ComputerBase Menü
Aktuelles

News Gehackte GMX-Konten für Spam missbraucht

@ Turrican101
Technisch gesehen stimmt das schon. Der PC kennt ja am Ende nur 0 und 1. Deswegen sind Fingerabdruck und Retina-Scanner genauso anfällig gegenüber Bruteforce (am ende nur wieder 0 und 1), nur das man da nicht einfach seinen Finger ändern kann. Geht schon, tut nur mörderisch weh:D
Aber über die Schulter-Gucker und anderen Spionen (am Ende Faktor Mensch) wird es dennoch schwerer gemacht.
 
Guten Morgen,

habe soeben beim Support angerufen. Mein Account wurde gehackt und deshalb haben die den gesperrt. Nun wurde er wieder freigeschalten.

Übrigens, die Bearbeitungszeit für das Formular mit der Kopie vom Personalausweis, dauert momentan zwischen 4-6 Werktage...
 
Ich habe regelmäßig 5-10 Fehlgeschlagene Login versuche bei meinem GMX Account nach dem Login gesehen, das geht schon Monate so!! :mad:
 
mhh... 4 Konten, 1-11 Fehlversuche...
Seit ich die Mails direkt an GMail weiter leite logge ich mich normalerweise nicht mehr bei GMX ein.

GMail ist eh 1000x geiler als GMX =) Und da ich die alten Adressen behalten kann und alle zentral aus einem Postfach verwalten kann brauche ich GMX nurnoch als Proxy=)
Und bei Google gibts nach 3 Fehlversuchen auch nen Captcha, wodurch wenig interessant für Hacker.

Ich wollte mich übrigens beim CyanogenMod-Forum anmelden und bin fast vom Stuhl gefallen, als ich das hier gelesen habe: http://forum.cyanogenmod.com/topic/...nity-please-select-a-different-email-address/

Denn die akzeptieren keine GMX Adressen mehr und generell keine .de Adressen mehr !
Weil von GMX und Co zu viel Spam kommt.
 
ich hab keine fehlerhaften Logins, aber um an so viele Accounts zu kommen müssen entweder fast alle Passwörter davon so dermaßen kurz und/oder einfach gewesen sein oder wirklich direkt von GMX gekommen sein.

Und zum Passwort, beim "knacken durch probieren" => BruteForce ist es egal ob das Passwort Wörter, Zeichen oder sonst was ist. Entscheidend ist die Länge und die Kombinationsmöglichkeiten.
Als Beispiel: a-z auch mit 10 Stellen ist vergleichsweise schnell zu knacken
habe ich aber: a-z, A-Z, 0-9, siehts schon ganz anders aus und wenn dann noch Sonderzeichen wie "!,%,$" usw. dazukommen dauert es ewig.
Was man natürlich nicht vernachlässigen darf, haben hier auch schon manche angesprochen sind Möglichkeiten direkt auf Wörter zu testen bzw. Passwörter aus Tabellen zu verwenden.

Also an der Nase sollten sich als erstes die packen die wirklich nur irgendwelche Lulu-Passwörter haben "Tom83" wenn der Account Thomas.P_1983@" heißt ist sicher nicht wirklich schwer zu knacken.

Aber auch GMX muss hier was machen, ein Filter muss einfach merken wenn auf einen Account kurzzeitig so viele Anfrage kommen, egal ob von einem oder mehreren Rechnern und dann einen steigende Verzögerung bis zum nächsten Login einbauen. Und nach 5 oder 10 Versuchen dann zusätzlich Captcha oder sonst was. Abgesehen davon wäre eine Nachricht an den Nutzer hilfreich.
 
