Erpresseremail

[MSfree]

Mist! woher hast du mein Video?

Das hing als Attachment an der Erpressungsmail, dir mir zugesandt wurde.
Die Erpresser scheinen es ja mit der DSGVO nicht ganz so ernst zu nehmen.

[whisper]

Das hing als Attachment an der Erpressungsmail, dir mir zugesandt wurde.
Die Erpresser scheinen es ja mit der DSGVO nicht ganz so ernst zu nehmen.

ROFL

[psalm1]

Ich danke allen für die guten Beiträge.

[Matt]

Wie ist es möglich dass jemand an mein Benutzer Passwort kommen kann?

https://heise.de/-4109834

Nebenbei gesagt, ist „Jesus00“ ein gutes Beispiel für ein sehr schlechtes Passwort. Entsprechend:

Ich wüste gerne wie das gemacht wird um dass in Zukunft verhindern zu können.

Sichere Passwörter verwenden, und für jeden einzelnen Zweck ein Eigenes. Dann kann’s einerseits nicht durch die simpelste Wörterbuchattacke erraten werden, andererseits weiß man dann, wo genau das Leck war.

Dafür ist das diceware Verfahren ganz interessant. Der folgende Artikel auf kuketz-blog.de beschreibt aktuelle Verfahren zur Passwortgenerierung und Verwaltung. Zugegeben, er ist etwas lang, aber sehr informativ.

[whisper]

Dafür ist das diceware Verfahren ganz interessant. Der folgende Artikel auf kuketz-blog.de beschreibt aktuelle Verfahren zur Passwortgenerierung und Verwaltung. Zugegeben, er ist etwas lang, aber sehr informativ.

Danke für den Link!
Sechs blöde Wörter zu merken ist allerdings auch nicht ganz ohne...

[DeletedUserReAsG]

Was das betrifft, nehme ich pwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann. Dafür opfert man ein Stück Zufälligkeit, was man aber immer noch durch größere Länge und Sonderzeichen kompensierenen kann.

[reox]

Was das betrifft, nehme ich pwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann.

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo - und das ist ohne -s generiert...
Mag sein, dass in der Liste immer mal eines dabei ist, das halbwegs einfach ist aber wenn die man page nicht sagen würde, dass sie für den zweck gemacht werden, wäre ich da nie drauf gekommen

[Matt]

Was das betrifft, nehme ich pwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann.

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo - und das ist ohne -s generiert...
Mag sein, dass in der Liste immer mal eines dabei ist, das halbwegs einfach ist aber wenn die man page nicht sagen würde, dass sie für den zweck gemacht werden, wäre ich da nie drauf gekommen

Aus diesem Grund einen Würfel vom Mensch-Ärgere-Dich-Nicht nehmen und schön Würfeln Die diceware Wortlisten gibts auch auf Deutsch.

[Lord_Carlos]

Jeder, der dort eine E-Mailadresse eingibt, sollte sich mal überlegen, ob da nicht gerade eine neue Datenbank angelegt wird. Eine z.B. mit validen Mailadressen.

Der Typ dahinter ist bekannt und hat einen guten Ruf. Er weis auch was er macht.
Warum sollte er sein job und Identitaet aufs Spiel setzten fuer deine Email, ohne Password. Kommt mir nicht wahrscheinlich vor.

@psalm1
Wenn du dir Passwoerter, wie die meisten anderen auch, nicht merken kannst, dann benutzt einer der vielen Password manager. Am einfachsten sind die eingebauten in Chrome oder Firefox. Die koennen auch auf verschiedene Rechner synchronisieren.
Ich benutzte mittlerweile BitWarden: https://bitwarden.com/
Gibt aber auch viele andere.

[DeletedUserReAsG]

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo

Also ich find’ das recht einfach zu sprechen und zu memorieren. Die ersten und die letzten beiden Teile reimen sich, und es gibt eine Art Versmaß – das macht’s ziemlich einfach. Ich hab ähnliche Passwörter im Kopf, die ich vor Jahren erstellt, und teils Jahre nicht genutzt habe. Aber da muss halt jeder seine bevorzugte Variante finden, was zumindest das Masterpasswort entweder für den PW-Manager oder zum Ableiten der Gebrauchspasswörter (da gibt’s auch die eine oder andere recht geschickte Methode) angeht.

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

[Lord_Carlos]

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

Je nach Manager muss er dazu erstmal auf dein Rechner.
Und wenn er das schon ist kann er auch ganz andere dinge machen.

Was ist denn die Alternative?

[DeletedUserReAsG]

Je nach Manager muss er dazu erstmal auf dein Rechner.

Und wenn er’s geschafft hat, kann er die Datenbank backuppen und sich ganz in Ruhe dran versuchen.

Was ist denn die Alternative?

Für mich: ein System, mit dem man aus einem gegebenen String und einer weiteren, für jeden Zweck individuellen, Information ein Gebrauchspasswort für den jeweiligen Zweck ableitet. Ist natürlich theoretisch auch angreifbar: wenn jemand mehrere Gebrauchspasswörter abgreift und viel Zeit investiert, zudem noch erraten kann, woraus die zusätzliche Information besteht und in welchem Format sie zum Einsatz kommt, könnte er in der Lage sein, die Methode und das Ausgangspasswort zu rekonstruieren, und damit auch Passwörter für andere Sachen zu erraten. Absolute Sicherheit gibt’s halt nicht ….

Ferner: wenn ich weiß, dass ich mich bei dem betreffenden Dienst nicht noch einmal einloggen möchte, gleich eine zufällige Zeichenfolge, und bei Sachen, wo’s möglich ist, einen Schlüssel.

[spiralnebelverdreher]

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

Was ist denn die Alternative?

Passworte nicht merken, sondern jedesmal neu berechnen kann eine Alternative sein.

Du legst erstens einen String fest, den du dir merken kannst: "Lord_Carlos_mag_Kuchen" bspw. oder die mit Sonderzeichen angereicherte Kurzform "Lo#CamaKu!".

Dann verknüpfst du zweitens deinen String mit dem Webseitennamen, für den du ein Passwort brauchst. da entsteht so etwas wie: "Lo#CamaKu!+debianforum.de". Diesen String fütterst du in eine Hashfunktion (sha256 oder so) und bekommst einen String heraus den du direkt verwenden kannst oder den du auf bspw. 16 Zeichen einkürzt.

Du merkst dir also nur deinen String und das Verfahren.

[whisper]

Ich habe den Diceware Artikel zum Anlaß genommen und mein Masterpasswort zu erneuern.
Ich habe eine Mixtur aus Deutsch und English dict. plus einem zusammengesetzten Fachbegriff, damit bin ich was die Char Anzahl betrifft im hohen 20er Bereich.
Denke, damit ist gut, oder?

[reox]

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo

Also ich find’ das recht einfach zu sprechen und zu memorieren. Die ersten und die letzten beiden Teile reimen sich, und es gibt eine Art Versmaß – das macht’s ziemlich einfach.

ah ok, jetzt wo du es sagst und ich es länger anschaue erkenne ich da auch gewisse muster

[Matt]

Ich habe den Diceware Artikel zum Anlaß genommen und mein Masterpasswort zu erneuern.
Ich habe eine Mixtur aus Deutsch und English dict. plus einem zusammengesetzten Fachbegriff, damit bin ich was die Char Anzahl betrifft im hohen 20er Bereich.
Denke, damit ist gut, oder?

Hier ein Zitat aus dem Kuketz Blog Artikel (Abschnitt 5.3):

Die Sicherheit eurer Passphrase wird von der Anzahl der Wörter beeinflusst. Nehmt ihr bspw. nur ein Wort aus der Liste (7776 Wörter) hat ein Angreifer bei seinem ersten Versuch eine 1 zu 7776 Wahrscheinlichkeit, euer Passwort beim ersten Versuch zu erraten. Im Durchschnitt würde er 3888 Versuche benötigen (7776 / 2) – im schlechtesten Fall 7776 Versuche.

Sobald ihr ein weiteres Wort hinzufügt steigt der Aufwand für den Angreifer exponentiell an. Für zwei Wörter aus der Wortliste existieren insgesamt 7776² bzw. 60.466.176 mögliche Kombinationen. Im Durchschnitt würde ein Angreifer beim reinen Durchprobieren 30 Millionen Versuche benötigen.

Bei unser Passphrase, die aus insgesamt 6 Wörtern besteht, würde das 7776⁶ bzw. 221073919720733357899776 mögliche Kombinationen ergeben. Im Schnitt würde ein Angreifer 11 Trilliarden (Zahl mit 22 Nullen) Versuche benötigen. Folglich hat die Passphrase hat eine Entropie von ca. 77,52 Bit. Wie kommt man drauf? Bei 7776 Wörtern hat jedes Wort eine Entropie von 12,92 – also log(7776) / log(2) * 6 entspricht 77,52 Bit.

Das bedeutet: Selbst wenn jemand über das Wissen verfügt, dass ihr eure Passphrase aus der englischen Diceware Wortliste erstellt habt, muss er im Durchschnitt verflucht lange rechnen, bis er es errät bzw. knackt. Lassen wir die heutige Rechenkapazität bzw. Moore’s Law in unsere Überlegung einfließen, sind wir mit einer 6 Wörter Passphrase erstmal auf der sicheren Seite. [...]

Und dazu noch ein xkcd-Comic zum Thema (siehe https://imgs.xkcd.com/comics/password_strength.png)

[novalix]

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

Die Probleme, die so ein single point of failure mit sich bringen kann, sollte man abmildern, indem man sich eine Strategie zur Aufteilung der Passwortdatenbanken überlegt.

Schon in einem ottonormalen Benutzungsszenario halte ich es für ratsam, die wichtigen Passwörter von den weniger zentralen zu trennen.
Es wäre z.B. fahrlässig auf einem Hosentaschencomputer mit Telefonanschluss eine Datenbank mit sich zu führen, auf der Passwörter liegen, die in diesem Kontext nicht gebraucht werden sollten.

In einem administrativen Nutzungsszenario wird die Verwaltung der Passwortdatenbanken (Aufteilung, Speicherorte, Zugriffskontrolle, Synchronisierung, etc.) schon fast zu einer eigenen Disziplin.

Dein skizziertes Verfahren, sich Passwörter über pwgen erzeugen zu lassen, nutze ich selber auch. Bei mir hat das aber eine quantitative Nutzbarkeitsgrenze. Auch die Erweiterung des Erinnerungspools über Ableitungsfunktionen stößt bei mir an eine Grenze der Vertretbarkeit, innerhalb derer die Menge der benötigten Passwörter nicht abzubilden ist.
An dieser Stelle kommen dann die Passwortdatenbanken ins Spiel.

[Lord_Carlos]

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

Was ist denn die Alternative?

Du merkst dir also nur deinen String und das Verfahren.

Ja, aber wenn das dann jeder macht, dann endet es doch damit das 95% das gleiche Verfahren benutzten.
Wenn dann erstmal die meist benutzten verfahren bekannt sind, ist es genau so gut wie als wenn man bei jeder Seite das gleiche Password benutzt.

Dazu sollte das ganze auch leicht zugaenglich sein. Z.B auf dem Handy.

Aber ja, ist eine Alternative die momentan noch funktioniert. Mir zu viel getippe.

[spiralnebelverdreher]

Was ist denn die Alternative?

Du merkst dir also nur deinen String und das Verfahren.

Ja, aber wenn das dann jeder macht, dann endet es doch damit das 95% das gleiche Verfahren benutzten.
Wenn dann erstmal die meist benutzten verfahren bekannt sind, ist es genau so gut wie als wenn man bei jeder Seite das gleiche Password benutzt.

Gleiches, offen gelegtes Verfahren ist genau ein wichtiger Grundpfeiler in der IT-Sicherheit und Absicht. Das macht das Verfahren auch nicht unsicherer wenn 100% dies verwenden.

Dein individueller Teil des Strings (der dann zusammen mit dem Domainnamen durch die Hash Funktion gedreht wird) ist in der Wirkung mit dem Salt in anderen Verfahren vergleichbar: Es macht Angriffe mittels vorberechneter Rainbow-Tabellen so immens aufwendig, dass sie kein realistischer Weg sind.

[psalm1]

Ich danke allen für ihre Beiträge.
Es war zwischen 2001 und 2003 als mein Rechner gehackt wurde. Zu dieser Zeit nutzte ich Windows und später auch das Office von Microsoft. Ich bewunderte und bewundere es auch Heute in einer seltsamen Art ( ohne es seit ca 8 Jahren zu nutzen) wegen des extremen Fortschrittes der wirklich in kürzester zeit zustande kam. Das kann ich beschwören. Klar war das alles nur gekauft aber es war gut für den verbraucher.

Mein aller erster Rechner war ein Highscreen von Vobismit der sogar mit einer Festplate war ganz anders als der Commodore der nicht einmal eine anbot. Erinnerungen sind ein komisch Ding aber ich traue mich und tippe dass es in der Mitte der 90 Jahre war als ich mich mit meinem ersten PC quälte.. Damals vergingen Monate ohne nur ein Anzeichen an Fortschritten und ganz zu schweige das ich daran dachte auf dem gekauften Nadeldrucker drucken zu könnender und dass obwohl der Rechner Tausende DM gekostet hatte. Als ich dann Dos und Win 3.?? installierte war alles ganz anderes; jetzt konnte auch einer mit einem IQ kleiner 70 mit einem PC drucken. Das kam mir wirklich sehr entgegen. Jeder hat seine Stärken aber ganz sicher waren es damals nicht meine.

Ok das war sozusagen die Entschuldigung für meine Microsoft Vergangenheit. 2000 lies ich mich Tauften (was meinen nick erklärt) und fast zeitgleich wurde mein PC gehackt. Das Ergebnis war dass alle Christen in meinem Adressbuch Erotik Werbung in meinem Namen erhielten. Mir war das sehr Peinlich was dazu führte das ich damals RedHead installierte und zu meinen ersten Erfahrungen mit den Computern zurück ging.
Ich nutze seit vielen Jahren einen DELL Precision M4600 der gar keine Kamera hat was die Erpresser Emails leichter als Bluff entlarvt aber ich kann mir vorstellen dass es auch andere gibt. Gerade an sehr Junge menschen denke ich und nutze jetzt die Gelegenheit aufzuklären . Ich hab jetzt eine neue Erpresser Email

Gutеn Tag,

Ich habе dich еinе Wеilе bеοbachtеt, wеil ich dich in еinеr Wеrbung auf еinеr Pοrnο-Wеbsitе durch еinеn Virus gеhackt habе.

Wеnn Siе das nicht wissеn wеrdе ich еs еrklärеn. Ein Trojanеr gibt Ihnеn vollеn Zugriff und Kontrollе übеr еinеn Computеr (odеr еin andеrеs Gеrät). Das bеdеutеt, dass ich allеs auf Ihrеm Вildschirm sеhеn und Ihrе Kamеra und Ihr Mikrofon еinschaltеn kann, ohnе dass Siе еs bеmеrkеn. So habе ich auch Zugang zu all dеinеn Kontaktеn.

Ich habе еin Vidеo gеmacht, das zеigt, wiе du auf dеr linkеn Вildschirmhältе masturbiеrst und auf dеr rеchtеn Hälftе siеhst du das Vidеo, das du gеradе angеsеhеn hast. Auf Knopfdruck kann ich diеsеs Vidеo an allе Kontaktе Ihrеr E-Mail und Social Mеdia wеitеrlеitеn.

Wеnn Siе diеs vеrhindеrn möchtеn, übеrwеisеn Siе еinеn Веtrag von $828 auf mеinе Βitcoin-Adrеssе: 1EfhbqWbK5iWQj6CBwrCyDvRnzi7uLsnKs.

Sobald diе Zahlung еingеgangеn ist, löschе ich das Vidеo und du wirst niе wiеdеr von mir hörеn. Ich gеbе Ihnеn 72 Stundеn, um diе Zahlung zu machеn. Danach wissеn Siе, was passiеrt. Ich kann еs sеhеn, wеnn Siе diеsе Е-Mail gеlеsеn habеn, damit diе Uhr jеtzt tickt.

Es ist Zеitvеrschwеndung, mich an diе Polizеi zu mеldеn, da diеsе Е-Mail wеdеr in irgеndеinеr Form noch in mеinеr Βitcoin-Adrеssе nachvеrfolgt wеrdеn kann. Ich machе kеinе Fеhlеr. Wеnn ich fеststеllе, dass Siе еinеn Веricht еingеrеicht odеr diеsе Nachricht an jеmand andеrеn wеitеrgеgеbеn habеn, wird das Vidеo sofort vеrtеilt.

Grüßе!

In der tat kann ich nicht den Absender ermitteln. Ich denke es gibt arme Schweine mit einer Kamera und ganz zu schweigen wenn noch mehr übereinstimmungen zusammen kommen deshalb poste ich das um aufzuklären und alle Linuxianer und ganz besonders meine liebste Art davon die Debianer gute tips zu geben was man da am besten machen sollte.

Liebe Grüße und ein @debianforum.de community.


Nimmt bitte so etwas nicht ernst.

[psalm1]

sry hab nicht kontrolliert ob der text ok ist aber dass ist auch egal da jeder depp verstehen kann was ich sagen wollte

[whisper]

Du hast die Email übersetzt, oder gibt es die jetzt sogar in Deutsch?

[DeletedUserReAsG]

Die gibt’s in allen Sprachen. Ich hab sie sogar in Koreanisch vorliegen

[psalm1]

Ich habe Sie so erhalten ... in Deutsch.. die können anscheinend auch Deutsch ;.)
und das war garantiert nicht ein Text vom google übersetzter. ich habe es seit längerem nicht probiert aber bisher waren die google Übersetzungen ausfallend.

[whisper]

Ich habe Sie so erhalten ... in Deutsch.. die können anscheinend auch Deutsch ;.)
und das war garantiert nicht ein Text vom google übersetzter. ich habe es seit längerem nicht probiert aber bisher waren die google Übersetzungen ausfallend.

Guck dir deepl.com an, die sind da erheblich weiter!