Forum: PC Hard- und Software Probleme mit "falschem Hacker"

Stefan K. schrieb:
> Wie kam der an diese Info? Ist wieder eine Datenbank gehackt worden ...?

Wahrscheinlich. Oder ein Depp hat mal wieder Kundendaten ungeschützt ins 
Netz gestellt.

> Wie soll ich jetzt weiter machen?

1. Ruhe bewahren!
2. Ruhe bewahren!
3. Nicht antworten, keine Links darin anklicken, keine Anhänge öffnen. 
Das Passwort überall ändern, wo du es verwendet hast. Egal wie viel Mühe 
es kostet. Dieses mal nicht wieder das selbe Passwort auf mehreren 
Seiten benutzen, falls das zutrifft.

Der Virenscanner von Windows läuft und ist aktuell, nehme ich mal an 
(sonst würde Windows dich deutlich warnen). Ansonsten: bringe das in 
Ordnung.

Mehr kannst du micht machen.

Meistens sind die Drohungen nur heiße Luft. Ich habe solche Mails 
bereits mehrfach empfangen, aber mit einem falschen Passwort. Die 
angeblich kompromittierenden Infos, mit denen mir gedroht wurde, 
existieren gar nicht. Und die heruntergeladenen Erotik Fotos bzw. 
besuchte Seiten sind weder illegal noch pervers. Selbst wenn sie es 
wären ist es noch viel illegaler, andere anzuschwärzen  um ihnen zu 
schaden. Die Polizei würde so einem Kasper nicht mal zuhören.

Denkst du, so ein Angreifer hat Lust auf eine Befragung im Gerichtssaal, 
wo er ganz genau seine Motivation und Vorgehensweise erklären soll? Der 
will nur dein Geld und sonst jeden Kontakt vermeiden.

> Was würdet ihr machen?

Das Angebot der Kripo annehmen, in solchen Fällen zu beraten. Ich hab's 
gemacht und war danach sehr beruhigt.

Das hier ist auch lesenswert:
https://www.tripwire.com/state-of-security/sextortion-scams-how-they-persuade-and-what-to-watch-for

Die Geknackten Passwörter sind aus uralten Daten Breaches. Alles in 
diesen Mails ist erstunken und erlogen. Einfach löschen und zur 
Tagesordnung übergehen. Lass Dich nicht einschüchtern. They don't have a 
leg to stand on. Diese Drohungen sind alle gänzlich zahnlos. All das 
High-Tech Geschwafel ist Geschwafel.

https://www.barracuda.com/support/glossary/sextortion

Der neueste Trick ist, Google Street Images anzuhängen, um mehr Angst zu 
machen.

https://krebsonsecurity.com/2024/09/sextortion-scams-now-include-photos-of-your-home/


https://www.ncsc.gov.uk/guidance/sextortion-scams-how-to-protect-yourself#:~:text=Sextortion%20scams%20are%20a%20type,of%20themselves%20visiting%20adult%20websites.


Wie gesagt. Einfach ignorieren und gleich löschen. Die haben überhaupt 
nichts gegen Dich in der Hand. Alles Spiegelfechterei. Laß Dich nicht 
aus dem seelischen Gleichgewicht schubsen. Das sind diese Bösewichte 
insgesamt nicht wert. Kriminelle Möchtegern-Erpresser gibt es schon seit 
jeher. Die wollen eben mit allen Mitteln Geld und Reichtum erpressen. 
Das ist eben unsere Zeit. Früher wurden Erpresserbriefe mit 
ausgeschnittenen Zeitungsbuchstaben geklebt. Heute ist es eben 
elektronische Post. Nicht mal Briefmarken müssen geklebt werden...

Hallo,

nur kurz

Es geht mir halt darum dass er meine Email und die Steam Anmelde Daten 
hat.


Durch den Steam Guard müsste er nichts machen können, da bei der 
"Anmeldung an anderem Gerät" eine Email kommt, die ich bestätigen muss 
(Code eingeben oder so), und da er das "andere" "Email" "Passwort" nicht 
besitzt, kann er ja darauf nicht zugreifen.


Habe den "Windows Viren Scan" laufen lassen, keine Ergebnisse.


Das Steam Passwort ist ur alt, ich habe es seitdem nicht geändert, seit 
15+ Jahren.


Ich habe versucht, es zu ändern... aber durch meine psych. Erkrankung 
und jedes mal "neue Anfrage", blockt mich Steam jetzt mit Roter Schrift 
"zu viele Versuche, das Passwort zu ändern", ich muss warten, bis ich 
erneut darf.


Wollte das noch in den Raum stellen, muss jetzt für eine Weile weg.


Grundsätzlich, übrigens, bin ich nicht so naiv, und klicke auf 
irgendwelche "angeblich DHL / Netflix" (habe nichtmal Netflix) Links, 
das weis ich schon.


Dennoch hat er das korrekte Steam Passwort, und Steam zu verlieren wäre 
wirklich schlimm, da mir die Spiele gg meine Depression helfen, und mit 
der Erkrankung "neu machen" schlimm wäre.

Danke für die Beiträge

Lass die Ausreden sein und ändere das Passwort oder kündige den Account.

Oder soll der Hacker deinen Account übernehmen und schön teure Abos auf 
deine Kisten abschließen?

Stefan K. schrieb:
> Ich habe versucht, es zu ändern... aber durch meine psych. Erkrankung
> und jedes mal "neue Anfrage", blockt mich Steam jetzt mit Roter Schrift
> "zu viele Versuche, das Passwort zu ändern", ich muss warten, bis ich
> erneut darf.

Du hast keine Vertrauensperson, die Du das für Dich übernehmen lassen 
kannst? Wenn Du damit derartig heftige Probleme hast, bewegst Du Dich am 
Rande der Geschäftsfähigkeit, denn das Ändern und Einrichten von 
Passwörtern für Dinge, die wichtiger sind als "Steam", gehört 
mittlerweile zum Leben dazu. Das solltest Du nicht auf die leichte 
Schulter nehmen; keine Spiele mehr spiele zu können ist eine Sache, aber 
z.B. nicht mehr an Dein Bankkonto ranzukommen, nicht mehr Deine 
Fahrkarten bezahlen oder sonstwas machen können, wird ungleich 
bedrohlicher.

Sprich da mit jemanden drüber, der sich damit auskennt. Betreuender 
Arzt/Therapeut o.ä.

Stefan K. schrieb:
> Wie kam der an diese Info? Ist wieder eine Datenbank gehackt worden ...?

Einfach mal hier die eMail-Adresse eingeben:

https://haveibeenpwned.com/

In den Fällen, wo ich sowas bekommen habe, stammten die Daten immer aus 
dem LinkedIn-Hack vor >10 Jahren.

Stefan K. schrieb:
> ich hatte Heute diese Mail im "SPAM".

Das sagt eigentlich alles. Diese Mail ist schon bekannt als Spam!
Trotzdem der Kripo melden. Sonst ändert sich nie etwas.
Druck den ganzen Header mit aus und Anzeige gegen unbekannt.
Und! Die Polizei braucht deinen Rechner nicht!

Und mach dir keine Sorgen wegen "perverser" Inhalte.

Was Netflix z.B. in "Der Schacht" zeigt, darf man produzieren und 
anschauen. Mir fällt gerade nichts ein, was schlimmer sein könnte.

Sowas ist immer Blödsinn und entspricht auch nicht dem Vorgehen echter 
Hacker. Die nehmen sich keine Zeit, zu erklären, wie sie irgendwas 
gemacht haben bzw. angeblich gemacht haben, schon gar nicht technische 
Lügen, wo die meisten halbwegs versierten User sofort erkennen, daß das 
nicht funktionieren kann oder zumindest sehr unwahrscheinlich ist.

Den persönlich lustigsten Fall eines Spam/Phishing-Angriffes hatte ich 
an einem Tag, an dem sowieso schon alles schief gelaufen ist. Ich 
komplett genervt am Auto fahren, ruft 'ne (wahrscheinlich sowieso 
gefakte) Nummer an, ich das auch noch angenommen, quakt mich 'ne 
Computerstimme voll, ich sei von Interpol gesucht. Weiter ist sie nicht 
gekommen, ich nur aufgelegt, das Handy auf den Beifahrersitz geschmissen 
- na toll, jetzt sucht mich auch noch Interpol, der Tag endet so 
beschissen wie er angefangen hat... **lach** Nie wieder was von gehört. 
Ist übrigens schon einige Zeit her, das Telefonieren während der Fahrt 
dürfte verjährt sein - und ja, ich bereue es - bevor hier irgendwer auf 
dumme Gedanken kommt.

In etlichen sehr Nerven Anstrengenden Versuchen konnte ich endlich ein 
neues Passwort erstellen. Das vorherige war sehr kurz, und sehr leicht 
zu erraten.


Wie ich (bezüglich der neueren Posts nach Mittag 12 Uhr) schon 
schrieb... auf solche "Kindischen" Mails falle ich nicht herein. Ich 
klicke doch nicht irgendwelche Links an, und wenn es wirklich von 
relevanten Plattformen wie ebay, paypal o.Ä. stammt sind die Nachrichten 
idr. auf der Plattform selbst verfügbar durch das Plattform interne 
Nachrichtensystem.

Dennoch stand da 100% das korrekte Passwort von meinem Steam als 
Betreff.

