also, mein Z1 kann angeblich USB-Tastaturen am Hostport, und Maus auch.
Getestet hab ich das allerdings noch nicht.
Topic: Sicherheitsvorkehrungen (Read 3631 times)
wäre nicht schwer,
Mikrocontroller und USB-HID Stack
aber der bringt nix am Handy oder Tablet :\
Mikrocontroller und USB-HID Stack
aber der bringt nix am Handy oder Tablet :\
Au Contraire...
Wenn du dir ein Passwort merken kannst, ist es egal. Ist ja nur eins.
Wenn du dir alle Passwörter merken kannst, sind sie zu leicht. Oder du bist ein Genie.
Mal als Vorschlag: Ein USB-Stick, der eine beinahe beliebige Zahl von Passwörtern speichern und zufällig neu generieren kann, mit für und durch jeden Benutzer einzigen Parametern für die Generierung, der die Passwörter "in echt" eintippt, als Tastatur.
Wäre das was? und:Gibts sowas? Oder muss ich mir das echt selber bauen?
Wenn du dir ein Passwort merken kannst, ist es egal. Ist ja nur eins.
Wenn du dir alle Passwörter merken kannst, sind sie zu leicht. Oder du bist ein Genie.
Mal als Vorschlag: Ein USB-Stick, der eine beinahe beliebige Zahl von Passwörtern speichern und zufällig neu generieren kann, mit für und durch jeden Benutzer einzigen Parametern für die Generierung, der die Passwörter "in echt" eintippt, als Tastatur.
Wäre das was? und:Gibts sowas? Oder muss ich mir das echt selber bauen?
Meinst du, das Google sich das entgehen lässt? 
Du magst vielleicht den Haken auf aus stellen, aber die Funktion kann ja auf den Haken scheißen, oder?
Wenn man so paranoid ist dann muss man alles selbst compilieren (nachdem man den Quelltext kontrolliert hat).Du magst vielleicht den Haken auf aus stellen, aber die Funktion kann ja auf den Haken scheißen, oder?
Nee, danke.
Und du hast recht, die meisten Leute nutzen 123456 an jeder Ecke. Dagegen hilft nix...
Heh! Woher hast du MEIN PASSWORT
?! Gib das sofort zurück! 
Aber na gut, das Problem ist sicherlich der Cookiestore von diesem verkackten Firefox. Ich such ja schon nach einem besseren Browser ... der nicht alle URLs an irgendein obscures "safe browsing" verpetzt, sich über das Flash-Plugin an jeder 2ten Ecke im Internet aufmachen läßt und generell Passwörter in Webformularen "erst einmal abspeichern" möchte.
Wenn du wirklich sicher sein willst, darfst du die Funktionen auch gar nicht erst nutzen. Flash und Java gehört in keinem sicheren Browser 24/7 aktiviert. CookieMonster und NoScript regeln den Rest. Passwörter kann man sich auch im Kopf merken, anstatt diese zu Komfortzwecken einzuspeichern.
Meinst du, das Google sich das entgehen lässt?
Du magst vielleicht den Haken auf aus stellen, aber die Funktion kann ja auf den Haken scheißen, oder?
Du magst vielleicht den Haken auf aus stellen, aber die Funktion kann ja auf den Haken scheißen, oder?
Aber na gut, das Problem ist sicherlich der Cookiestore von diesem verkackten Firefox. Ich such ja schon nach einem besseren Browser ... der nicht alle URLs an irgendein obscures "safe browsing" verpetzt, sich über das Flash-Plugin an jeder 2ten Ecke im Internet aufmachen läßt und generell Passwörter in Webformularen "erst einmal abspeichern" möchte.
In Chrome kann man das alles deaktivieren... 
Und du hast recht, die meisten Leute nutzen 123456 an jeder Ecke. Dagegen hilft nix...
Heh! Woher hast du MEIN PASSWORT
?! Gib das sofort zurück! Aber na gut, das Problem ist sicherlich der Cookiestore von diesem verkackten Firefox. Ich such ja schon nach einem besseren Browser ... der nicht alle URLs an irgendein obscures "safe browsing" verpetzt, sich über das Flash-Plugin an jeder 2ten Ecke im Internet aufmachen läßt und generell Passwörter in Webformularen "erst einmal abspeichern" möchte.
