DAoneG
|
|
March 05, 2014, 11:27:28 PM |
|
jap und nein... aber würde irgendwie gern ma deine reaktion sehen, wenn du in unserer lage wärst (nich das ich dir die situation wünschen würde) aber in deiner situation is es halt einfach kluge sprüche zu reißen... Wäre nicht allzu schlimm...kann theymos mit 2 Adressen beweisen das ich der echte bin. Eine vom GB Menig und eine von Labrat Mining Mein prob is ja, das ich auf die frage wie ich es beweisen kann keine antwort bzw. nach 8 tagen den link bekommen hab... hätt er nich einfach sagen können das ich ne addy, die ich hier im forum genutzt hab zur verification nutzen soll? oder die mods entsprechend anzuweisen diese info im fall der fälle weiterzuleiten? damit man als user klar weiß, okay, die daten will er dafür und gut is... aber naja, seine kekse, seine regeln...
|
|
|
|
elitenoob
|
|
March 05, 2014, 11:47:03 PM |
|
jap und nein... aber würde irgendwie gern ma deine reaktion sehen, wenn du in unserer lage wärst (nich das ich dir die situation wünschen würde) aber in deiner situation is es halt einfach kluge sprüche zu reißen... Wäre nicht allzu schlimm...kann theymos mit 2 Adressen beweisen das ich der echte bin. Eine vom GB Menig und eine von Labrat Mining Mein prob is ja, das ich auf die frage wie ich es beweisen kann keine antwort bzw. nach 8 tagen den link bekommen hab... hätt er nich einfach sagen können das ich ne addy, die ich hier im forum genutzt hab zur verification nutzen soll? oder die mods entsprechend anzuweisen diese info im fall der fälle weiterzuleiten? damit man als user klar weiß, okay, die daten will er dafür und gut is... aber naja, seine kekse, seine regeln... Naja ich und noch paar andere könnten zumindest die Echtheit der Adresse auf dem du damals die Coins für den Kredit bekamst verifizieren. (sofern du noch Zugriff auf diese hast und signieren kannst) Aber ob theymos das als Beweis reicht weiß ich nicht...
|
|
|
|
|
Xer0 (OP)
|
|
March 06, 2014, 12:59:23 AM |
|
super, danke dir
|
|
|
|
ltcboi
|
|
March 06, 2014, 06:18:19 AM |
|
Diese Sicherheitsfragen finde ich persönlich sowieso total dämlich. Jeder, der Dich etwas besser kennt kann sofort Deinen Account übernehmen (sofern man wahrheitsgemäß geantwortet hat).
Wie doof muss man sein? Das ist der erste Trick den jedes verschissene Scriptkid testet: Was ist die Sicherheitsfrage, was kann ich aus dem Facebook/Twitter/Google rausbekommen, 3 Versuche, passt. Bei egal welcher Sicherheitsfrage ist die Antwort eben genau _nicht_ die Antwort auf die Frage. Zudem sollte es ein einfaches sein, 10 "blöde" Fragen zur Auswahl anzubieten, die man dann auch noch richtig aussuchen muss. So wüsste der Hacker nicht, welche Frage ich genommen habe, geschweige denn die falsche Antwort drauf. Und mittlerweile sollte klar sein, das man nicht nur hier ein Passwort benutzt, das man woanders nicht benutzt. Mal als Vorschlag eines Sicherheitsfeatures: Jeder verschi**ene Pool kann eine eingetragene BTC-Adresse locken, so das nicht mal der Admin da was machen kann/will. Das wäre hier doch ideal?
|
|
|
|
muto
|
|
March 06, 2014, 07:48:22 AM |
|
Ja ich weiß, du löscht das gleich. Vorschlag zur Änderung: Signiere die Änderung mit der alten Adresse, zur sofortigen Änderung.
Danke, habe ich eingefügt
|
|
|
|
scranagar
|
|
March 06, 2014, 08:06:15 AM |
|
Diese Sicherheitsfragen finde ich persönlich sowieso total dämlich. Jeder, der Dich etwas besser kennt kann sofort Deinen Account übernehmen (sofern man wahrheitsgemäß geantwortet hat).