Eine gute Idee wäre es auch, Zeichen zu verwenden die nicht auf der Tastatur auftauchen.
Da allein schon das durchprobieren von Sonderzeichen, die auf der Tastatur zu sehen sind, denn Aufwand in die Höhe treiben, kann es sein das solche Zeichen wie █(ALT+219 auf dem NumBlock) gar nicht erst berücksichtigt werden. Das Problem dabei ist, das manche Passwortdatenbanken diese Zeichen einfach filtern, ohne was zu sagen. Ergo plötzlich ist das Passwort statt 10 nur noch 7 Zeichen lang. Zumal muss man beachten, das gerade diese Zeichen dazu neigen, unter Umständen anders angezeigt zu werden. Von daher, wenn man schon Passwörter protokollieren muss, dann sollte man dies eben als ALT+219 tun.
Und ja, ich weiß, man soll ja keine Passwörter aufschreiben. Steht ja auf jeder Seite. Aber versucht mal 50 Passwörter zu merken:rolleyes:

Ich möchte übrigens meinen vorherigen Beitrag etwas hinzufügen. Ich meinte mit meiner Aussage nicht unbedingt ein Passwort Hackfleisch zu nennen. Es ging mir mehr um die Aussage das letzten Endes alles 0 und 1 ist, an sich.

Keepass ist übrigens ein Segen. Problem ist nur, das das auch ein Passwort benötigt wird. Und fällt das in falsche Hände + Containerdatei, hat der Angreifer alle Passwörter.
 
Creeed schrieb:
So ein Passwort auf Anhieb zu treffen sollte ziemliches Glück voraussetzen.

ƒë0øÎ1?Ǫ*Û/öd«~á»N

Wenn man bedenkt dass Lottospielen eine 1:160 Mio Chance ist sollte man dann eher Profi Lottospieler werden :evillol:
Zum Vergrößern anklicken....

Wenn du es dir selbst schwer machen willst, kannst du so ein Passwort wählen. Erheblich sicherer wäre das Passwort
"Creeed-hält-sich-für-sehr,-sehr-clever!"
und das lässt sich sogar merken.

Eine schönes Darstellung dazu, die Wechhe auch schon verlinkt hat:
password_strength.png
 
Ich bin nicht sonderlich clever, ich nutz nur KeePass Passwortsafe und den dazugehörigen Generator. Ich bin gelinde gesagt zu faul mir komplizierte Passwörter zu merken. Das einzige "schwere" Passwort dass ich mir merke ist das für meinen Rechner, das besteht aus 16 Zeichen, davon 3 Zahlen.
 
Hi!

Also mich hat es auch erwischt... Bisher konnte ich feststellen, dass an ca. 12 Personen von meinen Kontakten diese Nachricht mit dem "Abnehm - Link" verschickt wurde. Das ist wirklich ein sehr unschönes Gefühl...


Grüße
 
Beinhalten die Namen eurer eMails eigentlich Sonderzeichen? Ich habe bemerkt das bei meinem eMails die Sonderzeichen drin haben, weniger mit Spam belästigt werden. Von daher ich denke, das man sich damit auch ein paar Angreifer fernhalten kann. Sofern man nicht überall mit seiner eMail prallt, muss der Angreifer doch erst mal denn genauen Namen der eMail herausfinden, um mit dem Hack beginnen zu können. Problem ist nur, das eben nicht alle Sonderzeichen zugelassen sind.
 
Meine gmx-Adrese hat nur 3 Buchstaben und 4 Zahlen. Das Passwort ist aber länger. ;)
Habe keine Fehlversuche.
Bin aber für den täglichen Gebrauch zu Windows live gewechselt und habe da noch kein Spam gehabt (ca. 2 Jahre).
GMX hat echt schlechte Spam-Filter, und die regelmäßige manuelle Blacklist-Aktualisierung hilft auch nur ein paar Wochen.
Von meinem Bruder habe ich auch schon vor Monaten Spam bekommen. Sein alter unbenutzter GMX-Account hatte zwar ein "sicheres" Passwort, aber auch bei sehr geringen Wahrscheinlichkeiten ist es möglich, jedes Passwort beim ersten Mal zu raten. Stochastik und Statistik sind doof. ;)
 
Jetzt höre ich schon zum vierten mal, ein unbenutzter Acc wurde gehackt!
Kann man bei GMX eMails nicht still-legen lassen? Wenn ich ein eMail aufgebe, wird sie eigentlich deaktiviert. Soweit ich verstanden habe, kann man sie für ein paar Monate dann auch nicht reaktivieren. Von daher wenn jemand nach mir denn gleichen Namen wählt kommt ein entsprechender Hinweis.
Ich nehme an, man hofft dadurch Spammer diese eMail "abzugewöhnen". Um die Wahrscheinlichkeit zu senken, das der Nachfolger gleich Spam abbekommt, der für denn Vorgänger bestimmt war. Naja, wie sagt man, die Hoffnung stirbt zuletzt.

Wenn sich eine eMail nicht deaktivieren lässt, könnte man als letzten Akt der Boshaftigkeit ein richtig böses Passwort vergeben, das die maximale Länge dazu auch noch voll ausschöpft. Merken muss man sich es ja nicht mehr:)
 
Zuletzt bearbeitet von einem Moderator:
Ich hätte mal folgende Frage zu dem Thema (bin zum Glück nicht betroffen, aber als Wachrüttler sind solche Aktionen immer wieder gut).

Man kann die Passwortsicherheit als Mix aus folgenden Variablen ableiten:

- Länge des Passworts
- Verwendung von Sonderzeichen
- Verwendung von Groß- und Kleinschreibung
- Verwendung eines Passworts das nicht in Wörterbüchern vorkommt
- Verwendung eines Passworts das nicht geläufig ist (wie z.B. passw0rd)

Meine Frage ist jetzt:

1. welche Variable ist die wichtigste? Gibts da ne Reihenfolge? Also z.B. Länge>Sonderzeichen>Wörterbucheintrag?
2. 'Reicht' es zwei Kriterien zu erfüllen? Ist man dann bei sagen wir mal 90% PW-Sicherheit und das Erfüllen aller Kriterien wäre 95%? Oder wäre man bei 2 Kriterien nur bei 50% und alle Kriterien dann bei 90%?

DAnke und Grüße
 
heißes Thema gerade! ich habe schon seit Monaten festgestellt, das mein Account mehrere Fehlversuche an Logins hat. (solang mein PW mehr als 10 Zeichen mit Sonderzeichen etc hat, bin ich, denk ich mal, auf der sicheren Seite)

Jetzt hat es meine Schwester und einen Freund erwischt. :D
 
@flintstones:

Wie hier im Thread ja schon geschrieben wurde, ist die Länge des Passworts durch nichts zu ersetzen.

Ein Passwort das ungefähr so aussieht: ?KjMYT0XrO?$9}4?

ist um einiges unsicherer als dieses: dashieristeinunfassbarlangespasswortunddahermitheutigenmittelneigentlichfastunmöglichzuknackenversuchshaltwennduglaubstduschaffstes

Ein Pluspunkt der letzten Methode ist, dass dieses Passwort leichter zu merken ist.
 
Zuletzt bearbeitet:
  1. Länge
  2. nicht im Wörterbuch stehend
  3. Sonderzeichen (wenn Unicode benutzt wird, kann man schon auf gern > 100 Sonderzeichen kommen)
  4. Groß/Kleinschreibung (52 Möglichkeiten)
  5. Zahlen (10 Möglichkeiten)

Wobei man beim Wörterbuch sagen kann, dass auch zusammengesetzte Wörter nicht per se sicherer sind. Wörterbuchlisten kann man schließlich auch kombinieren. Die Chance, dass das (evtl. aus mehreren) Wörtern bestehende Passwort darin vorkommt, ist vielleicht sehr gering, aber man muss nur die Liste erweitern und schon würde man es auch hinbekommen in hinreichend "geringer" Zeit. Kommt immer auf den Aufwand an, den man betreibt. Für sehr sensible Daten wird man mit Sicherheit auch nicht nur den Duden zurande ziehen, sondern schön viele und lange Kombinationen ausprobieren. Wobei hier dann die Frage wäre, ob man es nicht ohne Wörterbuch probiert und einfach wild Buchstaben, Zahlen, etc. durchtestet (wenn man halbwegs die Länge des Passwortes kennt).

Die Anzahl der möglichen Kombinationen richtet sich nach Anzahl unterschiedlicher ZeichenLänge.
 
Zuletzt bearbeitet:
C:\Windows\System32\charmap.exe

So beschränkt ist die Auswahl doch überhaupt gar nicht :freaky::evillol:
 
Das mit der Passwortsicherheit kannst du dir leicht selbst erklären.

Wenn du nur Kleinbuchstaben verwendest, hast du pro Zeichen 26 Möglichkeiten,
Bei Groß- und Kleinbuchstaben sind es schon 52 pro Stelle.
Kommen noch Zahlen hinzu, sind es 62.
Mit Sonderzeichen nochmal mehr, glaube 96.

Das ganze dann mit der Anzahl der Stellen potenzieren. Also 26³ für kleinschreibung 3 Stellen

Wenn dein Passwort nun "computer" ist, dann gibt es 26 hoch 8 = 208.827.064.576 Möglichkeiten. Das knackt jeder Computer innerhalb von Sekunden.
Selbst, wenn du das Passwort nun "sicherer" machst und Zahlen und so einfügst:

"siM34_%d" Nun hast du 96 hoch 8 = 7.213.895.789.838.336 Möglichkeiten. Das ist eine ganze Ecke sicherer, aber scheiße zu merken. Und trotzdem ist es noch in einer normalen Zeit zu knacken!!

Nun nehmen wir das Passwort "DeineMuddaschwitztBeimKacken" Das kannst du dir super leicht merken und schnell tippen. Es gibt 52 hoch 28 Möglichkeiten, also
1.118.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000
Das ist deutlich sicherer.

Bedenken sollte man noch, dass es bei Bruteforce-Attacken nicht einfach von vorne nach hinten geht, sondern in den meisten Fällen eine Liste gibt, die zuerst ausprobiert wird. Auf dieser Liste stehen die häufigsten Passwörter, dazu vielleicht noch das Wörterbuch. Außerdem gibt es Programme, die nach falschen Passwörtern ähnliche andere ausprobieren. Also die Zeiten, wo mit aaaaaa, dann bbbbb probiert wird, sind lange vorbei. Deswegen sollte man vielleicht ein "scheinbar" unsinniges Passwort nehmen. Also nicht "allemeineEntchen"
 
Zuletzt bearbeitet:
Na, ich weiß nicht. Die DeineMuddaschwitztBeimKacken-Methode hat vielleicht was für sich, aber nehmen wir an, ein Tool probiert alle möglichen Wortkombinationen aus. Der Angreifer weiß du bist Deutscher, hast einen deutschen Text vermutlich als Passwort. Social Hacking im Vorfeld, wenn du verstehst.
Bleiben wir bei diesem Beispiel. Es gibt eine begrenzte Menge an dt. Worten (bei dir muss man allerdings noch ein Häkchen bei Dirty-Slang machen:D). Ich denke die Kombinationsanzahl wird kaum an die von dir veranschlagte Menge ranreichen. Bei der altmodischen Methode, also selbst so etwas kurzes wie siM34_%d ist es schon mehr. Aber, da hast du recht, wie soll man sich das merken?
Von daher Deine!Mudda§schwitzt$Beim&Kacken ist da schon besser. Vielleicht auch nicht unbedingt sehr originell, aber besser.

Ganz abgesehen davon: Wieso hacken? Vor ein paar Tagen hat ein Mitschülerin zwei Reihen vor mir bei der Harzsparkasse Homebanking betrieben und sollte froh sein, das ich noch zu müde war um geradeaus zu schauen...
Die Kontonummer + C für ChipTan, womit man sich als Kunde anmeldet, steht Klartext auf dem Schirm und die PIN fürs HB - selbst wenn ich nicht die Tastatur im Auge habe - hat ja bei der Harzsparkasse nur 5 Zeichen. Die meisten Sonderzeichen sind nicht erlaubt. