Seite 1 von 3

Re: Erpresseremail

Verfasst: 06.10.2018 17:59:06
von debianuser4782
thoerb hat geschrieben: ↑ zum Beitrag ↑
06.10.2018 17:49:05
psalm1 hat geschrieben: ↑ zum Beitrag ↑
06.10.2018 17:32:15
Kann man ein Linux System Hacken indem man von aussen nach dem User Passwort scannt?
Mach doch mal einen Portscann auf deine aktuelle IP, dann siehst du ob irgendwas offen ist.

http://www.dnstools.ch/port-scanner.html

Oder was meinst du von außen, nur Internet oder auch LAN?
Ich bekomme hinter dem Link die Meldung:

"Your connection is not secure

The owner of www.dnstools.ch has configured their website improperly. To protect your information from being stolen, Tor Browser has not connected to this website.

Learn more…" https://support.mozilla.org/en-US/kb/wh ... ecure-mean

deswegen lieber:

https://www.heise.de/security/dienste/p ... ?scanart=1

Re: Erpresseremail

Verfasst: 07.10.2018 01:35:02
von thoerb
Ich bekomme hinter dem Link die Meldung:
"Your connection is not secure
The owner of www.dnstools.ch has configured their website improperly. To protect your information from being stolen, Tor Browser has not connected to this website.
reox hat geschrieben: ↑ zum Beitrag ↑
06.10.2018 17:40:58
Wie meinst du das? Automatische Bots scannen ständig zB SSH mit typischen passwörtern und Usern ab...
Und wenn ich das dann selbst über eine Webseite anstoße, die nicht über https erreichbar ist, ist das dann gefährlicher?

Re: Erpresseremail

Verfasst: 07.10.2018 06:52:31
von TRex
Ich verspreche mir von dem Check recht wenig - außer, du bietest da einen Login an, den man bruteforcen könnte. Ob da was lauscht, kannst du auch deinem Router entnehmen.

Re: Erpresseremail

Verfasst: 07.10.2018 08:58:06
von whisper
Ich habe auch schon 2 Erpresser Junks bekommen, bei einem konnte ich in meinem Email Archiv sogar das Forum isolieren, dort hat ich mich 2007 mal angemeldet, deren Datenbank gehackt wurde 12 Mio. Accounts.
Ich habe seit vielen Jahren ein einfaches System bei Web Passwörtern, da kommt man nur drauf, wenn man mehrere Web Passwörter von mir besitzt.
Seit längerer Zeit mache ich das noch komplexer.
Ich amüsiere mich einfach über die Emails.
Anzeigen bringt eh nix.

Re: Erpresseremail

Verfasst: 07.10.2018 12:04:19
von reox
thoerb hat geschrieben: ↑ zum Beitrag ↑
07.10.2018 01:35:02
Ich bekomme hinter dem Link die Meldung:
"Your connection is not secure
The owner of www.dnstools.ch has configured their website improperly. To protect your information from being stolen, Tor Browser has not connected to this website.
reox hat geschrieben: ↑ zum Beitrag ↑
06.10.2018 17:40:58
Wie meinst du das? Automatische Bots scannen ständig zB SSH mit typischen passwörtern und Usern ab...
Und wenn ich das dann selbst über eine Webseite anstoße, die nicht über https erreichbar ist, ist das dann gefährlicher?
Grundsätzlich kannst du mal niemandem vertrauen. Habakug hat ja schon Zweifel an haveibeenpwned geäußert. So gesehen kann jedes System, in dem du deine Daten eingibst, diese natürlich auch gegen dich verwenden. So gesehen, solltest du solche scans nur dir selber kontrollierten Systemen ausführen - wenn du Zweifel an der Vertrauenswürdigkeit einer Seite hast.
Was https betrifft: Hier gilt mehr oder weniger der selbe Grundsatz: Kannst du allen beteiligten Geräten vertrauen, dass sie nicht die Ergebnisse des Scans beeinflusen.

Ich persönlich würde haveibeenpwned und dem heise Verlag eher schon vertrauen, aber das darf und sollte jeder selber entscheiden.

Re: Erpresseremail

Verfasst: 07.10.2018 12:49:21
von thoerb
TRex hat geschrieben: ↑ zum Beitrag ↑
07.10.2018 06:52:31
Ob da was lauscht, kannst du auch deinem Router entnehmen.
Ich schon, aber ob das der TE kann wissen wir nicht.

Ansonsten habt ihr ja alle Recht, ich hab halt einen der ersten Links genommen, die mir die Suche vorgeschlagen hat. Das war sicher nicht die beste Wahl.

Re: Erpresseremail

Verfasst: 07.10.2018 15:44:25
von BenutzerGa4gooPh
Wann postet oder verlinkt ihr endlich die Erpresservideos? Scheinbar haben alle bezahlt ... :mrgreen:
(Fachkräftemangel, wohin man schaut: Selbst Erpresser sind nur noch Schaumschläger. :wink: )

Re: Erpresseremail

Verfasst: 08.10.2018 15:00:26
von whisper
Jana66 hat geschrieben: ↑ zum Beitrag ↑
07.10.2018 15:44:25
Wann postet oder verlinkt ihr endlich die Erpresservideos? Scheinbar haben alle bezahlt ... :mrgreen:
(Fachkräftemangel, wohin man schaut: Selbst Erpresser sind nur noch Schaumschläger. :wink: )
Glaub mir, die willst du nicht sehen ;-)

Re: Erpresseremail

Verfasst: 08.10.2018 15:06:08
von MSfree
whisper hat geschrieben: ↑ zum Beitrag ↑
08.10.2018 15:00:26
Glaub mir, die willst du nicht sehen ;-)
Was ist denn so peinlich daran? Die rosa Plüschhandschellen? Oder die Peitsche? :mrgreen:

Re: Erpresseremail

Verfasst: 08.10.2018 15:17:16
von whisper
Mist! woher hast du mein Video? :oops:

Re: Erpresseremail

Verfasst: 08.10.2018 15:33:10
von MSfree
whisper hat geschrieben: ↑ zum Beitrag ↑
08.10.2018 15:17:16
Mist! woher hast du mein Video? :oops:
Das hing als Attachment an der Erpressungsmail, dir mir zugesandt wurde. 8O
Die Erpresser scheinen es ja mit der DSGVO nicht ganz so ernst zu nehmen.

Re: Erpresseremail

Verfasst: 08.10.2018 17:34:37
von whisper
MSfree hat geschrieben: ↑ zum Beitrag ↑
08.10.2018 15:33:10
Das hing als Attachment an der Erpressungsmail, dir mir zugesandt wurde. 8O
Die Erpresser scheinen es ja mit der DSGVO nicht ganz so ernst zu nehmen.
ROFL

Re: Erpresseremail

Verfasst: 20.10.2018 21:40:21
von psalm1
Ich danke allen für die guten Beiträge.

Re: Erpresseremail

Verfasst: 21.10.2018 13:10:12
von Matt
niemand hat geschrieben: ↑ zum Beitrag ↑
06.10.2018 08:46:54
psalm1 hat geschrieben: ↑ zum Beitrag ↑
06.10.2018 08:12:06
Wie ist es möglich dass jemand an mein Benutzer Passwort kommen kann?
https://heise.de/-4109834

Nebenbei gesagt, ist „Jesus00“ ein gutes Beispiel für ein sehr schlechtes Passwort. Entsprechend:
Ich wüste gerne wie das gemacht wird um dass in Zukunft verhindern zu können.
Sichere Passwörter verwenden, und für jeden einzelnen Zweck ein Eigenes. Dann kann’s einerseits nicht durch die simpelste Wörterbuchattacke erraten werden, andererseits weiß man dann, wo genau das Leck war.
Dafür ist das diceware Verfahren ganz interessant. Der folgende Artikel auf kuketz-blog.de beschreibt aktuelle Verfahren zur Passwortgenerierung und Verwaltung. Zugegeben, er ist etwas lang, aber sehr informativ.