Wie doof muss man sein? Das ist der erste Trick den jedes verschissene Scriptkid testet: Was ist die Sicherheitsfrage, was kann ich aus dem Facebook/Twitter/Google rausbekommen, 3 Versuche, passt. Bei egal welcher Sicherheitsfrage ist die Antwort eben genau _nicht_ die Antwort auf die Frage. Zudem sollte es ein einfaches sein, 10 "blöde" Fragen zur Auswahl anzubieten, die man dann auch noch richtig aussuchen muss. So wüsste der Hacker nicht, welche Frage ich genommen habe, geschweige denn die falsche Antwort drauf. Und mittlerweile sollte klar sein, das man nicht nur hier ein Passwort benutzt, das man woanders nicht benutzt. Dir und mir ist das vielleicht alles klar, aber wenn dem Otto-Normal-User diverseste Webseiten erklären: "Bitte geben Sie eine Frage ein, deren Antwort nur Sie kennen" (oder noch schlimmer: man bekommt verschiedene Fragen vorgeschlagen aus denen man auswählen MUSS), dann wird der Otto-Normal-User genau das tun, was der umsichtige Webseitenbetreiber einem aus "Sicherheitsgründen" da vorschlägt. Denn der Otto-Normal-User weiß, dass sich im Internet viele Schmutzfüße rumtreiben, hat aber selber wenig Ahnung von Sicherheit und hat daher umso mehr Angst um sich und seine Daten/Konten. Also vertraut er dem Webseitenbetreiber ("Der wird schon wissen, was gut für mich ist")... Der Otto-Normal-User ist allerdings auch faul. Also nimmt er hier auch ein Passwort, dass er überall benutzt. Falls er tatsächlich ein anderes nimmt, legt er es sich unter die Tastatur oder unters Mousepad
|
|
|
|
amigaman
|
|
March 06, 2014, 09:15:36 AM |
|
An den Zettel musste aber auch erstma' rankommen. So gesehen ist ein Zettelchen gegen Forenhacker wie den neuen Pazor doch erste wahl. Das kann er niemals erraten, es kann lang zufällig und sicher sein, und ohne eine Sicherheitsfrage auch nicht zurücksetzbar.
So ein Zettelchen ist Scheiße gegen fiese Kollegen oder schnüffelnde Ehefrauen, aber im Internet die sicherste aller Methoden, sein Passwort aufzubewahren.
Gut, gegen Keylogger ist das nichts, aber die fangen KeepAss auch ab.
Und du hast recht, die meisten Leute nutzen 123456 an jeder Ecke. Dagegen hilft nix...
|
|
|
|
Xer0 (OP)
|
|
March 06, 2014, 11:26:22 AM |
|
So ein Zettelchen hat dann aber auch eben das Problem, das es nur zu Hause liegt
|
|
|
|
qwk
Donator
Legendary
Offline
Activity: 3542
Merit: 3413
Shitcoin Minimalist
|
|
March 06, 2014, 11:33:17 AM |
|
So ein Zettelchen hat dann aber auch eben das Problem, das es nur zu Hause liegt
Mach doch einfach ein Photo davon auf deinem Handy
|
Yeah, well, I'm gonna go build my own blockchain. With blackjack and hookers! In fact forget the blockchain.
|
|
|
scranagar
|
|
March 06, 2014, 11:37:01 AM |
|
Genau. Und wenn ihr schon dabei seid, eure Passwörter überall hin zu kritzeln, vergesst dabei nicht eure PIN auf die ec-Karte zu schreiben!
|
|
|
|
muto
|
|
March 06, 2014, 01:52:38 PM |
|
So ein Zettelchen hat dann aber auch eben das Problem, das es nur zu Hause liegt Du könntest einen Teil deines Passworts überal gleich machen und diesen Teil im Kopf merken. Einen anderen Teil kannst Du dann in einem Passwortsafe z.B. auf dem Handy oder auf einem Zettel im Geldbeutel herumtragen. Im Optimalfall kannst du letzteren Teil noch verfälschen. (z.B. immer den dritten Buchstaben des zweiten Teils groß bzw. klein schrieben, wenn er auf dem Zettel klein bzw. groß steht. Und/oder beim ersten Teil z.B. immer den dritten Buchstaben durch den dritten Buchstaben in der URL der jeweiligen Seite ersetzen.
|
|
|
|
amigaman
|
|
March 06, 2014, 02:08:08 PM |
|
Was tolle Ideen sind, aber dazu führt, das die Passwörter für "deine" Seiten ausreichend gleich sind, das sie per Bruteforce geknackt werden können. Und wenn 2+x Konten von dir bekannt sind, dabei von zweien das Passwort geöffnet wird, ist der Rest x gleich mit kompromittiert: Die Bruteforcer-Algorithmen erkennen, das in deinem GMX-Passwort ein "G" steht und versuchen bei ebay ein "e", und wenn das klappt, klingelt die Kasse.