@muto
Deine Passwörter funktionieren an den wenigsten Stellen, da Sonderzeichen oft verboten sind, ebenso wie Umlaute.
Hingegen wird oft rumgezickt...
- "Die erste Stelle muss ein Großbuchstabe sein", oder "...darf kein..."
- "Du musst mindestens eine Ziffer benutzen",
- "Du darfst nicht mehr als 2 Großbuchstaben, Kleinbuchstaben oder Ziffern hintereinander haben",
- "Du musst 6-10 Zeichen verwenden" oder "genau 8 Zeichen" (ganz schlimm "genau 6")
- "Das letzte Zeichen darf keine Ziffer sein", oder eben "...muss..."
- "Du musst (mindestens) ein Sonderzeichen haben, aber nur +-.,/&%$!, das darf aber nicht am Ende/Anfang stehen" oder eben "Du darfst kein Sonderzeichen haben"
- und am schönsten: "Das Passwort muss alle 4 Wochen geändert werden und darf keine Bestandteile >2 Zeichen der letzten 10 Passwörter enthalten".
Das ist oftmals ein Problem, da hast du Recht. Es ist eine Schande, dass es 2014 noch immer Seiten gibt, bei denen Passwörte maximal oder genau x Zeichen lang sein dürfen. Genau so unzeitgemäß ist es, wenn seiten keine Sonderzeichen erlauben. Ich versuche solchen Seiten fern zu bleiben. Geht aber leider nicht immer, vor allem wenn man den Zugang geschäftlich benötigt.
Leider kann ich mit einer schnelleren Bearbeitung der gehackten Accounts nicht dienen, aber nichtsdestotrotz macht eine Sammlung von Adressen zum Signieren meiner Einschätzung nach Sinn. Im Fall von Pazor war sofort ersichtlich dass er gehackt wurde , da er gleich eine signierte Nachricht gesendet hat, von einer Adresse die auch ich einsehen konnte.
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread. Also das ganze nochmal in unmoderiert und mit der Ansage dass alle Kommentare die keine direkten Zitate sind gelöscht werden und dann würde ich dem auch einen Sticky verpassen.
Sollte ich neue Informationen zu den Hacks haben , gebe ich sie an die beteiligten weiter.
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread. Also das ganze nochmal in unmoderiert und mit der Ansage dass alle Kommentare die keine direkten Zitate sind gelöscht werden und dann würde ich dem auch einen Sticky verpassen.
Sollte ich neue Informationen zu den Hacks haben , gebe ich sie an die beteiligten weiter.
Mach ich gleich, dann musst Du aber dafür sorgen, dass der Thread nicht vollgemüllt wird.
Ich war eigentlich der Meinung, dass es auffallen würde, wenn plötzlich alle Posts weg sind. Aber Deine Möglichkeit ist natürlich trotzdem besser.
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread.
Du schreibst ja so als ob es super leicht wäre accounts zu "hacken". Der "Hacker" durchsucht das Forum nach accounts, die eine Geheimfrage haben und versucht die Antwort zu erraten. Hat nichts mit hacken zu tun.Aber eigentlich netter Zeitvertreib wenn man nichts zu tun hat
Es ist total egal wie das passiert. Solange es die Möglichkeit gibt dass es passiert brauchen wir leider sowas.
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread.
Du schreibst ja so als ob es super leicht wäre accounts zu "hacken". Der "Hacker" durchsucht das Forum nach accounts, die eine Geheimfrage haben und versucht die Antwort zu erraten. Hat nichts mit hacken zu tun.Aber eigentlich netter Zeitvertreib wenn man nichts zu tun hat
Leider kann ich mit einer schnelleren Bearbeitung der gehackten Accounts nicht dienen, aber nichtsdestotrotz macht eine Sammlung von Adressen zum Signieren meiner Einschätzung nach Sinn. Im Fall von Pazor war sofort ersichtlich dass er gehackt wurde , da er gleich eine signierte Nachricht gesendet hat, von einer Adresse die auch ich einsehen konnte.
