue Sicherheitsprobleme lösen die man ohne das Teil nicht hat. Der bei Bitcoin.de nötige 2-Faktor Login läuft auf der selben Maschine. Was genau bringt mir das für die Sicherheit? Ich muss es aber machen, weil es gefordert wird. ich wüsste aber nicht, wieso ich mir nur dafür jetzt wieder Hardware anschaffen muss. Es hat einfach noch nie funktioniert, sich durch mehr Technik sicherer zu machen. Ich habe selbst genug gecrackt. In den 80er Spiele, schon damals wurde mir klar, das es ein endloses Wettrüsten ist, bei dem am Ende das Spiel auf der Strecke bleibt. An diesem Punkt angelangt, habe ich aufgehört und Spiele gekauft oder es gelassen. In den 90er hat man sich in IRC-Bots reingehackt, Windows95 Kisten übernommen, Hotmailkonten per Geheimfrage gecrackt und AOL-user verarscht(bin ich schon drin?...nein du bist wieder daussen...user left by timeout). Und täglich wurde neue Technik präsentiert wie man sich schützt. Genutzt hat es nie etwas. Inzwischen bin ich deutlich ruhiger geworden und bastel lieber an Maschinen rum. Aber etwas hat sich bis heute nicht geändert: Technik macht nicht sicherer, sie macht es nur unkomfortabel und teuer. 2-Faktor suggeriert auch nur wieder eine Scheinsicherheit. Am Ende ist es doch nicht sicher. Weil man dann einfach die Technik umstellt und statt das Passwort zu klauen, die Session übernimmt. Das Problem ist doch grundsätzlich, das der eigene PC unsicher ist, also durch fremde Software kontrolliert wird. Also würde eine Schadsoftware sich entsprechend drauf einstellen.
|
|
|
|
Xer0
|
|
March 13, 2014, 04:13:08 PM |
|
GAuth, das ist nämlich die RFC Implementierung gibts sogar Java Apps für praktisch jedes Handy Ich besitze kein Appfähiges Handy, werde ich auch vorläufig nicht. Hat es ein Farbdisplay? dann kanns wahrscheinlich J2ME
|
|
|
|
LOBSTER (OP)
|
|
December 05, 2014, 08:36:34 PM |
|
So...tatsächlich wurde mein Account nach gut 9 Monaten zurückgesetzt Ich kann es kaum fassen und freue mich endlich den alten Account wieder in den Händen zu halten theymos hatte mir übrigens mitgeteilt dass die registrierte Email nach dem Hack auf "@dorob.de" endete, also tatsächlich Richard Reiber uns alter Scammer.
|
|
|
|
fronti
Legendary
Offline
Activity: 2912
Merit: 1309
|
|
December 05, 2014, 09:19:36 PM |
|
So...tatsächlich wurde mein Account nach gut 9 Monaten zurückgesetzt das können ja alle sagen... (nicht falsch verstehen aber man soll ja niemandem trauen)
|
If you like to give me a tip: bc1q8ht32j5hj42us5qfptvu08ug9zeqgvxuhwznzk
"Bankraub ist eine Unternehmung von Dilettanten. Wahre Profis gründen eine Bank." Bertolt Brecht
|
|
|
LOBSTER (OP)
|
|
December 05, 2014, 09:25:49 PM |
|
So...tatsächlich wurde mein Account nach gut 9 Monaten zurückgesetzt das können ja alle sagen... (nicht falsch verstehen aber man soll ja niemandem trauen) fronti, gerne signiere ich Adressen die einigen bekannt sind. Desweiteren werde ich hier nochmal mit dem aktuellen Account reinschreiben...dieser wird dann demnächst stillgelegt.
|
|
|
|
LOBSTER (OP)
|
|
December 05, 2014, 09:27:53 PM |
|
Hier schonmal eine erste "Verifikation". Mein Account wurde zurückgesetzt.
|
|
|
|
fronti
Legendary
Offline
Activity: 2912
Merit: 1309
|
|
December 05, 2014, 09:34:51 PM |
|
So...tatsächlich wurde mein Account nach gut 9 Monaten zurückgesetzt das können ja alle sagen... (nicht falsch verstehen aber man soll ja niemandem trauen) fronti, gerne signiere ich Adressen die einigen bekannt sind. Desweiteren werde ich hier nochmal mit dem aktuellen Account reinschreiben...dieser wird dann demnächst stillgelegt. wie gesagt, nicht falsch verstehen.. und cool dass es anscheinend ja doch geht, dass mit dem zurücksetzen. Und da auch andere (meistens) gute dinge 9 Monate dauern ....
|
If you like to give me a tip: bc1q8ht32j5hj42us5qfptvu08ug9zeqgvxuhwznzk
"Bankraub ist eine Unternehmung von Dilettanten. Wahre Profis gründen eine Bank." Bertolt Brecht
|
|
|
pazor_true
Legendary
Offline
Activity: 1462
Merit: 1025
i love Emerald (EMD)
|
|
December 06, 2014, 09:42:52 PM |
|
...ein Nikolaus Geschenk ?
das freut mich für Dich! Meinen Glückwunsch.
PM folgt.
Gruß pazor
|
BTC 12jiBjT2GSWYk2HwYdPqsQMuLqZ1br9D37 - i am Pazor
|
|
|
DAoneG
|
|
December 07, 2014, 11:13:53 AM |
|
nice das du deinen acci wieder hast...
|
|
|
|
pazor_true
Legendary
Offline
Activity: 1462
Merit: 1025
i love Emerald (EMD)
|
|
December 07, 2014, 06:18:57 PM |
|
@DAoneG
startest du auch einen rettungsversuch ?
|
BTC 12jiBjT2GSWYk2HwYdPqsQMuLqZ1br9D37 - i am Pazor
|
|
|
DAoneG
|
|
December 09, 2014, 11:50:44 AM |
|
@DAoneG
startest du auch einen rettungsversuch ?
ich denke nicht... und du??
|
|
|
|
pazor_true
Legendary
Offline
Activity: 1462
Merit: 1025
i love Emerald (EMD)
|
|
December 09, 2014, 12:08:43 PM |
|
ich werde mal eine stunde investieren und es versuchen. ich vermisse meinen avatar
|
BTC 12jiBjT2GSWYk2HwYdPqsQMuLqZ1br9D37 - i am Pazor
|
|
|
DAoneG
|
|
December 09, 2014, 07:21:04 PM |
|
ich werde mal eine stunde investieren und es versuchen. ich vermisse meinen avatar denn ma viel erfolg.... meine daten hat theymos ja... vllt tut sich ja nochma was, falls nich, wird meine aktivität hier wohl da bleiben wo sie jetzt is oder weniger...
|
|
|
|
|