Sammelthread: Sicherheit im Internet

1. Wie knacken?

Wievele Versuche hat ein Angreifer, bevor das Konto dichtgemacht wird?

Das PW hat jedenfalls keinerlei Bezug zu meiner Person, so dass es nicht einfach erraten worden sein kann.

2. Keylogger ist definitiv auszuschließen. Unter Windows läuft der Viren-Scanner ein- bis zweimal täglich, daneben ein Echtzeit-Guard.

Seit 2011 habe ich mein System zudem unzählige Male mit verschiedenen Scannern durchleuchten lassen (auch von externen Scannern, ohne dass Windows im Betriebsmodus ist). Ein Keylogger wurde in all den Jahren nicht gefunden.

Das ist noch eine Vorgehensweise aus ganz alten Zeiten, die ich beibehalten habe, obwohl das Gefahrenpotenzial bei mir inzwischen eher gering sein dürfte.

Emails lese ich in der Regel nicht und Anhänge öffne ich schon gar nicht. Ich lade nix aus dem Netz herunter und Datenträger fremder Rechner öffne ich vielleicht einmal monatlich - nachdem sie auf Malware gescant wurden. Aber wie schon geschrieben ... ein Keylogger wäre zwischenzeitlich aufgefallen.

Wieviel Versuche? Genug jedenfalls!

Gruß Kai

Mit entsprechender krimineller Energie knacken Profis jedes noch so sichere PW. Schutznaßnahmen der Anbieter werden da ausgehebelt. Auch vor Keyloggern gibt es keine absolute Sicherheit. Die kann auch keine Schutz-Software bieten. Absoluten Schutz gibt es nur indem man kein Internet nutzt. Alles andere ist relativ.

Selbst 3.000 Brute-Force-Angriffe sind nicht viel, wenn ein solcher Angriff ohne Bezug zwischen Nutzer und Passwort zu bewältigen ist. Im Wörterbuch gibt es mein Passwort so jedenfalls nicht.

Zudem:
Mein Passwort zu dem Uralt-Account war auch ein Uralt-Passwort. Also eines mit einer Syntax, dass in den Jahren 2011/2012 schon lange nicht mehr hätte vergeben werden können. Was aber dennoch weiterhin verwendbar war. Für einen anderen Account gilt dasselbe bis heute, so dass auch eine Umstellung aller Passwörter auf die neue Syntax nicht der Grund sein kann.

Wenn also ein Brute-Force-Angriff mit 3.000 Versuchen möglich ist: Würden dann nicht Passwörter mit einer Syntax genaommen werden, die zulässig ist?

Ich bin weiterhin davon überzeugt, dass nur eine undichte Quelle bei GMX verantwortlich für den Passwort-Diebstahl sein kann. Jedenfalls sehe ich bisher keine andere nachvollziehbare Erklärung.

Die Suche nach "GMX gehackt" ergibt genug Treffer. Zudem hatte ich selbst eine Zeit lang alle paar Wochen ca 30000+ fehlgeschlagene Logins. GMX interessiert das genau Null, nie auf Support-Anfragen eine Antwort erhalten.
Für Passwörter kann man generell KeePass empfehlen. Solange man keine Keylogger hat, sollte man damit auf der sicheren Seite sein. "Witzig" ist allerdings, dass man je nach Anbieter die von KeePass generierten Passwörter ziemlich kastrieren muss...

Ich denke, dass ich den Account eher abmelden werde. Außer den Rechnungen für den Account war nämlich nix sinnvolles drin ...

So kurz nach einem weltweiten Hackerangriff ist man doch froh, wenn es Firmen gibt, die sich um ihre Kunden kümmern und Unregelmäßigkeiten zum Anlass nehmen, die Sicherheit ihrer IT-Systeme zu erhöhen.*

Nur blöd, daß ich noch nie ein Konto bei Paypal hatte, aber eben gerade diese E-Mail bekam.

Zitat

Von: PayPal <service@de-sicherheitssystem.de>
Betreff: Kontobestätigung erforderlich - Ihre Mithilfe ist gefragt

Sicherheitscenter


Bestätigung Ihres Nutzerkontos

Ihre Mithilfe ist erforderlich!

Da wir möchten, dass unsere Kunden stets ein Gefühl der Sicherheit haben, arbeiten wir täglich an der Verbesserung unseres Sicherheitssystems. So können wir Unregelmäßigkeiten bereits erkennen, bevor ein finanzieller Schaden entsteht. Leider müssen wir Ihnen mitteilen, dass wir Aktivitäten in Ihrem Konto festgestellt haben, die nicht von Ihnen stammen.
Aus Sicherheitsgründen haben wir den Zugriff auf Ihr Konto eingeschränkt. Um Ihr Konto wieder wie gewohnt nutzen zu können, ist eine Bestätigung Ihrer Identität erforderlich. Bitte starten Sie den Vorgang über den unten aufgeführten Link. Der Prozess nimmt nur wenige Minuten in Anspruch und sorgt für die Sicherung Ihres Kontos. Wir hoffen auf Ihr Verständnis und auf Ihre Mithilfe.



Wie gehe ich weiter vor?

Bitte starten Sie über den unten aufgeführten Link die Kontobestätigung. Nachdem Sie die Kontobestätigung erfolgreich abgeschlossen haben, können Sie Ihr PayPal-Konto wieder wie gewohnt verwenden.



Klicken Sie hier, um den Vorgang zu starten



Mit freundlichen Grüßen,
Ihr Team der Sicherheitsabteilung

Alles anzeigen

[small]* Mir ist schon klar, daß die EMail nicht von Paypal kommt![/small]