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread. Also das ganze nochmal in unmoderiert und mit der Ansage dass alle Kommentare die keine direkten Zitate sind gelöscht werden und dann würde ich dem auch einen Sticky verpassen.
Sollte ich neue Informationen zu den Hacks haben , gebe ich sie an die beteiligten weiter.
Das Vorbreschen von muto war gut , aber da der Thread selbst moderiert ist , löscht der Hacker von muto einfach alle Posts die ihn innerhalb zitiert haben und dann bräuchten wir einen weiteren Thread. Also das ganze nochmal in unmoderiert und mit der Ansage dass alle Kommentare die keine direkten Zitate sind gelöscht werden und dann würde ich dem auch einen Sticky verpassen.
Sollte ich neue Informationen zu den Hacks haben , gebe ich sie an die beteiligten weiter.
Ich habs einfach.
EC, Tankkarte und DHL-Karte (wobei die ja auch mTAN umgestellt wurde).
Interessanterweise haben alle ähnliche Nummern (was schon oft Kartenkassierung zur Folge hatte, scheiß Gedächtnis):
Mit der Karte meines SO habe ich 4 Karten mit 4 Ziffern, also 16 insgesamt:
7x 5
5x 1
2x 4
1x 0
1x 2
Soviel zum Zufall.
@muto
Deine Passwörter funktionieren an den wenigsten Stellen, da Sonderzeichen oft verboten sind, ebenso wie Umlaute.
Hingegen wird oft rumgezickt...
- "Die erste Stelle muss ein Großbuchstabe sein", oder "...darf kein..."
- "Du musst mindestens eine Ziffer benutzen",
- "Du darfst nicht mehr als 2 Großbuchstaben, Kleinbuchstaben oder Ziffern hintereinander haben",
- "Du musst 6-10 Zeichen verwenden" oder "genau 8 Zeichen" (ganz schlimm "genau 6")
- "Das letzte Zeichen darf keine Ziffer sein", oder eben "...muss..."
- "Du musst (mindestens) ein Sonderzeichen haben, aber nur +-.,/&%$!, das darf aber nicht am Ende/Anfang stehen" oder eben "Du darfst kein Sonderzeichen haben"
- und am schönsten: "Das Passwort muss alle 4 Wochen geändert werden und darf keine Bestandteile >2 Zeichen der letzten 10 Passwörter enthalten".
Das sind alles Regeln, die hier oder da bei meinen Accounts gelten, ein Passwort das überall passen würde ist schon schwer (oder leicht) genug, das macht das Fest-Plus-Ergänzung-System beinahe unmöglich.
Nicht das ich das nicht ähnlich machen würde...
Aber es gibt eben Seiten, bei denen ich mich nicht oft anmelde, und die Regel ist simpel, führt aber aufgrund o.g. Regeln zu ungültigen Passwörtern, weswegen auch hier wieder gilt: "Die Ausnahme bestätigt die Regel".
aWallet auf'm Schlaufon sei Dank gehts aber...
Und in der c't war mal ein Test solcher Passwortknacker, die man in einschlägigen Foren kaufen kann.
Und ja, die können die Regeln, die deinen Passwörtern innewohnen, erkennen und so teilweise Passwörter zu anderen deiner Accounts recht gut erraten, oder andersrum deine Accounts aus Passwortdatenbanken herausfischen.
Der Mensch ist nicht zufällig genug. Du bevorzugst bestimmte Zeichen oder Tastenpositionen unbewusst, was die Maschine leicht erkennt.
Vielleicht jetzt nicht exakt bei "dir", aber Statistik ist eine Hure.
Klar, 7 zufällige Zeichen sind schwer zu bruten, aber da kannst du auch gleich ein komplett zufälliges PW nutzen. Die wenigsten Leute tun das.
EC, Tankkarte und DHL-Karte (wobei die ja auch mTAN umgestellt wurde).
Interessanterweise haben alle ähnliche Nummern (was schon oft Kartenkassierung zur Folge hatte, scheiß Gedächtnis):
Mit der Karte meines SO habe ich 4 Karten mit 4 Ziffern, also 16 insgesamt:
7x 5
5x 1
2x 4
1x 0
1x 2
Soviel zum Zufall.
