Bitte sichere Passwörter verwenden!

News

WMW News/Umfragen

Dabei seit: 14.03.2007

Beiträge: 93

1

Dienstag, 5. Februar 2008, 16:43

Hallo,

aufgrund eines prominenten Beispiels (bei dem um einzubrechen Passwörter nach ersten Infos einfach "erraten" wurden) möchten wir hier auch darauf hinweisen, dass Ihr zu eurer eigenen Sicherheit gute Passwörter verwendet die ihr (nach möglichkeit) sonst bei keiner anderen Webseite verwendet.

Was ist ein sicheres Passwort?
--> min 8 Zeichen lang
--> keine Wörter die im Wörterbuch stehen
--> verschiedenen Zeichen verwenden (Groß/klein/Zahlen/Sonderzeichen)

--> Gut wäre zb (bitte nicht genau das verwenden): !DimnPfdWF.#
Merken kann man sich solche Passwörter mit einem Merksatz, wobei der erste Buchstabe jedes Wortes einen Buchstaben vom Passwort darstellt. Für das obige Passwort wäre das Zb: "Das ist mein neues Passwort für das WMW Forum."

Falls Ihr auf einem der folgenden Foren/Webseiten registriert seit, solltet Ihr euer passwort hierSOFORT ÄNDERN.
--> woltlab.de - phpbb.de - phpbb2.de - smfportal.de

Meldung auf heise.de:
http://www.heise.de/newsticker/suche/erg…meldung/102993/

mfg
das Team

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »djathlon« (6. Februar 2008, 00:56)

andreaskeil

König

Dabei seit: 28.09.2007

Beiträge: 967

2

Dienstag, 5. Februar 2008, 17:02

betrifft das auch das Passwort hier bei wmw ?

News

WMW News/Umfragen

Dabei seit: 14.03.2007

Beiträge: 93

3

Dienstag, 5. Februar 2008, 17:05

NEIN, von webmasterwork wurden keine Daten gestohlen. Das ist nur ein hinweis, dass ihr gute Passwörter verwenden sollt, damit sich niemand über einfaches "erraten" eurer Passwörter zugang zu eurem Account verschaffen kann.

(und wie oben gesagt, falls ihr auf einem der oben genannten Foren auch registriert seit und dort das gleiche Passwort verwendet wie hier, solltet ihr es ändern.)

zoryfl

Moderator

Dabei seit: 14.01.2003

Beiträge: 2 766

4

Mittwoch, 6. Februar 2008, 10:14

Zitat

Weitere Einbrüche in deutsche Support-Foren

Der Einbruch in das deutsche Support-Forum phpBB.de zieht weitere Kreise. Offenbar hat der vermutlich deutsche Täter mit dem Pseudonym Trada auch das Support-Forum SMFPortal.de der Software Simple Machine Forum (SMF) gehackt und die Datensätze von Anwendern ausgelesen. Hinweisen zufolge nutze er dafür keine Sicherheitslücke, sondern einen gestohlenen FTP-Account.

Laut Meldung auf SMFPortal soll er dabei ein komplettes Backup gezogen haben. Nach Angaben des SMFPortal-Teams sind darin Nutzernamen, E-Mail-Adressen und die Hashes der Zugangspasswörter enthalten gewesen. Die Nutzer werden dazu aufgefordert, ihre Passwörter auf Seiten zu ändern, auf denen sie das selbe zum Login benutzen.

Ob der Täter die Passwörter überhaupt aus den Hashes ermitteln kann, ist fraglich, denn anders als bei phpBB.de nutzt SMF eigentlich Hashes mit Salts, so dass etwa der Angriff mittels vorberechneter Rainbow Tables nicht funktioniert. Allerdings enthielt das Backup auch Private Messages, in denen Nutzer möglicherweise Zugangsdaten im Klartext ausgetauscht haben.[...]

Original von http://www.heise.de/newsticker/meldung/103049

auf ein Weiteres..

Zitat

Alle drei Board-Betreiber haben Strafanzeige erstattet.

http://zoryfl.wmw.cc

Skittles

Moderator

Dabei seit: 14.02.2004

Beiträge: 3 014

5

Mittwoch, 6. Februar 2008, 12:51

Wer sowas durchzieht, wird schlau genug sein, seine Spuren zu verwischen. Die Anzeigen werden wohl nicht viel bringen, leider.

~!__/
..o.o

This is Einkaufswagen.
Copy Einkaufswagen into your signature to help him on his way to world domination.

zoryfl

Moderator

Dabei seit: 14.01.2003

Beiträge: 2 766

6

Mittwoch, 6. Februar 2008, 16:31

Naja ich weiß nich~

Anscheinend hat er, nach eigener Aussage, die Zugangsdaten durch 'Social Engineering' ergattert, also vielleicht besteht doch eine kleine Chance denjenigen zu erwischen, denn die Besitzer der betroffenen Auslöser-Accounts müssten doch dann zumindest eine Ahnung haben, wer derjenige ist- oder nicht?!

Und wenn nicht- "jeder hinterlässt im Netz seine Spuren"-
Und ganz doof ist unsere Online Polizei ja auch nicht, oder?

[SIZE=7]Okayokay, Spaß beiseite..[/SIZE]

Wir werden sehen was weiter passiert. vBulletin next?

http://zoryfl.wmw.cc

Skittles

Moderator

Dabei seit: 14.02.2004

Beiträge: 3 014

7

Mittwoch, 6. Februar 2008, 16:36

Nunja ... ein paar ausländische Proxies (oder Späße wie Tor), die auf den Bahamas oder sonstwo stehen und das ganze gestaltet sich wie die Nadel im Heuhaufen.

~!__/
..o.o

This is Einkaufswagen.
Copy Einkaufswagen into your signature to help him on his way to world domination.

planet_sammy

unregistriert

8

Donnerstag, 7. Februar 2008, 07:38

Nur so ein Tip,
ich benutze PWSafe und das Tool kann auch sichere Passwörter generieren. Außerdem werden die PW dort gespeichert und man kann diese nicht mehr vergessen.

PWSafe ist auch absolut Safe!

Gruß

Sammy

zoryfl

Moderator

Dabei seit: 14.01.2003

Beiträge: 2 766

9

Donnerstag, 7. Februar 2008, 09:20

Jo..und sicher ist es so lange, bis du dir deine Platte zerschiesst, ein Virus deinen PC lahmlegt,etc.. (-> nur eine geringe Chance jemals wieder Zugriff auf deine Passwörter zu erhalten) oder ein "hacker" Zugriff auf die gespeicherten Passwörter erhält (Falls du kein sicheres master-passwort verwendest).

Ich weiß, dass man sich bei vielen Diensten das Passwort wieder zuschicken lassen kann, aber das ist eben auch nicht immer und überall möglich.

ergo: Jedem das Seine, aber ich halte nichts von solchen Programmen, lieber ein paar sichere selbst überlegen und merken, oder - für die Vergesslichen unter uns - evtl. zuhause auf einem Zettelchen an einem "sicheren Ort" verstauen.

http://zoryfl.wmw.cc

planet_sammy

unregistriert

10

Donnerstag, 7. Februar 2008, 11:02

Hi zoryfl,
einfach mal googeln was hinter der sw steckt. Nicht alles ist schlecht...

zoryfl

Moderator

Dabei seit: 14.01.2003

Beiträge: 2 766

11

Donnerstag, 7. Februar 2008, 14:17

Hallo Sammy,

es lag mir fern die Software PWSafe "schlecht zu machen", wie du das nennst.
Ich habe dieses Programm noch nie selbst getestet, oder etwas darüber gelesen, deshalb räume ich mir nicht ein über das Programm zu urteilen.

Ich habe einfach die Art solcher Programme kritisiert bzw. meine Meinung dazu kund getan.

Danke für das Anerkennen meiner eigenen Meinung.
Wenn du das Bedürfnis verspürst weiter über das Thema zu diskutieren/reden, dann schreibe mir bitte eine PN oder komm in den Chat.

Gruß

http://zoryfl.wmw.cc

Skittles

Moderator

Dabei seit: 14.02.2004

Beiträge: 3 014

12

Donnerstag, 7. Februar 2008, 14:56

Pwdhash ist in dieser Hinsich noch recht interessant: http://crypto.stanford.edu/PwdHash/

~!__/
..o.o

This is Einkaufswagen.
Copy Einkaufswagen into your signature to help him on his way to world domination.

usenet4you

Mitglied

Dabei seit: 09.02.2008

Beiträge: 35

13

Sonntag, 10. Februar 2008, 21:06

Je nachdem wieviel Komfort ihr haben wollt, gibt es diverse Möglichkeiten. Ich mache es so, dass ich die Passwörter online bei diversen Seiten generieren lasse (Online Passwort Generator).

Die Passwörter speicher ich dann auf einem verschlüsselten USB Stick. Diesen stecke ich auch nur ein, wenn ich die PWs bentötige. Alle Daten im Browser (Cookies, PWs etc), werden bei mir automatisch gelöscht, sobald ich den Browser schließe.

Dadurch ist imho schon eine hohe Passwortsicherheit gewährleistet. Ich hatte aber auch schon über die von Sammy angesprochene Variante nachgedacht, damit ich mehr komfort beim surfen habe. Bisher bin ich aber noch nicht umgestiegen.

bubo

Jungspund

Dabei seit: 23.03.2008

Beiträge: 19

14

Sonntag, 23. März 2008, 11:20

USB stick und truecrypt + backup = 100% Sicheres PW

Ich mache das bei wichtigen Passwoertern so:

1. ein USB stick der nur fuer Passwoerter benutzt wird.
2. eine Datei auf dem stick mit truecrypt verschluesseln
3. ein kurzer Besuch unter https://www.grc.com/passwords.htm
4. die verschluesselte Datei ins Backup stellen (da mit truecrypt verschluesselt, kann das sogar irgendwo oeffentlich im web sein - der Inhalt der Datei ist noch nicht einmal als verschluesselter Inhalt zu erkennen, da jeglicher header fehlt)
5. sofort nach Benutzung wird der USB stick wieder entfernt
6. Das eine sichere Passwort fuer diese Datei merken!

pack´ ma´ s!

m0rDeZz

Grünschnabel

Dabei seit: 27.03.2008

Beiträge: 7

15

Samstag, 29. März 2008, 14:26

Auch sehr nützlich ist das Programm Alle meine Passworte, was meines erachtens nach das beste Passwort Verwaltungs Tool ist.