Das einzige, was ich in den letzten Tagen installiert habe, ist das 
Indy-Spiel von Patreon. Es war sehr ein Akt, es installiert zu bekommen, 
da wegen "un verifizierter Datei" ich erst den versteckten "Ja, ich 
vertraue der Datei" Knopf finden musste. Rücksprache auf dem Discord des 
Spiels brachte auch, was ich mir schon dachte "Warum sollten wir 
Entwickler Interesse an so etwas haben".


Als der PC frisch aufgesetzt war, installierten sich allerdings 
ungefragt von selbst etliche "Apps". Ich schreibe gerade eine Email, da 
geht von selbst eine Meldung auf, dass sich "Instagram" Installiert 
hätte. Selbriges passierte über einen längeren Zeitraum mit allen 
"großen" Anbietern. Also Spotify, Facebook, Disney + usw. Ich wurde nie 
informiert, bzw. musste bestätigen, dass sich die Programme installieren 
sollen.


Die Mail ist jedoch neu, sie ist von "Heute Nacht 4:45" und die 
Emailadresse, die angegeben ist, ist eine sehr lange. Er schreibt ja 
auch, man könne das nicht zurück verfolgen.



Das ist also nun geändert, das Passwort... und ich muss jetzt nichts 
weiter machen? Er schrieb ja was von "Virus installiert", aber wenn das 
wirklich stimmt, wieso hat er dann die falsche Kombi (falsches Passwort 
für falsche Anwendung), und "attakkiert" keine relevanten Dinge wie Bank 
und so weiter.


Der Virenscanner W11 läuft durch, findet "nichts bedrohliches", aber 
auch hier schreibt der Hacker ja, er könne das überlisten.


Es kamen ja schon Erläuterungen aller "der Blufft nur". Ich hoffe, dem 
ist so.


Zu der Sache mit den Problemen psychischer Natur. Ja, ich habe so etwas 
wie einen Betreuer, aber das gehört, denke ich, nicht hier her mhh. 
Hätte es nicht diese Mail gegeben, hätte ich das hier auch gar nicht 
erwähnt.

Gruß: Stefan02

Womöglich hat er dein Steam-Passwort aus diesem Hack:

https://kotaku.com/steam-hacked-valve-investigating-possible-credit-card-5858473

Zu den automatischen Softwareinstallationen: Vielleicht hadt du 
irgendein Tool installiert dass dafür verantwortlich ist. Oft sind es 
die Programme der Geräte-Hersteller selbst, welche suggerieren sie 
würden den PC aktualisieren, säubern oder dem Support dienen.

Windiws 10 und 11 platzieren Werbung im Startmenü. Ein Eintrag dort muss 
nicht heißen, dass das Programm schon installiert ist. Die Werbung kann 
man deaktivieren.

Stefan K. schrieb:
> wenn das wirklich stimmt

...hätte er einen Screenshot aus dem angeblichen Video von Dir beim 
Erwachsenenmedien-Konsum mitgeschickt.

Das einzige, was an diesen massenhaft verschickten Mails i.d.R. stimmt, 
ist das zur Einschüchterung genannte Passwort, das aus einem Datenleck 
stammt. Aus welchem, kann Dir evtl. mein Link oben verraten.

Das melden von solchen Sachen bringt an sich nix, ausser dass man sich 
ne Menge Arbeit für nix macht. Ich kriegte eine Zeitlang nervige 
Werbeanrufe von irgend ner ausländsichen Nummer, da hab ich mir mal die 
Mühe gemacht. das tatsächlich zu melden. Das war ne Operation von 
wenigstens ner halben Stunde. Und rausgekommen ist gar nix, wenn irgend 
so ein Blödsinn ganz egal ob per Telefon oder Mehl ankommt, dann ganz 
einfach nicht anschauen, keine Links anklicken, keine Antwort geben, im 
Gegenteil lieber fragen.
Jetzt kommt ja auch langsam wieder die Zeit, wo solcher Blödsinn auch im 
Briefkasten liegt, dafür gilt dasselbe. Wenn irgendwas verwendbares 
drinsteckt benutzen, den Rest in die Rundablage.

Hallo,
bitte auch mal hier rein schauen:
https://haveibeenpwned.com/

Tam

Die Seite sagt beim eingeben der email


pwned in 3 data breaches and found no pastes (subscribe to search 
sensitive breaches)


Das email Passwort ist relativ lang und besteht aus allem, was so ein 
Passwort brauch, groß Kleinschreibung Zeichen, Zahlen. Das von Steam war 
... relativ kurz und bestand aus wenigen Buchstaben und 2 Zahlen.

Das Passwort, auf das der Hacker sich bezog ist das von Steam und 
nicht das von der email.

Gruß: Stefan02

Ein Passwort muss nicht "durcheinander" sein, sondern lang.
Denn: entweder wird es geklaut, dann ist Inhalt, Zusammensetzung und 
Länge des PW egal. Oder es wird via brute force ausprobiert, und dann 
braucht der Hacker länger, wenn es länger ist. Die Reihenfolge der 
Zeichen und "leetspeak" sind dem Computer egal, das macht es für 
Humanoide nur schwerer sich das zu merken.

Um einfach zu merkende lange Passworte zu generieren, nutze ich gerne 
"what three words".
Das ist eine Webseite, die jeden Punkt auf der Welt mit 3 Worten 
lokalisiert.
Da klickt man (s)einen Lieblingsplatz an und bekommt ein Passwort in der 
Art "///dann.auftraten.gerade".
Die drei doofen Striche macht man Weg, schreibt das eine oder andere 
Wort groß, und wenn der Admin dämlich war und auch noch Ziffern fordert, 
hängt man sein Geburtsjahr an.
Kann man sich leicht merken, kann man ohne Verwechslungsgefahr (0? O? I? 
l?) aufschreiben und lässt sich im Notfall auch telefonieren.

Sollte der Service so etwas zu lang finden, sollte man den Support 
anmeckern. "8 Zeichen, Groß, klein, Ziffern und Sonderzeichen, aber Groß 
nicht am Anfang und Ziffern nicht am Ende" sind sichere Passworte aus 
dem letzten Jahrtausend.
Und "regelmäßiges erzwungenes Wechseln" führt nur zu genervtem 
Aufschreiben, ebenfalls eigentlich das genaue Gegenteil von dem was man 
erreichen will.

Und du solltest über eine 2FA nachdenken, auch wenn man sich da gern mal 
ins Bein schießt.
Von Passkeys rate ich ab, ein tolles System, aber total von den wenigen 
Anbietern mit denen man es machen kann verhurt.
Ein Passwortmanager wie z.B. Keepass kann auch eine Lösung sein, wenn 
man überall die Möglichkeit hat ihn zu nutzen.

Jens M. schrieb:

> Und "regelmäßiges erzwungenes Wechseln" führt nur zu genervtem
> Aufschreiben, ebenfalls eigentlich das genaue Gegenteil von dem was man
> erreichen will.

Ganz genau so ist das.

Genau so eine 'Einkommens-Generator-Mail' habe ich auch schon 2-3 Mal 
bekommen - einfach gar nicht ignorieren. Denn das geile ist: an meinem 
Computer sind weder Mikrofon noch eine Kamera angeschlossen - wie will 
er also (angeblich) an Bild- und Tonmaterial gelangt sein? Alles klar?

Ob S. schrieb:
> Jens M. schrieb:
>
>> Und "regelmäßiges erzwungenes Wechseln" führt nur zu genervtem
>> Aufschreiben, ebenfalls eigentlich das genaue Gegenteil von dem was man
>> erreichen will.
>
> Ganz genau so ist das.

Nicht Aufschreiben ist unrealistisch, wenn man die Anzahl der Accounts, 
die man so hat, betrachtet.

Ob S. schrieb:
> Jens M. schrieb:
>
>> Und "regelmäßiges erzwungenes Wechseln" führt nur zu genervtem
>> Aufschreiben, ebenfalls eigentlich das genaue Gegenteil von dem was man
>> erreichen will.
>
> Ganz genau so ist das.

Sogar die Schnarchnasen vom BSI raten seit ein paar Jahren davon ab 
https://www.heise.de/news/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

Bis das allerdings zu den Security-Clowns durchgedrungen ist die 
Firmensysteme verwalten wird wahrscheinlich noch ein Jahrzehnt vergehen. 
Es ist immer wieder ein großer Spaß denen die BSI-Aussage unter die Nase 
zu reiben. Ändert zwar nichts, aber die Ausreden sind unterhaltsam.

Hannes J. schrieb:

> Sogar die Schnarchnasen vom BSI raten seit ein paar Jahren davon ab
> 
https://www.heise.de/news/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

Da steht der schön Satz: "Lediglich für den Fall, dass ein Passwort in 
fremde Hände geraten sein könnte, muss man sein Passwort gemäß 
BSI-Richtlinien noch ändern."

Bei vielen Diensten kann man aber schon mal präventiv davon ausgehen, 
daß Daten abgegriffen werden/worden sind. Die Anzahl haarsträubender 
Datenabflüsse der letzten Jahre ist beachtlich.

Stefan K. schrieb:
> Die Seite sagt beim eingeben der email
>
> pwned in 3 data breaches and found no pastes (subscribe to search
> sensitive breaches)

Stefan K. schrieb:
> Das Steam Passwort ist ur alt, ich habe es seitdem nicht geändert, seit
> 15+ Jahren.

Ich tippe darauf, dass Du dieses Passwort vor 15+ Jahren nicht nur bei 
Steam verwendet hast. Du hast das nur vergessen.
Irgendwo gab es ein Datenleck. Bei Steam und/oder anderswo. "pwned in 3 
data breaches"...
Und schon tauscht Dein Passwort zusammen mit Deiner E-Mail-Adresse im 
Darknet auf.

Das ist alles, was diese Leute brauchen: Die Verbindung zwischen einem 
Passwort und einer E-Mail-Adresse.
Und schon kann man das Passwort an die E-Mail-Adresse schicken und ein 
bisschen Buh-Buh machen. Eventuell trifft man auf jemanden, der 
tatsächlich eine pädophile Neigung oder sonst wie Dreck am Stecken hat 
und in Panik verfällt - Jackpot!
Woher, d.h. von welchem Account auf welcher Seite das Passwort stammt 
ist dabei dem kriminellen Darknet-Nutzer nicht einmal notwendigerweise 
bekannt. Ist ihm auch wurscht - Hauptsache es fließt Geld.


Ich habe solche Mails auch schon bekommen. Dummerweise bin ich ein total 
langweiliger Typ, weder kriminell noch drogensüchtig, kein Hang zur 
Pädophilie, Pornos finde ich abtörnend... ich wüsste also nicht, was man 
an meiner nicht-existierenden Kamera hätte beobachten wollen.

Also kein Grund zur Panik. Ruhig bleiben. Passwort ändern. Fertig.

Michael W. schrieb:
> wie will
> er also (angeblich) an Bild- und Tonmaterial gelangt sein?

Viele Männer entspannen auf dem Klo, mit dem Smartphone.
Da ist Selfiecam und Mikro schon da, gell?

Michael L. schrieb:
> Nicht Aufschreiben ist unrealistisch, wenn man die Anzahl der Accounts,
> die man so hat, betrachtet.

Mit einem entsprechenden System komme ich ohne aus. Im Zuge des 
digitalen Vermächtnisses macht Aufschreiben schon Sinn, aber eben 
"Zettel machen für die Nachkommen und denn dann sicher wegtun" und nicht 
"Am $Datum gewechselt auf %passwort" und der Zettel klebt am Bildschirm.

Np R. schrieb:
> Also kein Grund zur Panik. Ruhig bleiben. Passwort ändern. Fertig.

Du hast "Mail löschen und vergessen" vergessen.

Jens M. schrieb:
> Zettel klebt am Bildschirm.

Der gehoert ja auch unter die Tastatur geklebt und nicht dort. ;o)

Jens M. schrieb:
> Michael W. schrieb:
>> wie will
>> er also (angeblich) an Bild- und Tonmaterial gelangt sein?
>
> Viele Männer entspannen auf dem Klo, mit dem Smartphone.
> Da ist Selfiecam und Mikro schon da, gell?
>
Das mag für den Einen oder Anderen zutreffen - nicht jedoch für mich. 
Ich bin zu alt für so 'n Scheiß und gehe generell ohne mein Smartphone 
zur Toilette und wüßte auch nicht, warum ich es dorthin mitnehmen 
sollte...

Michael W. schrieb:
> ohne mein Smartphone
> zur Toilette

Ich nehme es nicht einmal mit zum Training rein.
FB (mehr hatte ich nicht) habe ich auch nicht mehr. Schön ein 
Mobiltelefon zu haben, aber nur noch zu meinen Bedingungen.

Np R. schrieb:
> Eventuell trifft man auf jemanden, der tatsächlich eine pädophile
> Neigung oder sonst wie Dreck am Stecken hat und in Panik verfällt -
> Jackpot!

Verdammt, ich Idiot hab jedesmal gezahlt!

Manchmal installiert man Programme mit ad-ware, da muß man bei der 
installation höllisch aufpassen, daß nur das installiert wird was man 
will. ich habe nach so einem Fall die Festplatte formatiert und Windows 
neu installiert. ich habe auch schon E-mails von scheinbar meiner 
eigenen E-mail-addresse geschickt bekommen, die mir auf russisch eine 
schöne Massage offeriert hat, ich weiß nicht wie es sein kann.

Es besteht der begründete Verdacht einen Keylogger mit installiert zu 
haben.

Carypt C. schrieb:
> ich habe auch schon E-mails von scheinbar meiner
> eigenen E-mail-addresse geschickt bekommen, die mir auf russisch eine
> schöne Massage offeriert hat, ich weiß nicht wie es sein kann.

Mail-Absender lassen sich problemlos fälschen.

Michael W. schrieb:
> Ich bin zu alt für so 'n Scheiß und gehe generell ohne mein Smartphone
> zur Toilette

Offensichtlich nicht die Zielgruppe der "ich hab dich beim wi***en 
gefilmt"-Spammer... ;)

Michael W. schrieb:
> und wüßte auch nicht, warum ich es dorthin mitnehmen sollte...

Um Toilettenpapier per Express-Hilferuf zu bestellen, weil es schon 
wieder alle ist, und weil Du keinen Toilettenpapierabroller mit IoT 
hast. ;o)

Hmmm schrieb:
> Mail-Absender lassen sich problemlos fälschen.

Ja, aber einige Provider verhindern das per RFC 7208 - SPF 
https://datatracker.ietf.org/doc/html/rfc7208

Was dann dazu führt, dass sich die Kriminellen Provider suchen die es 
nicht machen. Die werden dann über Bot-Netze eingebunden und weiter 
gehen die kriminellen Aktivitäten.

Trotzdem kann es die eigene Spam-Last vermindern oder das Aussortieren 
erleichtern wenn man sich einen Provider mit SPF sucht.

Hannes J. schrieb:
> Ja, aber einige Provider verhindern das per RFC 7208

Das hat aber nichts mit dem From-Header zu tun, den der Mail-Client 
anzeigt.

Hannes J. schrieb:
> Was dann dazu führt, dass sich die Kriminellen Provider suchen die es
> nicht machen.

Ob der Provider des Empfängers SPF verlangt, können sie nicht 
beeinflussen, und solange sie mit ihrer eigenen Domain spammen, können 
sie nach Lust und Laune SPF-Einträge setzen.

SPF reduziert in erster Linie Backscatter, weil Bounces an die 
Envelope-From-Adresse gehen.

Jens M. schrieb:
> Michael L. schrieb:
>> Nicht Aufschreiben ist unrealistisch, wenn man die Anzahl der Accounts,
>> die man so hat, betrachtet.
>
> Mit einem entsprechenden System komme ich ohne aus. Im Zuge des
> digitalen Vermächtnisses macht Aufschreiben schon Sinn, aber eben
> "Zettel machen für die Nachkommen und denn dann sicher wegtun" und nicht
> "Am $Datum gewechselt auf %passwort" und der Zettel klebt am Bildschirm.

Es gibt einen Vorschlag zum Aufschreiben vom BSI. Ob der so der 
schlauste Vorschlag ist ... Ich finde eher nicht:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/studie-accountschutz-passwort-merkblatt.pdf?__blob=publicationFile&v=4

Jedenfalls sieht es nach ordentlicher deutscher Buchführung aus. Die 
Schwachstelle ist offensichtlich. Muss man selber wissen ob das eine 
gute Idee ist.

Für die anständige Buchführung kann man lustige Notizbücher vom Chinesen 
verwenden :)

https://de.aliexpress.com/item/1005007002804992.html
https://de.aliexpress.com/item/1005007322376314.html
https://de.aliexpress.com/item/1005005852422294.html

Ich muss gestehen ich war mal versucht damit einen Security-Clown zu 
ärgern. Mit Fake-Passwörtern füllen, sichtbar für den Security-Clown 
liegen lassen und warten dass er explodiert. Ich habe es dann doch 
gelassen. Die Firmenregeln sagten man darf keine Passwörter 
aufschreiben. Da stand nicht das die Passwörter gültig sein müssen.

Jens M. schrieb:
> Viele Männer entspannen auf dem Klo, mit dem Smartphone.

Ja, die sitzen dann auch beim romantischen Candle-Light-Dinner mit dem 
Smartphone in der Hand, verteilen die Fäkalbakterien vom Pott auf dem 
ganzen Tisch und würdigen die Partnerin keines Blickes.

Meinetwegen dürfen die sich dann auch in die Hose machen, wenn sie so 
eine Mail bekommen.

Hmmm schrieb:
> Hannes J. schrieb:
>> Ja, aber einige Provider verhindern das per RFC 7208
>
> Das hat aber nichts mit dem From-Header zu tun, den der Mail-Client
> anzeigt.

Das kann man mit DMARC handhaben, Stichwort DMARC Alignment.

Hannes J. schrieb:
> Für die anständige Buchführung kann man lustige Notizbücher vom Chinesen
> verwenden :)

Ist das bei denen nicht sogar Pflicht?

Alexander schrieb:
> Hannes J. schrieb:
>> Für die anständige Buchführung kann man lustige Notizbücher vom Chinesen
>> verwenden :)
>
> Ist das bei denen nicht sogar Pflicht?

