Discussion:
Erpressungsmail erhalten
(zu alt für eine Antwort)
Louis Noser
2024-12-26 09:14:31 UTC
Permalink
Hallo

Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?

Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)

Es handelt sich um das folgend verlinkte Mail:
https://workupload.com/file/gBLuxWGjWGy

Ich habe das hochgeladene Mail nicht verändert, da nun eh jemand das
darin enthaltene Passwort (für mehrere Onlineportale) kennt und ich es
sowieso schon mehrere Jahre nicht mehr verwende.

Ich habe noch nichts getan. Weder gezahlt noch mein System neu aufgesetzt.

1.
Ich glaube nicht, dass ein effektiv aufgenommenes Video sehr viel
Sprengkraft hätte. Weil, kaum jemand wird die Kamera bei allfällig
vorgenommenen sexuellen Handlungen an sich selbst an kompromittierende
Körperstellen halten.

2.
Der Absender hätte das Video wohl an das Mail angehängt, hätte er eines
erstellt.

3.
Hätte der Absender effektiv, wie suggeriert, umfassenden Zugriff auf
meinen Rechner, hätte er sicher schon andere, mir mehr schadende
Aktionen unternommen.

Vielen Dank.

Grüsse
Louis
Louis Noser
2024-12-26 09:27:08 UTC
Permalink
Also sprach Louis Noser am 26.12.2024 um 10:14:

Das (externe) Laufwerk mit meinen Daten ist BitLocker-verschlüsselt.

Sollte sich jedoch Schadcode auf dem Laufwerk befinden, muss dieser
aufgerufen werden, um Unheil anzurichten. Wenn ich nun das interne
Windows-Laufwerk plattmache und neu installiere: Das Risiko ist sehr
klein bis null, dass dann Schadcode auf dem externen Laufwerk zu Leben
erwacht, richtig oder falsch? Wenn falsch, warum?

Vielen Dank.

Grüsse
Louis
Ralph Aichinger
2024-12-26 09:40:22 UTC
Permalink
Post by Louis Noser
Das (externe) Laufwerk mit meinen Daten ist BitLocker-verschlüsselt.
Das macht erstmals keinen Unterschied. Hast du ein Backup? Wenn nicht,
dann wär jetzt ein guter Zeitpunkt das Laufwerk zu nehmen, an einen
"sauberen" PC zu hängen und ein Backup zu erstellen. Eine externe HD
kostet quasi nix, wenn du ein paar TB Nutzdaten hast.
Post by Louis Noser
Sollte sich jedoch Schadcode auf dem Laufwerk befinden, muss dieser
aufgerufen werden, um Unheil anzurichten. Wenn ich nun das interne
Windows-Laufwerk plattmache und neu installiere: Das Risiko ist sehr
klein bis null, dass dann Schadcode auf dem externen Laufwerk zu Leben
erwacht, richtig oder falsch? Wenn falsch, warum?
Schwer zu sagen. Ich sehe keinen Grund, warum der Schadcode am internen
aber nicht am externen Laufwerk sein kann, sobald Bitlocker entsperrt
kommt halt die Schadsoftware auch hin.

Eher relevant ist für mich die Frage ob es auf deinem lokalen Rechner
überhaupt jemals Schadcode gegeben hat, oder ob dich z.B. jemand soweit
ausgetrickst hat, dein Passwort in irgendein gefälsches Webinterface
einzutippen, oder es über ein kompromittiertes Gäste-WLAN etc. abgegriffen
hat, oder aus dem Backend eines Serviceanbieters gestohlen.

/ralph
Louis Noser
2024-12-26 13:25:26 UTC
Permalink
... Eine externe HD
kostet quasi nix, wenn du ein paar TB Nutzdaten hast.
Darf ich etwas OTes fragen?

Wie kommt man auf ein paar TB an persönlichen Daten?

Multimedia, richtig?

Ich komme mir so klein und unbedeutend vor im Universum. :-)

Grüsse
Louis
Ralph Aichinger
2024-12-26 13:36:33 UTC
Permalink
Post by Louis Noser
Wie kommt man auf ein paar TB an persönlichen Daten?
Multimedia, richtig?
Ja, würde ich sagen. Oder Softwarearchiv.
Post by Louis Noser
Ich komme mir so klein und unbedeutend vor im Universum. :-)
Naja, ich z.B. hebe fast keine Videos auf, und komme nur mit
Fotos auf größere Datenmengen (ich hab zeitweise relativ viel
fotografiert), aber auch nich mehr als vielleicht 1-2 TB, trotz vieler
Raw-Aufnahmen.

Bei reinen Audio-Aufnahmen ist 1TB schon *richtig* viel, soviel hab ich
nicht.

/ralph
Jörg Lorenz
2024-12-26 17:34:05 UTC
Permalink
Post by Louis Noser
... Eine externe HD
kostet quasi nix, wenn du ein paar TB Nutzdaten hast.
Darf ich etwas OTes fragen?
Wie kommt man auf ein paar TB an persönlichen Daten?
Multimedia, richtig?
Ich komme mir so klein und unbedeutend vor im Universum. :-)
Alles Angabe. Kein normaler Mensch kann für private Zwecke sinnvoll
solche Datenmengen nutzen. Nicht mal mit Multimedia.

BTW: Goethes geschriebenes Werk hat in einer Gefängniszelle Platz. Lass
Dich nicht verunsichern.
--
"Ave! Morituri te salutant!"
Ralph Aichinger
2024-12-26 17:56:54 UTC
Permalink
Post by Jörg Lorenz
Alles Angabe. Kein normaler Mensch kann für private Zwecke sinnvoll
solche Datenmengen nutzen. Nicht mal mit Multimedia.
Mit Videodateien kann man auch zig Terabyte leicht füllen.
Nein, ich mach das nicht, aber ich hab auch analog keine
Videokassetten gehabt.

/ralph
Jörg Lorenz
2024-12-26 20:44:46 UTC
Permalink
Post by Ralph Aichinger
Post by Jörg Lorenz
Alles Angabe. Kein normaler Mensch kann für private Zwecke sinnvoll
solche Datenmengen nutzen. Nicht mal mit Multimedia.
Mit Videodateien kann man auch zig Terabyte leicht füllen.
Nein, ich mach das nicht, aber ich hab auch analog keine
Videokassetten gehabt.
Können schon. Key Words waren "normaler Mensch" und "sinnvoll nutzen".
--
"Ave! Morituri te salutant!"
Ralph Aichinger
2024-12-26 21:07:02 UTC
Permalink
Post by Jörg Lorenz
Können schon. Key Words waren "normaler Mensch" und "sinnvoll nutzen".
Mit Serientimern oder sowas kann man die schnell füllen. 1TB Video ist
nicht so viel, gerade wenn ineffizient kodiert (wie das Zeug das vom Sat
kommt).

/ralph
Kay Martinen
2024-12-27 15:14:14 UTC
Permalink
Post by Ralph Aichinger
Post by Jörg Lorenz
Können schon. Key Words waren "normaler Mensch" und "sinnvoll nutzen".
Mit Serientimern oder sowas kann man die schnell füllen. 1TB Video ist
nicht so viel, gerade wenn ineffizient kodiert (wie das Zeug das vom Sat
kommt).
Wenn man mit o.g. Timern Serien aufnimmt; und nicht nur eine komplett
haben wollte dann sind auch 2TB oder mehr irgendwann voll. Bei Filmen
noch schneller.

Hier liegen typische Serien-episoden meist so um 1 GB pro Stück und
Filme bei 2-3 GB. Alles SD, unverschlüsselt, ungeschnitten also mit 2 o.
mehr Werbeblöcken und verschnitt am Anfang und Ende.

Wenn man sie schneidet (DVBcut) landet man bei 0,5 bis 0,7 GB pro
Episode und ca. bei 1,5 bis 2 GB Pro Film. Da geht dann aber TS rein und
es kommt MPG raus. Was sonst noch raus fällt sind oft 2. Audiospur, EPG,
Subtitel o.a. streams. Nur als Grober Überblick.

Das würde ich aber nicht als Persönliche Daten werten auch wenn ich
traurig wäre wenn die weg kämen. Denn dann müßte ich sie auch mittels
Backup oder Raid absichern was ich aus Kostengründen nicht tue.

Würde mir ein "Erpresser" die verschlüsseln o.a. unzugänglich machen,
ich würde die Platten wohl neu formatieren und wieder von vorn anfangen
zu sammeln. Aber dazu müßte er erst mal auf den Server kommen...

Bye/
/Kay
--
Posted via Leafnode
Arno Welzel
2024-12-27 00:06:08 UTC
Permalink
Post by Jörg Lorenz
Post by Louis Noser
... Eine externe HD
kostet quasi nix, wenn du ein paar TB Nutzdaten hast.
Darf ich etwas OTes fragen?
Wie kommt man auf ein paar TB an persönlichen Daten?
Multimedia, richtig?
Ich komme mir so klein und unbedeutend vor im Universum. :-)
Alles Angabe. Kein normaler Mensch kann für private Zwecke sinnvoll
solche Datenmengen nutzen. Nicht mal mit Multimedia.
Ich nutze aktuell privat ca. 5 TB Speicherkapazität, verteilt auf
mehrere Computer und Server - und für Backup nochmal ein Vielfaches
davon, weil die Daten ja auch redundant gesichert sein sollen.
--
Arno Welzel
https://arnowelzel.de
Kay Martinen
2024-12-27 15:19:25 UTC
Permalink
Post by Arno Welzel
Post by Jörg Lorenz
Post by Louis Noser
... Eine externe HD
kostet quasi nix, wenn du ein paar TB Nutzdaten hast.
Darf ich etwas OTes fragen?
Wie kommt man auf ein paar TB an persönlichen Daten?
Multimedia, richtig?
Ich komme mir so klein und unbedeutend vor im Universum. :-)
Alles Angabe. Kein normaler Mensch kann für private Zwecke sinnvoll
solche Datenmengen nutzen. Nicht mal mit Multimedia.
Ich nutze aktuell privat ca. 5 TB Speicherkapazität, verteilt auf
mehrere Computer und Server - und für Backup nochmal ein Vielfaches
davon, weil die Daten ja auch redundant gesichert sein sollen.
Bei Hochauflösenden Photos oder Privaten Videoaufnahmen (Familie o.ä.)
bekommt man das sicher über die Zeit zusammen.

Für ein Archiv von TV-Shows und Filme aus dem Free TV geht das noch
schneller. Da hab ich zur Zeit 4 TB für Serien und 12 TB für Filme (noch
3 TB frei).

Die ersteren sind bei mir weniger. aber redundant. Die anderen nicht.

Bye/
/Kay
--
Posted via Leafnode
Ralph Aichinger
2024-12-26 09:33:57 UTC
Permalink
Post by Louis Noser
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Das kann man so nicht sagen. Kommt auch drauf an, wie plausibel die
Mail wirkt. Ich bekomme im Moment 2 mal die Woche Mails, die mich
beim onanieren gefilmt haben wollen, was ich definitiv ausschließen kann ;)
Post by Louis Noser
Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)
Nichts was in so einer Mail behauptet wird glauben.
Nichts was in so einer Mail behauptet wird glauben.
Post by Louis Noser
https://workupload.com/file/gBLuxWGjWGy
Ich habe das hochgeladene Mail nicht verändert, da nun eh jemand das
darin enthaltene Passwort (für mehrere Onlineportale) kennt und ich es
sowieso schon mehrere Jahre nicht mehr verwende.
Ich habe noch nichts getan. Weder gezahlt noch mein System neu aufgesetzt.
Das Passswort ist aber nirgends mehr im Einsatz? Das wär für mich mal 1.
Priorität zu checken. Das mit dem Passwort ist das einzige was mich hier
irritiert, sonst ist das üblicher Übertölpelungsspam.
Post by Louis Noser
1.
Ich glaube nicht, dass ein effektiv aufgenommenes Video sehr viel
Sprengkraft hätte. Weil, kaum jemand wird die Kamera bei allfällig
vorgenommenen sexuellen Handlungen an sich selbst an kompromittierende
Körperstellen halten.
Der Teil ist für mich ein Indikator die Mail einfach zu ignorieren.
Post by Louis Noser
3.
Hätte der Absender effektiv, wie suggeriert, umfassenden Zugriff auf
meinen Rechner, hätte er sicher schon andere, mir mehr schadende
Aktionen unternommen.
Ja. Trotzdem, in Betracht ziehen, dass eventuell der Mailaccount
trotzdem kompromittiert sein könnte, und überlegen, welche Passwörter
an diesen Account geschickt worden sind, welche Accounts daran geknüpft
bei denen man mit diesem Account die Passwörter hätte resetten können,
etc, und alles ändern. Alles. Am besten von einem neuen Gerät.

Das alte Gerät zumindest mit etwas Skepsis behandeln. Vielleicht kennen
andere ja genau diese Masche und können mehr dazu sagen.

/ralph
Herrand Petrowitsch
2024-12-26 10:19:17 UTC
Permalink
Post by Ralph Aichinger
Post by Louis Noser
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Das kann man so nicht sagen. Kommt auch drauf an, wie plausibel die
Mail wirkt.
... bzw. auch auf das vorangegangene Nutzerverhalten etc.
Post by Ralph Aichinger
[Tipps]
Trotzdem, in Betracht ziehen, dass eventuell der Mailaccount
trotzdem kompromittiert sein könnte, und überlegen, welche Passwörter
an diesen Account geschickt worden sind, welche Accounts daran geknüpft
bei denen man mit diesem Account die Passwörter hätte resetten können,
etc, und alles ändern. Alles. Am besten von einem neuen Gerät.
~~~~~~~~~~~~~~~~~~~~~~~
Post by Ralph Aichinger
Das alte Gerät zumindest mit etwas Skepsis behandeln. Vielleicht kennen
andere ja genau diese Masche und können mehr dazu sagen.
Es *kann* sich dabei um eine der ueblichen Vorgangsweisen handeln, um
Phishing erstmal einzuleiten.
Ich selbst verwerfe derartige Mitteilungen normalerweise gleich, aber
wie gesagt, ist unbedingt das Nutzerverhalten in Betracht zu ziehen.

Im Zweifelsfall eben komplette Neuinstallation ...

Gruss Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.
Ralph Aichinger
2024-12-26 11:05:39 UTC
Permalink
Post by Herrand Petrowitsch
Ich selbst verwerfe derartige Mitteilungen normalerweise gleich, aber
wie gesagt, ist unbedingt das Nutzerverhalten in Betracht zu ziehen.
Ich auch, aber ich hab noch nie eine gehabt, wo ein tatsächliches
Passwort dringestanden ist.
Post by Herrand Petrowitsch
Im Zweifelsfall eben komplette Neuinstallation ...
Ja, wobei eventuell kann es interessant sein für forensiche Zwecke
die alte Installation zu sichern, wenn man das kann.

Und: Die Neuinstallation kann zwar nicht schaden, u.U. nutzt sie aber
auch nichst, wenn das Passwort über einen anderen Mechanismus (z.B.
auf kompromittiertem anderen Rechner damit eingeloggt) bekanntgeworden
ist.

/ralph
Herrand Petrowitsch
2024-12-26 11:28:36 UTC
Permalink
Post by Ralph Aichinger
Post by Herrand Petrowitsch
Ich selbst verwerfe derartige Mitteilungen normalerweise gleich, aber
wie gesagt, ist unbedingt das Nutzerverhalten in Betracht zu ziehen.
Wobei es Nutzer gibt, denen ich weit weniger zutraue als mir. :-)
Post by Ralph Aichinger
Ich auch, aber ich hab noch nie eine gehabt, wo ein tatsächliches
Passwort dringestanden ist.
Ich ebenfalls nicht, dieser Umstand sollte den OP bedenklich stimmen.
Post by Ralph Aichinger
Post by Herrand Petrowitsch
Im Zweifelsfall eben komplette Neuinstallation ...
Ja, wobei eventuell kann es interessant sein für forensiche Zwecke
die alte Installation zu sichern, wenn man das kann.
Auch das, ja.
Post by Ralph Aichinger
Und: Die Neuinstallation kann zwar nicht schaden, u.U. nutzt sie aber
auch nichst, wenn das Passwort über einen anderen Mechanismus (z.B.
auf kompromittiertem anderen Rechner damit eingeloggt) bekanntgeworden
ist.
Aus diesem Grunde schriebst du ja auch

| und alles ändern. Alles. Am besten von einem neuen Gerät.

als eine der bevorzugten Massnahmen.

Am besten ist im ONU-Fall eben ein Backup von vor einem (vermeintlichen)
Befall vorzuhalten, sofern der Zeitrahmen einigermassen bekannt ist.

Gruss Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.
Herrand Petrowitsch
2024-12-26 11:37:21 UTC
Permalink
Post by Ralph Aichinger
Post by Herrand Petrowitsch
Ich selbst verwerfe derartige Mitteilungen normalerweise gleich, aber
wie gesagt, ist unbedingt das Nutzerverhalten in Betracht zu ziehen.
Wobei es Nutzer gibt, denen ich weit weniger zutraue als mir. :-)
Post by Ralph Aichinger
Ich auch, aber ich hab noch nie eine gehabt, wo ein tatsächliches
Passwort dringestanden ist.
Ich ebenfalls nicht, dieser Umstand sollte den OP bedenklich stimmen.
Post by Ralph Aichinger
Post by Herrand Petrowitsch
Im Zweifelsfall eben komplette Neuinstallation ...
Ja, wobei eventuell kann es interessant sein für forensiche Zwecke
die alte Installation zu sichern, wenn man das kann.
Auch das, ja.
Post by Ralph Aichinger
Und: Die Neuinstallation kann zwar nicht schaden, u.U. nutzt sie aber
auch nichst, wenn das Passwort über einen anderen Mechanismus (z.B.
auf kompromittiertem anderen Rechner damit eingeloggt) bekanntgeworden
ist.
Aus diesem Grunde schriebst du ja auch

| und alles ändern. Alles. Am besten von einem neuen Gerät.

als eine der bevorzugten Massnahmen.

Am besten ist im ONU-Fall eben ein Backup von vor einem (vermeintlichen)
Befall vorzuhalten, sofern der Zeitrahmen einigermassen bekannt ist.
Wobei auch das wenig hilft, sofern die Zugangscodes nicht zuvor
rueckgesetzt wurden.

Gruss Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.
Jörg Lorenz
2024-12-26 17:37:12 UTC
Permalink
Post by Herrand Petrowitsch
Post by Ralph Aichinger
Post by Louis Noser
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Das kann man so nicht sagen. Kommt auch drauf an, wie plausibel die
Mail wirkt.
... bzw. auch auf das vorangegangene Nutzerverhalten etc.
Echt?
Post by Herrand Petrowitsch
Post by Ralph Aichinger
[Tipps]
Trotzdem, in Betracht ziehen, dass eventuell der Mailaccount
trotzdem kompromittiert sein könnte, und überlegen, welche Passwörter
an diesen Account geschickt worden sind, welche Accounts daran geknüpft
bei denen man mit diesem Account die Passwörter hätte resetten können,
etc, und alles ändern. Alles. Am besten von einem neuen Gerät.
~~~~~~~~~~~~~~~~~~~~~~~
Post by Ralph Aichinger
Das alte Gerät zumindest mit etwas Skepsis behandeln. Vielleicht kennen
andere ja genau diese Masche und können mehr dazu sagen.
Es *kann* sich dabei um eine der ueblichen Vorgangsweisen handeln, um
Phishing erstmal einzuleiten.
Ich selbst verwerfe derartige Mitteilungen normalerweise gleich, aber
wie gesagt, ist unbedingt das Nutzerverhalten in Betracht zu ziehen.
Im Zweifelsfall eben komplette Neuinstallation ...
Hast Du auch mal was anderes drauf?
Das ist übrigens ein Zweifelsfall. Ohne Ursachenforschung ist der
betroffene User aber 10 Sekunden nach dem Aufsetzen wieder gleich weit,
Du Schlaumeier.
--
"Ave! Morituri te salutant!"
Kay Martinen
2024-12-26 13:16:13 UTC
Permalink
Post by Ralph Aichinger
Post by Louis Noser
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Mal haveibeenpawnd dazu befragen.
Post by Ralph Aichinger
Das kann man so nicht sagen. Kommt auch drauf an, wie plausibel die
Mail wirkt. Ich bekomme im Moment 2 mal die Woche Mails, die mich
beim onanieren gefilmt haben wollen, was ich definitiv ausschließen kann ;)
Weil: S.u.? :)
Post by Ralph Aichinger
Post by Louis Noser
Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)
Schadcode allein kann noch nichts aufnehmen. Dazu braucht er ein Gerät.
Post by Ralph Aichinger
Post by Louis Noser
Ich glaube nicht, dass ein effektiv aufgenommenes Video sehr viel
Sprengkraft hätte. Weil, kaum jemand wird die Kamera bei allfällig
vorgenommenen sexuellen Handlungen an sich selbst an kompromittierende
Körperstellen halten.
Ich "beömele" mich ja immer wenn ich (bisher ein mal) so eine Mail
bekomme weil:

Mein PC hat überhaupt keine Kamera! ;-)

Womit weder Schadcode in irgendwelchen Treibern, Programmen, Webseiten
die Möglichkeit hätten irgend etwas auf zu nehmen - wenn schlichtweg
kein Gerät zum Aufnehmen vorhanden ist. Das man dann eben auch nicht auf
entsprechende Körperstellen halten könne.

Kein Feuer = Kein Rauch!

Die Manie vieler Leute zu Laptops u.a. Mobilen Geräten und das diese oft
Kamera und Mikrophon eingebaut haben führt nur zu dieser Möglichkeit und
das man dies annehmen könne. Halte ich für "Phischen" im trüben. Wenn
jemand wirklich erpreßt werden sollte dann müßte man ein Beweis-video
erwarten können.

Bye/
/Kay
--
Posted via Leafnode
Jörg Lorenz
2024-12-26 09:38:00 UTC
Permalink
Post by Louis Noser
Hallo
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)
https://workupload.com/file/gBLuxWGjWGy
Ich habe das hochgeladene Mail nicht verändert, da nun eh jemand das
darin enthaltene Passwort (für mehrere Onlineportale) kennt und ich es
sowieso schon mehrere Jahre nicht mehr verwende.
Ich habe noch nichts getan. Weder gezahlt noch mein System neu aufgesetzt.
1.
Ich glaube nicht, dass ein effektiv aufgenommenes Video sehr viel
Sprengkraft hätte. Weil, kaum jemand wird die Kamera bei allfällig
vorgenommenen sexuellen Handlungen an sich selbst an kompromittierende
Körperstellen halten.
2.
Der Absender hätte das Video wohl an das Mail angehängt, hätte er eines
erstellt.
3.
Hätte der Absender effektiv, wie suggeriert, umfassenden Zugriff auf
meinen Rechner, hätte er sicher schon andere, mir mehr schadende
Aktionen unternommen.
Das ist m.E. ganz normaler Spam. Das Passwort/E-Mail ist die Beute aus
einem Leck bei einem Deiner Provider irgendeiner Deiner Services. Das
deutet vor allem das Alter und die Nichtmehrverwendung des PW hin. Auch
der Quelltext deutet eher auf ein gewöhnliches Spam-Mail:

270870IRENE
An: "louis.noser" <***@gmx.ch>
X-Ms-Exchange-Crosstenant-Userprincipalname:
iHqa3fPwoV91KrtQXU/SECFxqoQffUIR8oo/+NUJh9DIoRHlHUOBfk9SctEb2xJLlKM137jnviLsU50MXVQzlQ==
X-Clientproxiedby: SN7P222CA0021.NAMP222.PROD.OUTLOOK.COM
(2603:10b6:806:124::6) To SJ0P222MB0204.NAMP222.PROD.OUTLOOK.COM
(2603:10b6:a03:3fc::14)
X-Ms-Exchange-Crosstenant-Originalarrivaltime: 18 Dec 2024 17:26:40.5100
(UTC)
X-Originatororg: itb.edu.ec
X-Ms-Exchange-Transport-Crosstenantheadersstamped: PH7P222MB0666
X-Ms-Exchange-Antispam-Relay: 0
X-Forefront-Antispam-Report:
CIP:255.255.255.255;CTRY:;LANG:de;SCL:1;SRV:;IPV:NLI;SFV:NSPM;H:SJ0P222MB0204.NAMP222.PROD.OUTLOOK.COM;PTR:;CAT:NONE;SFS:(13230040)(41320700013)(366016)(376014)(52116014)(1800799024)(8096899003)(38350700014)(7053199007)(18082699012);DIR:OUT;SFP:1102;
Authentication-Results: gmx.net; dkim=pass
header.i=@ISTBolivariano.onmicrosoft.com
X-Ms-Exchange-Crosstenant-Authsource: SJ0P222MB0204.NAMP222.PROD.OUTLOOK.COM
Importance: high
Return-Path: <***@itb.edu.ec>
X-Message-Flag: Flag for follow up
X-Ms-Exchange-Crosstenant-Fromentityheader: Hosted
X-Mozilla-Keys:
X-Ms-Exchange-Crosstenant-Mailboxtype: HOSTED
X-Priority: 1
X-Ms-Exchange-Crosstenant-Id: 63b122f5-3d55-4475-8364-2a53cfa0dc68
X-Spam-Flag: YES
X-Ms-Exchange-Antispam-Messagedata-Chunkcount: 1
Envelope-To: <***@gmx.ch>
X-Ms-Publictraffictype: Email
X-Ms-Exchange-Crosstenant-Authas: Internal
Arc-Seal: i=1; a=rsa-sha256; s=arcselector10001; d=microsoft.com;
cv=none;
b=RDdFJkM35GV6+S9dLu91qOsWMBnVbrxrGqCCblJInhPYXR8RiWLvEvPS4Cz9QVaW7i6b6iNmGuNf66mU7uWFo+6kNvW4Hph7KE+L9wPKiLkC5ZeiBPSmP6VVt4CUVxUATz643/m3ZZB0sCOBp2O+Zz/cXbRpuuoJ1qq7PEv7wQnRWlUQ2FuTVADwBMccMVJ+N3dQppoGkRoRDPPsQqz959UlM1lwENM/cC3OMRgaOCEwlMMCm9HXNQTE8Opd6VPyDlz3OoVMNe3hfXnIcMoDusw8AqG8dsXfuA9xnttIiim7FBc8qxNNI0Sq73MII3yx2g27P8V0VBM+mpYc1pvq3A==
X-Microsoft-Antispam:
BCL:0;ARA:13230040|41320700013|366016|376014|52116014|1800799024|8096899003|38350700014|7053199007|18082699012;
X-Ms-Exchange-Senderadcheck: 1
Ui-Inboundreport: junk:10;M01:P0:kbt/

X-Mozilla-Status2: 00000000
Arc-Authentication-Results: i=1; mx.microsoft.com 1; spf=pass
smtp.mailfrom=itb.edu.ec; dmarc=pass action=none header.from=itb.edu.ec;
dkim=pass header.d=itb.edu.ec; arc=none
Mime-Version: 1.0
X-Ms-Office365-Filtering-Correlation-Id:
2e33dd61-e9ed-492c-eca6-08dd1f89224a
Received: from NAM02-SN1-obe.outbound.protection.outlook.com
([40.107.96.136]) by mx-ha.gmx.net (mxgmx109 [212.227.17.5]) with ESMTPS
(Nemesis) id 1M1Jhq-1tPkk90zwA-007HhE for <***@gmx.ch>; Thu, 19
Dec 2024 04:05:11 +0100
Received: from SJ0P222MB0204.NAMP222.PROD.OUTLOOK.COM
(2603:10b6:a03:3fc::14) by PH7P222MB0666.NAMP222.PROD.OUTLOOK.COM
(2603:10b6:510:31b::21) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8272.13; Wed, 18
Dec 2024 17:28:12 +0000
Received: from SJ0P222MB0204.NAMP222.PROD.OUTLOOK.COM
([fe80::86af:11a8:c236:b0ee]) by SJ0P222MB0204.NAMP222.PROD.OUTLOOK.COM
([fe80::86af:11a8:c236:b0ee%7]) with mapi id 15.20.8272.005; Wed, 18 Dec
2024 17:28:12 +0000
Content-Type: multipart/alternative;
boundary="43rvOAeV41HF7x4RWLxSKBGlfOPB=_CxNT"
X-Ms-Traffictypediagnostic: SJ0P222MB0204:EE_|PH7P222MB0666:EE_
X-Gmx-Antispam: 5 (eXpurgate); Detail=V3;
X-Ms-Exchange-Crosstenant-Network-Message-Id:
2e33dd61-e9ed-492c-eca6-08dd1f89224a
Arc-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed;
d=microsoft.com; s=arcselector10001;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1;
bh=s2bCjrBifj5pdgR9M8EdXCEA5fVcNDQUX/xmaOBU2g4=;
b=NEcOATb7M4gAEiNoeuwNQq/PFdrxsSSQLGNRtDUhBWU3DhtBmU7Ec3kMcGIcOreiOiSqI7v1y0pqSOjR5tlO8LiEPL7qqf3Co422NmIDlq3DXMEQ55axnre1mTXf2kePdd1+SnUQao2Bs10PSuI0l2xcTLEEGiXKxP89qwvzwwvdIg0sKmbzM2ipgIT1h9DHkiIr/kkq/exS4i2UYIrCp0IMhnHwHQc23XRqcM26Dv/Xz3/hFaGzT80nNXIGnpSteCmhPZ02cr68k4vyZYoFc80OtRP/PuGamBD4X5ipaPbWoezUS53iJf+sYocK9FsnycbKJ3PLYz7crIfQrPj2jg==
Dkim-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=ISTBolivariano.onmicrosoft.com;
s=selector1-ISTBolivariano-onmicrosoft-com;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=s2bCjrBifj5pdgR9M8EdXCEA5fVcNDQUX/xmaOBU2g4=;
b=QxCnHTw7iDelE0Au5l+e2otEgUiuvEc2AmbCIq5DQjJbhIHejjf9DXXPmG2D53xHNNnB3zR3PO+6FSKaLYo3RlO3Gc7ixfZtQ/2b4+E0w0IT2Tt4UorgLztrVVLjoTJzBSTGPJAJsF5AGKPYAYOtJxHeNdyJU1yJHKphO5lXGHY=

Aendere das PW nochmals und nimm etwas Sichereres. Solche Mails habe ich
auch schon einige bekommen, wenn auch ohne PW/Email-Kombination. Schlimm
wäre das nur, wenn das PW noch in Benutzung wäre. Mach Dir Gedanken, ob
Deine PW-Strategie noch ausreichend ist.

Gruss, Jörg
--
"Manus manum lavat"
Ralph Aichinger
2024-12-26 10:01:45 UTC
Permalink
Post by Jörg Lorenz
Aendere das PW nochmals und nimm etwas Sichereres. Solche Mails habe ich
auch schon einige bekommen, wenn auch ohne PW/Email-Kombination. Schlimm
wäre das nur, wenn das PW noch in Benutzung wäre. Mach Dir Gedanken, ob
Deine PW-Strategie noch ausreichend ist.
Naja, so schnell würde ich das ganze nicht wegwischen. Das Passwort ist
ersteinmal nicht *soo* schlecht (Buchstaben, Ziffern, Länge 11 Zeichen)
auch wenn ein übliches Muster (Datum, Name) verwendet wird, und das Wort
sicher im Wörterbuch steht.

IMHO ist hier die Wahrscheinlichkeit, dass jemand den Klartext
abgegriffen hat schon deulich höher als ein Entschlüsseln aus einem
Ciphertext, den man ja auch erst mal irgendwoher holen muß.

Ich finde daher die Frage: "Woher haben die das?" spannender, damit
das nicht wieder passieren kann, selbst wenn man auf ein superkomplexes
Passwort ändert. Denn wenn das z.B. aus einem fingierten Login stammt,
dann hilft dir auch das komplexeste Passwort nix. Oder wenn es vom
Kompromittierten Backend irgendeines Dienstanbieters stammt, wo es im
Klartext steht o.ä.

/ralph
Louis Noser
2024-12-26 12:52:06 UTC
Permalink
Post by Ralph Aichinger
Ich finde daher die Frage: "Woher haben die das?" spannender,
Dito.

Der letzte Satz aus dem Mail könnte einen Hinweis auf die Quelle geben,
imho:

"Ändere deine Passwörter regelmäßig und richte für alle deine Konten
eine Multi-Faktor-Authentifizierung ein."

Grüsse
Louis
Ralph Aichinger
2024-12-26 12:56:47 UTC
Permalink
Post by Louis Noser
Der letzte Satz aus dem Mail könnte einen Hinweis auf die Quelle geben,
Das verstehe ich nicht. Wie meinst du das?
Post by Louis Noser
"Ändere deine Passwörter regelmäßig
Das ist natürlich Bullshit und würde ich keinesfalls tun.
Post by Louis Noser
und richte für alle deine Konten
eine Multi-Faktor-Authentifizierung ein."
Das kann man machen.

/ralph
Louis Noser
2024-12-26 13:01:35 UTC
Permalink
Post by Ralph Aichinger
Post by Louis Noser
Der letzte Satz aus dem Mail könnte einen Hinweis auf die Quelle geben,
Das verstehe ich nicht. Wie meinst du das?
Die Frage war, woher der Absender mein altes Passwort hat. Also was ist
die Quelle?
Post by Ralph Aichinger
Post by Louis Noser
"Ändere deine Passwörter regelmäßig
Das ist natürlich Bullshit und würde ich keinesfalls tun.
Das verstehe ich wiederum nicht. Ist das nicht ein Tipp, den alle geben?
Post by Ralph Aichinger
Post by Louis Noser
und richte für alle deine Konten
eine Multi-Faktor-Authentifizierung ein."
Das kann man machen.
Warum denkst Du das? Ist das nicht *der* Schutz gegen alle Login-Klauereien?

Grüsse
Louis
Louis Noser
2024-12-26 13:11:26 UTC
Permalink
Post by Louis Noser
Post by Ralph Aichinger
Post by Louis Noser
Der letzte Satz aus dem Mail könnte einen Hinweis auf die Quelle geben,
Das verstehe ich nicht. Wie meinst du das?
Die Frage war, woher der Absender mein altes Passwort hat. Also was ist
die Quelle?
Ich glaube, ich meinte, wenn der Absender am Schluss schreibt, ich solle
meine Online-Sicherheit ernster nehmen, dann sagt er damit selbst, dass
mein Rechner nicht vom Passwort-Hack betroffen ist.

Grüsse
Louis
Ralph Aichinger
2024-12-26 13:21:31 UTC
Permalink
Post by Louis Noser
Ich glaube, ich meinte, wenn der Absender am Schluss schreibt, ich solle
meine Online-Sicherheit ernster nehmen, dann sagt er damit selbst, dass
mein Rechner nicht vom Passwort-Hack betroffen ist.
Alles in solchen Mails ist erstunken und erlogen. Es ist völlig egal
was die da reinschreiben.

/ralph
Jörg Lorenz
2024-12-26 17:43:05 UTC
Permalink
Post by Ralph Aichinger
Post by Louis Noser
Ich glaube, ich meinte, wenn der Absender am Schluss schreibt, ich solle
meine Online-Sicherheit ernster nehmen, dann sagt er damit selbst, dass
mein Rechner nicht vom Passwort-Hack betroffen ist.
Alles in solchen Mails ist erstunken und erlogen. Es ist völlig egal
was die da reinschreiben.
+1
--
"Ave! Morituri te salutant!"
Ralph Aichinger
2024-12-26 13:20:29 UTC
Permalink
Post by Louis Noser
Post by Ralph Aichinger
Das ist natürlich Bullshit und würde ich keinesfalls tun.
Das verstehe ich wiederum nicht. Ist das nicht ein Tipp, den alle geben?
Das war bis vor wenigen Jahren in vielen Firmen Pflicht, mittlerweile
weiß man aus der Forschung, dass das kontraproduktiv ist. Die Leute
hängen einfach 1, 2, 3 etc. ans Passwort an, oder geben den Monat als
Bestandteil rein oder sowas.

Siehe z.B.:

https://all4it.ch/2024/02/01/weshalb-man-sein-passwort-nicht-regelmaessig-aendern-sollte/
https://www.mittelstand-heute.com/regelmaessiger-passwortwechsel-kann-schaedlich-sein

Außerdem beinhaltet jedes Ändern des Passwortes wieder ein kleines
Risiko, dass es verschütt geht, man ausgetrickst wird,
durcheinanderkommt, etc.
Post by Louis Noser
Post by Ralph Aichinger
Post by Louis Noser
und richte für alle deine Konten
eine Multi-Faktor-Authentifizierung ein."
Das kann man machen.
Warum denkst Du das? Ist das nicht *der* Schutz gegen alle Login-Klauereien?
Nicht gegen alle, aber gegen viele. Wir wissen nicht wie dein
Passwort in die Hände der Kriminellen gekommen ist. Aber z.B.
als Gedankenmodell: Wenn bei gmx.ch die Passwörter geleakt worden
wären, so wäre es unmöglich gewesen ein Hardwaretoken mit zu leaken,
d.h. man hätte mit dem Passwort alleine noch nichts angefangen.

Außerdem müßte man sich bei Social Engineering (wenn man dir dein
Passwort entlocken will) deutlich mehr Mühe geben.

Nachteil: Das ganze kann manchmal ganz schön umständlich werden, was
viele Leute erst recht überfordert.

/ralph
Louis Noser
2024-12-26 14:32:49 UTC
Permalink
Post by Ralph Aichinger
...Ist das nicht *der* Schutz gegen alle Login-Klauereien?
Nicht gegen alle, aber gegen viele.
Ich habe da etwas verwechselt.

Kann es einem nicht egal sein, wenn das Login erbeutet wurde, wenn das
Smartphone zum Einloggen benötigt wird?

Oder gibt es Wege, sich als böser Bube auch ohne Smartphone einzuloggen?

Grüsse
Louis
Ralph Aichinger
2024-12-26 14:46:07 UTC
Permalink
Post by Louis Noser
Kann es einem nicht egal sein, wenn das Login erbeutet wurde, wenn das
Smartphone zum Einloggen benötigt wird?
Nein, weil dann immer noch anderes auf dem gleichen Weg erbeutet worden
sein kann.

Und weil man dann (eventuell in trügerischer Sicherheit, wegen 2FA)
immer noch ausgetrickst werden kann, dass man den 2. Faktor
bereitstellt.
Post by Louis Noser
Oder gibt es Wege, sich als böser Bube auch ohne Smartphone einzuloggen?
Ein 2. Faktor muß kein Smartphone sein, kann z.B. auch ein Yubikey oder
sowas in der Art sein.

/ralph
Jörg Lorenz
2024-12-26 17:42:23 UTC
Permalink
Post by Louis Noser
Post by Ralph Aichinger
Post by Louis Noser
Der letzte Satz aus dem Mail könnte einen Hinweis auf die Quelle geben,
Das verstehe ich nicht. Wie meinst du das?
Die Frage war, woher der Absender mein altes Passwort hat. Also was ist
die Quelle?
Post by Ralph Aichinger
Post by Louis Noser
"Ändere deine Passwörter regelmäßig
Das ist natürlich Bullshit und würde ich keinesfalls tun.
Das verstehe ich wiederum nicht. Ist das nicht ein Tipp, den alle geben?
Ist eher passé, weil eine Aenderung von "Login1" auf "Login2" gar nichts
bringt.
--
"Ave! Morituri te salutant!"
Herrand Petrowitsch
2024-12-26 13:58:58 UTC
Permalink
[...]
Post by Ralph Aichinger
Post by Louis Noser
"Ändere deine Passwörter regelmäßig
Das ist natürlich Bullshit
Sorry, nicht wirklich - in dieser Hinsicht bin ich keineswegs konform
mit der Ansicht vieler Kollegen, die oftmals davon ausgehen, dass PW nur
geringfuegig (z.B. durch Aenderung zweier Zeichen) angepasst werden.

Sofern nicht wie in manchen Firmenumgebungen die Verwendung eines
PW-Managers vorgeschrieben ist (welcher ohnehin nicht per se sooo sicher
ist), bevorzuge ich zur Generierung eine mehr oder weniger sinnlose
Klopferei auf die Tastatur.

Das kann u.U. so aussehen (ein Teil davon kommt dann zum Einsatz):
4k=i#OI6-ql0y3Z9
(Nein, bitte nicht verwenden, ist gerade verbrannt!)

Wenn mir dann eine solche Zeichenfolge einigermassen tippbar erscheint,
bin ich in der angenehmen Lage, sie mir zu merken.
Post by Ralph Aichinger
und würde ich keinesfalls tun.
Voraussetzung ist in jedem Fall die Verwendung eines *starken* PW.

[...]

Gruss Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.
Ralph Aichinger
2024-12-26 15:06:27 UTC
Permalink
Post by Herrand Petrowitsch
Sorry, nicht wirklich - in dieser Hinsicht bin ich keineswegs konform
mit der Ansicht vieler Kollegen, die oftmals davon ausgehen, dass PW nur
geringfuegig (z.B. durch Aenderung zweier Zeichen) angepasst werden.
Sofern nicht wie in manchen Firmenumgebungen die Verwendung eines
PW-Managers vorgeschrieben ist (welcher ohnehin nicht per se sooo sicher
ist), bevorzuge ich zur Generierung eine mehr oder weniger sinnlose
Klopferei auf die Tastatur.
Das kann auch Probleme machen, wenn man die so generierten Passwörter
nicht mehr zu tippen schafft.
Post by Herrand Petrowitsch
4k=i#OI6-ql0y3Z9
(Nein, bitte nicht verwenden, ist gerade verbrannt!)
Solche Passwörter können, gerade ab einer gewissen Länge, fast nur mehr
mit Copy&Paste verwendet werden. Was oft nicht funktioniert (gerade wenn
das Teil für irgendeine Desaster Recovery benötigt wird), oder
*sinnlosen* Stress generieren.

Man soll auch das umgekehrte Problem nicht übersehen: Was ist, wenn
niemand das Passwort mehr weiß, oder niemand es eintippen kann, etc.?

Ich hab mal in einer Firma gearbeitet, da wurde eine komplizierte
Wiederherstellungsprozedur entwickelt, bei der man 20(?) englische Wörter
eintippen mußte, ohne einen einzigen Fehler (auch keine doppelten
Leerstellen). Ich hab das mit mehreren Versuchen in einer Viertelstunde
geschafft. Ich war aber nicht die Zielgruppe dafür. Die Zielgruppe ist
innerhalb einer Stunde in der das probiert worden ist konsequent daran
gescheitert (eventuell zu schlechte Rechtschreibung im Englischen,
zu wenig präzise, was auch immer). Ähnlich wie die da:

https://trezor.io/support/a/commonly-misspelled-wallet-backup-words
Post by Herrand Petrowitsch
Wenn mir dann eine solche Zeichenfolge einigermassen tippbar erscheint,
bin ich in der angenehmen Lage, sie mir zu merken.
Ich merke mir ab einer gewissen Anzahl von Wiederholungen die von "apg"
generierten Passwörter:

***@pi:~$ apg -Ml -m14
gatceejbinolmo
krivjolairutco
ovucnijidocbor
kecwocniugwawp
niechinacitnip
cehohekhydhadu
Post by Herrand Petrowitsch
Voraussetzung ist in jedem Fall die Verwendung eines *starken* PW.
Jein, auch das kann man überteiben. Wenn man zu hohe Anforderungen
stellt, dann wird manches früher oder später von den Nutzern subtil oder
weniger subtil unterlaufen werden. Ich hab mal in einer Firma gearbetet,
wo Passwörter mit 28 Zeichen Mindestlänge Vorschrift waren. Auch das hat
zu einem gewissen Backlash geführt, den man bei vernünftigeren
Anforderungen nicht gehabt hätte. Und ja, 2. Faktor hat es *zusätzlich*
gegeben ;)

/ralph
Herrand Petrowitsch
2024-12-26 16:00:53 UTC
Permalink
Post by Ralph Aichinger
Post by Herrand Petrowitsch
Sorry, nicht wirklich - in dieser Hinsicht bin ich keineswegs konform
mit der Ansicht vieler Kollegen, die oftmals davon ausgehen, dass PW nur
geringfuegig (z.B. durch Aenderung zweier Zeichen) angepasst werden.
Sofern nicht wie in manchen Firmenumgebungen die Verwendung eines
PW-Managers vorgeschrieben ist (welcher ohnehin nicht per se sooo sicher
ist), bevorzuge ich zur Generierung eine mehr oder weniger sinnlose
Klopferei auf die Tastatur.
Das kann auch Probleme machen, wenn man die so generierten Passwörter
nicht mehr zu tippen schafft.
Post by Herrand Petrowitsch
4k=i#OI6-ql0y3Z9
(Nein, bitte nicht verwenden, ist gerade verbrannt!)
Solche Passwörter können, gerade ab einer gewissen Länge, fast nur mehr
mit Copy&Paste verwendet werden.
Wie gesagt: solcherart aktuelle PW merke ich mir derzeit noch ;-)
Post by Ralph Aichinger
Was oft nicht funktioniert (gerade wenn
das Teil für irgendeine Desaster Recovery benötigt wird), oder
*sinnlosen* Stress generieren.
Unbestritten, dann kommen schriftliche Aufzeichnungen ins Spiel.
Post by Ralph Aichinger
Man soll auch das umgekehrte Problem nicht übersehen: Was ist, wenn
niemand das Passwort mehr weiß, oder niemand es eintippen kann, etc.?
Firmentresor? ;-)
Post by Ralph Aichinger
Ich hab mal in einer Firma gearbeitet, da wurde eine komplizierte
Wiederherstellungsprozedur entwickelt, bei der man 20(?) englische Wörter
eintippen mußte, ohne einen einzigen Fehler (auch keine doppelten
Leerstellen). Ich hab das mit mehreren Versuchen in einer Viertelstunde
geschafft. Ich war aber nicht die Zielgruppe dafür. Die Zielgruppe ist
innerhalb einer Stunde in der das probiert worden ist konsequent daran
gescheitert (eventuell zu schlechte Rechtschreibung im Englischen,
https://trezor.io/support/a/commonly-misspelled-wallet-backup-words
HUH?!?
Da koennte man ja auch gleich ein PW im Klartext hinterlegen, alles
schon erlebt.
Post by Ralph Aichinger
Post by Herrand Petrowitsch
Wenn mir dann eine solche Zeichenfolge einigermassen tippbar erscheint,
bin ich in der angenehmen Lage, sie mir zu merken.
Ich merke mir ab einer gewissen Anzahl von Wiederholungen die von "apg"
[...]
Post by Herrand Petrowitsch
Voraussetzung ist in jedem Fall die Verwendung eines *starken* PW.
Jein, auch das kann man überteiben. Wenn man zu hohe Anforderungen
stellt, dann wird manches früher oder später von den Nutzern subtil oder
weniger subtil unterlaufen werden.
Nunja, die Nutzer erweisen sich manchmal als extrem kreativ, wenn es
darum geht, Software-Restictions zu unterlaufen. BTST.
Post by Ralph Aichinger
Ich hab mal in einer Firma gearbetet,
wo Passwörter mit 28 Zeichen Mindestlänge Vorschrift waren.
Also das hatte ich noch nicht.
Post by Ralph Aichinger
Auch das hat
zu einem gewissen Backlash geführt, den man bei vernünftigeren
Anforderungen nicht gehabt hätte. Und ja, 2. Faktor hat es *zusätzlich*
gegeben ;)
Gruss Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.
Peter J. Holzer
2024-12-26 16:17:58 UTC
Permalink
Post by Herrand Petrowitsch
Post by Ralph Aichinger
Post by Louis Noser
"Ändere deine Passwörter regelmäßig
Das ist natürlich Bullshit
Sorry, nicht wirklich - in dieser Hinsicht bin ich keineswegs konform
mit der Ansicht vieler Kollegen, die oftmals davon ausgehen, dass PW nur
geringfuegig (z.B. durch Aenderung zweier Zeichen) angepasst werden.
Ich glaube, es gibt einen Unterschied zwischen "Ändere Deine Passwörter
regelmäßig" und "Zwinge Deine User dazu, ihr Passwort regelmäßig zu
ändern".

Gegen ersteres spricht IMHO nichts (außer der erhöhten Gefahr, das neue
Passwort zu vergessen oder verschusseln und natürlich dem Aufwand).
Letzteres führt zu Umgehungsstrategien seitens der User. Nicht aller
User, aber genau der User, wegen denen man die Policy eingeführt hat.
Post by Herrand Petrowitsch
Sofern nicht wie in manchen Firmenumgebungen die Verwendung eines
PW-Managers vorgeschrieben ist (welcher ohnehin nicht per se sooo sicher
ist), bevorzuge ich zur Generierung eine mehr oder weniger sinnlose
Klopferei auf die Tastatur.
Menschen sind nicht besonders gut darin, zufällig zu tippen. Deine
Methode erzeugt schwer erratbare Passörter, solange der Angreifer diese
Methode nicht kennt oder zumindest nicht berücksichtigt. Wenn viele
diese Methode anwenden würden, würden die Autoren von Passwort-Crackern
untersuchen, welche Kombinationen häufiger vorkommen und entsprechende
Generatoren dafür schreiben.
Post by Herrand Petrowitsch
4k=i#OI6-ql0y3Z9
Wenn Du solche Passwörter verwenden willst/kannst, kannst Du sie IMHO
auch gleich wirklich zufällig generieren lassen.

hp
Jörg Lorenz
2024-12-26 17:40:24 UTC
Permalink
Post by Ralph Aichinger
Post by Jörg Lorenz
Aendere das PW nochmals und nimm etwas Sichereres. Solche Mails habe ich
auch schon einige bekommen, wenn auch ohne PW/Email-Kombination. Schlimm
wäre das nur, wenn das PW noch in Benutzung wäre. Mach Dir Gedanken, ob
Deine PW-Strategie noch ausreichend ist.
Naja, so schnell würde ich das ganze nicht wegwischen. Das Passwort ist
ersteinmal nicht *soo* schlecht (Buchstaben, Ziffern, Länge 11 Zeichen)
auch wenn ein übliches Muster (Datum, Name) verwendet wird, und das Wort
sicher im Wörterbuch steht.
Im Zeitalter von Quantencomputern ist das ein katastrophales Passwort.
Und ich unterstelle jetzt mal keck, dass der OP das Passwort an 20
Stellen und Logins wiederverwendet. Klassiker.
Post by Ralph Aichinger
IMHO ist hier die Wahrscheinlichkeit, dass jemand den Klartext
abgegriffen hat schon deulich höher als ein Entschlüsseln aus einem
Ciphertext, den man ja auch erst mal irgendwoher holen muß.
Ich finde daher die Frage: "Woher haben die das?" spannender, damit
das nicht wieder passieren kann, selbst wenn man auf ein superkomplexes
Passwort ändert. Denn wenn das z.B. aus einem fingierten Login stammt,
dann hilft dir auch das komplexeste Passwort nix. Oder wenn es vom
Kompromittierten Backend irgendeines Dienstanbieters stammt, wo es im
Klartext steht o.ä.
Dann gäbe es auf dem Konto Anzeichen von Missbrauch und Diebstahl.
--
"Ave! Morituri te salutant!"
Louis Noser
2024-12-26 19:24:07 UTC
Permalink
Post by Jörg Lorenz
Im Zeitalter von Quantencomputern ist das ein katastrophales Passwort.
Im besagten Zeitalter sind eh alle Passwörter aus Ziffern, Buchstaben
und Sonderzeichen in null komma nix geknackt, imho.

Nur haben solche Maschinen die Labors immer noch nicht verlassen. Das
dürfte wohl noch etwas dauern. Imho.
Post by Jörg Lorenz
Und ich unterstelle jetzt mal keck, dass der OP das Passwort an 20
Stellen und Logins wiederverwendet. Klassiker.
Was das vorliegende Passwort angeht, unterstellst Du dem OP prinzipiell
richtig. Nur vergibt dieser dieses seit Jahren schon nicht mehr. Und er
ist heute nicht mehr gar so faul, als er für jedes Portal dasselbe
gesetzt hatte.

Grüsse
Der OP
Jörg Lorenz
2024-12-26 20:51:54 UTC
Permalink
Post by Louis Noser
Post by Jörg Lorenz
Und ich unterstelle jetzt mal keck, dass der OP das Passwort an 20
Stellen und Logins wiederverwendet. Klassiker.
Was das vorliegende Passwort angeht, unterstellst Du dem OP prinzipiell
richtig. Nur vergibt dieser dieses seit Jahren schon nicht mehr. Und er
ist heute nicht mehr gar so faul, als er für jedes Portal dasselbe
gesetzt hatte.
Mac-User benutzen die eingebaute Passwortverwaltung und ansonsten einen
FOSS-Passwortmanager verwenden.

Nach einem immer noch ungeklärten Breach in mein Konto bei Ricardo habe
ich auch erst vor kurzem eine Corporate-grade Passwort-policy für die
von mir verwalteten Rechner und das Netzwerk eingeführt. Ricardo hat mir
alles zurückerstattet, was mit einiger Sicherheit darauf hindeuten
könnte, dass mich da eher keine Schuld traf. Der Schaden war
überschaubar aber die Lernwirkung für mich sehr hoch.
--
"Ave! Morituri te salutant!"
Herbert Kleebauer
2024-12-26 10:32:42 UTC
Permalink
Post by Louis Noser
Hallo
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)
Hast du so was tatsächlich zum erstem mal bekommen? Bezüglich deines
Rechners einfach ignorieren.

https://haveibeenpwned.com/ sagt zu deiner email Adresse:

Oh no — pwned!

Pwned in 1 data breach and found no pastes (subscribe to search sensitive breaches)


Naz.API: In September 2023, over 100GB of stealer logs and credential stuffing
lists titled "Naz.API" was posted to a popular hacking forum. The incident
contained a combination of email address and plain text password pairs alongside
the service they were entered into, and standalone credential pairs obtained from
unnamed sources. In total, the corpus of data included 71M unique email addresses
and 100M unique passwords.


Was du aber bei allen Accounts, bei denen du dieses Passwort verwendet
hast, tun solltest: entweder löschen (wenn nicht mehr benutzt) oder
Passwort ändern und überprüfen, dass die Passwort-Wiederherstellungsdaten
nicht geändert wurden (z.B. email Adresse die bei vergessenem Passwort
verwendet werden soll).
Arno Welzel
2024-12-27 00:15:45 UTC
Permalink
Post by Herbert Kleebauer
Post by Louis Noser
Hallo
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)
Hast du so was tatsächlich zum erstem mal bekommen? Bezüglich deines
Rechners einfach ignorieren.
Oh no — pwned!
[...]
Post by Herbert Kleebauer
Was du aber bei allen Accounts, bei denen du dieses Passwort verwendet
hast, tun solltest: entweder löschen (wenn nicht mehr benutzt) oder
Passwort ändern und überprüfen, dass die Passwort-Wiederherstellungsdaten
nicht geändert wurden (z.B. email Adresse die bei vergessenem Passwort
verwendet werden soll).
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Denn wenn bei einem Online-Dienst wegen Sicherheitslücken o.Ä.
Passwörter erbeutet werden, sind die gleich für viele Konten
gleichermaßen nutzbar.

Ansonsten sind solche E-Mails die typischen Droh-E-Mail, mit denen
Leuten Angst gemacht werden soll, damit sie zahlen. Die dort behaupteten
Dinge sind für den Angreifer nicht möglich und diese Masche gibt es
schon seit Jahren.
--
Arno Welzel
https://arnowelzel.de
Ralph Aichinger
2024-12-27 08:31:44 UTC
Permalink
Post by Arno Welzel
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Auch das halte ich als pauschalen Rat für falsch. Warum sollte ich nicht
beim Uhrenforum und beim Füllfederforum das gleiche Passwort wie beim
Forum von Home Assistant verwenden? Und bei 20 anderen Webinterfaces
bei denen man weder was kaufen kann, noch andere "gefährliche" Dinge
machen auch?
Post by Arno Welzel
Denn wenn bei einem Online-Dienst wegen Sicherheitslücken o.Ä.
Passwörter erbeutet werden, sind die gleich für viele Konten
gleichermaßen nutzbar.
Ja, super, ich fürcht mich schon, dass bei einem Hack vom Uhrenforum
jemand sich beim Raspberry Pi-Forum als ich einloggen kann ;)

/ralph
Peter J. Holzer
2024-12-27 09:07:38 UTC
Permalink
Post by Ralph Aichinger
Post by Arno Welzel
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Auch das halte ich als pauschalen Rat für falsch. Warum sollte ich nicht
beim Uhrenforum und beim Füllfederforum das gleiche Passwort wie beim
Forum von Home Assistant verwenden? Und bei 20 anderen Webinterfaces
bei denen man weder was kaufen kann, noch andere "gefährliche" Dinge
machen auch?
Andererseits: Warum solltest Du? Diese Passwörter musst Du Dir nicht
merken: Du wirst wahrscheinlich nie von einem Gerät ohne Zugriff auf
Deinen Passwort-Manager auf diese Foren zugreifen müssen, wenn das
Passwort verlorengeht, kannst Du es einfach zurücksetzen, und im
allerschlimmsten Fall kannst Du einen neuen Account anlegen.

Also einfach den Browser ein zufälliges Passwort generieren lassen und
gut ists. Erspart auch das Nachdenken darüber ob dieser Account jetzt
wichtig genug ist, ein eigenes Passwort zu erhalten.

hp
Jörg Lorenz
2024-12-27 09:30:14 UTC
Permalink
Post by Peter J. Holzer
Post by Ralph Aichinger
Post by Arno Welzel
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Auch das halte ich als pauschalen Rat für falsch. Warum sollte ich nicht
beim Uhrenforum und beim Füllfederforum das gleiche Passwort wie beim
Forum von Home Assistant verwenden? Und bei 20 anderen Webinterfaces
bei denen man weder was kaufen kann, noch andere "gefährliche" Dinge
machen auch?
Andererseits: Warum solltest Du? Diese Passwörter musst Du Dir nicht
merken: Du wirst wahrscheinlich nie von einem Gerät ohne Zugriff auf
Deinen Passwort-Manager auf diese Foren zugreifen müssen, wenn das
Passwort verlorengeht, kannst Du es einfach zurücksetzen, und im
allerschlimmsten Fall kannst Du einen neuen Account anlegen.
Auch für diesen Fall gibt es mit der Cloud-Synchronisierung elegante
Lösungen. Firefox kann das und der Passwort-Manager von Apple ebenfalls.
Post by Peter J. Holzer
Also einfach den Browser ein zufälliges Passwort generieren lassen und
gut ists. Erspart auch das Nachdenken darüber ob dieser Account jetzt
wichtig genug ist, ein eigenes Passwort zu erhalten.
Sehe ich auch so.
--
"Manus manum lavat"
Arno Welzel
2024-12-27 13:02:25 UTC
Permalink
Post by Jörg Lorenz
Post by Peter J. Holzer
Post by Ralph Aichinger
Post by Arno Welzel
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Auch das halte ich als pauschalen Rat für falsch. Warum sollte ich nicht
beim Uhrenforum und beim Füllfederforum das gleiche Passwort wie beim
Forum von Home Assistant verwenden? Und bei 20 anderen Webinterfaces
bei denen man weder was kaufen kann, noch andere "gefährliche" Dinge
machen auch?
Andererseits: Warum solltest Du? Diese Passwörter musst Du Dir nicht
merken: Du wirst wahrscheinlich nie von einem Gerät ohne Zugriff auf
Deinen Passwort-Manager auf diese Foren zugreifen müssen, wenn das
Passwort verlorengeht, kannst Du es einfach zurücksetzen, und im
allerschlimmsten Fall kannst Du einen neuen Account anlegen.
Auch für diesen Fall gibt es mit der Cloud-Synchronisierung elegante
Lösungen. Firefox kann das und der Passwort-Manager von Apple ebenfalls.
Bitwarden bzw. die freie und API-kompatible Variante Vaultwarden (die
man mit Bitwarden-Browser-Plugin nutzen kann) ebenso.
--
Arno Welzel
https://arnowelzel.de
Ralph Aichinger
2024-12-27 10:15:25 UTC
Permalink
Post by Peter J. Holzer
Andererseits: Warum solltest Du? Diese Passwörter musst Du Dir nicht
merken: Du wirst wahrscheinlich nie von einem Gerät ohne Zugriff auf
Deinen Passwort-Manager auf diese Foren zugreifen müssen, wenn das
Passwort verlorengeht, kannst Du es einfach zurücksetzen, und im
allerschlimmsten Fall kannst Du einen neuen Account anlegen.
Klar, so kann man das auch sehen.

/ralph
Jörg Lorenz
2024-12-27 09:28:01 UTC
Permalink
Post by Ralph Aichinger
Post by Arno Welzel
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Auch das halte ich als pauschalen Rat für falsch. Warum sollte ich nicht
beim Uhrenforum und beim Füllfederforum das gleiche Passwort wie beim
Forum von Home Assistant verwenden? Und bei 20 anderen Webinterfaces
bei denen man weder was kaufen kann, noch andere "gefährliche" Dinge
machen auch?
Ich schätze Deine Fachkompetenz sehr, aber manchmal fehlt Dir einfach
die Phantasie für gewisse Dinge. Stichwort Rufrisiko und auch ohne dass
direkt Geld involviert ist, können enorme Verpflichtungen auf einen
zukommen: Ein Montblanc-Füller kostet mehr als € 500 den man direkt dort
auf dem Füllerforum bestellen kann. Eine Breitling im Uhrenforum oder
sonst wo zu bestellen, ist auch keine Kunst, erleichtert Dich bei einem
Navitimer locker um € 10'000.

Mit einem richtigen Passwortmanager aus Open Source-Quellen ist das
alles kein Beinbruch, ein PW nur einmal zu verwenden. Firefox und
Thunderbird haben ebenfalls tauglich PW-Manager.
--
"Manus manum lavat"
Jörg Lorenz
2024-12-27 09:31:57 UTC
Permalink
Post by Jörg Lorenz
Post by Ralph Aichinger
Post by Arno Welzel
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Auch das halte ich als pauschalen Rat für falsch. Warum sollte ich nicht
beim Uhrenforum und beim Füllfederforum das gleiche Passwort wie beim
Forum von Home Assistant verwenden? Und bei 20 anderen Webinterfaces
bei denen man weder was kaufen kann, noch andere "gefährliche" Dinge
machen auch?
Ich schätze Deine Fachkompetenz sehr, aber manchmal fehlt Dir einfach
die Phantasie für gewisse Dinge. Stichwort Rufrisiko und auch ohne dass
direkt Geld involviert ist, können enorme Verpflichtungen auf einen
zukommen: Ein Montblanc-Füller kostet mehr als € 500 den man direkt dort
auf dem Füllerforum bestellen kann. Eine Breitling im Uhrenforum oder
sonst wo zu bestellen, ist auch keine Kunst, erleichtert Dich bei einem
Navitimer locker um € 10'000.
Mit einem richtigen Passwortmanager aus Open Source-Quellen ist das
alles kein Beinbruch, ein PW nur einmal zu verwenden. Firefox und
Thunderbird haben ebenfalls tauglich PW-Manager.
Oops! TB noch nicht, soll aber bald kommen.
--
"Manus manum lavat"
Ralph Aichinger
2024-12-27 10:20:38 UTC
Permalink
Post by Jörg Lorenz
Ich schätze Deine Fachkompetenz sehr, aber manchmal fehlt Dir einfach
die Phantasie für gewisse Dinge. Stichwort Rufrisiko und auch ohne dass
direkt Geld involviert ist, können enorme Verpflichtungen auf einen
zukommen: Ein Montblanc-Füller kostet mehr als € 500 den man direkt dort
auf dem Füllerforum bestellen kann. Eine Breitling im Uhrenforum oder
sonst wo zu bestellen, ist auch keine Kunst, erleichtert Dich bei einem
Navitimer locker um € 10'000.
Wer im Uhrenforum "blind" jemanden 10.000 Euro überweist, der hat wenig
Mitleid von mir, und ich halte den Rufschaden, der mir daraus entstehen
könnte für ein Risiko, das ich eingehe.

Und ja, ich hab im uhrenforum.de auch schon mal eine Uhr gekauft (eine
Japan Domestic Market Seiko für IIRC 200 Euro oder so), und war mir des
Risikos betrogen zu werden bewußt.
Post by Jörg Lorenz
Mit einem richtigen Passwortmanager aus Open Source-Quellen ist das
alles kein Beinbruch, ein PW nur einmal zu verwenden. Firefox und
Thunderbird haben ebenfalls tauglich PW-Manager.
Klar kann man das auch machen.

/ralph
Andreas M. Kirchwitz
2024-12-27 11:06:26 UTC
Permalink
Post by Ralph Aichinger
Post by Arno Welzel
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Auch das halte ich als pauschalen Rat für falsch.
Als pauschaler Rat ist das prima so. Nirgendwo das gleiche Passwort.
Post by Ralph Aichinger
Warum sollte ich nicht
beim Uhrenforum und beim Füllfederforum das gleiche Passwort wie beim
Forum von Home Assistant verwenden? Und bei 20 anderen Webinterfaces
bei denen man weder was kaufen kann, noch andere "gefährliche" Dinge
machen auch?
Wenn Du oder andere für sich entscheiden, ein konkreter Zugang
hat keine weitere Bedeutung, hält einen niemand davon ab, aber
es ändert nichts am *allgemeinen* Ratschlag, Passwörter nicht
mehrfach zu verwenden. Es ist ja wirklich nicht so schwierig,
verschiedene Passwörter zu verwenden. Selbst eine kleine
Variation ist schon besser als gar keine.

Wenn man sich irgendwo mal wieder wie gefordert sinnlos einen
Account anlegen muss, kann man selten absehen, was mit diesem
Account alles möglich ist oder in Zukunft möglich sein kann.

Wenn Dienst A gehackt wurde und dort unter Deiner Identität
Unsinn erscheint, ist das ja leicht erklärbar. Aber wenn bei
einem als sicher geltenden Dienst B dann plötzlich unter der
gleichen Identität problematische Inhalte erscheinen, kann
eine Erklärung schwieriger werden. Dass der Account gehackt
wurde, ist meist die allererste Ausrede und nur wenig wert.
Post by Ralph Aichinger
Ja, super, ich fürcht mich schon, dass bei einem Hack vom Uhrenforum
jemand sich beim Raspberry Pi-Forum als ich einloggen kann ;)
Für Dich privat kannst Du es halten, wie Du willst, aber als
Empfehlung für andere sollte die Ansage klar und einfach sein.

Auch über die "Stärke" von Passwörtern kann man geteilter Meinung
sein, doch auch da wäre *allgemein* die beste Empfehlung, dass man
sich was vom Browser oder Password-Manager generieren lassen soll.

In der Praxis hingegen mag das nicht immer möglich sein,
doch es geht ja um allgemeine Ratschläge und nicht um
Spezialfälle.

Grüße, Andreas
Helmut Richter
2024-12-27 13:52:43 UTC
Permalink
Post by Andreas M. Kirchwitz
Wenn man sich irgendwo mal wieder wie gefordert sinnlos einen
Account anlegen muss, kann man selten absehen, was mit diesem
Account alles möglich ist oder in Zukunft möglich sein kann.
Ja, das nervt mich auch, und ich hoffe, dass ich nicht der einzige bleibe,
der nirgends einkauft, wo man vorher einen Account haben oder auf dem
Smartphone eine App installieren muss. Diese Abschreckungsmaßnahmen für
neue Kunden hasse ich und bei mir sind sie wirksam, falls Abschreckung
wirklich das Ziel ist.

Wo ich eh oft und gern einkaufe, richte ich mir *freiwillig* einen Account
ein, wenn ich mir davon Erleichterungen verspreche.
Post by Andreas M. Kirchwitz
Auch über die "Stärke" von Passwörtern kann man geteilter Meinung
sein, doch auch da wäre *allgemein* die beste Empfehlung, dass man
sich was vom Browser oder Password-Manager generieren lassen soll.
Mache ich auch meistens. Leider ein dreistufiger Prozess:

1. Passwort generieren lassen.
2. Mit den Sicherheitsvorschriften des Dienstanbieters vergleichen.
3. Das angebotene Passwort so abändern, dass es zulässig ist. Nicht
vergessen, beide Exemplare abzuändern.

In Schritt 2 muss man zum Beispiel Klammern entfernen, weil die nicht im
für Passwörter erlaubten Zeichensatz liegen. Die absurdeste Einstellung
hatte mal einer, der ließ die meisten, aber nicht alle ASCII-Zeichen
zu, zusätzlich Umlaute und „§“ vor, aber sonst nichts jenseits von U+007F.

Länge und Komplexität ist normalerweise kein Hinderungsgrund, nur der
Zeichensatz.

--
Helmut Richter
Christian Weisgerber
2024-12-27 16:08:14 UTC
Permalink
Post by Helmut Richter
1. Passwort generieren lassen.
2. Mit den Sicherheitsvorschriften des Dienstanbieters vergleichen.
In Schritt 2 muss man zum Beispiel Klammern entfernen, weil die nicht im
für Passwörter erlaubten Zeichensatz liegen. Die absurdeste Einstellung
hatte mal einer, der ließ die meisten, aber nicht alle ASCII-Zeichen
zu, zusätzlich Umlaute und „§“ vor, aber sonst nichts jenseits von U+007F.
Base64 funktioniert meistens. Das kann mit [A-Za-z0-9+/] sechs Bit
Entropie je Zeichen transportieren. Wer mehr reinquetschen will,
optimiert an der falschen Stelle.
--
Christian "naddy" Weisgerber ***@mips.inka.de
Helmut Richter
2024-12-27 17:48:27 UTC
Permalink
Post by Christian Weisgerber
Post by Helmut Richter
1. Passwort generieren lassen.
2. Mit den Sicherheitsvorschriften des Dienstanbieters vergleichen.
In Schritt 2 muss man zum Beispiel Klammern entfernen, weil die nicht im
für Passwörter erlaubten Zeichensatz liegen. Die absurdeste Einstellung
hatte mal einer, der ließ die meisten, aber nicht alle ASCII-Zeichen
zu, zusätzlich Umlaute und „§“ vor, aber sonst nichts jenseits von U+007F.
Base64 funktioniert meistens. Das kann mit [A-Za-z0-9+/] sechs Bit
Entropie je Zeichen transportieren. Wer mehr reinquetschen will,
optimiert an der falschen Stelle.
Alles druckbare ASCII x20 bis x7F würde ich normal finden. Aber habe ich
einen Einfluss darauf, welchen Zeichensatz z.B. der Firefox beim
Generieren von Passwörtern verwendet? Auf [A-Za-z0-9+/] beschränkt er sich
nicht immer.
--
Helmut Richter
Peter J. Holzer
2024-12-27 19:29:42 UTC
Permalink
Post by Helmut Richter
Post by Christian Weisgerber
Post by Helmut Richter
1. Passwort generieren lassen.
2. Mit den Sicherheitsvorschriften des Dienstanbieters vergleichen.
In Schritt 2 muss man zum Beispiel Klammern entfernen, weil die nicht im
für Passwörter erlaubten Zeichensatz liegen. Die absurdeste Einstellung
hatte mal einer, der ließ die meisten, aber nicht alle ASCII-Zeichen
zu, zusätzlich Umlaute und „§“ vor, aber sonst nichts jenseits von U+007F.
Alles, was man auf einer deutschen Tastatur ohne AltGr tippen kann?

