Erpresseremail

[debianuser4782]

Kann man ein Linux System Hacken indem man von aussen nach dem User Passwort scannt?

Mach doch mal einen Portscann auf deine aktuelle IP, dann siehst du ob irgendwas offen ist.

http://www.dnstools.ch/port-scanner.html

Oder was meinst du von außen, nur Internet oder auch LAN?

Ich bekomme hinter dem Link die Meldung:

"Your connection is not secure

The owner of www.dnstools.ch has configured their website improperly. To protect your information from being stolen, Tor Browser has not connected to this website.

Learn more…" https://support.mozilla.org/en-US/kb/wh ... ecure-mean

deswegen lieber:

https://www.heise.de/security/dienste/p ... ?scanart=1

[thoerb]

Ich bekomme hinter dem Link die Meldung:
"Your connection is not secure
The owner of www.dnstools.ch has configured their website improperly. To protect your information from being stolen, Tor Browser has not connected to this website.

Wie meinst du das? Automatische Bots scannen ständig zB SSH mit typischen passwörtern und Usern ab...

Und wenn ich das dann selbst über eine Webseite anstoße, die nicht über https erreichbar ist, ist das dann gefährlicher?

[TRex]

Ich verspreche mir von dem Check recht wenig - außer, du bietest da einen Login an, den man bruteforcen könnte. Ob da was lauscht, kannst du auch deinem Router entnehmen.

[whisper]

Ich habe auch schon 2 Erpresser Junks bekommen, bei einem konnte ich in meinem Email Archiv sogar das Forum isolieren, dort hat ich mich 2007 mal angemeldet, deren Datenbank gehackt wurde 12 Mio. Accounts.
Ich habe seit vielen Jahren ein einfaches System bei Web Passwörtern, da kommt man nur drauf, wenn man mehrere Web Passwörter von mir besitzt.
Seit längerer Zeit mache ich das noch komplexer.
Ich amüsiere mich einfach über die Emails.
Anzeigen bringt eh nix.

[reox]

Ich bekomme hinter dem Link die Meldung:
"Your connection is not secure
The owner of www.dnstools.ch has configured their website improperly. To protect your information from being stolen, Tor Browser has not connected to this website.

Wie meinst du das? Automatische Bots scannen ständig zB SSH mit typischen passwörtern und Usern ab...

Und wenn ich das dann selbst über eine Webseite anstoße, die nicht über https erreichbar ist, ist das dann gefährlicher?

Grundsätzlich kannst du mal niemandem vertrauen. Habakug hat ja schon Zweifel an haveibeenpwned geäußert. So gesehen kann jedes System, in dem du deine Daten eingibst, diese natürlich auch gegen dich verwenden. So gesehen, solltest du solche scans nur dir selber kontrollierten Systemen ausführen - wenn du Zweifel an der Vertrauenswürdigkeit einer Seite hast.
Was https betrifft: Hier gilt mehr oder weniger der selbe Grundsatz: Kannst du allen beteiligten Geräten vertrauen, dass sie nicht die Ergebnisse des Scans beeinflusen.

Ich persönlich würde haveibeenpwned und dem heise Verlag eher schon vertrauen, aber das darf und sollte jeder selber entscheiden.

[thoerb]

Ob da was lauscht, kannst du auch deinem Router entnehmen.

Ich schon, aber ob das der TE kann wissen wir nicht.

Ansonsten habt ihr ja alle Recht, ich hab halt einen der ersten Links genommen, die mir die Suche vorgeschlagen hat. Das war sicher nicht die beste Wahl.

[BenutzerGa4gooPh]

Wann postet oder verlinkt ihr endlich die Erpresservideos? Scheinbar haben alle bezahlt ...
(Fachkräftemangel, wohin man schaut: Selbst Erpresser sind nur noch Schaumschläger. )

[whisper]

Wann postet oder verlinkt ihr endlich die Erpresservideos? Scheinbar haben alle bezahlt ...
(Fachkräftemangel, wohin man schaut: Selbst Erpresser sind nur noch Schaumschläger. )

Glaub mir, die willst du nicht sehen

[MSfree]

Glaub mir, die willst du nicht sehen

Was ist denn so peinlich daran? Die rosa Plüschhandschellen? Oder die Peitsche?

[whisper]

Mist! woher hast du mein Video?

[MSfree]

Mist! woher hast du mein Video?

Das hing als Attachment an der Erpressungsmail, dir mir zugesandt wurde.
Die Erpresser scheinen es ja mit der DSGVO nicht ganz so ernst zu nehmen.

[whisper]

Das hing als Attachment an der Erpressungsmail, dir mir zugesandt wurde.
Die Erpresser scheinen es ja mit der DSGVO nicht ganz so ernst zu nehmen.

ROFL

[psalm1]

Ich danke allen für die guten Beiträge.

[Matt]

Wie ist es möglich dass jemand an mein Benutzer Passwort kommen kann?

https://heise.de/-4109834

Nebenbei gesagt, ist „Jesus00“ ein gutes Beispiel für ein sehr schlechtes Passwort. Entsprechend:

Ich wüste gerne wie das gemacht wird um dass in Zukunft verhindern zu können.

Sichere Passwörter verwenden, und für jeden einzelnen Zweck ein Eigenes. Dann kann’s einerseits nicht durch die simpelste Wörterbuchattacke erraten werden, andererseits weiß man dann, wo genau das Leck war.

Dafür ist das diceware Verfahren ganz interessant. Der folgende Artikel auf kuketz-blog.de beschreibt aktuelle Verfahren zur Passwortgenerierung und Verwaltung. Zugegeben, er ist etwas lang, aber sehr informativ.