Da fragst du mich zu viel. Ich fand es nur bemerkenswert das es 
offensichtlich einen Markt für Passwort-Notizbücher gibt. Passwörter 
aufschreiben muss weit verbreitet sein, obwohl die Standardaussage immer 
ist keine aufzuschreiben.

Hannes J. schrieb:
> Passwörter
> aufschreiben muss weit verbreitet sein, obwohl die Standardaussage immer
> ist keine aufzuschreiben.

Nur unter denen, die sich "mit sowas" auskennen.
Nicht-IT-Affine Leute, die nicht mit dem Internet und damit der 
Erfordernis sich bei jedem Krempel ein "Konto" zuzulegen groß geworden 
sind, bekommen das ohne nicht hin.
Ich hab genug mit Personen >40 Jahren zu tun, die nix mit sowas am Hut 
haben, aber 500 Apps auf dem Smartphone (kein Laptop, PC, Tablet), und 
für "alles" braucht man einen Account mit Passwort. Ausnahmslos alle 
haben ein Buch, oder eine Zettelchensammlung.

Hannes J. schrieb:
> Passwörter aufschreiben muss weit verbreitet sein,
> obwohl die Standardaussage immer ist keine aufzuschreiben.

Finde ich gar nicht so sehr falsch, denn bei dieser Methode ist das 
Risiko offensichtlich und ich kann damit vernünftig umgehen. Zudem ist 
mein Notizbuch (wenn ich eins hätte) offline. Wer da heran kommen will, 
muss her kommen. Das ist für die allermeisten Menschen auf dieser Welt 
schon eine riesige Hürde.

Andere Methoden der Speicherung, durchblicke ich teilweise nicht, so 
dass ich deren Risiken nicht vernünftig handhaben kann. Ich speichere 
meine Passwörter lokal in einer verschlüsselten Datei, die wiederum ein 
auswendig gelerntes Master-Passwort hat. Ist auch nicht optimal, das ist 
mir bewusst. Ich kenne die Schwachpunkte.

Ganz schlecht sind Internet Dienste von weit entfernten Firmen an 
unerreichbaren Orten, die ich niemals für irgend eine Sch**** belangen 
kann. Dazu lese ich alle paar Wochen in den Medien, dass sogar Firmen 
die sich auf Sicherheit spezialisiert haben, große Mengen ihrer 
Kundendaten verlieren.

Die sind ja nicht verloren, die sind nur zusätzlich noch woanders... ;)

Das ist wie bei dir: wenn einer deine Excelliste hat und das PW knackt, 
hat er alle deine Accounts.
Das ist auch die Crux an Passkeys: entweder gibt es sie nur auf einem 
Stück Hardware, fällt das runter bin ich überall raus.
Oder man kann es replizieren, dann ist jeder überall drin.

Jens M. schrieb:
> Hannes J. schrieb:
>> Passwörter
>> aufschreiben muss weit verbreitet sein, obwohl die Standardaussage immer
>> ist keine aufzuschreiben.
>
> Nur unter denen, die sich "mit sowas" auskennen.

Vor allem Forenbesserwisser kennen sich mit allem aus.

Jens M. schrieb:
> Ich hab genug mit Personen >40 Jahren zu tun, die nix mit sowas am Hut
> haben, aber 500 Apps auf dem Smartphone (kein Laptop, PC, Tablet), und
> für "alles" braucht man einen Account mit Passwort. Ausnahmslos alle
> haben ein Buch, oder eine Zettelchensammlung.

Ich dachte bisher, die haben für alles dasselbe Passwort und/oder 
klicken einfach auf "Einloggen mit Google", "Einloggen mit Facebook" o. 
Ä., weil alles andere nicht bequem und schnell genug ist.

Aufgrund der verschiedenen Passwortregeln und teilweise erzwungener 
Wechsel klappt das nicht immer, aber ja, oft sehe ich sehr ähnliche 
Passworte oder mehrere Accounts auf einer Seite mit nur einem PW.
Das Google/Facebook-Einloggen gibts ja noch nicht so lange, das hat sich 
noch nicht 100% durchgesetzt, aber ja, auch das wird immer mehr.
Wobei sich manche dann auch fragen ob G oder F dann nicht auch "ohne 
mich" an das Konto können und es lieber bewusst ignorieren.

Ich habe zum Beispiel Norton, die checken bis zu x emails regelmäßig in 
Listen sowie im darkweb.

Im Normalfall Wechsel ich Passwörter bei oAuth Diensten wie Google, 
GitHub so oft ich kann, ich mache es mir aber Recht leicht.. meistens 
verändere ich nur die hälfte des PWs und ergänze dieses mit einem kürzel 
zum Dienst  "mc.net" dazu kommt in die Mitte eine Zahlenkombi zum 
Beispiel die ersten Stellen des vom Router vorkonfigurierten Wlan 
Passwortes.

Bin auch kein Fan von Passwort Diensten.. das ist ja fast wie "Sudo" :D

Meine Freundin hegt und pflegt alles total unterschiedlich willkürlich 
vergeben in einem Notizbuch.

Ich habe hier ein sicheres Passwort gefunden, das kannst Du benutzen.

https://www.ip-phone-forum.de/threads/angriffe-auf-die-fritzbox.318908/post-2556888

Alexander schrieb:
> Ich habe hier ein sicheres Passwort gefunden, das kannst Du benutzen.

Und dann passiert dir so was ...

Der rudert aber nicht, der paddelt.

Ben B. schrieb:
> Der rudert aber nicht, der paddelt.

Auch nicht.
Im Bild macht er Pause.

Jens M. schrieb:
> Wobei sich manche dann auch fragen ob G oder F dann nicht auch "ohne
> mich" an das Konto können und es lieber bewusst ignorieren.

Ganz problemlos ist es nicht. Google, Facebook etc. könnten natürlich an 
die Konten. Sie erhalten auch Informationen wo und wann du dich 
anmeldest und können so ihr Profil über dich verbessern.

Bei Facebook ist vor Jahren mal aufgefallen dass nicht nur Facebook dich 
trackt sondern auch Dritt über das "Login mit Facebook" API 
https://freedom-to-tinker.com/2018/04/18/no-boundaries-for-facebook-data-third-party-trackers-abuse-facebook-login/ 
Daten abgeschnorchelt haben.

Das zusätzlich zu den Daten die offiziell an die Webseite geliefert 
werden bei der du dich einloggst. Das sind üblicherweise Dinge wie Name, 
E-Mail Adresse, Profilbild usw. Je nachdem welchen Deal die Seite mit 
dem Anbieter hat auch einiges mehr.

Selbst wenn du alles was auszustellen geht, bei Facebook abstellst und 
dann, nach einer gewissen Zeit, deine gespeicherten Daten runter lädst, 
wirst du noch genug finden, was ein umfangreiches Bild von dir 
darstellt.

Jens M. schrieb:
> Zusammensetzung und
> Länge des PW egal

Sorry da muss ich Deinen Beitrag abwerten, denn das ist, mit Verlaub, 
Unsinn.

Passwörter werden über Wörterbuchangriffe geknackt, und nicht per Brute 
Force (weil das viel zu lange dauern würde). Deshalb sind randomsierte 
Passwörter vor Wörterbuchangriffen sicher, und "password" unsicher, 
obwohl "drowssap" mit reinem Brute Force schon 3 Tage dauern würde, 
dieses zu knacken.

Wer randomisierte Zeichen verwendet, verhindert Wörterbuchangriffe 
effektiv.

Stefan K. schrieb:
> ist für mich nur schwer
> machbar, und kann tlw. mehr als 1 Stunde (!) dauern, da ich in einen
> Kreislauf rein komme, bis es "vielleicht" okay ist.

Dann verwende einen Passwortmanager.

Von der Email brauchst Du allerdings nicht viel zu halten. Die haben Dir 
das Passwort in der Email geschickt, dass sie beim Hack erbeutet haben, 
und spekulieren darauf, dass Du das gleiche PW überall hast. So, wie 
viel zu viele andere Menschen es aus Dummheit machen.

"Die" haben also weder einen Trojaner auf Deinem PC, noch sonst 
irgendwas, sonst wäre längst eine Ransomware bei Dir aktiv geworden. Sie 
haben, außer deinem Steam? Passwort und Deiner Email, gar nichts.

Roland schrieb:
> jeder starrt
> aufs Handy, keiner redet miteinander....

Hatte ich neulich im Restaurant auch. Nur da schauten die Kinder auf 
voller Lautstärke irgendwelche Serien an. Das halbe Lokal durfte 
mithören.

Ekelhaftes Verhalten.

Martin S. schrieb:
> Passwörter werden über Wörterbuchangriffe geknackt, und nicht per Brute
> Force (weil das viel zu lange dauern würde).

Das ist so pauschal nicht richtig, hängt immer davon ab, wie die 
Passwörter abgelegt sind, also Hash-Funktion und Salt.

Bei LinkedIn soll es damals SHA1 ohne Salt gewesen sein, die wurden 
definitiv (auch) per Brute Force geknackt, sonst wäre meines nicht dabei 
gewesen.

Vernünftige (zufällige) Passwörter sollte man natürlich trotzdem 
verwenden, und zwar immer eines pro Dienst.

Martin S. schrieb:
> Passwörter werden über Wörterbuchangriffe geknackt, und nicht per Brute
> Force (weil das viel zu lange dauern würde).

Bei Login-Passwörtern funktioniert Brute force heutzutage ohnehin nicht, 
weil es Sperren bei zu vielen Versuchen gibt.

> Deshalb sind randomsierte Passwörter vor Wörterbuchangriffen sicher

So ist es.

> verwende einen Passwortmanager.

Put all your eggs in one basket?

Alternative?

Rolf schrieb:
>> verwende einen Passwortmanager.
>
> Put all your eggs in one basket?

Das einzige Risiko ist, dass der Zufallsgenerator korumpierbar ist. 
Schon geschehen, wird dann halt gepatcht. Bringt trotzdem nichts.

Wenn das Passwort stimmt, dann ist kann es in einer Datenbank stehen 
(Login/Passwörter Kombinationen kann man kaufen).
Wenn du jetzt ein Passwort für viele Accounts benutzt hast, kann es von 
einem anderen Account kommen, wie z.B. einem Forenlogin.
Wenn es ein exklusives für dein Email-Konto ist, hast du ziemlich sicher 
ein Problem auf deinem Rechner.
Du musst also auf alle Fälle dringendst herausfinden, wo das herkommen 
kann, und alle Passwörter ändern.

Ein Anfang kann sein:
https://haveibeenpwned.com/

PS:
Die ganze Drohung ist aber zielich lächerlich, und ich wüsste nicht, 
warum man DESWEGEN zahlen sollte. Außer man ist Mönch oder Pfarrer oder 
so. Das wird so eine Nummer aus aus den verklemmten Staaten von Amerika 
sein, da klappt das vielleicht, aber wir sind hier in Mitteleuropa.
Selstamer Geschmack bei Fleischfilmchen und "Hand anlegen" sind 
schließlich nicht verboten...

Das kommt nicht aus den Vereinigten Staaten. Der Schmarrn ist immerhin 
in ziemlich gutem Deutsch geschrieben und der Stil der Drohung ist auch 
eher deutsch. Derartige Drohungen aus dem Ausland beinhalten eher sowas 
wie daß auf dem eigenen Computer irgendwelches verbotenes Zeug liegt und 
dieses den Behörden übergeben wird wenn man nicht zahlt, woraufhin man 
sofort für viele Jahre eingeknastet werden würde. Den Deutschen dagegen 
ist ihr öffentliches Bild und Ansehen im hier bedrohten sozialen Umfeld 
ausgesprochen wichtig.

ArnoNym schrieb:
> Ein Anfang kann sein:
> https://haveibeenpwned.com/

Ja wie oft denn jetzt noch...

Thomas W. schrieb:
> ArnoNym schrieb:
>> Ein Anfang kann sein:
>> https://haveibeenpwned.com/
>
> Ja wie oft denn jetzt noch...

Zudem auch irgendwie nicht zielführend. Wenn nix drin steht, heißt das 
ja nicht, daß der Account nicht kompromittiert sein könnte. Wenn ne 
Warnung kommt, heißt das aber auch nix. IMHO bekommt man dort ja auch 
nicht die Kombi Maildresse/Username und Paßwort, so daß man den Eintrag 
verifizieren könnte.

Ich generiere Mailadressen, die nur für wenige Kontakte verwendet werden 
und dann verfallen. Z.B. für Firmen, Foren, Mailinglisten usw., mit 
denen ich voraussichtlich nur einmal Kontakt habe. Davon sind vorgeblich 
einige inkl. einem Paßwort in den Listen. Sucht man aber nach dem 
Paßwort, findet man nix. D.h., da steht also ein falsches Paßwort bei 
der Adresse. Möglicherweise verkauft sich eine Adressenliste ja besser, 
wenn ein Pa0wort dabei steht.

Martin S. schrieb:
> Passwörter werden über Wörterbuchangriffe geknackt, und nicht per Brute
> Force (weil das viel zu lange dauern würde).

Wie verhält sich das wenn ich "password1password-password" benutze? 
Wörterbuch, nein Danke. Bruteforce erst recht nicht. Anwender 1: 
Angreifer 0.
Der Witz ist das die Sicherheit vor dem Erraten steigt, je weniger 
Regeln der Dienst hat.
Mein PW könnte 12345 sein, oder auch die ersten 134 Stellen von Pi, oder 
die ersten 4 Zeilen Text aus Vom Winde verweht. Da der Hacker das nicht 
weiß, muss er testen, und da gewinnt die Länge, denn ob der Brutforcer 
a-Z testet oder Aachen bis Zytotoxizität macht schon einen Unterschied.
Du hast die falsche Annahme, das der Hacker schon weiß wie dein PW 
aussieht!

Martin S. schrieb:
> Deshalb sind randomsierte
> Passwörter vor Wörterbuchangriffen sicher, und "password" unsicher,
> obwohl "drowssap" mit reinem Brute Force schon 3 Tage dauern würde,
> dieses zu knacken

Woher du die Berechnung wohl hast. 10-Buchstabige PWs habe ich schon vor 
Jahren über Nacht geknackt, und ich habe keinen speziell hochwertigen PC 
dazu benutzt. Stumpf mit Durchprobieren, war ein Archiv.
Das sicherste Passwort ist ********, da wundert sich der Häcker immer, 
warum er es nicht sehen kann! ;)

Und randomisierte PW sind halt scheiße zu merken, daher vom Menschen oft 
kurz gewählt (doof), aufgeschrieben (auch doof) oder aus einem 
PW-Manager (mitteldoof). Leetspeak hält einen "Prüfer" nicht auf, die 
üblichen Verdächtigen 5=S, l=1 und 0=O testet der umgehend mit, egal ob 
randomisiert oder Wörterbuch. Rückwärts kann man auch aktivieren, jemand 
der es echt drauf anlegt macht den Haken an und gut.
Lange sichere PW a la correct horse battery staple sind einfach zu 
merken (ich wette das es hier viele erkennen, für die die's nicht tun: 
https://xkcd.com/936/) dauern auch mit Wörterbuchangriff "ewig". Wie 
gesagt erst recht, wenn man noch ein zwei Ziffern und Sonderzeichen 
ergänzt.

Wenn dir der Dienst natürlich einen Strich auf der Abrechnung serviert 
und reale PW speichert (OMFG), schlecht/ungewürzt hasht oder doofe 
Richtlinien hat ("exakt 8 Zeichen, je >1 Groß Klein Ziffern 
Sonderzeichen, aber Z und S nicht am Anfang oder Ende, min. 1 Groß in 
der Mitte, alle 3 Monate wechseln, dabei die letzten 10 PW nicht 
benutzbar, auch nicht mit Leet-Ersetzungen oder Rückwärts", und ja, ich 
hatte mit Webdiensten zu tun die solche Regeln hatten und damit ein 
Kostenverursachendes Buchungssystem abgesichert haben), dann ist es egal 
wie geil dein PW ist.
Die Regel mit der Länge passt und funktioniert natürlich nur, wenn dich 
der Dienst ein solches PW auch nutzen lässt.
Und ja, heutzutage gibt es überall Brute-Force-Beschränkungen, dennoch 
tauchen immer wieder User/Pass-Datenbanken auf.... Wie das wohl geht?

Jens M. schrieb:
> 10-Buchstabige PWs habe ich schon vor
> Jahren über Nacht geknackt, und ich habe keinen speziell hochwertigen PC
> dazu benutzt. Stumpf mit Durchprobieren, war ein Archiv.

Wie hast du das gemacht?

Ich hatte auch mal ein paßwortgeschütztes Archiv und keinerlei Hinweise 
auf PW und -Länge.

Ich habe ein "Ausprobierprogramm" drüberlaufen lassen, aber dann nach 
einer Woche aufgegeben...

Das ist 15 Jahre her....
Da gab's so ein Paket, wenn man das installiert hat hatte man hundert 
Programme im Startmenü, Crack *** Password oder so, wobei *** alles war. 
Excel, Word, PDF, RAR, ZIP, und noch hundert andere dinge.
Entsprechendes Programm starten, Datei aussuchen, eine hand voll Haken 
setzen (a-z, A-Z, 0-9, Enter special characters to use: -_+!/(), save 
progress), Start scan anklicken und warten.
Da wollte jemand eine CD voller schräger Nullenergiescheise verkaufen, 
du bekommst die CD umsonst, jedes Projekt hat ein Teaserbild und ein 
Archiv mit PW. Jedes Projekt kostet dann.
Waren 10 Zeichen Kleinbuchstaben. Lief eine Nacht auf einem Intel Core 
mit einer nVidia passivkarte, kann also nicht besonders geil gewesen 
sein.

Ich habe allerdings auch ein ACE-Archiv, das leider nicht mehr 
unterstützt wird, ebenso kein Hinweis mehr, ich depp hab's selber 
gemacht (ACE war geiler als Zip und RAR) und vergessen, auf irgendeinem 
Backupdings nach Jahren wiedergefunden.
Da hab ich auch schon mal 3 Monate laufen lassen, no result.
Hängt also auch vom Problem ab ob es geht.