Re: Erpresseremail

Verfasst: 22.10.2018 10:33:42
von whisper
Matt hat geschrieben: ↑ zum Beitrag ↑
21.10.2018 13:10:12
Dafür ist das diceware Verfahren ganz interessant. Der folgende Artikel auf kuketz-blog.de beschreibt aktuelle Verfahren zur Passwortgenerierung und Verwaltung. Zugegeben, er ist etwas lang, aber sehr informativ.
Danke für den Link!
Sechs blöde Wörter zu merken ist allerdings auch nicht ganz ohne...

Re: Erpresseremail

Verfasst: 22.10.2018 12:09:22
von DeletedUserReAsG
Was das betrifft, nehme ich Debianpwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann. Dafür opfert man ein Stück Zufälligkeit, was man aber immer noch durch größere Länge und Sonderzeichen kompensierenen kann.

Re: Erpresseremail

Verfasst: 22.10.2018 12:56:57
von reox
niemand hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 12:09:22
Was das betrifft, nehme ich Debianpwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann.
Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo - und das ist ohne -s generiert...
Mag sein, dass in der Liste immer mal eines dabei ist, das halbwegs einfach ist aber wenn die man page nicht sagen würde, dass sie für den zweck gemacht werden, wäre ich da nie drauf gekommen

Re: Erpresseremail

Verfasst: 22.10.2018 13:20:30
von Matt
reox hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 12:56:57
niemand hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 12:09:22
Was das betrifft, nehme ich Debianpwgen her. Damit kann man Strings erzeugen lassen, die man aussprechen und sich so merken kann.
Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo - und das ist ohne -s generiert...
Mag sein, dass in der Liste immer mal eines dabei ist, das halbwegs einfach ist aber wenn die man page nicht sagen würde, dass sie für den zweck gemacht werden, wäre ich da nie drauf gekommen
Aus diesem Grund einen Würfel vom Mensch-Ärgere-Dich-Nicht nehmen und schön Würfeln :D Die diceware Wortlisten gibts auch auf Deutsch. :D

Re: Erpresseremail

Verfasst: 22.10.2018 13:26:44
von Lord_Carlos
habakug hat geschrieben: ↑ zum Beitrag ↑
06.10.2018 14:14:06
Jeder, der dort eine E-Mailadresse eingibt, sollte sich mal überlegen, ob da nicht gerade eine neue Datenbank angelegt wird. Eine z.B. mit validen Mailadressen.
Der Typ dahinter ist bekannt und hat einen guten Ruf. Er weis auch was er macht.
Warum sollte er sein job und Identitaet aufs Spiel setzten fuer deine Email, ohne Password. Kommt mir nicht wahrscheinlich vor.

@psalm1
Wenn du dir Passwoerter, wie die meisten anderen auch, nicht merken kannst, dann benutzt einer der vielen Password manager. Am einfachsten sind die eingebauten in Chrome oder Firefox. Die koennen auch auf verschiedene Rechner synchronisieren.
Ich benutzte mittlerweile BitWarden: https://bitwarden.com/
Gibt aber auch viele andere.

Re: Erpresseremail

Verfasst: 22.10.2018 13:35:00
von DeletedUserReAsG
reox hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 12:56:57
Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo
Also ich find’ das recht einfach zu sprechen und zu memorieren. Die ersten und die letzten beiden Teile reimen sich, und es gibt eine Art Versmaß – das macht’s ziemlich einfach. Ich hab ähnliche Passwörter im Kopf, die ich vor Jahren erstellt, und teils Jahre nicht genutzt habe. Aber da muss halt jeder seine bevorzugte Variante finden, was zumindest das Masterpasswort entweder für den PW-Manager oder zum Ableiten der Gebrauchspasswörter (da gibt’s auch die eine oder andere recht geschickte Methode) angeht.

Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.

Re: Erpresseremail

Verfasst: 22.10.2018 14:17:31
von Lord_Carlos
niemand hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 13:35:00
Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.
Je nach Manager muss er dazu erstmal auf dein Rechner.
Und wenn er das schon ist kann er auch ganz andere dinge machen.

Was ist denn die Alternative?

Re: Erpresseremail

Verfasst: 22.10.2018 14:26:14
von DeletedUserReAsG
Je nach Manager muss er dazu erstmal auf dein Rechner.
Und wenn er’s geschafft hat, kann er die Datenbank backuppen und sich ganz in Ruhe dran versuchen.
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 14:17:31
Was ist denn die Alternative?
Für mich: ein System, mit dem man aus einem gegebenen String und einer weiteren, für jeden Zweck individuellen, Information ein Gebrauchspasswort für den jeweiligen Zweck ableitet. Ist natürlich theoretisch auch angreifbar: wenn jemand mehrere Gebrauchspasswörter abgreift und viel Zeit investiert, zudem noch erraten kann, woraus die zusätzliche Information besteht und in welchem Format sie zum Einsatz kommt, könnte er in der Lage sein, die Methode und das Ausgangspasswort zu rekonstruieren, und damit auch Passwörter für andere Sachen zu erraten. Absolute Sicherheit gibt’s halt nicht ….

Ferner: wenn ich weiß, dass ich mich bei dem betreffenden Dienst nicht noch einmal einloggen möchte, gleich eine zufällige Zeichenfolge, und bei Sachen, wo’s möglich ist, einen Schlüssel.

Re: Erpresseremail

Verfasst: 22.10.2018 15:06:07
von spiralnebelverdreher
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 14:17:31
niemand hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 13:35:00
Ich persönlich bin bei PW-Managern skeptisch – wenn ein Angreifer es schafft, so ein Ding aufzumachen, hat er gleich den Jackpot geknackt.
Was ist denn die Alternative?
Passworte nicht merken, sondern jedesmal neu berechnen kann eine Alternative sein.

Du legst erstens einen String fest, den du dir merken kannst: "Lord_Carlos_mag_Kuchen" bspw. oder die mit Sonderzeichen angereicherte Kurzform "Lo#CamaKu!".

Dann verknüpfst du zweitens deinen String mit dem Webseitennamen, für den du ein Passwort brauchst. da entsteht so etwas wie: "Lo#CamaKu!+debianforum.de". Diesen String fütterst du in eine Hashfunktion (sha256 oder so) und bekommst einen String heraus den du direkt verwenden kannst oder den du auf bspw. 16 Zeichen einkürzt.

Du merkst dir also nur deinen String und das Verfahren.

Re: Erpresseremail

Verfasst: 22.10.2018 15:09:59
von whisper
Ich habe den Diceware Artikel zum Anlaß genommen und mein Masterpasswort zu erneuern.
Ich habe eine Mixtur aus Deutsch und English dict. plus einem zusammengesetzten Fachbegriff, damit bin ich was die Char Anzahl betrifft im hohen 20er Bereich.
Denke, damit ist gut, oder?

Re: Erpresseremail

Verfasst: 22.10.2018 15:12:47
von reox
niemand hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 13:35:00
reox hat geschrieben: ↑ zum Beitrag ↑
22.10.2018 12:56:57
Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo
Also ich find’ das recht einfach zu sprechen und zu memorieren. Die ersten und die letzten beiden Teile reimen sich, und es gibt eine Art Versmaß – das macht’s ziemlich einfach.
ah ok, jetzt wo du es sagst und ich es länger anschaue erkenne ich da auch gewisse muster :)