Einschränkungen bei Passwörtern (jenseits von ein paar technisch
bedingten Einschränkungen wie kein NUL oder LF oder einem sehr hohen
Längenlimit) finde ich immer etwas bizarr.
Post by Helmut Richter
Post by Christian Weisgerber
Base64 funktioniert meistens. Das kann mit [A-Za-z0-9+/] sechs Bit
Entropie je Zeichen transportieren. Wer mehr reinquetschen will,
optimiert an der falschen Stelle.
Alles druckbare ASCII x20 bis x7F würde ich normal finden. Aber habe ich
einen Einfluss darauf, welchen Zeichensatz z.B. der Firefox beim
Generieren von Passwörtern verwendet?
Kann sein, dass man das über about:config einstellen kann, erwarten
würde ich es aber nicht.
Post by Helmut Richter
Auf [A-Za-z0-9+/] beschränkt er sich nicht immer.
Warum sollte er auch?

hp
Ralph Aichinger
2024-12-27 19:38:02 UTC
Permalink
Post by Peter J. Holzer
Einschränkungen bei Passwörtern (jenseits von ein paar technisch
bedingten Einschränkungen wie kein NUL oder LF oder einem sehr hohen
Längenlimit) finde ich immer etwas bizarr.
Mir hat ein ehemaliger Chef mal erzählt, dass er seinen
ersten Juniper-Router extra sicher machen wollte, und ein
ganz langes Passwort gewählt hat. Und es hat nicht funktioniert, mit
einigem Aufwand bei der Fehlersuche. Bis er draufgekommen ist, das der
Juniper-Router eine maximale Passwortlänge von 32 Zeichen (oder so)
gehabt hat, und sein gewähltes länger war.

Ich kenne ähnliche Geschichten auch mit Passwörtern mit Umlauten drin,
die auch in manchen Systemen nicht funktioniert haben.

/ralph
Jörg Lorenz
2024-12-27 23:45:50 UTC
Permalink
Post by Ralph Aichinger
Post by Peter J. Holzer
Einschränkungen bei Passwörtern (jenseits von ein paar technisch
bedingten Einschränkungen wie kein NUL oder LF oder einem sehr hohen
Längenlimit) finde ich immer etwas bizarr.
Mir hat ein ehemaliger Chef mal erzählt, dass er seinen
ersten Juniper-Router extra sicher machen wollte, und ein
ganz langes Passwort gewählt hat. Und es hat nicht funktioniert, mit
einigem Aufwand bei der Fehlersuche. Bis er draufgekommen ist, das der
Juniper-Router eine maximale Passwortlänge von 32 Zeichen (oder so)
gehabt hat, und sein gewähltes länger war.
Ich kenne ähnliche Geschichten auch mit Passwörtern mit Umlauten drin,
die auch in manchen Systemen nicht funktioniert haben.
In diesem Fall würde ich eher dazu raten, die Systeme zu ersetzen und
nicht die Passwörter.
--
"Roma locuta, causa finita." (Augustinus)
Stefan Claas
2024-12-27 23:54:28 UTC
Permalink
Post by Jörg Lorenz
Post by Ralph Aichinger
Post by Peter J. Holzer
Einschränkungen bei Passwörtern (jenseits von ein paar technisch
bedingten Einschränkungen wie kein NUL oder LF oder einem sehr hohen
Längenlimit) finde ich immer etwas bizarr.
Mir hat ein ehemaliger Chef mal erzählt, dass er seinen
ersten Juniper-Router extra sicher machen wollte, und ein
ganz langes Passwort gewählt hat. Und es hat nicht funktioniert, mit
einigem Aufwand bei der Fehlersuche. Bis er draufgekommen ist, das der
Juniper-Router eine maximale Passwortlänge von 32 Zeichen (oder so)
gehabt hat, und sein gewähltes länger war.
Ich kenne ähnliche Geschichten auch mit Passwörtern mit Umlauten drin,
die auch in manchen Systemen nicht funktioniert haben.
In diesem Fall würde ich eher dazu raten, die Systeme zu ersetzen und
nicht die Passwörter.
Das geht oftmals nicht, wenn man z.B auch Online Dienste wie Gmail nutzt.

Ratsam in solch einem Fall wäre es ggf. die Passwörter durch Argon2id zu
jagen, damit man (lange) Hexwerte als Passwort erhält.
--
Grüße
Stefan
Andreas M. Kirchwitz
2024-12-28 03:01:53 UTC
Permalink
Post by Ralph Aichinger
Mir hat ein ehemaliger Chef mal erzählt, dass er seinen
ersten Juniper-Router extra sicher machen wollte, und ein
ganz langes Passwort gewählt hat. Und es hat nicht funktioniert, mit
einigem Aufwand bei der Fehlersuche. Bis er draufgekommen ist, das der
Juniper-Router eine maximale Passwortlänge von 32 Zeichen (oder so)
gehabt hat, und sein gewähltes länger war.
Früher waren unter Unix nur die ersten 8 Zeichen eines Passworts
signifikant. Man konnte zwar mehr eintippen, aber es wurde schlicht
ignoriert.
Post by Ralph Aichinger
Ich kenne ähnliche Geschichten auch mit Passwörtern mit Umlauten drin,
die auch in manchen Systemen nicht funktioniert haben.
Viele Leute können sich nicht vorstellen, jemals an einer Tastatur
zu sitzen, die keine deutsche Belegung hat. Bis sie es dann eben doch
mal tun... na ja, manchmal bedeutet Sicherheit auch sicher vor einem
selbst.

Zum Glück lassen sich viele Erfahrungen sammeln, ohne dass gleich
die Welt untergeht, und hinterher kann man darüber schmunzeln. :-)

Grüße, Andreas
Peter J. Holzer
2024-12-28 10:09:25 UTC
Permalink
Post by Andreas M. Kirchwitz
Post by Ralph Aichinger
Ich kenne ähnliche Geschichten auch mit Passwörtern mit Umlauten drin,
die auch in manchen Systemen nicht funktioniert haben.
Viele Leute können sich nicht vorstellen, jemals an einer Tastatur
zu sitzen, die keine deutsche Belegung hat. Bis sie es dann eben doch
mal tun... na ja, manchmal bedeutet Sicherheit auch sicher vor einem
selbst.
Und manche Programmierer können sich nicht vorstellen, dass der User an
einer anderen Tastatur sitzt als er selbst. Dem User "zu seiner
Sicherheit" auzuzwingen, dass er nur Zeichen verwenden darf, die der
Programmierer auf seiner Tastatur leicht tippen kann, ist eine Folge
dieses Mangels an Vorstellungsvermögens. (Den üblichen Rant über
"Validierungen" von E-Mail-Adressen, Namen, Post-Adressen, etc. spare
ich mir heute.)

hp
Peter J. Holzer
2024-12-28 10:00:41 UTC
Permalink
Post by Peter J. Holzer
Einschränkungen bei Passwörtern (jenseits von ein paar technisch
bedingten Einschränkungen wie kein NUL oder LF oder einem sehr hohen
Längenlimit) finde ich immer etwas bizarr.
Mir hat ein ehemaliger Chef mal erzählt, dass er seinen ersten
Juniper-Router extra sicher machen wollte, und ein ganz langes
Passwort gewählt hat. Und es hat nicht funktioniert, mit einigem
Aufwand bei der Fehlersuche. Bis er draufgekommen ist, das der
Juniper-Router eine maximale Passwortlänge von 32 Zeichen (oder so)
gehabt hat, und sein gewähltes länger war.
Das ist vermutlich schon einige Zeit her. Da lasse ich 32 Zeichen als
"sehr hohes Längenlimit" durchgehen. Unix hatte ein Limit von 8 Zeichen
(allerdings wurde alles danach ignoriert, man konnte sich also trotzdem
einloggen), Windows 14 Zeichen, etc. Ein oberes Limit macht schon Sinn.
Damals, weil in den damals üblichen Programmiersprachen wie C Arrays
fixer Länge leichter zu handhaben waren als dynamische, heute, weil man
nicht will, dass jemand mit einem 5GB-Passwort eine DoS-Attacke
durchführt.

Ich meine eher Websites, die ohne erkennbaren technischen Grund maximal
12 Zeichen zulassen. Oder nur bestimmte Sonderzeichen ohne erkennbares
Muster.
Ich kenne ähnliche Geschichten auch mit Passwörtern mit Umlauten drin,
die auch in manchen Systemen nicht funktioniert haben.
Umlaute können problematisch sein, weil sie von verschiedenen Systemen
verschieden kodiert werden. Das sollte heutzutage kein Problem sein,
aber es ist doch etwas, was man als Programmierer bedenken sollte.

Manchmal sind es aber total unerwartete Kodierungsprobleme. Vor ein paar
Jahren z.B. hat dieser Bug hier:

https://github.com/angular/angular/issues/11058

bei uns dazu geführt, dass sich ein User nicht einloggen konnte. Hat
einige Zeit gebraucht, bis wir draufgekommen sind, dass das »+« im
Passwort das Problem war.

hp
Marc Haber
2024-12-28 13:17:12 UTC
Permalink
Post by Peter J. Holzer
Post by Peter J. Holzer
Einschränkungen bei Passwörtern (jenseits von ein paar technisch
bedingten Einschränkungen wie kein NUL oder LF oder einem sehr hohen
Längenlimit) finde ich immer etwas bizarr.
Mir hat ein ehemaliger Chef mal erzählt, dass er seinen ersten
Juniper-Router extra sicher machen wollte, und ein ganz langes
Passwort gewählt hat. Und es hat nicht funktioniert, mit einigem
Aufwand bei der Fehlersuche. Bis er draufgekommen ist, das der
Juniper-Router eine maximale Passwortlänge von 32 Zeichen (oder so)
gehabt hat, und sein gewähltes länger war.
Das ist vermutlich schon einige Zeit her. Da lasse ich 32 Zeichen als
"sehr hohes Längenlimit" durchgehen. Unix hatte ein Limit von 8 Zeichen
(allerdings wurde alles danach ignoriert, man konnte sich also trotzdem
einloggen), Windows 14 Zeichen, etc. Ein oberes Limit macht schon Sinn.
Nicht für die heutigen Hashverfahren, denen ist egal wieviel mein rein
steckt, es wird alles berücksichtigt.
Post by Peter J. Holzer
Damals, weil in den damals üblichen Programmiersprachen wie C Arrays
fixer Länge leichter zu handhaben waren als dynamische, heute, weil man
nicht will, dass jemand mit einem 5GB-Passwort eine DoS-Attacke
durchführt.
Ja, aber das macht ja meist schon das Framework, das davor hängt. Das
5-GB-Passwort muss ja auch erstmal durch die Anbindung gequetscht
werden.
Post by Peter J. Holzer
Ich meine eher Websites, die ohne erkennbaren technischen Grund maximal
12 Zeichen zulassen. Oder nur bestimmte Sonderzeichen ohne erkennbares
Muster.
Ja. Legendär ein in gelber Schachtel geliefertes Security-Produkt, das
nur zwölfzeichige Passwort aus Kleinbuchstaben zuliess.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Peter J. Holzer
2024-12-28 14:30:43 UTC
Permalink
Post by Marc Haber
Post by Peter J. Holzer
Post by Peter J. Holzer
Einschränkungen bei Passwörtern (jenseits von ein paar technisch
bedingten Einschränkungen wie kein NUL oder LF oder einem sehr hohen
Längenlimit) finde ich immer etwas bizarr.
Mir hat ein ehemaliger Chef mal erzählt, dass er seinen ersten
Juniper-Router extra sicher machen wollte, und ein ganz langes
Passwort gewählt hat. Und es hat nicht funktioniert, mit einigem
Aufwand bei der Fehlersuche. Bis er draufgekommen ist, das der
Juniper-Router eine maximale Passwortlänge von 32 Zeichen (oder so)
gehabt hat, und sein gewähltes länger war.
Das ist vermutlich schon einige Zeit her. Da lasse ich 32 Zeichen als
"sehr hohes Längenlimit" durchgehen. Unix hatte ein Limit von 8 Zeichen
(allerdings wurde alles danach ignoriert, man konnte sich also trotzdem
einloggen), Windows 14 Zeichen, etc. Ein oberes Limit macht schon Sinn.
Nicht für die heutigen Hashverfahren, denen ist egal wieviel mein rein
steckt, es wird alles berücksichtigt.
Das Hashverfahren ist halt nur ein Teil davon. Das Passwort muss auch
übertragen und im RAM gespeichert werden, bevor es gehasht wird. Und die
CPU-Zeit zum Hashen hängt auch von der Länge ab (was aber vermutlich
eher vernachlässigbar ist).
Post by Marc Haber
Post by Peter J. Holzer
Damals, weil in den damals üblichen Programmiersprachen wie C Arrays
fixer Länge leichter zu handhaben waren als dynamische, heute, weil man
nicht will, dass jemand mit einem 5GB-Passwort eine DoS-Attacke
durchführt.
Ja, aber das macht ja meist schon das Framework, das davor hängt.
Das ist aber dann entweder ein globales Limit (das dann u.U. sehr hoch
angesetzt sein muss, weil ja andere große Daten übertragen werden
sollen) oder eine Gesamtgröße einer Datenstruktur, die das Passwort
enthält (z.B. HTTP-Header) oder eben ein Limit des Passworts (ist mir
aber noch nicht untergekommen).

Zur Gesamtgröße einer Datenstruktur, die das Passwort enthält: Basic
Authentication wird heute kaum noch angewendet, aber da wird das
Passwort im HTTP-Header übertragen. Die meisten Webserver limitieren die
Größe des Headers, und das Limit ist nicht besonders groß (einige kB).
Bei einem exzessiv langen Passwort könnte es dann sein, dass manche
Requests funktionieren und manche nicht, je nachdem, was sonst noch im
Header steht.Da ist es dann besser, die Länge das Passworts schon beim
Anlegen des Accounts auf etwas Sinnvolles (vielleicht 100 oder 200
Bytes) zu beschränken, also nachher die Ursache von seltsamen
intermittierenden Fehlern zu suchen.

Ich gebe zu, dass ich das alles NICHT mache. Meine Websites und Services
haben wenige User und DoS-Attacken durch übermäßig lange Inputs (ob
Passwörter oder sonstwas) sind in meiner Prioritätenliste recht weit
hinten. Außerdem verwende ich nur Programmiersprachen und Frameworks, in
denen unlimitierte Strings natürlich sind und Längenlimits zusätzlichen
Aufwand bedeuten würden.

Aber ich kann mir Situationen vorstellen, in denen ich Längenlimits
festsetzen und enforcen wollen würde. Und im Gegensatz zu z.B. Namen,
wo jedes willkürlich festgesetzte Limit objektiv zu kurz sein kann[1],
besteht diese Gefahr bei Passwörtern nicht.

hp

[1] https://wwg.hjp.at/posts/hadschi-halef/
Marc Haber
2024-12-28 16:15:06 UTC
Permalink
"Peter J. Holzer" <hjp-***@hjp.at> wrote:
[viel sinnvolles, zustimmungwürdiges]
Post by Peter J. Holzer
Da ist es dann besser, die Länge das Passworts schon beim
Anlegen des Accounts auf etwas Sinnvolles (vielleicht 100 oder 200
Bytes) zu beschränken, also nachher die Ursache von seltsamen
intermittierenden Fehlern zu suchen.
Darauf können wir uns einigen!

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Arno Welzel
2024-12-30 13:54:31 UTC
Permalink
Post by Peter J. Holzer
Post by Peter J. Holzer
Einschränkungen bei Passwörtern (jenseits von ein paar technisch
bedingten Einschränkungen wie kein NUL oder LF oder einem sehr hohen
Längenlimit) finde ich immer etwas bizarr.
Mir hat ein ehemaliger Chef mal erzählt, dass er seinen ersten
Juniper-Router extra sicher machen wollte, und ein ganz langes
Passwort gewählt hat. Und es hat nicht funktioniert, mit einigem
Aufwand bei der Fehlersuche. Bis er draufgekommen ist, das der
Juniper-Router eine maximale Passwortlänge von 32 Zeichen (oder so)
gehabt hat, und sein gewähltes länger war.
Das ist vermutlich schon einige Zeit her. Da lasse ich 32 Zeichen als
"sehr hohes Längenlimit" durchgehen. Unix hatte ein Limit von 8 Zeichen
(allerdings wurde alles danach ignoriert, man konnte sich also trotzdem
einloggen), Windows 14 Zeichen, etc. Ein oberes Limit macht schon Sinn.
Passwörter werden nicht gespeichert, sondern aus dem eingegebenen
Passwort wird ein Hash berechnet. Und das ursprünglich verwendete
Hash-Verfahren auf Basis von DES hat nur die ersten 8 Zeichen verwendet.
Mittlerweile werden aber alle Zeichen verwendet. Der entstehende Hash
ist immer gleich lang.
Post by Peter J. Holzer
Damals, weil in den damals üblichen Programmiersprachen wie C Arrays
fixer Länge leichter zu handhaben waren als dynamische, heute, weil man
nicht will, dass jemand mit einem 5GB-Passwort eine DoS-Attacke
durchführt.
Ja, gegen DoS-Angriffe sollte ein Authentifzierungsmechanismus schon
abgesichert sein. Aber abgesehen davon gibt es keinen Grund, Passwörter
auf deutlich weniger als 200 Zeichen zu begrenzen.
Post by Peter J. Holzer
Ich meine eher Websites, die ohne erkennbaren technischen Grund maximal
12 Zeichen zulassen. Oder nur bestimmte Sonderzeichen ohne erkennbares
Muster.
Der Grund für die Einschränkung auf bestimmte Sonderzeichen könnte sein,
dass man weniger Supportaufwand haben will, weil Leute Sonderzeichen
nutzen, die je nach verwendeter Codierung des Endgerätes unterschiedlich
übermittelt werden.

[...]
Post by Peter J. Holzer
Manchmal sind es aber total unerwartete Kodierungsprobleme. Vor ein paar
https://github.com/angular/angular/issues/11058
bei uns dazu geführt, dass sich ein User nicht einloggen konnte. Hat
einige Zeit gebraucht, bis wir draufgekommen sind, dass das »+« im
Passwort das Problem war.
Wie geht das denn? Ein POST-Request *muss* den Payload 1:1 durchreichen.
Da darf nicht einfach "+" durch Leerzeichen ersetzt werden. Da hat
offenbar jemand URL-Codierung mit POST-Parametern verwechselt. Und
Authentifizierung mit HTTP GET statt HTTP POST würde ich als kaputt ansehen.
--
Arno Welzel
https://arnowelzel.de
Christian Weisgerber
2024-12-27 15:04:55 UTC
Permalink
Post by Andreas M. Kirchwitz
es ändert nichts am *allgemeinen* Ratschlag, Passwörter nicht
mehrfach zu verwenden. Es ist ja wirklich nicht so schwierig,
verschiedene Passwörter zu verwenden.
Man muss sich halt von der Vorstellung verabschieden, dass man sich
Passwörter merken könne. Man muss sie in einer Liste aufschreiben
(auch wenn irgendwelche Sicherheitsratgeber das wieder ablehnen),
diese Liste gegebenenfalls verschlüsseln, Backups von ihr haben,
sie auf allen Geräten, von denen man sich einloggt, greifbar haben
und Neueinträge synchronisieren. Kann man manuell machen oder sich
alternativ von einem Passwort-Manager abhängig machen.
Post by Andreas M. Kirchwitz
Auch über die "Stärke" von Passwörtern kann man geteilter Meinung
sein, doch auch da wäre *allgemein* die beste Empfehlung, dass man
sich was vom Browser oder Password-Manager generieren lassen soll.
Wenn man Passwörter ohnehin aufschreibt, siehe oben, dann müssen
sie auch nicht merkbar sein.

$ openssl rand -base64 12 # 12*8 = 96 Bit
2Sc5cJFfvDA8NHkH
--
Christian "naddy" Weisgerber ***@mips.inka.de
Helmut Richter
2024-12-27 15:59:07 UTC
Permalink
Post by Christian Weisgerber
Man muss sich halt von der Vorstellung verabschieden, dass man sich
Passwörter merken könne. Man muss sie in einer Liste aufschreiben
(auch wenn irgendwelche Sicherheitsratgeber das wieder ablehnen),
diese Liste gegebenenfalls verschlüsseln, Backups von ihr haben,
sie auf allen Geräten, von denen man sich einloggt, greifbar haben
und Neueinträge synchronisieren. [...]
Es gibt auch Passwörter, deren Verlust – also nicht das Offenbarwerden –
ziemlich folgenlos ist. Die vom Online-Banking gehören dazu: Ist das
Passwort weg, gehe ich zur Bank (die es dazu natürlich auch anders als
virtuell geben muss), lasse es zurücksetzen und lege ein neues fest. Mal
drei Tage ohne Online-Banking halte ich aus – besonders wenn die liebe
Gattin auch noch einen Zugang hat. Kein Grund, einen Zettel mit dem
Passwort im Panzerschrank aufzubewahren.

Sehr viele Passwörter haben einen noch einfacheren Mechanismus zum
Neu-Setzen ohne Kenntnis des alten, meist die Anforderung eines
Einmal-Passworts per E-Mail. Wenn man das für zu unsicher hält, darf man
solche Passwörter gar nicht benutzen. Hält man das aber für sicher genug,
dann schadet ja der Verlust nichts.

Passwörter, die man selten benutzt, *kann* man sich nicht merken, egal wie
einfach sie sind. Und umgekehrt, Passwörter, die man laufend benutzt und
nicht jedesmal dem Password-Manager entnimmt, merkt man sich irgendwann,
fast egal wie „sicher“ sie sind. Allerdings können sie verlorengehen, etwa
bei längerer Nichtbenutzung wegen Krankheit oder internetloser Abwesenheit
– oder auch irreversibler Abwesenheit. Das sind die, wo der oben genannte
Panzerschrank vielleicht die beste Lösung ist. Es muss aber jemanden
geben, der sich dazu auch Zugang verschaffen kann und weiß, wann er das
braucht.
--
Helmut Richter
Peter J. Holzer
2024-12-27 16:02:44 UTC
Permalink
Post by Christian Weisgerber
Post by Andreas M. Kirchwitz
es ändert nichts am *allgemeinen* Ratschlag, Passwörter nicht
mehrfach zu verwenden. Es ist ja wirklich nicht so schwierig,
verschiedene Passwörter zu verwenden.
Man muss sich halt von der Vorstellung verabschieden, dass man sich
Passwörter merken könne. Man muss sie in einer Liste aufschreiben
(auch wenn irgendwelche Sicherheitsratgeber das wieder ablehnen),
Es kommt durchaus vor, dass in ein und demselben Sicherheitsratgeber
zuerst steht "schreiben Sie Passwörter niemals auf" und kurz danach
"verwenden Sie einen Passwort-Manager". Den hat entweder schon lange
keiner der Ersteller mehr von vorn bis hinten korrekturgelesen (oder
gehört/gesehen) oder nicht wirklich mitgedacht.

hp
Marc Haber
2024-12-28 10:02:54 UTC
Permalink
Post by Peter J. Holzer
Post by Christian Weisgerber
Post by Andreas M. Kirchwitz
es ändert nichts am *allgemeinen* Ratschlag, Passwörter nicht
mehrfach zu verwenden. Es ist ja wirklich nicht so schwierig,
verschiedene Passwörter zu verwenden.
Man muss sich halt von der Vorstellung verabschieden, dass man sich
Passwörter merken könne. Man muss sie in einer Liste aufschreiben
(auch wenn irgendwelche Sicherheitsratgeber das wieder ablehnen),
Es kommt durchaus vor, dass in ein und demselben Sicherheitsratgeber
zuerst steht "schreiben Sie Passwörter niemals auf" und kurz danach
"verwenden Sie einen Passwort-Manager". Den hat entweder schon lange
keiner der Ersteller mehr von vorn bis hinten korrekturgelesen (oder
gehört/gesehen) oder nicht wirklich mitgedacht.
Ich würde die Verwendung eines Passwortmanagers eben nicht als
"aufschreiben" bezeichnen wollen.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Peter J. Holzer
2024-12-28 11:48:12 UTC
Permalink
Post by Marc Haber
Post by Peter J. Holzer
Post by Christian Weisgerber
Post by Andreas M. Kirchwitz
es ändert nichts am *allgemeinen* Ratschlag, Passwörter nicht
mehrfach zu verwenden. Es ist ja wirklich nicht so schwierig,
verschiedene Passwörter zu verwenden.
Man muss sich halt von der Vorstellung verabschieden, dass man sich
Passwörter merken könne. Man muss sie in einer Liste aufschreiben
(auch wenn irgendwelche Sicherheitsratgeber das wieder ablehnen),
Es kommt durchaus vor, dass in ein und demselben Sicherheitsratgeber
zuerst steht "schreiben Sie Passwörter niemals auf" und kurz danach
"verwenden Sie einen Passwort-Manager". Den hat entweder schon lange
keiner der Ersteller mehr von vorn bis hinten korrekturgelesen (oder
gehört/gesehen) oder nicht wirklich mitgedacht.
Ich würde die Verwendung eines Passwortmanagers eben nicht als
"aufschreiben" bezeichnen wollen.
Ich schon. Es ist dann eben nicht mehr "etwas, das man weiß". Und es ist
sogar am gleichen Rechner aufgeschrieben, auf dem man das Passwort
eingibt. Im Gegensatz dazu ist ein Notizbuch (oder ein Zettel in der
Geldtasche) offline.

Ja, natürlich hängt das vom Angriffsszenario ab: Fürchte ich mich vor
einem Remote-Angreifer oder davor, dass jemand mein Büro durchstöbert?

Ich halte Passwort-Manager für unverzichtbar (solange es Passwörter
gibt, was vermutlich noch lange der Fall sein wird), aber sie sind eben
das Gegenteil des früheren Mantras, dass Passwörter nur im Kopf des
Users gespeichert sein sollten.

hp
Marc Haber
2024-12-28 13:18:23 UTC
Permalink
Post by Peter J. Holzer
Post by Marc Haber
Post by Peter J. Holzer
Post by Christian Weisgerber
Post by Andreas M. Kirchwitz
es ändert nichts am *allgemeinen* Ratschlag, Passwörter nicht
mehrfach zu verwenden. Es ist ja wirklich nicht so schwierig,
verschiedene Passwörter zu verwenden.
Man muss sich halt von der Vorstellung verabschieden, dass man sich
Passwörter merken könne. Man muss sie in einer Liste aufschreiben
(auch wenn irgendwelche Sicherheitsratgeber das wieder ablehnen),
Es kommt durchaus vor, dass in ein und demselben Sicherheitsratgeber
zuerst steht "schreiben Sie Passwörter niemals auf" und kurz danach
"verwenden Sie einen Passwort-Manager". Den hat entweder schon lange
keiner der Ersteller mehr von vorn bis hinten korrekturgelesen (oder
gehört/gesehen) oder nicht wirklich mitgedacht.
Ich würde die Verwendung eines Passwortmanagers eben nicht als
"aufschreiben" bezeichnen wollen.
Ich schon. Es ist dann eben nicht mehr "etwas, das man weiß". Und es ist
sogar am gleichen Rechner aufgeschrieben, auf dem man das Passwort
eingibt. Im Gegensatz dazu ist ein Notizbuch (oder ein Zettel in der
Geldtasche) offline.
"aufschreiben" != "digital speichern".
Post by Peter J. Holzer
Ja, natürlich hängt das vom Angriffsszenario ab: Fürchte ich mich vor
einem Remote-Angreifer oder davor, dass jemand mein Büro durchstöbert?
Ich halte Passwort-Manager für unverzichtbar (solange es Passwörter
gibt, was vermutlich noch lange der Fall sein wird), aber sie sind eben
das Gegenteil des früheren Mantras, dass Passwörter nur im Kopf des
Users gespeichert sein sollten.
Freilich. Aber sie sind besser als überall dasselbe Passwort oder eine
trivial mutierte Version dieses Passworts zu verwenden.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
Peter J. Holzer
2024-12-28 14:43:16 UTC
Permalink
Post by Marc Haber
Post by Peter J. Holzer
Post by Marc Haber
Post by Peter J. Holzer
Post by Christian Weisgerber
Post by Andreas M. Kirchwitz
es ändert nichts am *allgemeinen* Ratschlag, Passwörter nicht
mehrfach zu verwenden. Es ist ja wirklich nicht so schwierig,
verschiedene Passwörter zu verwenden.
Man muss sich halt von der Vorstellung verabschieden, dass man sich
Passwörter merken könne. Man muss sie in einer Liste aufschreiben
(auch wenn irgendwelche Sicherheitsratgeber das wieder ablehnen),
Es kommt durchaus vor, dass in ein und demselben Sicherheitsratgeber
zuerst steht "schreiben Sie Passwörter niemals auf" und kurz danach
"verwenden Sie einen Passwort-Manager". Den hat entweder schon lange
keiner der Ersteller mehr von vorn bis hinten korrekturgelesen (oder
gehört/gesehen) oder nicht wirklich mitgedacht.
Ich würde die Verwendung eines Passwortmanagers eben nicht als
"aufschreiben" bezeichnen wollen.
Ich schon. Es ist dann eben nicht mehr "etwas, das man weiß". Und es ist
sogar am gleichen Rechner aufgeschrieben, auf dem man das Passwort
eingibt. Im Gegensatz dazu ist ein Notizbuch (oder ein Zettel in der
Geldtasche) offline.
"aufschreiben" != "digital speichern".
Für mich ist "digital speichern" eine Untermenge von "aufschreiben".
Insbesondere in diesem Zusammenhang, denn bei "Passwörter nicht
aufschreiben" gibt es ja darum, dass man es eben nur im Kopf behalten
sollte.

(Allenfalls könnte man argumentieren, dass ein Passwortmanager die
Passwörter verschlüsselt, aber den Zettel mit dem Passwort konnte man ja
auch sicher aufbewahren.)
Post by Marc Haber
Post by Peter J. Holzer
Ich halte Passwort-Manager für unverzichtbar (solange es Passwörter
gibt, was vermutlich noch lange der Fall sein wird), aber sie sind eben
das Gegenteil des früheren Mantras, dass Passwörter nur im Kopf des
Users gespeichert sein sollten.
Freilich. Aber sie sind besser als überall dasselbe Passwort oder eine
trivial mutierte Version dieses Passworts zu verwenden.
Ich verstehe das "aber" nicht ganz, denn wir sind uns da vollkommen
einig.

hp
Arno Welzel
2024-12-30 13:57:56 UTC
Permalink
[...]
Post by Peter J. Holzer
Post by Marc Haber
"aufschreiben" != "digital speichern".
Für mich ist "digital speichern" eine Untermenge von "aufschreiben".
Aber nicht, wenn es um Passwort-Manager geht - da werden die Daten nicht
nur aufgeschrieben sondern auch verschlüsselt und ohne Kenntnis des
Passworts für den Passwort-Manager kommt man auch nicht mehr an die
Daten heran.
Post by Peter J. Holzer
Insbesondere in diesem Zusammenhang, denn bei "Passwörter nicht
aufschreiben" gibt es ja darum, dass man es eben nur im Kopf behalten
sollte.
(Allenfalls könnte man argumentieren, dass ein Passwortmanager die
Passwörter verschlüsselt, aber den Zettel mit dem Passwort konnte man ja
auch sicher aufbewahren.)
Man muss dennoch einen Zettel haben, der an sich ungeschützt ist.
Weiterhin muss man die Passwörter eintippen, was ein Angreifer mit
Keylogger mitlesen könnte. Bei einem Passwort-Manager, der die
Passwörter direkt in die vorgesehenen Felder einträgt, ist das nicht
möglich.
--
Arno Welzel
https://arnowelzel.de
Herbert Kleebauer
2024-12-30 21:35:04 UTC
Permalink
Post by Arno Welzel
Post by Peter J. Holzer
Post by Marc Haber
"aufschreiben" != "digital speichern".
Für mich ist "digital speichern" eine Untermenge von "aufschreiben".
Aber nicht, wenn es um Passwort-Manager geht - da werden die Daten nicht
nur aufgeschrieben sondern auch verschlüsselt und ohne Kenntnis des
Passworts für den Passwort-Manager kommt man auch nicht mehr an die
Daten heran.
Wo ist der Unterschied zwischen alle Passwörter aufschreiben oder
nur das Master-Passwort für den Passwort-Manager aufschreiben? In
beiden Fällen kommt man mit der Information auf dem Zettel an alle
Passwörter.
Post by Arno Welzel
Post by Peter J. Holzer
Insbesondere in diesem Zusammenhang, denn bei "Passwörter nicht
aufschreiben" gibt es ja darum, dass man es eben nur im Kopf behalten
sollte.
(Allenfalls könnte man argumentieren, dass ein Passwortmanager die
Passwörter verschlüsselt, aber den Zettel mit dem Passwort konnte man ja
auch sicher aufbewahren.)
Man muss dennoch einen Zettel haben, der an sich ungeschützt ist.
Auch der Zettel mit dem Master-Passwort ist nicht besser geschützt.
Post by Arno Welzel
Weiterhin muss man die Passwörter eintippen,
Nicht unbedingt. Ich benutze einen QR-Code Scanner der sich als
Bluetooth-Tastatur anmeldet. Cursor in die Adresszeile des Browsers
setzen und ersten QR-Code scannen, dadurch wird die Anmeldeseite
geladen (der Cursor befindet ich dann normalerweise bereits im
Eingabefeld für den Benutzernamen). Dann zweite QR-Code scannen,
damit werden dann Benutzername und Passwort eingetragen. Dadurch
ist nicht einmal die URL in den Bookmarks gespeichert und die Anmeldung
benötigt lediglich einen Mausklick und zwei Knopfdrücke auf dem Scanner.
Und für mich ist ein Heftchen um der Schreibtischschublade sicherer
als (verschlüsselte) Daten auf dem Rechner oder in der Cloud.
Post by Arno Welzel
was ein Angreifer mit
Keylogger mitlesen könnte.
Und dein Master-Passwort kann der Keylogger nicht mitlesen. Wenn
jemand deinen Rechner übernommen hat oder einen USB-Keylogger
installieren konnte, dann hast da ganz andere Problem.
Post by Arno Welzel
Bei einem Passwort-Manager, der die
Passwörter direkt in die vorgesehenen Felder einträgt, ist das nicht
möglich.
Was heißt direkt? Irgendwie muss ja eine Kommunikation zwischen
Passort-Manager und Browser erfolgen und die kann genauso mitgelesen
werden.


Aber das Problem ist ja nicht so sehr die Sicherheit auf der eigenen
Seite (wer hackt sich schon in einen privaten Rechner um an Passwörter
zu kommen) sondern die Datenbanken mit den Zugangsdaten aller Nutzer
die halt hin und wieder abhanden kommen.

Das ist auch der Grund warum ich eine ganz normale AES-veschlüsselte
Textdatei zum Speichern der Passwörter und keinen Passwort-Manager
aus externer Quelle nutze. Das führt zwar dazu, dass während des Zugriffs
temporär eine unverschlüsselt Version auf der Festplatte vorhanden
ist und die Daten nach Löschen auf ungenutzten Sektoren verbleiben
können, aber ich finde das immer noch sicherer als externer Software
zu vertrauen die ein weitaus lohnenderes Angriffsziel ist als ein
einzelner Rechner.
Peter J. Holzer
2024-12-30 22:09:18 UTC
Permalink
Post by Herbert Kleebauer
Post by Arno Welzel
Post by Peter J. Holzer
Post by Marc Haber
"aufschreiben" != "digital speichern".
Für mich ist "digital speichern" eine Untermenge von "aufschreiben".
Aber nicht, wenn es um Passwort-Manager geht - da werden die Daten nicht
nur aufgeschrieben sondern auch verschlüsselt und ohne Kenntnis des
Passworts für den Passwort-Manager kommt man auch nicht mehr an die
Daten heran.
Wo ist der Unterschied zwischen alle Passwörter aufschreiben oder
nur das Master-Passwort für den Passwort-Manager aufschreiben?
Das Master-Passwort muss man nicht aufschreiben, denn *ein* Passwort
kann man sich merken (im Gegensatz zu hunderten).

hp
Helmut Richter
2024-12-30 23:09:43 UTC
Permalink
Post by Peter J. Holzer
Das Master-Passwort muss man nicht aufschreiben, denn *ein* Passwort
kann man sich merken (im Gegensatz zu hunderten).
Weil man es benutzt. Aber wenn man ausfällt, braucht man vielleicht
jemanden, der es dann erfahren soll (oder auch vorher mitgeteilt bekommen
hat, aber mangels Benutzung vergessen). Man kann sich nicht darauf
verlassen, dass man dann noch in der Lage ist, es mündlich mitzuteilen.
--
Helmut Richter
Arno Welzel
2024-12-30 23:45:23 UTC
Permalink
Post by Helmut Richter
Post by Peter J. Holzer
Das Master-Passwort muss man nicht aufschreiben, denn *ein* Passwort
kann man sich merken (im Gegensatz zu hunderten).
Weil man es benutzt. Aber wenn man ausfällt, braucht man vielleicht
jemanden, der es dann erfahren soll (oder auch vorher mitgeteilt bekommen
hat, aber mangels Benutzung vergessen). Man kann sich nicht darauf
verlassen, dass man dann noch in der Lage ist, es mündlich mitzuteilen.
Bitwarden hat dieses Problem auch gelöst - ohne Passwortweitergabe.
--
Arno Welzel
https://arnowelzel.de
Peter J. Holzer
2024-12-31 08:38:41 UTC
Permalink
Post by Helmut Richter
Post by Peter J. Holzer
Das Master-Passwort muss man nicht aufschreiben, denn *ein* Passwort
kann man sich merken (im Gegensatz zu hunderten).
Weil man es benutzt.
Ja, Passwort ändern und dann 4 Wochen auf Urlaub gehen ist eine
schlechte Idee ;-)
Post by Helmut Richter
Aber wenn man ausfällt, braucht man vielleicht jemanden, der es dann
erfahren soll (oder auch vorher mitgeteilt bekommen hat, aber mangels
Benutzung vergessen). Man kann sich nicht darauf verlassen, dass man
dann noch in der Lage ist, es mündlich mitzuteilen.
Für diesen Fall sollte es andere Möglichkeiten als die Weitergabe des
Master-Passworts geben. Manche Ausfälle (z.B. Urlaube) treten ja recht
regelmäßig ein, und da braucht es dann eine Stellvertreter-Regelung, bei
der die Stellvertreter Zugriff auf die notwendigen Passwörter haben,
aber eben nur auf die und nicht auf solche, die sie nichts angehen.

Ich bin kein Freund von Passwortmanagern als Dienstleistung (1password,
etc.) wegen der ganzen "other people's computers" Problematik, aber das
Problem ist dort gelöst: Man kann für jeden User festlegen, auf welche
Passwörter er Zugriff hat. Die Disziplin beim Eintragen muss man
natürlich aufbringen.

hp
Arno Welzel
2024-12-30 23:44:57 UTC
Permalink
Post by Herbert Kleebauer
Post by Arno Welzel
Post by Peter J. Holzer
Post by Marc Haber
"aufschreiben" != "digital speichern".
Für mich ist "digital speichern" eine Untermenge von "aufschreiben".
Aber nicht, wenn es um Passwort-Manager geht - da werden die Daten nicht
nur aufgeschrieben sondern auch verschlüsselt und ohne Kenntnis des
Passworts für den Passwort-Manager kommt man auch nicht mehr an die
Daten heran.
Wo ist der Unterschied zwischen alle Passwörter aufschreiben oder
nur das Master-Passwort für den Passwort-Manager aufschreiben? In
beiden Fällen kommt man mit der Information auf dem Zettel an alle
Passwörter.
Wieso sollte man das Master-Passwort aufschreiben? *Ein* Passwort kann
man sich auch merken.

[...]
Post by Herbert Kleebauer
Post by Arno Welzel
Man muss dennoch einen Zettel haben, der an sich ungeschützt ist.
Auch der Zettel mit dem Master-Passwort ist nicht besser geschützt.
Deswegen schreibt man dieses Passwort auch nicht auf, sondern merkt es
sich. Und wenn man es sich doch aus Sicherheitsgründen aufschreiben
will, damit man es im Notfall noch irgendwo hat, kann man es ja so
sicher aufbewahren, dass auch ein Angreifer niemals drankommt, auch wenn
das für die tägliche Nutzung umständlich wäre.
Post by Herbert Kleebauer
Post by Arno Welzel
Weiterhin muss man die Passwörter eintippen,
Nicht unbedingt. Ich benutze einen QR-Code Scanner der sich als
Bluetooth-Tastatur anmeldet. Cursor in die Adresszeile des Browsers
Und die Bluetooth-Tastatur sendet keine Tasteneingaben?
Post by Herbert Kleebauer
Post by Arno Welzel
was ein Angreifer mit
Keylogger mitlesen könnte.
Und dein Master-Passwort kann der Keylogger nicht mitlesen. Wenn
jemand deinen Rechner übernommen hat oder einen USB-Keylogger
installieren konnte, dann hast da ganz andere Problem.
Man kann statt Master-Passwort auch einen USB-Token zur
Authentifizierung im PW-Manager nutzen.
Post by Herbert Kleebauer
Post by Arno Welzel
Bei einem Passwort-Manager, der die
Passwörter direkt in die vorgesehenen Felder einträgt, ist das nicht
möglich.
Was heißt direkt? Irgendwie muss ja eine Kommunikation zwischen
Passort-Manager und Browser erfolgen und die kann genauso mitgelesen
werden.
Aber nicht über einen Keylogger. Dazu müsste der Angreifer die API des
Betriebssystems kompromittieren.
Post by Herbert Kleebauer
Das ist auch der Grund warum ich eine ganz normale AES-veschlüsselte
Textdatei zum Speichern der Passwörter und keinen Passwort-Manager
aus externer Quelle nutze.
[...]

Das wäre mir deutlich zu umständlich.
--
Arno Welzel
https://arnowelzel.de
Herbert Kleebauer
2024-12-31 09:02:59 UTC
Permalink
Post by Arno Welzel
Wieso sollte man das Master-Passwort aufschreiben? *Ein* Passwort kann
man sich auch merken.
Du kannst dir echt dauerhaft ein sicheres Passwort merken
(auch wenn du es mal längere Zeit nicht benutzt)? Was spricht
dann dagegen, dies direkt als Passwort zu nutzen, möglicherweise
ergänzt mit den ersten zwei Buchstaben des jeweiligen Domainnamens.
Der Sicherheitsverlust dadurch ist vermutlich deutlich geringer als
der Sicherheitsgewinn durch das nicht mehr Nutzen einer externen
Software der du Zugriff auf all deine Passwörter gewährst.
Post by Arno Welzel
will, damit man es im Notfall noch irgendwo hat, kann man es ja so
sicher aufbewahren, dass auch ein Angreifer niemals drankommt, auch wenn
das für die tägliche Nutzung umständlich wäre.
Und wer kommt an meine Passwortliste in der Schreibtischschublade?
Der Hacker in Afrika oder China? Da ist es ja wohl noch viel
wahrscheinlicher, dass sich jemand in deinen Rechner hackt, das
Masterpasswort bei deiner Eingabe mitliest und dann alle Passwörter
auf dem Präsentierteller serviert bekommt ohne auch nur einen Fuß
in deine Wohnung setzten zu müssen.
Post by Arno Welzel
Post by Herbert Kleebauer
Post by Arno Welzel
Weiterhin muss man die Passwörter eintippen,
Nicht unbedingt. Ich benutze einen QR-Code Scanner der sich als
Bluetooth-Tastatur anmeldet. Cursor in die Adresszeile des Browsers
Und die Bluetooth-Tastatur sendet keine Tasteneingaben?
Ich habe dich so verstanden, dass du das Eintippen als lästige
Aufgabe ansiehst, die dir der Passwort-Manager abnimmt. Das
kann aber, wie gesagt, auch anders erreicht werden. Das Mitlesen
der Eingaben betrifft auch das Masterpasswort, da gibt es keinen
Vorteil für einen Passwort-Manager, allerdings gibt es dort den
gravierenden Nachteil, das das Mitschneiden des Masterpassworts
reicht um gleich alle Passwörter zu bekommen.
Post by Arno Welzel
Man kann statt Master-Passwort auch einen USB-Token zur
Authentifizierung im PW-Manager nutzen.
Und der ist dann sicherer zu verwahren als ein Stück Papier?
Post by Arno Welzel
Post by Herbert Kleebauer
Was heißt direkt? Irgendwie muss ja eine Kommunikation zwischen
Passort-Manager und Browser erfolgen und die kann genauso mitgelesen
werden.
Aber nicht über einen Keylogger. Dazu müsste der Angreifer die API des
Betriebssystems kompromittieren.
Wenn er dein System so weit übernommen hat, dass er einen
SW-Keylogger installieren kann, dann kann er auch alles andere machen.
Und wenn er sich physischen Zugang verschafft hat um eine HW-Keylogger
zu installieren, dann sind vermutlich Passwörter dein geringstes
Problem, zumindest ist dann aber eine Papierliste sicherer als ein
Passwortmanager.
Post by Arno Welzel
Post by Herbert Kleebauer
Das ist auch der Grund warum ich eine ganz normale AES-veschlüsselte
Textdatei zum Speichern der Passwörter und keinen Passwort-Manager
aus externer Quelle nutze.
[...]
Das wäre mir deutlich zu umständlich.
Was ist daran umständlich? Einfacher geht es doch gar nicht. Es muss
keine Software installiert werden, alles was man braucht ist die
angehängte Batch-Datei. Einen Link darauf habe ich in die Taskleiste
kopiert und als Symbol die zwei Schlüssel aus der Windows-Symbolsammlung
gewählt. Wenn ich ein Passwort brauche oder neu eintragen will, reicht
ein Mausklick auf die zwei Schlüssel in der Taskleiste. Nach Eingabe
des Passorts erscheint dann ein Editorfenster mit den Passwörtern.
Und da dies eine normale Textdatei ist, kann man da neben den Kennungen
auch alles mögliche andere eintragen. Wenn man das Editorfenster schließt,
wird, sofern Änderungen gemacht wurden, die Datei verschlüsselt und die
alte als Backup gespeichert.




@echo off
if not exist aes.exe certutil -f -decode %~f0 aes.exe>nul

set /p p=Passwort:
if not exist aes echo Hier Passwoerter einfuegen>aes.txt &goto :L20

cls&aes %p%<aes>aes.txt
:L20
copy aes.txt aes.0 >nul
start /w aes.txt
fc /b aes.txt aes.0>nul
if not errorlevel 1 goto :L10

if exist aes.4 del aes.4
if exist aes.3 ren aes.3 aes.4
if exist aes.2 ren aes.2 aes.3
if exist aes.1 ren aes.1 aes.2
if exist aes ren aes aes.1
aes -%p% <aes.txt >aes

:L10
set p=
del aes.0
del aes.txt

goto :eof

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Arno Welzel
2024-12-27 13:00:39 UTC
Permalink
Post by Ralph Aichinger
Post by Arno Welzel
Und generell *nie* für mehrere Dienste das selbe Passwort verwenden!
Auch das halte ich als pauschalen Rat für falsch. Warum sollte ich nicht
beim Uhrenforum und beim Füllfederforum das gleiche Passwort wie beim
Forum von Home Assistant verwenden? Und bei 20 anderen Webinterfaces
bei denen man weder was kaufen kann, noch andere "gefährliche" Dinge
machen auch?
Es ist irrelevant, wie "gefährlich" der Missbrauch ist. Man sollte sich
einfach angewöhnen, Passwörter nicht mehrfach zu verwenden. Wenn man
anfängt, das nach "Wichtigkeit" zu unterscheiden, wird man faul und
vergibt dann für ein E-Mail-Konto oder Online-Banking dann doch das
selbe Passwort wie für ein Forum.

Passwortmanager existieren, auch solche, die im Browser automatisch das
Passwort ausfüllen können. Es besteht keine Notwendigkeit mehr, sich
jedes Passwort außer dem für den Zugang zum Passwortmanager zu merken.
Post by Ralph Aichinger
Post by Arno Welzel
Denn wenn bei einem Online-Dienst wegen Sicherheitslücken o.Ä.
Passwörter erbeutet werden, sind die gleich für viele Konten
gleichermaßen nutzbar.
Ja, super, ich fürcht mich schon, dass bei einem Hack vom Uhrenforum
jemand sich beim Raspberry Pi-Forum als ich einloggen kann ;)
Je nach dem, um welche Themen es geht, kann das durchaus unangenehm
sein. Ich würde "Foren" nicht pauschal als "ist unwichtig" abtun.
--
Arno Welzel
https://arnowelzel.de
Helmut Richter
2024-12-27 10:22:50 UTC
Permalink
Post by Arno Welzel
Ansonsten sind solche E-Mails die typischen Droh-E-Mail, mit denen
Leuten Angst gemacht werden soll, damit sie zahlen. Die dort behaupteten
Dinge sind für den Angreifer nicht möglich [...]
Ganz unabhängig vom jetzigen Fall habe ich (Windows-DAU, weil ich Windows
nur sehr selten benutze und mich auch gar nicht einarbeiten will) eine
sehr simple Frage:

Man wird ständig gewarnt, irgendwelche unbekannten Webseiten oder E-Mails
zu öffnen, weil da böse Dinge versteckt sein könnten, die den ganzen
Rechner umpflügen. Aber braucht man dazu nicht irgendwelche Rechte? Selbst
wenn ich wüüste, wie ich mein System kaputtkriegen könnte: ich würde es
nicht schaffen, weil mir die Rechte fehlen, irgendwas zu ändern.
Allenfalls in meinen eigenen Dateien könnte ich Schaden anrichten. Und
selbst dazu braucht man eigentlich Rechte, die der fremde
Webseitenbetreiber nicht hat.
--
Helmut Richter
Ralph Aichinger
2024-12-27 10:37:53 UTC
Permalink
Post by Helmut Richter
Man wird ständig gewarnt, irgendwelche unbekannten Webseiten oder E-Mails
zu öffnen, weil da böse Dinge versteckt sein könnten, die den ganzen
Rechner umpflügen. Aber braucht man dazu nicht irgendwelche Rechte? Selbst
wenn ich wüüste, wie ich mein System kaputtkriegen könnte: ich würde es
nicht schaffen, weil mir die Rechte fehlen, irgendwas zu ändern.
Oft ist nicht "das System" das problematische, sondern z.B. das was in
deinem E-Mail-Account liegt

https://xkcd.com/1200/
Post by Helmut Richter
Allenfalls in meinen eigenen Dateien könnte ich Schaden anrichten. Und
selbst dazu braucht man eigentlich Rechte, die der fremde
Webseitenbetreiber nicht hat.
Deine eigenen Dateien sind im Normalfall das wertvollste auf dem
Computer.

/ralph
Arno Welzel
2024-12-27 13:15:15 UTC
Permalink
Post by Helmut Richter
Post by Arno Welzel
Ansonsten sind solche E-Mails die typischen Droh-E-Mail, mit denen
Leuten Angst gemacht werden soll, damit sie zahlen. Die dort behaupteten
Dinge sind für den Angreifer nicht möglich [...]
Ganz unabhängig vom jetzigen Fall habe ich (Windows-DAU, weil ich Windows
nur sehr selten benutze und mich auch gar nicht einarbeiten will) eine
Man wird ständig gewarnt, irgendwelche unbekannten Webseiten oder E-Mails
zu öffnen, weil da böse Dinge versteckt sein könnten, die den ganzen
Rechner umpflügen. Aber braucht man dazu nicht irgendwelche Rechte? Selbst
Browser und E-Mail-Clients laufen ja nicht komplett abgeschottet,
sondern mindestens mit deinem Benutzerkonto auf deinem Computer, d.h.
alles, was nicht Adminrechte erfordert, können sie tun. Und das genügt
schon, um deine persönlichen Daten zu lesen oder zu verschlüsseln, wie
bei Ransomware.

Per JavaScript kann ein Angreifer zwar *eigentlich* nicht direkt auf
deinen Computer zugreifen, weil Browser das prinzipiell unterbinden. So
kann ein JavaScript von einer Website geladen keine Aktion wie "Datei
mit ausführbarem Inhalt lokal schrieben und dann starten.".

Aber Browser können Sicherheitslücken enthalten und durch den Besuch von
Websites werden prinzipbedingt mindestens im Cache des Browsers und ggf.
im DOM-Storage Daten abgelegt. Wenn Sicherheitslücke existiert, dass ein
Browser in bestimmten Situationen abstürzt und dann Code ausgeführt
wird, der vorher im Cache des Browsers gelandet ist, kann ein Angreifer
genau das nutzen, um dein System anzugreifen.

Zugegeben - solche Fälle kommen nicht oft vor, weil die meisten Lücken
mittlerweile gefunden und behoben sind. Auch bietet z.B. Windows an, den
Browser in einer Sandbox auszuführen, ähnlich wie Apps in Android, so
dass er überhaupt keine Zugriffsrechte mit deinem normalen Benutzerkonto
hat.
Post by Helmut Richter
wenn ich wüüste, wie ich mein System kaputtkriegen könnte: ich würde es
nicht schaffen, weil mir die Rechte fehlen, irgendwas zu ändern.
Angreifer wollen in der Regel nicht das "System kaputtkriegen", sondern
es geht ihnen immer um Geld. Ransomware mit Verschlüsselung von Daten
Erpressung ist ein Weg dazu. Missbrauch des Systems für Botnetze ein
anderer.
Post by Helmut Richter
Allenfalls in meinen eigenen Dateien könnte ich Schaden anrichten. Und
selbst dazu braucht man eigentlich Rechte, die der fremde
Webseitenbetreiber nicht hat.
Nein, aber der Browser. Und "eigenen Dateien" ist viel kritischer als
das System. Software kann man einfach nur einrichten. Kopien
persönlicher Daten an Dritte kann man aber nicht rückgängig machen, auch
nicht mit einem Backup.
--
Arno Welzel
https://arnowelzel.de
Helmut Richter
2024-12-27 14:43:01 UTC
Permalink
Post by Arno Welzel
Angreifer wollen in der Regel nicht das "System kaputtkriegen", sondern
es geht ihnen immer um Geld.
Klar. Aber sie machen es kaputt (d.h. nicht mehr sicher für den
intendierten Zweck brauchbar).
Post by Arno Welzel
Ransomware mit Verschlüsselung von Daten Erpressung ist ein Weg dazu.
Dazu brauchen sie die Rechte des Browserbenutzers – auch die sollten sie
nicht bekommen, wie weiter oben diskutiert. Da *kann* es Lücken geben,
weil der Browser mit allgemeinen Benutzerrechten läuft, sollte es aber
nicht.
Post by Arno Welzel
Missbrauch des Systems für Botnetze ein anderer.
Dazu brauchen sie m.W. Administratorrechte, also mehr Rechte als der
Benutzer hat. Da darf es eigentlich keine Lücken geben.

Ich weiß schon, ich kann mich nicht darauf verlassen, dass es keine
Lücken gibt. Deswegen versuche ich, ein Verhalten zu vermeiden, das
einen ungewollten Test auf lückenlose Sicherheit darstellt. Ich wollte nur
ein Gefühl dafür bekommen, welcher Art die Lücken sind, die es
*eigentlich* gar nicht geben kann.
--
Helmut Richter
Peter J. Holzer
2024-12-27 15:43:17 UTC
Permalink
Post by Helmut Richter
Post by Arno Welzel
Angreifer wollen in der Regel nicht das "System kaputtkriegen", sondern
es geht ihnen immer um Geld.
Klar. Aber sie machen es kaputt (d.h. nicht mehr sicher für den
intendierten Zweck brauchbar).
Post by Arno Welzel
Ransomware mit Verschlüsselung von Daten Erpressung ist ein Weg dazu.
Dazu brauchen sie die Rechte des Browserbenutzers – auch die sollten sie
nicht bekommen, wie weiter oben diskutiert.
Code, der im Browser ausgeführt wird, läuft prinzipiell mit den Rechten
des Browserbenutzers. Der Browser wird ja vom Benutzer gestartet, wie
jedes andere Programm auch.

Der Browser *sollte* natürlich nicht beliebigen Code ausführen, sondern
nur das, wofür seine diversen Interpreter (allen voran JavaScript)
vorgesehen sind.

Darüberhinaus laufen Teile des Browsers in einer Sandbox. Und mittels
OS-Mechanismen wie SELinux oder AppArmor[1] kann das noch zusätzlich
eingeschränkt sein.

Aber im Grunde ist das immer noch derselbe User.

(unter Android läuft m.W. jede App unter einem anderen User. Aber das
ist ein anderes User-Konzept.)
Post by Helmut Richter
Da *kann* es Lücken geben, weil der Browser mit allgemeinen
Benutzerrechten läuft, sollte es aber nicht.
Es sollte auch kein Unfälle geben, und keine Verbrechen und keine
Krankheiten ... Gibt es aber.
Post by Helmut Richter
Post by Arno Welzel
Missbrauch des Systems für Botnetze ein anderer.
Dazu brauchen sie m.W. Administratorrechte, also mehr Rechte als der
Benutzer hat. Da darf es eigentlich keine Lücken geben.
Das dachte auch Palmström schon ;-).
Post by Helmut Richter
Ich weiß schon, ich kann mich nicht darauf verlassen, dass es keine
Lücken gibt. Deswegen versuche ich, ein Verhalten zu vermeiden, das
einen ungewollten Test auf lückenlose Sicherheit darstellt. Ich wollte nur
ein Gefühl dafür bekommen, welcher Art die Lücken sind, die es
*eigentlich* gar nicht geben kann.
Die Frage ist so allgemein nicht zu beantworten. Prinzipiell immer
Lücken, die es dem Angreifer ermöglichen Code auszuführen, der vom
Browser- oder OS-Hersteller nicht vorgesehen war, oder zumindest nicht
dafür vorgesehen war. Aber diese Auskunft hilft Dir jetzt auch nicht
weiter, fürchte ich.

hp

[1] Unter Windows gibt es vermutlich ähnliche Mechanismen. Aber mit
Windows kenne ich mich nicht aus.
Arno Welzel
2024-12-28 12:18:15 UTC
Permalink
Peter J. Holzer, 2024-12-27 16:43:

[...]
Post by Peter J. Holzer
Darüberhinaus laufen Teile des Browsers in einer Sandbox. Und mittels
OS-Mechanismen wie SELinux oder AppArmor[1] kann das noch zusätzlich
eingeschränkt sein.
[...]
Post by Peter J. Holzer
[1] Unter Windows gibt es vermutlich ähnliche Mechanismen. Aber mit
Windows kenne ich mich nicht aus.
Ja, gibt es, wird aber meines Wissens nach nur vom Microsoft-eigenen
Browser "Edge" genutzt. Firefox hat uneingeschränkten Zugang zu allem,
was der User darf. Deshalb ist in Firmen mitunter auch nur Edge als
Browser zugelassen, weil man andere Browser nicht vernünftig in eine
Sandbox bekommt.
--
Arno Welzel
https://arnowelzel.de
Andreas M. Kirchwitz
2024-12-27 16:43:45 UTC
Permalink
Post by Helmut Richter
Post by Arno Welzel
Ransomware mit Verschlüsselung von Daten Erpressung ist ein Weg dazu.
Dazu brauchen sie die Rechte des Browserbenutzers – auch die sollten sie
nicht bekommen, wie weiter oben diskutiert.
Auf einem normalen PC läuft alles unter dem gleichen Nutzer,
das heißt, wenn der Browser gehackt wird, sind automatisch
alle persönlichen Daten gefährdet.

Man kann das künstlich trennen, aber man stellt schnell fest,
dass Datenverarbeitung wesentlicher Sinn eines Computers ist,
weshalb eine Abschottung zugleich bedeutet, dass der Computer
einen Teil seiner Nützlichkeit verliert.

Die persönlichen Daten sind normalerweise das einzige, was
von Interesse ist. Windows oder Linux kann man frei im Netz
runterladen, das braucht niemand mühsam zu klauen.
Post by Helmut Richter
Da *kann* es Lücken geben,
weil der Browser mit allgemeinen Benutzerrechten läuft, sollte es aber
nicht.
Solche Lücken gibt es ständig, und das ist bei solch einer
komplexen Software praktisch nicht auszuschließen.

Man sollte immer davon ausgehen, dass man früher oder später
die Kontrolle über seine Daten verliert, und dann sollte man
einen Plan haben, damit das Leben trotzdem weitergeht.
Post by Helmut Richter
Post by Arno Welzel
Missbrauch des Systems für Botnetze ein anderer.
Dazu brauchen sie m.W. Administratorrechte, also mehr Rechte als der
Benutzer hat. Da darf es eigentlich keine Lücken geben.
Nein, dafür braucht man nicht zwingend Administrator-Rechte,
aber das führt zu weit und ist auch unwichtig, denn ob mein PC
Teil eines Botnets ist oder Spam verschickt, ist mir doch egal,
denn das einzige, was mich interessiert, sind meine Daten.
Post by Helmut Richter
Ich weiß schon, ich kann mich nicht darauf verlassen, dass es keine
Lücken gibt. Deswegen versuche ich, ein Verhalten zu vermeiden, das
einen ungewollten Test auf lückenlose Sicherheit darstellt. Ich wollte nur
ein Gefühl dafür bekommen, welcher Art die Lücken sind, die es
*eigentlich* gar nicht geben kann.
Lücken gibt es zuhauf. Damit muss man leben.

Das gilt für Firmen, Organisationen, Behörden etc. natürlich
in ähnlicher Form ebenfalls. Die meisten Leute verkennen, woher
die wahre Bedrohung kommt und wie sie sich schützen sollten.
Da werden dann vielleicht stur BSI-Regeln abgearbeitet, es gibt
einen Stempel drauf, und dann "muss" ja alles gut sein. Nee,
ohne ständiges Mitdenken gibt es leider keine Sicherheit, und
das muss keineswegs besonders mühsam oder aufwendig sein, aber
es benötigt Hirn. :-)

Grüße, Andreas
Arno Welzel
2024-12-28 12:16:04 UTC
Permalink
[...]
Post by Helmut Richter
Post by Arno Welzel
Missbrauch des Systems für Botnetze ein anderer.
Dazu brauchen sie m.W. Administratorrechte, also mehr Rechte als der
Benutzer hat. Da darf es eigentlich keine Lücken geben.
Falsch. Malware kann auch ohne Adminrechte laufen und in einem Botnetz
aktiv sein. Es genügt, wenn die Malware eine Verbindung zu einem Server
aufbaut kann, von dem sie dann ihre Aufträge bekommt. In privaten
Umgebungen sind auch nur sehr selten Sicherungsmaßnahmen anzutreffen,
die den Aufbau einer Netzwerkverbindung von einem Client zu einer
beliebigen Zieladresse unterbinden, wenn man es nicht explizit genehmigt.
--
Arno Welzel
https://arnowelzel.de
Ralph Aichinger
2024-12-28 12:32:52 UTC
Permalink
Post by Arno Welzel
aufbaut kann, von dem sie dann ihre Aufträge bekommt. In privaten
Umgebungen sind auch nur sehr selten Sicherungsmaßnahmen anzutreffen,
die den Aufbau einer Netzwerkverbindung von einem Client zu einer
beliebigen Zieladresse unterbinden, wenn man es nicht explizit genehmigt.
Auch in Firmennetzwerken ist das eher selten meinem Gefühl nach. Am
ehesten in abgeschotteten Rechenzentrumsbereichen für Server, aber
wenigr bei typischen Büronetzen. Da ist der Aufwand fürs Freischalten
oft zu viel Aufwand.

/ralph
Marcel Mueller
2024-12-26 10:37:31 UTC
Permalink
Post by Louis Noser
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Nein, das ist Hoax.
Post by Louis Noser
Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)
Ja, klar. Treiber werden zum Teil des Kernels.

Aber installierst du jeden Schrott-Treiber von 5€ Hardware, der auf
einem zufällig gefundenen USB-Stick residiert?

Die Treiber des Betriebssystems unterliegen denselben Kontrollen, wie
das OS selbst, incl. regelmäßiger Sicherheitsupdates. Potentiell riskant
wird es erst, wenn man Hardware aus windigen Quellen dazu kauft, die
spezielle beiliegende Treiber benötigen. Aber das ist für die bösen
Buben auch kein sonderlich lohnendes Einfallstor. Es dauert viel zu
lange, ist über den Warenweg nachverfolgbar und kann leicht auffliegen.

Tatsächlich sind Einbrüche über Treiberfehler normalerweise ganz
normale, versehentliche Sicherheitslücken. Man muss halt abwägen, dass
man beim Kauf einer 10€ Tastatur den beiliegenden Treiber besser
wegschmeißt und den Standardtreiber des Systems nutzt, weil Hersteller
in der Preisklasse selten Willens oder in der Lage sind, den Aufwand für
die Sicherheitsprüfungen und Updates zu stemmen. Kann natürlich sein,
dass sich die eingebaute, ultraviolette LED dann nicht mehr über ein
lustiges Windows-Programm steuern lässt. ;-)
Post by Louis Noser
Ich habe noch nichts getan. Weder gezahlt noch mein System neu aufgesetzt.
Passt.

Die warten einfach nur darauf, dass jeden Tag ein dummer aufsteht und
Geld schickt. In dem Punkt gibt es keinen Unterschied zu den
Nigerianischen Prinzen.

Manchmal wird bei Kontaktaufnahme durch den User im Nachgang noch
versucht, den Rechner zu kapern. Beispielsweise unter dem Vorwand ihn
eigentlich zu reinigen. Dazu muss der User aber aktiv Zugang gewähren.
Post by Louis Noser
3.
Hätte der Absender effektiv, wie suggeriert, umfassenden Zugriff auf
meinen Rechner, hätte er sicher schon andere, mir mehr schadende
Aktionen unternommen.
... und vor allem _dich darüber nicht informiert_. Das wäre der Abgrund
der Dummheit.

Das sind einfach nur Spam-Mails. Teilweise sind die Passwörter einfach
erraten - passt selten, aber Spam kostet ja nix. Oder aber man nimmt
wertlose, veraltete geklaute Passwörter und schickt die auf gut Glück los.


Marcel
Ruediger Lahl
2024-12-26 15:07:04 UTC
Permalink
Post by Louis Noser
Hallo
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)
https://workupload.com/file/gBLuxWGjWGy
Eine fremde eml-Datei öffne ich ungern, aber war es zufällig dieser
Text? http://al.howardknight.net/?ID=173522555400

Erzählst du nicht jedem, der es nicht wissen will, dass du ChromeOS
verwendest?
--
bis denne
Louis Noser
2024-12-26 19:26:49 UTC
Permalink
Post by Ruediger Lahl
Erzählst du nicht jedem, der es nicht wissen will, dass du ChromeOS
verwendest?
Verwende ich nicht.

Was genau habe ich Dir getan?
Ruediger Lahl
2024-12-26 20:25:52 UTC
Permalink
Post by Louis Noser
Post by Ruediger Lahl
Erzählst du nicht jedem, der es nicht wissen will, dass du ChromeOS
verwendest?
Verwende ich nicht.
Sorry, da habe ich dich verwexlt.

Was ist mit dem Erpresserschreiben, dessen URL ich postete. Identisch
mit deinem?
--
bis denne
Peter J. Holzer
2024-12-26 21:31:06 UTC
Permalink
Post by Ruediger Lahl
Was ist mit dem Erpresserschreiben, dessen URL ich postete. Identisch
mit deinem?
Nein.

hp
Ruediger Lahl
2024-12-26 21:36:57 UTC
Permalink
Post by Ruediger Lahl
Was ist mit dem Erpresserschreiben, dessen URL ich postete. Identisch
mit deinem?
Nein.
Danke.
--
bis denne
Jörg Lorenz
2024-12-26 20:54:02 UTC
Permalink
Post by Ruediger Lahl
Post by Louis Noser
Hallo
Soll ich mein System neu aufsetzen, wenn ich ein Mail erhalten habe,
worin ein (nicht mehr verwendetes) Passwort enthalten ist?
Kann Schadcode in Treibersoftware eingebettet und ausgeführt werden?
(Wird in der Mail behauptet.)
https://workupload.com/file/gBLuxWGjWGy
Eine fremde eml-Datei öffne ich ungern, aber war es zufällig dieser
Text? http://al.howardknight.net/?ID=173522555400
Erzählst du nicht jedem, der es nicht wissen will, dass du ChromeOS
verwendest?
Ja und wenn es so wäre? Scheissegal! Du trollst auf das Übelste, wie
schon das ganze Jahr.
--
"Ave! Morituri te salutant!"
Ruediger Lahl
2024-12-26 21:35:20 UTC
Permalink
Post by Jörg Lorenz
Post by Ruediger Lahl
Post by Louis Noser
https://workupload.com/file/gBLuxWGjWGy
Eine fremde eml-Datei öffne ich ungern, aber war es zufällig dieser
Text? http://al.howardknight.net/?ID=173522555400
Erzählst du nicht jedem, der es nicht wissen will, dass du ChromeOS
verwendest?
Ja und wenn es so wäre? Scheissegal! Du trollst auf das Übelste, wie
schon das ganze Jahr.
Für dich fabelhaften Menschenversteher, ich hab das ne halbe Stunde,
bevor du dir drauf einen runtergeholt hast, bereits aufgeklärt und mich
entschuldigt. Und wenn du artig per Mail nachfragst, sag ich dir auch,
mit wem ich ihn verwechselt habe.
--
bis denne
Jörg Lorenz
2024-12-27 00:32:48 UTC
Permalink
Post by Ruediger Lahl
Für dich fabelhaften Menschenversteher, ich hab das ne halbe Stunde,
bevor du dir drauf einen runtergeholt hast, bereits aufgeklärt und mich
entschuldigt. Und wenn du artig per Mail nachfragst, sag ich dir auch,
mit wem ich ihn verwechselt habe.
Der verwendete Browsers spielt so oder so einfach keine Rolle in diesem
Thread. Nicht die Geringste.
--
"Alea iacta est." (Julius Caesar)
Ruediger Lahl
2024-12-27 10:39:56 UTC
Permalink
Post by Jörg Lorenz
Post by Ruediger Lahl
Für dich fabelhaften Menschenversteher, ich hab das ne halbe Stunde,
bevor du dir drauf einen runtergeholt hast, bereits aufgeklärt und mich
entschuldigt. Und wenn du artig per Mail nachfragst, sag ich dir auch,
mit wem ich ihn verwechselt habe.
Der verwendete Browsers spielt so oder so einfach keine Rolle in diesem
Thread. Nicht die Geringste.
ChromeOS ist KEIN Browser.
--
bis denne
Jörg Lorenz
2024-12-27 06:36:17 UTC
Permalink
Post by Ruediger Lahl
Post by Jörg Lorenz
Post by Ruediger Lahl
Post by Louis Noser
https://workupload.com/file/gBLuxWGjWGy
Eine fremde eml-Datei öffne ich ungern, aber war es zufällig dieser
Text? http://al.howardknight.net/?ID=173522555400
Erzählst du nicht jedem, der es nicht wissen will, dass du ChromeOS
verwendest?
Ja und wenn es so wäre? Scheissegal! Du trollst auf das Übelste, wie
schon das ganze Jahr.
Für dich fabelhaften Menschenversteher, ich hab das ne halbe Stunde,
bevor du dir drauf einen runtergeholt hast, bereits aufgeklärt und mich
entschuldigt. Und wenn du artig per Mail nachfragst, sag ich dir auch,
mit wem ich ihn verwechselt habe.
Den Chrome-OS-Fanboy kennen wohl alle hier in der Gruppe. Ist eher
ruhiger geworden um ihn. Google als Browser-Lieferant ist grenzwertig.
Aber ein ganzes OS?
--
"Manus manum lavat"
Ruediger Lahl
2024-12-27 10:39:48 UTC
Permalink
Post by Jörg Lorenz
Den Chrome-OS-Fanboy kennen wohl alle hier in der Gruppe. Ist eher
ruhiger geworden um ihn. Google als Browser-Lieferant ist grenzwertig.
Aber ein ganzes OS?
Also ich kenne ihn nur aus den ms-windows-NGs. Aber mein NUA hat nur
sehr kurze Haltezeiten, da kann ich nicht weit zurückblätern.

FollowUp-To poster
--
bis denne
Loading...