Gegen Bruteforce-Angriffe hilft eine ausreichend lange Zeichenkette und 
natürlich volle Zeichenvielfalt (also nicht nur Kleinbuchstaben), dann 
ist das Problem nicht in endlicher Zeit lösbar. Deswegen beschränken 
sich viele "Hacker" auf Wörterbuchangriffe. Diese sind zumindest in 
endlicher Zeit durchführbar, bringen aber nur dann ein Ergebnis, wenn 
das Passwort im abgedeckten Zeichenschema liegt. Bruteforce-Angriffe 
haben den "Vorteil", daß sie insofern man die Zeit außer Acht lässt, auf 
jeden Fall das Passwort finden.

Ben B. schrieb:
> ausreichend lange Zeichenkette und
> natürlich volle Zeichenvielfalt (also nicht nur Kleinbuchstaben)

Es ist im Prinzip egal, ob nur Kleinbuchstaben oder der gesamte Unicode. 
Es muss nur im jeweiligen Charset lang genug sein, ausreichend viele 
Kombinationen ermöglichen.

Tippe mal Passwörter mit aller Vielfalt auf der Bildschirmtastatur eines 
Handys ein. Da nimmst du lieber die doppelte Länge in Kleinbuchstaben.

Jens M. schrieb:
> Martin S. schrieb:
>> Passwörter werden über Wörterbuchangriffe geknackt, und nicht per Brute
>> Force (weil das viel zu lange dauern würde).
>
> Wie verhält sich das wenn ich "password1password-password" benutze?

Wenn Du Glück hast, hast Du Glück, wenn Du Pech hast, hast Du Pech. So 
einfach ist das.

> Dictionary attacks work because many computer users and businesses insist
> on using ordinary words as passwords. Modern dictionary attacks use a
> wordlist as a base then try combinations of words and permutations with
> common substitutions, such as replacing an "e" with a "3." These tools
> can even find unique passwords if they are simple enough.

Das Geheimnis ist, dass Menschen neben erratbaren 
Kennwörter-Zahlen-Kombinationen allzuoft die gleichen Idee haben. 
Natürlich enthalten Wörterbücher eine Liste der bekannten Passwörter. Es 
wäre ja auch witzlos, das links liegen zu lassen.

> Der Witz ist das die Sicherheit vor dem Erraten steigt, je weniger
> Regeln der Dienst hat.

Nein, ganz sicher nicht. Es gilt den Sweet-Spot zu treffen aus 
geforderter Komplexität und so wenig Einschränkungen, dass die 
Kennwörter nicht durch die Regeln erratbarer werden.

> Mein PW könnte 12345 sein, oder auch die ersten 134 Stellen von Pi, oder
> die ersten 4 Zeilen Text aus Vom Winde verweht. Da der Hacker das nicht
> weiß, muss er testen, und da gewinnt die Länge, denn ob der Brutforcer
> a-Z testet oder Aachen bis Zytotoxizität macht schon einen Unterschied.
> Du hast die falsche Annahme, das der Hacker schon weiß wie dein PW
> aussieht!

Nochmal: Bruteforce kostet Zeit, denn es testet enorm viele unsinnige 
Kombinationen. Wörterbuchangriffe testen auf bekannte Passwörter und 
Muster, die sich häufig finden lassen. Natürlich wird man damit nicht 
jedes Kennwort erraten können, aber wenn die Welt aus 7.999.999.999 
Idioten besteht (natürlich alle, außer einem selbst), dann wird es mehr 
als genug Menschen geben, die vorhersagbare Kennwörter nutzen. Und genau 
die nimmt man aus.

Wir reden hier nicht von der Anforderung, dass ein Geheimdienst oder 
Organisation genau einen expliziten Zugang hacken will. Dafür nutzen sie 
andere Methoden, wie Zero-days oder angreifbare Verschlüsselung.

Du darfst hier also die Zielgruppe nicht vermischen.

> Martin S. schrieb:
>> Deshalb sind randomsierte
>> Passwörter vor Wörterbuchangriffen sicher, und "password" unsicher,
>> obwohl "drowssap" mit reinem Brute Force schon 3 Tage dauern würde,
>> dieses zu knacken
>
> Woher du die Berechnung wohl hast. 10-Buchstabige PWs habe ich schon vor
> Jahren über Nacht geknackt, und ich habe keinen speziell hochwertigen PC
> dazu benutzt. Stumpf mit Durchprobieren, war ein Archiv.

https://www.passwordmonster.com/

Ist natürlich nur eine Spielerei, aber sie soll ja nur Relationen 
verdeutlichen.

Faktisch hat man bei so ziemlich allen Anbietern eine Eingabesperre und 
kann damit gar nicht raten. Interessant ist Bruteforcing - wie in Deinem 
Beispiel - ja nur, wenn man unbegrenzt viele Möglichkeiten hat oder das 
Hashing-Verfahren kennt, soweit es denn angreifbar ist.

> Und randomisierte PW sind halt scheiße zu merken, daher vom Menschen oft
> (...)
> gesagt erst recht, wenn man noch ein zwei Ziffern und Sonderzeichen
> ergänzt.

Das BSI gibt Tipps für die sichere Passwortvergabe.

> Und ja, heutzutage gibt es überall Brute-Force-Beschränkungen, dennoch
> tauchen immer wieder User/Pass-Datenbanken auf.... Wie das wohl geht?

Ganz einfach: Unsichere Systeme.

Hashes zu klauen macht fast überhaupt keinen Sinn. Außer man ist die CIA 
oder der Mossad und hat genug Rechenpower im Hintergrund, um die 
Passwörter zu Bruteforcen.

Ich melde mich nur kurz rein, weil so viele schreiben.

Ich habe auch noch das e mail Passwort geändert, war schlimm mit den 
"...Gedanken", es gab nach Ablauf der Frist des Hackers keine Änderungen 
oder neue Mails.

Martin S. schrieb:
> Das BSI

Wird oft auch als eher naive Behörde hingestellt, die hauptsächlich 
Compliance macht.

Martin S. schrieb:
> Hashes zu klauen macht fast überhaupt keinen Sinn.

War da nicht was mit Rainbow Tables? Mag aber sein, das ich da noch 
Infos von vor der Salt-Empfehlung habe...

Ach ja, falls man key-logger getrackt würde, kann man durch 
Fehleingaben, Wiederlöschen, andere Tasteneingaben in anderen Programmen 
(Editor) im Wechsel zwar das Passwort eingeben, aber eben nicht in einem 
lesbaren Stück. So ich las

> Tippe mal Passwörter mit aller Vielfalt auf der Bildschirmtastatur
> eines Handys ein. Da nimmst du lieber die doppelte Länge in
> Kleinbuchstaben.
Gut, mag sein - aber nun wissen wir alle selbst, wie viele Leute 
tatsächlich überall Kennwörter mit 20..30 Stellen benutzen...

Rainbow Tables werden durch Salts ziemlich nutzlos.

Martin S. schrieb:
> Das Geheimnis ist, dass Menschen neben erratbaren
> Kennwörter-Zahlen-Kombinationen allzuoft die gleichen Idee haben.

Ich frage mich immer, was "erratbar" ist?
Ich hätte z.B. überhaupt keine Idee, was meine Kollegen als PWs 
verwenden könnten...
Vorname/Nachname wird keiner verwenden (das wären immerhin schon >10 
offensichtliche PW-Möglichkeiten zum Ausprobieren) und schon das 
Geburtsdatum weiß ich nicht und ist schwer rauszufinden.

Als meine Bankkarte noch neu war, und ich mir die Pin noch nicht merken 
konnte, habe ich eine Zahl auf die Karte geschrieben. Zu dieser Zahl 
mußte ich meine Telefonnummer addieren und das war dann die Pin.

Wie groß ist die Warhscheinlichkeit, daß hier jemand die Pin errät?

Ben B. schrieb:
> aber nun wissen wir alle selbst, wie viele Leute
> tatsächlich überall Kennwörter mit 20..30 Stellen benutzen...

Und wenn, dann sind es Kennwörter wie "passwort.passwort.passwort".

Jens M. schrieb:
> Martin S. schrieb:
>> Das BSI
>
> Wird oft auch als eher naive Behörde hingestellt, die hauptsächlich
> Compliance macht.

Naja die Basics kann man schon ernst nehmen.

> Martin S. schrieb:
>> Hashes zu klauen macht fast überhaupt keinen Sinn.
>
> War da nicht was mit Rainbow Tables? Mag aber sein, das ich da noch
> Infos von vor der Salt-Empfehlung habe...

Rainbow Tables bringen nur etwas bei einfachem Hash ohne Salt (wie MD5, 
wobei das aus anderen Gründen unsicher ist). MD5 crypt hasht iterativ 
und jeder Hash hat einen eigenen Salt. Das macht Rainbow Tables 
unwirtschaftlich. Neue Verfahren nutzen Salt und Pepper, und kombinieren 
das Passwort mit einem geheimen, sicheren Standardpasswort, sodass an 
die Hash-Funktion niemals unsichere, kurze Passwörter übergeben werden. 
Damit ist auch Brute Forcing sinnlos, selbst wenn man den Hash kennt.

Ben B. schrieb:
> Der Schmarrn ist immerhin in ziemlich gutem Deutsch geschrieben und der
> Stil der Drohung ist auch eher deutsch.

Mit Sicherheit nicht. Hier eine ältere Version davon. Mit KI sind 
Übersetzungen in jede Sprache möglich.

https://www.heise.de/news/Vorsicht-vor-neuen-Por​no-Erpresser-Mails-4190719.html

Peter N. schrieb:
> Martin S. schrieb:
>> Das Geheimnis ist, dass Menschen neben erratbaren
>> Kennwörter-Zahlen-Kombinationen allzuoft die gleichen Idee haben.
>
> Ich frage mich immer, was "erratbar" ist?