@scranagar: Schlau angewendet kann dir das deine Karte schnell wiederbeschaffen: Schreib die Nummern für deine Karten auf den Zettel, inklusive Bezeichnung, aber verdreht. Der Dieb wird zuerst die versuchen an der EC steht, 1. Fehlversuch. Dann die Drunter, 2. Fehler. Dann die Drüber, 3. Fehler. Karte kassiert, Konto sicher.
Hilft nicht gegen Pin-Abschöpfer die in 14 Ländern mit Kopien deines Magnetstreifens Limit abheben, aber der Allerwelts-Taschendieb ist damit dran.
|
|
|
|
muto
|
|
March 06, 2014, 02:20:55 PM Last edit: March 06, 2014, 02:47:32 PM by muto |
|
Was tolle Ideen sind, aber dazu führt, das die Passwörter für "deine" Seiten ausreichend gleich sind, das sie per Bruteforce geknackt werden können. Und wenn 2+x Konten von dir bekannt sind, dabei von zweien das Passwort geöffnet wird, ist der Rest x gleich mit kompromittiert: Die Bruteforcer-Algorithmen erkennen, das in deinem GMX-Passwort ein "G" steht und versuchen bei ebay ein "e", und wenn das klappt, klingelt die Kasse.
Das kommt ganz darauf an, wie lange man die Teile jeweils macht. Zwei Teile á 7 Zeichen, da wird es auch mit Bruteforce schon schwer. Vor allem weiß der Hacker ja nicht, welcher Teil der konstante ist (so lange er nur einen Account geknackt hat). und ich habe noch ein zusätzliches achtes Zeichen, dass im festen Teil auch abweicht. Wenn man den ersten Teil (G bei GMX nimmt, e bei ebay) nimmt, ist das einfach zu erkennen. Beim dritten (x bei GMX oder a bei ebay) oder auch beim zweiten Buchstaben braucht man aber schon mindestens 3 gehackte Accounts und muss ein Talent als Detektiv haben um die Abweichung im festen Teil zu erkennen z.B. ebay: aöl3k($;d<e9M2 gmx: xöl3k($xüsm2dn Drittes Zeichen steht am Anfang. Noch besser wäre es, wenn man dieses Zeichen an das Ende des festen Teils stellen würde. öl3k($ ist der feste Teil. Bei nur zwei gehackten Accounts wird es schon schwierig das zu erkennen. Die letzten 7 Zeichen stehen auf einem Zettel im Geldbeutel. Kann man auch mit 10 Zeichen machen um wirklich bestmöglich sicher zu sein. Ganz sicher kann man nie sein, es geht nur darum den Aufwand so groß zu halten, dass es unwirtschaftlich wird.
|
|
|
|
Xer0 (OP)
|
|
March 06, 2014, 02:44:21 PM |
|
@scranagar: Schlau angewendet kann dir das deine Karte schnell wiederbeschaffen: zum Glück kann ich mir die PIN meiner Hauptkarte merken und bei den Kreditkarten musste ich immer unterschreiben oO was man heutzutage für Aufwand treiben muss, ist schon krass
|
|
|
|
amigaman
|
|
March 06, 2014, 03:05:58 PM |
|
Ich habs einfach. EC, Tankkarte und DHL-Karte (wobei die ja auch mTAN umgestellt wurde). Interessanterweise haben alle ähnliche Nummern (was schon oft Kartenkassierung zur Folge hatte, scheiß Gedächtnis): Mit der Karte meines SO habe ich 4 Karten mit 4 Ziffern, also 16 insgesamt: 7x 5 5x 1 2x 4 1x 0 1x 2 Soviel zum Zufall. @muto Deine Passwörter funktionieren an den wenigsten Stellen, da Sonderzeichen oft verboten sind, ebenso wie Umlaute. Hingegen wird oft rumgezickt... - "Die erste Stelle muss ein Großbuchstabe sein", oder "...darf kein..." - "Du musst mindestens eine Ziffer benutzen", - "Du darfst nicht mehr als 2 Großbuchstaben, Kleinbuchstaben oder Ziffern hintereinander haben", - "Du musst 6-10 Zeichen verwenden" oder "genau 8 Zeichen" (ganz schlimm "genau 6") - "Das letzte Zeichen darf keine Ziffer sein", oder eben "...muss..." - "Du musst (mindestens) ein Sonderzeichen haben, aber nur +-.,/&%$!, das darf aber nicht am Ende/Anfang stehen" oder eben "Du darfst kein Sonderzeichen haben" - und am schönsten: "Das Passwort muss alle 4 Wochen geändert werden und darf keine Bestandteile >2 Zeichen der letzten 10 Passwörter enthalten". Das sind alles Regeln, die hier oder da bei meinen Accounts gelten, ein Passwort das überall passen würde ist schon schwer (oder leicht) genug, das macht das Fest-Plus-Ergänzung-System beinahe unmöglich. Nicht das ich das nicht ähnlich machen würde... Aber es gibt eben Seiten, bei denen ich mich nicht oft anmelde, und die Regel ist simpel, führt aber aufgrund o.g. Regeln zu ungültigen Passwörtern, weswegen auch hier wieder gilt: "Die Ausnahme bestätigt die Regel". aWallet auf'm Schlaufon sei Dank gehts aber... Und in der c't war mal ein Test solcher Passwortknacker, die man in einschlägigen Foren kaufen kann. Und ja, die können die Regeln, die deinen Passwörtern innewohnen, erkennen und so teilweise Passwörter zu anderen deiner Accounts recht gut erraten, oder andersrum deine Accounts aus Passwortdatenbanken herausfischen. Der Mensch ist nicht zufällig genug. Du bevorzugst bestimmte Zeichen oder Tastenpositionen unbewusst, was die Maschine leicht erkennt. Vielleicht jetzt nicht exakt bei "dir", aber Statistik ist eine Hure. Klar, 7 zufällige Zeichen sind schwer zu bruten, aber da kannst du auch gleich ein komplett zufälliges PW nutzen. Die wenigsten Leute tun das.
|
|
|
|
phantastisch
Legendary
Offline
Activity: 2271
Merit: 1363
|
|
March 06, 2014, 05:58:25 PM |
|
Leider kann ich mit einer schnelleren Bearbeitung der gehackten Accounts nicht dienen, aber nichtsdestotrotz macht eine Sammlung von Adressen zum Signieren meiner Einschätzung nach Sinn. Im Fall von Pazor war sofort ersichtlich dass er gehackt wurde , da er gleich eine signierte Nachricht gesendet hat, von einer Adresse die auch ich einsehen konnte.
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread. Also das ganze nochmal in unmoderiert und mit der Ansage dass alle Kommentare die keine direkten Zitate sind gelöscht werden und dann würde ich dem auch einen Sticky verpassen.
Sollte ich neue Informationen zu den Hacks haben , gebe ich sie an die beteiligten weiter.
|
|
|
|
elitenoob
|
|
March 06, 2014, 06:10:07 PM |
|
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread.
Du schreibst ja so als ob es super leicht wäre accounts zu "hacken". Der "Hacker" durchsucht das Forum nach accounts, die eine Geheimfrage haben und versucht die Antwort zu erraten. Hat nichts mit hacken zu tun. Aber eigentlich netter Zeitvertreib wenn man nichts zu tun hat
|
|
|
|
phantastisch
Legendary
Offline
Activity: 2271
Merit: 1363
|
|
March 06, 2014, 06:12:20 PM |
|
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread.
Du schreibst ja so als ob es super leicht wäre accounts zu "hacken". Der "Hacker" durchsucht das Forum nach accounts, die eine Geheimfrage haben und versucht die Antwort zu erraten. Hat nichts mit hacken zu tun. Aber eigentlich netter Zeitvertreib wenn man nichts zu tun hat Es ist total egal wie das passiert. Solange es die Möglichkeit gibt dass es passiert brauchen wir leider sowas.
|
|
|
|
muto
|
|
March 06, 2014, 06:49:58 PM |
|
Leider kann ich mit einer schnelleren Bearbeitung der gehackten Accounts nicht dienen, aber nichtsdestotrotz macht eine Sammlung von Adressen zum Signieren meiner Einschätzung nach Sinn. Im Fall von Pazor war sofort ersichtlich dass er gehackt wurde , da er gleich eine signierte Nachricht gesendet hat, von einer Adresse die auch ich einsehen konnte.
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread. Also das ganze nochmal in unmoderiert und mit der Ansage dass alle Kommentare die keine direkten Zitate sind gelöscht werden und dann würde ich dem auch einen Sticky verpassen.
Sollte ich neue Informationen zu den Hacks haben , gebe ich sie an die beteiligten weiter.
Mach ich gleich, dann musst Du aber dafür sorgen, dass der Thread nicht vollgemüllt wird. Ich war eigentlich der Meinung, dass es auffallen würde, wenn plötzlich alle Posts weg sind. Aber Deine Möglichkeit ist natürlich trotzdem besser.
|
|
|
|
|