unbefugte Dritte auf Ihr GMX Postfach zugegriffen?

Nicht wirklich. Das ist ein hypothetischer Wert. Ist so ähnlich wie die Musikindustrie sagt, das sie jedes Jahr einen Verlust von mindestens 24 Milliarden Euro hat.



Und das mit dem E-Mail-Konto...... ehrlich? - richte dir ein neues ein. Übertrage die wichtigen Adressen und gut.

Ich rufe ab und an noch meine erste Adresse auf, die ich je im I-Net hatte. Da ist eigentlich nur noch Dreck und Müll drin. Schon deshalb, weil ich am Anfang halt auch einfach dumm war. Im Schnitt taumeln da mindestens 1500 Spams pro Tag ein.

Ich hab mir inzwischen angewöhnt, das ich für die unterschiedlichen Kreise, in denen ich mich bewege für jeden eine eigene Adresse habe. Dies mache ich auch nicht über ein Sammelprogramm, sondern schreib mir das handschriftlich auf. Bequemlichkeit ist ja gut und schön, aber ich will es denn ganzen Spinnern auf der Welt es auch nicht zu leicht machen, mich zu belästigen.
 
Zuletzt bearbeitet:
ähm, nein ich werde diese Mailadresse nicht löschen. In dieser Mailadresse landen keine Spam emails. Und nur weil eine Mitarbeiterin meinte ich sollte die löschen, werde ich das definitiv nicht tun. Denn diese Adresse beinhaltet meinen Vornamen und meinen Nachnamen. Und der ist äusserst selten! Deswegen ist für mich die Aussage dieser Dame nicht passend. Bei Namen wie Müller oder Meier, joa da könnte diese Aussage passen.

Ich habe mich nicht über Spams in meinem Postfach ausgelassen, weil ich dort gar keine hinbekomme, sondern lediglich über die Aussage einer Mitarbeiterin von GMX.

Interessant was du in meinem Posting alles hinein interpretiert hast.
 
(Achtung, leichter Geekalarm! Es sollte aber aus dem Zusammenhang verständlich sein, hoffe ich zumindest.)
(...)aber ich gehe mal davon aus, dass viel mehr Passwörter gestohlen als geknackt werden.
Stimmt, aber nicht nur vom privaten Rechner, sondern vor allem in Massen aus den Datenbanken der Serverbetreiber, siehe auch die letzten Passwort Massendiebstähle bei Sony, GMX, Yahoo usw.

Passwörter sind zu einfach zu knacken

Problem 1
Die meisten Menschen verwenden erschreckend einfach zu knackende Passwörter, weil sie sich die wirklich kompliziert erstellten nicht merken können. Sie folgen den einschlägig bekannten "Anleitungen":
Zahlen, Groß- und Kleinschreibung, Sonderzeichen.

Damit es nicht zu schwer zu merken ist, verwenden ca. 90% aller Internetnutzer Passwörter mit einer Länge von weniger als 10 Zeichen.
Beispiel: "HUsw1%G86" *1)

Problem 2
Eine Repräsentation dieser Passwörter muss auf dem Zielrechner gespeichert werden und niemand weiß, wie sicher es dort wirklich gespeichert wird *2), aber meistens ist es nur ein normaler Crypto Algorithmus der etwas Salz hinzufügt und ein paar Runden dreht, oftmals nur ein MD5 der angesalzen wird (Programmierer wissen jetzt, was ich meine, alle anderen mögen es einfach glauben).

Das ist inakzeptabel.

Der Crypto wird verwendet, weil er schnell ist und man damit große Datenmengen schnell und sicher verschlüsseln kann, aber bei Passwörtern sind es kleine Datenmengen und da ist langsam die Devise, denn bei kleinen Datenmengen knackt man nicht die Verschlüsselung, sondern die Daten. Es gibt spezielle Passwort Verschlüsselungsroutinen, die ca. 1000 Mal langsamer und 1 Million Mal (und mehr) sicherer sind, weil sie das gespeicherte und verschlüsselte Passwort extrem verlängern. Leider höre ich da höre ich direkt den Aufschrei der Serverbetreiber: "Das macht den Rechner langsam!" Falsch! Der durchschnittliche User loggt sich während einer Session nur ein Mal ein, und das wars. Alle weitere Übertragung findet lediglich mit der deutlich schnelleren Session Verschlüsselung statt. Der zusätzliche Impakt bei PasswordHash statt CryptoHash Verwendung liegt unter 1% und die paar Millisekunden mehr beim Einloggen merkt der Benutzer nicht wirklich.