Im Darknet sind Milliarden von Zugangsdaten mit Milliarden von 
Klartext-Passwörtern vorhanden, die aus irgendwelchen ungesicherten 
Datenbanken stammen. Damit hat man schonmal eine beachtliche Datenbasis, 
um daraus Passwortcracker zu bauen.

> Ich hätte z.B. überhaupt keine Idee, was meine Kollegen als PWs
> verwenden könnten...

Deshalb nutzt man auch keine Wörterbuchangriffe, sondern social 
engineering, um den Kollegen dazu zu bringen, keinvirus.pdf.exe zu 
öffnen. Dann nutzt man irgendwelche privilege escalation bugs aus, damit 
sich keinvirus.pdf.exe Adminrechte schnappt und dann einen 
Trojaner/Keylogger/Wasauchimmer auf dem Rechner einnisten kann. Und dann 
hat man auch das Passwort - ganz ohne Jahrhunderte erfolglosen 
Bruteforce-Versuchen.

Da Firmen oft einheitliche, schwachsinnige Passwortrichtlinien haben, 
nutzen viele Mitarbeiter mehr oder minder die gleichen "Hacks" um ihre 
Passwörter zu generieren. Muss ein Passwort beispielsweise vier Ziffern 
enthalten, und darf mit den letzen x nicht übereinstimmen, werden früher 
oder später alle Mitarbeiter bei sowas herauskommen, wie "Motorrad1234" 
oder "Aufzug1111".

Aber, wie schon oben geschrieben: Man muss die Aufgabenstellung 
differenzieren. Beim Angriff, den der TO erlebt hat, geht es nur darum, 
in Massen Leute anzuschreiben, um per Zufall ein paar Dumme zu finden.

> Vorname/Nachname wird keiner verwenden (das wären immerhin schon >10
> offensichtliche PW-Möglichkeiten zum Ausprobieren) und schon das
> Geburtsdatum weiß ich nicht und ist schwer rauszufinden.

Vorname, Name der Mutter, des Vaters, Nachname... das wird massenhaft 
genutzt.

Und wenn Du für das Bruteforcen eines Passwortes ein paar Picosekunden 
brauchst, dann hast Du sämtliche, erdenkliche Optionen in wenigen 
Sekunden durch.

> Als meine Bankkarte noch neu war, und ich mir die Pin noch nicht merken
> konnte, habe ich eine Zahl auf die Karte geschrieben. Zu dieser Zahl
> mußte ich meine Telefonnummer addieren und das war dann die Pin.
>
> Wie groß ist die Warhscheinlichkeit, daß hier jemand die Pin errät?

Jemand, der Deinen Geldbeutel klaut, wird die Pin probieren, die 
aufgeschrieben steht, und dann aufgeben, weil er nur drei Versuche hat. 
Auch hier wieder: Differenziere zwischen Zufallstreffer und gezieltem 
Angriff.

Bruteforce etc. kann man schon ziemlich das Wasser abgraben, wenn 
schlicht etwas Zeit vergeht, bevor Falsch/Richtig ausgegeben wird.

Beim Login eines Berechtigten spielen bei vielen Anwendungen einige 
wenige Zehntelsekunden Verzögerung keine Rolle - für Bruteforce ist so 
etwas "tödlich".

Wenn dann auch noch die Verzögerung mit jedem Fehlversuch heraufgesetzt 
wird ...

Zum Notieren von Passwörtern:
Oftmals reicht es, nur einen oder einige wenige Eselsbrücken 
(Buchstaben) aufzuschreiben, weil man sich dann direkt wieder an das 
Passwort erinnert.

Ein Passwort hier habe ich bspw. mit "13.....Z..." notiert.

Das hilft mir (und meiner Frau) sehr viel weiter, ein Fremder hat aber 
immer noch nur Bruchteile des Passwortes. Wenn noch die Punkte bspw. 
nicht immer die wirkliche Länge des Passwortes darstellen, macht es das 
einem Unbefugten schon sehr schwer.

Die wirklich wichtigen Passwörter sind hier in der Tat auch nur auf 
Papier vorhanden. Das ist eine zusätzliche Hürde.

Man muss aber aufpassen, bei dem ganzen Thema nicht paranoid zu werden 
;-)

Hallo

Ben B. schrieb:
> Gegen Bruteforce-Angriffe hilft eine ausreichend lange Zeichenkette und
> natürlich volle Zeichenvielfalt (also nicht nur Kleinbuchstaben), dann
> ist das Problem nicht in endlicher Zeit lösbar.

Richtig - in der Theorie, Fakt ist aber auch:

Martin S. schrieb:
> Das Geheimnis ist, dass Menschen neben erratbaren
> Kennwörter-Zahlen-Kombinationen allzuoft die gleichen Idee haben.

Wenn man dann nach der "Anleitung" vorgeht die bei der 
passworterstellung oft angegeben wird dann verwenden halt viele anstatt, 
als ein Anteil des PW, des wirklich dummen 4711 (so blöd ist wirklich 
niemand mehr) halt 4712, 4710, 1147 oder 5822, die Sonderzeichen sind 
die leicht erreichbaren (ohne Alt oder gar Alt GR Taste) ! % ? und es 
werden dann doch aktuelle (Kinder, Enkel, Partner) Namen Rückwärts 
geschrieben und oder in bunter groß und Kleinschreibung verwendet.
Auch sind die in Texten selten verwendetet Buchstaben Q q Y y usw. keine 
Idee welche wenige haben.
Das ist mir schon klar - die "professionelen" Cracker wissen das ganz 
bestimmt und werden ihre Programme entsprechend programmieren.

Am besten sind von der Sicherheit immer noch wirklich zufällig 
(automatisch) erzeugte Passwörter - am besten mit seltenen Sonderzeichen 
aus fremden Sprachen - wobei so mancher Zugang solche Sonderzeichen (Es 
fängt oft schon beim billige ß den § Zeichen oder den Hochzeichen ³ ² 
an - ganz zu schweigen von irgendwelchen kyrillischen, arabischen, 
fernöstlichen oder "isrealischen2 Zeichen) einfach nicht akzeptiert bzw. 
überhaupt erkennen will.
Aber merken kann sich das halt niemand - also ab in den Passwortmanager 
der hoffentlich selbst dann mit einen vernünftigen Passwort abgesichert 
ist und an sich sicher ist (Offline?)

Oder halt ganz simpel die Passwörter  auf ein Blatt Papier - das die 
höchste Gefahr durch die Onlineverbrecher abhält.

Chris D. schrieb:
> Beim Login eines Berechtigten spielen bei vielen Anwendungen einige
> wenige Zehntelsekunden Verzögerung keine Rolle - für Bruteforce ist so
> etwas "tödlich".

Das ist aber die Pflicht (ja ich nenne es so) des jeweiligen 
Serviceanbieters und sollte heute das Normal sein.

Darius schrieb:
> am besten mit seltenen Sonderzeichen aus fremden Sprachen

Bestens geeignet für Passwörter, die man ggf an einer Maschinenkonsole 
eintippt. Da wirds schon mit y/z spannend. :)

> also ab in den Passwortmanager

Wobei Windows die Neigung entwickelt hat, bei Remote-Login kein Paste 
zuzulassen.

Chris D. schrieb:
> Man muss aber aufpassen, bei dem ganzen Thema nicht paranoid zu werden
> ;-)

Die Paranoia ist aber berechtigt. Sie SIND hinter dir her. Alle. Die 
Welt ist schlecht, war sie schon immer.

Daher sollte man schon seine Vorkehrungen treffen und versuchen auf dem 
aktuellen Stand zu bleiben. Statt "ach, was sollen die den schon von mir 
wollen" und "ich habe nichts zu verbergen".

Das übrig bleibende Risiko gehört zum allgemeinen Lebensrisiko in der 
heutigen Zeit mit dem man leben muss. Damit sind wir zurück zum Anfang 
des Treads. Manche müssen erst lernen das Risiko auszuhalten und mit ihm 
umzugehen. Mittlerweile hat der Fragesteller wohl das Password geändert 
(hoffentlich überall und hoffentlich auf verschiedene Passwörter).

Chris D. schrieb:
> Wenn dann auch noch die Verzögerung mit jedem Fehlversuch heraufgesetzt
> wird ...

Nur kann man das nicht überall einstellen.
Geht so was bei der Windows-Anmeldung?
Und wie Sicher sind Fingerabdrücke, gegenüber Passwörtern oder insgesamt 
biometrische Erkennungsmerkmale?

Hannes J. schrieb:
> Die Paranoia ist aber berechtigt.

Finde ich auch, man kann aber nicht alle Eingangstore gut kontrollieren.
Das fängt schon bei bei Bestellungen, Vermietern oder Vertragsregelungen 
online (mit email) an.

Tatsächlich fehlt auch ein viel höherer gesetzlicher Druck auf solche 
Hintergründe. Stattdessen kann man nicht mehr sinnvoll surfen, wegen 
dieser Cookieregelung, die ja eigentlich gut ist - aber wenig 
standardisiert und so überall ein anderes Interface..
Di Interfaces werden auch gerne genutzt, um falsche Klick-Haken vor die 
Nase zu setzen.

Als ich einmal komplett raus war (aus dem Battle.net, ca 1 Jahr) hatte 
ich meine Kontonamen vergessen. Die Passwörter wusste ich alle noch.

Ist die Anmeldung bei Google immer noch auf 8 Zeichen Passwort-Länge 
begrenzt?

Frank O. schrieb:
> Und wie Sicher sind Fingerabdrücke, gegenüber Passwörtern oder insgesamt
> biometrische Erkennungsmerkmale?

Da gab es früher mal einen recht lesenswerten Artikel in der c't. So 
unterm Strich und so grob: nicht viel besser als die üblichen Verfahren, 
teilweise sogar schlechter, ganz abgesehen von der technischen 
Problematik, also wenn z.B. das Lesegerät mal eine Macke hat.
Andererseits:
Passwörter sind ja auch nicht unproblematisch, und wer da keine Sorgfalt 
hinbekommt, ist dann wohl mit so einem Lesegerät besser bedient. Kommt 
halt drauf an.
Es ist auf jeden Fall gut, wenn man den Sicherheitsrahmen einschätzen 
kann.

Peter N. schrieb:
> schon das
> Geburtsdatum weiß ich nicht und ist schwer rauszufinden

In Zeiten sozialer Netzwerke brauchts nur einen Vogel aus deiner 
Umgebung der "Herzlichen Glückwunsch zum 53sten!" schreibt und Tag, 
Monat und Jahr stehen fest.

Frank O. schrieb:
> Und wie Sicher sind Fingerabdrücke, gegenüber Passwörtern oder insgesamt
> biometrische Erkennungsmerkmale?

Die meisten Biometriesensoren sind eher simpel, und damit mit gewissem 
Aufwand zu manipulieren. Der Vorteil hier ist aber, das der Schlüssel im 
Sensor liegt (hoffentlich nicht via Software auslesbar!) und damit das 
Gerät lokalisiert ist.
Ein PW funktioniert überall, dein Finger (auch als Kopie) aber nur auf 
deinem Telefon. Daher setzen viele Apps mittlerweile auf Biometrie, denn 
dann kann man sie selbst mit Replikatdaten nicht nutzen, da der Sensor 
fehlt, der den Kram entschlüsseln kann.
Allerdings gibt es bei der Entschlüsselung die üblichen Probleme mit 
RAM-Spionen, Bildschirmfotos usw.

Rbx schrieb:
> Ist die Anmeldung bei Google immer noch auf 8 Zeichen Passwort-Länge
> begrenzt?

Nein, ganz im Gegenteil.

Google authentifiziert andere Zugänge vorzugsweise zusätzlich über 
Bestätigung auf dem Handy.

Jens M. schrieb:
> Der Vorteil hier ist aber, das der Schlüssel im
> Sensor liegt

Immer? Google reicht es auch, wenn der in "trusted memory" liegt, also 
wohl im TEE.

Jens M. schrieb:
> das der Schlüssel im
> Sensor liegt (hoffentlich nicht via Software auslesbar!) und damit das
> Gerät lokalisiert ist.

Das ist genau meine Sorge. Da könnte man dran kommen, auch im Gerät.

Naja, technisch liegt er im TEE, aber der Fingersensor hat den Schlüssel 
um den TEE zu überreden seine Signatur auszuspucken, respektive der 
Fingersensor läuft ebenfalls ausschließlich am TEE.
Oder die IR-Kamera-Auswertung.

Jedenfalls liegt die Sicherheit darin, das die Biohardware sich selber 
um die Verifikation kümmert und das nur via Verschlüsselung beweist.
Man kann die Verschlüsselung nicht umgehen, und man kann die Daten dazu 
nicht auslesen.

Frank O. schrieb:
> Da könnte man dran kommen, auch im Gerät.

In der Regel nicht. Der Sensor merkt sich den Finger selbst, auch über 
Geräteresets hinweg. Dazu gehört ein Schlüsselpaar, das OS fragt eine 
Verschlüsselung an, der Sensor macht das und liefert zurück. Stimmt das 
Ergebnis geht das Gerät auf.
So kann ein verschlossenes Gerät nicht mit einem getauschten Sensor 
geöffnet werden (Schlüssel passt nicht), und die Info aus dem Sensor ist 
nicht auslesbar, ähnlich der PIN in einer Chipkarte.
Ob der chinesische Billigsensor in einem chinesischen Billiggerät das 
auch wirklich nicht kann.....

Naja, die Israelis umgehen jede Sperre an jedem Telefon und verkaufen 
das System an jeden. Aber allen gemein: man braucht das Gerät, für ein 
paar Minuten mindestens. Remote geht da nix.
Wenn es also immer in der Hosentasche ist, droht keine Gefahr aus dieser 
Richtung.

Jens M. schrieb:
> Aber allen gemein: man braucht das Gerät, für ein
> paar Minuten mindestens. Remote geht da nix.

Bei Windows leider doch. Als die Sache mit dem Snowden war, bin ich 
zufällig drüber gestolpert. Ist vielleicht schon wieder ein neues 
Verfahren, aber ohne dass ich nachprüfen hätte müssen/können, 
verschwanden damals sämtliche Beiträge darüber von mir nach wenigen 
Sekunden. Egal wo ich das beschrieben hatte.
Die haben ein großes Scheunentor eingebaut und sogar deine Genehmigung 
gehabt.

Jens M. schrieb:
> Naja, die Israelis umgehen jede Sperre an jedem Telefon und verkaufen
> das System an jeden.

Nein. Einen Scheißdreck können die.

https://forum.xda-developers.com/t/how-can-we-protect-our-android-devices-against-force-unlocking-with-tools-like-cellebrite-and-grayshift.4682542/page-2

Alexander schrieb:
> Nein. Einen Scheißdreck können die.

Leider ohne technische Details, aber:

https://www.heise.de/news/Samsung-Handy-des-Trump-Attentaeters-in-nur-40-Minuten-geknackt-9806380.html

Wird wohl AFU gewesen sein, weil er es mit Kugel im Kopf nicht mehr 
ausschalten konnte, aber trotzdem besorgniserregend.

> alecxs
> Forum Moderator Staff member

Ach herrje.

Hmmm schrieb:
> Wird wohl AFU gewesen sein, weil er es mit Kugel im Kopf nicht mehr
> ausschalten konnte, aber trotzdem besorgniserregend.

Solange die Kugel nicht durch Kopf **und** Hand ging, wird wohl Face-Id 
oder Fingerprint Entsperrung noch funktioniert haben, eins von beiden.

Alexander schrieb:
> Solange die Kugel nicht durch Kopf und Hand ging, wird wohl Face-Id oder
> Fingerprint Entsperrung noch funktioniert haben, eins von beiden.

Dafür hätten sie aber nicht Cellebrite gebraucht. Und auch keine 40 
Minuten.

Samsung ist auch etwas speziell, ich denke Cellebrite hat von denen die 
Möglichkeit bekommen ihre Firmware mit dem geheimen Samsung OEM Key zu 
signieren, damit kommen die schon mal am Bootloader vorbei. Oder es 
stammt von dem Leak. Obwohl das nur die Apps betraf. Ich hab schon 
gesehen dass die auf Samsung Knox und den Secure Folder Zugriff haben. 
Viele Samsung Geräte nutzen außerdem noch FDE mit `default_password` da 
ist der Rest ein Kinderspiel.

https://www.xda-developers.com/android-oem-key-leak-samsung-lg-mediatek

Jens M. schrieb:
> Das ist 15 Jahre her....
> Da gab's so ein Paket, wenn man das installiert hat hatte man hundert
> Programme im Startmenü, Crack *** Password oder so, wobei *** alles war.
> Excel, Word

Nur waren die Dateischutzkennwörter von Officedateien damals ein Witz. 
Keine Verschlüsselung, kein Salz, und mit dem richtigen Wissen auch per 
Hexprogramm umgehbar. Arbeitsmappen- und Tabellenkennwort sind heute 
noch leicht entfernbar, egal ob Exceldatei oder LibreOffice-Calc-Datei.

René H. schrieb:
> Nur waren die Dateischutzkennwörter von Officedateien damals ein Witz.

Deren Zweck war ja nie, den Inhalt zu verschlüsseln, sondern vor 
unbefugtem Zugriff zu schützen.

Was war das damals für ein Aufschrei, als die Open Documents bei Office 
kamen. Microsoft steckt im Sumpf der ständigen Abwärtskompatibilität. 
Wenigstens hat mit dem Open Document Container AES256 einzug gehalten.

Martin S. schrieb:
> Wenigstens hat mit dem Open Document Container AES256 einzug gehalten.

Das schützt aber nur das Dateischutzkennwort. Alle anderen Kennwörter 
(Schreibschutz, Tabellenschutz, Arbeitsmappenschutz) lassen sich ganz 
leicht mit einem Texteditor aus dem zuständigen XML-Part entfernen. 
Officeprogramme sind ja auch keine Datentresore. Obwohl sich mit einem 
nicht unerheblichen Aufwand auch Officedateien (vor Laien) so schützen 
lassen, inklusive sperren von "Strg+C", dass unerwünschte Änderungen 
nicht mehr möglich sind.