[whisper]

Dafür ist das diceware Verfahren ganz interessant. Der folgende Artikel auf kuketz-blog.de beschreibt aktuelle Verfahren zur Passwortgenerierung und Verwaltung. Zugegeben, er ist etwas lang, aber sehr informativ.

Danke für den Link!
Sechs blöde Wörter zu merken ist allerdings auch nicht ganz ohne...

[DeletedUserReAsG]

Was das betrifft, nehme ich pwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann. Dafür opfert man ein Stück Zufälligkeit, was man aber immer noch durch größere Länge und Sonderzeichen kompensierenen kann.

[reox]

Was das betrifft, nehme ich pwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann.

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo - und das ist ohne -s generiert...
Mag sein, dass in der Liste immer mal eines dabei ist, das halbwegs einfach ist aber wenn die man page nicht sagen würde, dass sie für den zweck gemacht werden, wäre ich da nie drauf gekommen

[Matt]

Was das betrifft, nehme ich pwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann.

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo - und das ist ohne -s generiert...
Mag sein, dass in der Liste immer mal eines dabei ist, das halbwegs einfach ist aber wenn die man page nicht sagen würde, dass sie für den zweck gemacht werden, wäre ich da nie drauf gekommen

Aus diesem Grund einen Würfel vom Mensch-Ärgere-Dich-Nicht nehmen und schön Würfeln Die diceware Wortlisten gibts auch auf Deutsch.

[Lord_Carlos]

Jeder, der dort eine E-Mailadresse eingibt, sollte sich mal überlegen, ob da nicht gerade eine neue Datenbank angelegt wird. Eine z.B. mit validen Mailadressen.

Der Typ dahinter ist bekannt und hat einen guten Ruf. Er weis auch was er macht.
Warum sollte er sein job und Identitaet aufs Spiel setzten fuer deine Email, ohne Password. Kommt mir nicht wahrscheinlich vor.

@psalm1
Wenn du dir Passwoerter, wie die meisten anderen auch, nicht merken kannst, dann benutzt einer der vielen Password manager. Am einfachsten sind die eingebauten in Chrome oder Firefox. Die koennen auch auf verschiedene Rechner synchronisieren.
Ich benutzte mittlerweile BitWarden: https://bitwarden.com/
Gibt aber auch viele andere.

[DeletedUserReAsG]

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo

Also ich find’ das recht einfach zu sprechen und zu memorieren. Die ersten und die letzten beiden Teile reimen sich, und es gibt eine Art Versmaß – das macht’s ziemlich einfach. Ich hab ähnliche Passwörter im Kopf, die ich vor Jahren erstellt, und teils Jahre nicht genutzt habe. Aber da muss halt jeder seine bevorzugte Variante finden, was zumindest das Masterpasswort entweder für den PW-Manager oder zum Ableiten der Gebrauchspasswörter (da gibt’s auch die eine oder andere recht geschickte Methode) angeht.

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

[Lord_Carlos]

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

Je nach Manager muss er dazu erstmal auf dein Rechner.
Und wenn er das schon ist kann er auch ganz andere dinge machen.

Was ist denn die Alternative?

[DeletedUserReAsG]

Je nach Manager muss er dazu erstmal auf dein Rechner.

Und wenn er’s geschafft hat, kann er die Datenbank backuppen und sich ganz in Ruhe dran versuchen.

Was ist denn die Alternative?

Für mich: ein System, mit dem man aus einem gegebenen String und einer weiteren, für jeden Zweck individuellen, Information ein Gebrauchspasswort für den jeweiligen Zweck ableitet. Ist natürlich theoretisch auch angreifbar: wenn jemand mehrere Gebrauchspasswörter abgreift und viel Zeit investiert, zudem noch erraten kann, woraus die zusätzliche Information besteht und in welchem Format sie zum Einsatz kommt, könnte er in der Lage sein, die Methode und das Ausgangspasswort zu rekonstruieren, und damit auch Passwörter für andere Sachen zu erraten. Absolute Sicherheit gibt’s halt nicht ….

Ferner: wenn ich weiß, dass ich mich bei dem betreffenden Dienst nicht noch einmal einloggen möchte, gleich eine zufällige Zeichenfolge, und bei Sachen, wo’s möglich ist, einen Schlüssel.

[spiralnebelverdreher]

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

Was ist denn die Alternative?

Passworte nicht merken, sondern jedesmal neu berechnen kann eine Alternative sein.

Du legst erstens einen String fest, den du dir merken kannst: "Lord_Carlos_mag_Kuchen" bspw. oder die mit Sonderzeichen angereicherte Kurzform "Lo#CamaKu!".

Dann verknüpfst du zweitens deinen String mit dem Webseitennamen, für den du ein Passwort brauchst. da entsteht so etwas wie: "Lo#CamaKu!+debianforum.de". Diesen String fütterst du in eine Hashfunktion (sha256 oder so) und bekommst einen String heraus den du direkt verwenden kannst oder den du auf bspw. 16 Zeichen einkürzt.

Du merkst dir also nur deinen String und das Verfahren.

[whisper]

Ich habe den Diceware Artikel zum Anlaß genommen und mein Masterpasswort zu erneuern.
Ich habe eine Mixtur aus Deutsch und English dict. plus einem zusammengesetzten Fachbegriff, damit bin ich was die Char Anzahl betrifft im hohen 20er Bereich.
Denke, damit ist gut, oder?

[reox]

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo

Also ich find’ das recht einfach zu sprechen und zu memorieren. Die ersten und die letzten beiden Teile reimen sich, und es gibt eine Art Versmaß – das macht’s ziemlich einfach.

ah ok, jetzt wo du es sagst und ich es länger anschaue erkenne ich da auch gewisse muster