Der Standard Crypto Hash ist aber kollisions-anfällig, das bedeutet, man muss nicht das Passwort herausfinden, sondern nur ein Passwort, welches den selben Hash erzeugt und schon akzeptiert einen der Server. Dieses Verfahren ist um Längen schneller als Brute Force und diesem Verfahren ist es völlig gleichgültig, wie kryptisch der Ersteller des Passworts gearbeitet hat, denn Sonderzeichen erhöhen die Entropie eines Passworts nur unwesentlich, selbst für Brute Force Angriffe.

Und wieso 10.000 Jahre - kann man das berechnen?
Ja, kann man. Stichworte: Informationstheorie und Entropie. Trockener und komplexer Mathe Stoff (Formel,en), deswegen:

Beispiel 1: 11-stelliges Passwort, schwer zu merken
Ein 11-stelliges Passwort mit willkürlicher Groß und Kleinschreibung, 3 Zahlen und Sonderzeichen, so wie z.B "7R$aK3fÜg1k", hat eine Entropie von ca. 10^28 und ist ist bei gerade einmal 1000 Rate-Versuchen/s in ca. 3 Tagen geknackt und geht noch deutlich schneller, wenn der Server einen kollisions-anfälligen Algorithmus bei der Speicherung verwendet.
Solche Passwörter sind schwer zu merken, aber leicht zu knacken.

Beispiel 2: 26-stelliges Passwort, leicht zu merken
Ein 26-stelliges Passwort, welches aus einfach zu merkenden, nicht zusammenhängenden Wörtern gebildet wird, wie z.B. "VideoAutoTasseSchreibtisch" *3) hat eine Entropie von ca. 10^45 und dauert bei der selben Rate-Geschwindigkeit länger als 1000 Jahre.
Leicht gemerkt, schwer geknackt.

Die Verwendung von Rainbow Tables und ähnlichen Techniken beschleunigt den Knackvorgang natürlich um ein zig-faches, die 1000 Jahre sind also völlig illusorisch. Mir persönlich würde 1 Jahr aber lang und breit ausreichen, denn in dem Zeitraum habe ich selbst die unwichtigsten meiner Passwörter geändert.

Fazit

Gründe für "Bitte ändern sie ihr Passwort!" Meldungen:
  • Der Server desjenigen, der die Meldung verschickt hat, war nicht ausreichend gesichert und die Datenbank mit den Passwörtern wurde gestohlen bzw. geknackt. *4)
  • Das Passwort wurde bei mehreren Diensten verwendet und einer davon war nicht ausreichend gesichert. *5)
  • Der eigene Rechner ist mit Malware verseucht und die Passwörter wurden gestohlen.
  • Die Meldung selbst ist der Versuch, das Passwort zu stehlen. *6)

All das ist natürlich völlig unbedeutend, wenn man sich mit seinem (für die Hacker am besten noch mehrfach verwendeten) Passwort auf einer ungesicherten Seite einloggt. Dann wird das Passwort völlig unverschlüsselt übertragen und kann von jedem mit ausreichender krimineller Energie problemlos mitgelesen werden.

Wenn man dann noch zu der Fraktion gehört, die ein Mal eingetragene Passwörter nie wieder ändern: Gute Nacht ...



Anmerkungen:
  1. Keine Sorge, das ist keins meiner Passwörter. Ich verwende deutlich längere :D
  2. Wer erinnert sich an den Playstation Netzwerk Hack? Bei Sony waren die Passwörter unverschlüsselt in einer Datenbank auf einem unzureichend gesicherten Server gespeichert!
  3. Als ich das Video mit dem Auto abholen wollte, habe ich meine Tasse auf dem Schreibtisch stehen lassen. Schon gemerkt, oder? ;)
  4. Sony, Yahoo und andere.
  5. Entweder man verwendet überall das gleiche, oder so etwas wie "Loggen sie sich mit ihrem Facebook/Google/foo Account ein" - klassischer Cross Site Passwort Hack, bei dem nur eine Site unzureichend gesichert sein muss. Wird sehr gerne für Identitätsdiebstahl verwendet.
  6. Besonders verdächtig: "Klicken sie hier, um ihr Passwort zu ändern!" :devil
 
Zuletzt bearbeitet:
Man könnte ja theoretisch einen Bot programmieren, der z.B. bei GMX oder anderen Diensten (Onlinespiele, Forumaccaounts...) alle 7 Tage das Passwort ändert und den Nutzer über ein Popup beim Systemstart informiert.
 
Ich verwende immer Sätze (Anfangsbuchstaben) als Passwort: DAiidWs5T (Das Auto ist in der Werkstatt seit 5 Tagen)
 
Man könnte ja theoretisch einen Bot programmieren
Single point of failure. Schlechtes Karma. Nur noch der Bot bzw. dessen Algorithmus muss geknackt werden. Sicher, dass der Bot sicher programmiert wurde?

Weitere Nachteile:
  • Bot kaputt, alle Passwörter weg, da der Benutzer sie nicht kennt bzw. sie sich nicht merken kann. Sollte der Benutzer sie in einer Textdatei auf seinem Rechner speichern: Ganz schlechtes Karma! Gute Malware Bots durchsuchen die Platte nach pw.txt (Wen habe ich gerade erwischt, als er blass vor Schreck geworden ist, weil ich den Namen seiner Passwortdatei kenne? :ROFLMAO: )
  • Wenn die Seite ihre Zugangsart ändert, versagt der Bot.

Wenn ich noch 5s länger überlege, fallen mir noch 5 weitere Gründe ein, warum ein solcher Bot, wenn er nicht 100% fehlerfrei (<-- :rofl ) programmiert wurde, eine "Gute Idee" ist. ;)

Ich verwende immer Sätze (Anfangsbuchstaben) als Passwort: DAiidWs5T (Das Auto ist in der Werkstatt seit 5 Tagen)
Warum verwendest Du nicht direkt den ganzen Satz? Ist deutlich sicherer. Warum das so ist, siehe hier. ;)
 
Das Problem ist ja, das ich den o.g. Beitrag garnicht selbst gepostet habe...

Wie ist denn das zu verstehen? - Ist dein Account hier gehackt?

Interessant was du in meinem Posting alles hinein interpretiert hast.

Meinst du mich?



Da mir durchaus bewusst ist, dass es so etwas wie ein sicheres Passwort eher nicht gibt und ich nun leider auch nicht wirklich dafür sorge, das meine PWs schwierig sind, achte ich im Gegenzug eher darauf, nichts wirklich relevantes über Computer abzuwickeln. Ich nutze weder Online-Banking noch hab ich je mit Kreditkarte bezahlt. Ich nutze kein FB oder ähnlichen Schmarrn. E-Mails schreibe ich mit Glück etwa zwei im Monat. Ich versuche auch auf diese Art mich einfach uninteressant für Hacker zu machen.
 
Laut IP-Lokalisierung wurde Dein erster Beitrag von einem Telekom-Anschluss aus der Gegend Kassel/Marburg abgeschickt? Sagt Dir das etwas?

In jedem Fall solltest Du hier schnellstens Dein Passwort ändern.
 
Mein Allererster Beitrag? oder der Beitrag #17 in diesem Thread?

Ich schreibe meine Beiträge höchstens aus vier Gegenden (Kitzingen, Würzburg, Schwarzach a. Main, Abensberg). Passwort ist allerdings schon geändert. ;)
 
Dann, ändere ich das PW lieber nochmals. Beiträge, die bis Freitag nicht aus Abensberg kommen, sind nicht legitim.
 
Oben