BlobbyVolleyFan

Grünschnabel

Dabei seit: 29.03.2008

Beiträge: 2

16

Samstag, 29. März 2008, 16:15

Zitat von »bubo«

Ich mache das bei wichtigen Passwoertern so:

1. ein USB stick der nur fuer Passwoerter benutzt wird.

Wenn jemand aber unbedingt deine Daten will und den USB-Stick findet?

Ich schreibe mir meine Verschlüsselungs-Passwörter immer auf einen Zettel, den ich immer bei mir habe.

zoryfl

Moderator

Dabei seit: 14.01.2003

Beiträge: 2 766

17

Samstag, 29. März 2008, 16:44

Und was passiert, wenn du diesen Zettel verlierst? Weißt du das PW dann noch auswendig?
Wenn ja- wozu dann einen Zettel?

Also man kann ja darüber streiten, aber Zettel mit unverschlüsselten Passwörtern sind immer noch das Unsicherste, das ich kenne..

http://zoryfl.wmw.cc

bubo

Jungspund

Dabei seit: 23.03.2008

Beiträge: 19

18

Dienstag, 1. April 2008, 02:44

USB Stick vs. Zettel - USB Stick 1 - Zettel 0

Zitat

von "BlobbyVolleyFan"
Wenn jemand aber unbedingt deine Daten will und den USB-Stick findet?
Ich schreibe mir meine Verschlüsselungs-Passwörter immer auf einen Zettel, den ich immer bei mir habe.

Das ist doch der ganze Witz an der Sache. Wenn jemand meinen USB stick findet, dann hat er exakt: gar nichts. Die mit Truecrypt verschlüsselte Datei ist noch nicht einmal als verschlüsselt zu erkennen, da kein Header vorhanden. Wer auch immer den Stick findet hat nur eine nicht nutzbare Datei - Datenrauschen, also jede Menge 0´er und 1´er. Das war´s und sonst nichts. Mein Verlust: ein paar Euro, da der Stick ersetzt werden muss. Da ich aber einen Backup im Internet hinterlegt habe, kann ich von egal wo in der Welt meine Passwort Datei downloaden und sofort wieder weiterarbeiten.

Sollte ich Deinen Zettel finden, kann ich dann auch gleich bei Dir weiterarbeiten.

pack´ ma´ s!

Skittles

Moderator

Dabei seit: 14.02.2004

Beiträge: 3 014

19

Dienstag, 1. April 2008, 08:33

außer auf dem Zettel steht sowas a la:

Zitat

--> Gut wäre zb (bitte nicht genau das verwenden): !DimnPfdWF.#
Merken kann man sich solche Passwörter mit einem Merksatz, wobei der erste Buchstabe jedes Wortes einen Buchstaben vom Passwort darstellt. Für das obige Passwort wäre das Zb: "Das ist mein neues Passwort für das WMW Forum."

Merkt ihr was? Ihr dreht euch im Kreis ...

~!__/
..o.o

This is Einkaufswagen.
Copy Einkaufswagen into your signature to help him on his way to world domination.

bubo

Jungspund

Dabei seit: 23.03.2008

Beiträge: 19

20

Dienstag, 1. April 2008, 13:04

Zitat

Merkt ihr was? Ihr dreht euch im Kreis ...

Eben nicht. Selbst Deine schönen Abkürzungen können mittels "sozial engeneering" auffliegen. Nur als kleines Beispiel: "IlmFmKudgW" - "Ich liebe meine Frau, meine Kinder und die ganze Welt". Wenn Du das im Büro schon mal gesagt hast, dann ist es zumindest denkbar, dass jemand Dein Passwort errät. - Jetzt regt Euch bitte nicht über das Beispiel auf, es fiel mir auf die Schnelle nichts besseres ein.

Im Gegensatz dazu weiss noch nicht einmal ich selbst, wie mein jeweiliges 64 oder 128 Bit Passwort lautet. Ich würde es nicht erkennen, wenn ich direkt davor stünde und bin ganz sicher nicht in der Lage es mir zu merken.

Übrigens geht es hier nicht um Religion. Wenn das was geschützt werden soll kaum etwas wert ist, dann kann man sich das Passwort auch mit Filzstift in die Hand schreiben - geht jedenfalls nicht verloren.

pack´ ma´ s!