@muto
Deine Passwörter funktionieren an den wenigsten Stellen, da Sonderzeichen oft verboten sind, ebenso wie Umlaute.
Hingegen wird oft rumgezickt...
- "Die erste Stelle muss ein Großbuchstabe sein", oder "...darf kein..."
- "Du musst mindestens eine Ziffer benutzen",
- "Du darfst nicht mehr als 2 Großbuchstaben, Kleinbuchstaben oder Ziffern hintereinander haben",
- "Du musst 6-10 Zeichen verwenden" oder "genau 8 Zeichen" (ganz schlimm "genau 6")
- "Das letzte Zeichen darf keine Ziffer sein", oder eben "...muss..."
- "Du musst (mindestens) ein Sonderzeichen haben, aber nur +-.,/&%$!, das darf aber nicht am Ende/Anfang stehen" oder eben "Du darfst kein Sonderzeichen haben"
- und am schönsten: "Das Passwort muss alle 4 Wochen geändert werden und darf keine Bestandteile >2 Zeichen der letzten 10 Passwörter enthalten".
Das sind alles Regeln, die hier oder da bei meinen Accounts gelten, ein Passwort das überall passen würde ist schon schwer (oder leicht) genug, das macht das Fest-Plus-Ergänzung-System beinahe unmöglich.
Nicht das ich das nicht ähnlich machen würde...
Aber es gibt eben Seiten, bei denen ich mich nicht oft anmelde, und die Regel ist simpel, führt aber aufgrund o.g. Regeln zu ungültigen Passwörtern, weswegen auch hier wieder gilt: "Die Ausnahme bestätigt die Regel".
aWallet auf'm Schlaufon sei Dank gehts aber...
Und in der c't war mal ein Test solcher Passwortknacker, die man in einschlägigen Foren kaufen kann.
Und ja, die können die Regeln, die deinen Passwörtern innewohnen, erkennen und so teilweise Passwörter zu anderen deiner Accounts recht gut erraten, oder andersrum deine Accounts aus Passwortdatenbanken herausfischen.
Der Mensch ist nicht zufällig genug. Du bevorzugst bestimmte Zeichen oder Tastenpositionen unbewusst, was die Maschine leicht erkennt.
Vielleicht jetzt nicht exakt bei "dir", aber Statistik ist eine Hure.
Klar, 7 zufällige Zeichen sind schwer zu bruten, aber da kannst du auch gleich ein komplett zufälliges PW nutzen. Die wenigsten Leute tun das.
@scranagar: Schlau angewendet kann dir das deine Karte schnell wiederbeschaffen:
zum Glück kann ich mir die PIN meiner Hauptkarte merkenund bei den Kreditkarten musste ich immer unterschreiben oO
was man heutzutage für Aufwand treiben muss, ist schon krass
Was tolle Ideen sind, aber dazu führt, das die Passwörter für "deine" Seiten ausreichend gleich sind, das sie per Bruteforce geknackt werden können.
Und wenn 2+x Konten von dir bekannt sind, dabei von zweien das Passwort geöffnet wird, ist der Rest x gleich mit kompromittiert: Die Bruteforcer-Algorithmen erkennen, das in deinem GMX-Passwort ein "G" steht und versuchen bei ebay ein "e", und wenn das klappt, klingelt die Kasse.
Und wenn 2+x Konten von dir bekannt sind, dabei von zweien das Passwort geöffnet wird, ist der Rest x gleich mit kompromittiert: Die Bruteforcer-Algorithmen erkennen, das in deinem GMX-Passwort ein "G" steht und versuchen bei ebay ein "e", und wenn das klappt, klingelt die Kasse.
Das kommt ganz darauf an, wie lange man die Teile jeweils macht. Zwei Teile á 7 Zeichen, da wird es auch mit Bruteforce schon schwer. Vor allem weiß der Hacker ja nicht, welcher Teil der konstante ist (so lange er nur einen Account geknackt hat). und ich habe noch ein zusätzliches achtes Zeichen, dass im festen Teil auch abweicht.
Wenn man den ersten Teil (G bei GMX nimmt, e bei ebay) nimmt, ist das einfach zu erkennen. Beim dritten (x bei GMX oder a bei ebay) oder auch beim zweiten Buchstaben braucht man aber schon mindestens 3 gehackte Accounts und muss ein Talent als Detektiv haben um die Abweichung im festen Teil zu erkennen
z.B. ebay: aöl3k($;d
Drittes Zeichen steht am Anfang. Noch besser wäre es, wenn man dieses Zeichen an das Ende des festen Teils stellen würde. öl3k($ ist der feste Teil. Bei nur zwei gehackten Accounts wird es schon schwierig das zu erkennen. Die letzten 7 Zeichen stehen auf einem Zettel im Geldbeutel. Kann man auch mit 10 Zeichen machen um
Ganz sicher kann man nie sein, es geht nur darum den Aufwand so groß zu halten, dass es unwirtschaftlich wird.
Was tolle Ideen sind, aber dazu führt, das die Passwörter für "deine" Seiten ausreichend gleich sind, das sie per Bruteforce geknackt werden können.
Und wenn 2+x Konten von dir bekannt sind, dabei von zweien das Passwort geöffnet wird, ist der Rest x gleich mit kompromittiert: Die Bruteforcer-Algorithmen erkennen, das in deinem GMX-Passwort ein "G" steht und versuchen bei ebay ein "e", und wenn das klappt, klingelt die Kasse.
@scranagar:
Schlau angewendet kann dir das deine Karte schnell wiederbeschaffen:
Schreib die Nummern für deine Karten auf den Zettel, inklusive Bezeichnung, aber verdreht.
Der Dieb wird zuerst die versuchen an der EC steht, 1. Fehlversuch.
Dann die Drunter, 2. Fehler.
Dann die Drüber, 3. Fehler.
Karte kassiert, Konto sicher.
Hilft nicht gegen Pin-Abschöpfer die in 14 Ländern mit Kopien deines Magnetstreifens Limit abheben, aber der Allerwelts-Taschendieb ist damit dran.
Und wenn 2+x Konten von dir bekannt sind, dabei von zweien das Passwort geöffnet wird, ist der Rest x gleich mit kompromittiert: Die Bruteforcer-Algorithmen erkennen, das in deinem GMX-Passwort ein "G" steht und versuchen bei ebay ein "e", und wenn das klappt, klingelt die Kasse.
@scranagar:
Schlau angewendet kann dir das deine Karte schnell wiederbeschaffen:
Schreib die Nummern für deine Karten auf den Zettel, inklusive Bezeichnung, aber verdreht.
Der Dieb wird zuerst die versuchen an der EC steht, 1. Fehlversuch.
Dann die Drunter, 2. Fehler.
Dann die Drüber, 3. Fehler.
Karte kassiert, Konto sicher.
Hilft nicht gegen Pin-Abschöpfer die in 14 Ländern mit Kopien deines Magnetstreifens Limit abheben, aber der Allerwelts-Taschendieb ist damit dran.
So ein Zettelchen hat dann aber auch eben das Problem, das es nur zu Hause liegt 
Du könntest einen Teil deines Passworts überal gleich machen und diesen Teil im Kopf merken. Einen anderen Teil kannst Du dann in einem Passwortsafe z.B. auf dem Handy oder auf einem Zettel im Geldbeutel herumtragen. Im Optimalfall kannst du letzteren Teil noch verfälschen. (z.B. immer den dritten Buchstaben des zweiten Teils groß bzw. klein schrieben, wenn er auf dem Zettel klein bzw. groß steht. Und/oder beim ersten Teil z.B. immer den dritten Buchstaben durch den dritten Buchstaben in der URL der jeweiligen Seite ersetzen.
Genau. Und wenn ihr schon dabei seid, eure Passwörter überall hin zu kritzeln, vergesst dabei nicht eure PIN auf die ec-Karte zu schreiben!
So ein Zettelchen hat dann aber auch eben das Problem, das es nur zu Hause liegt
Mach doch einfach ein Photo davon auf deinem Handy Jump to: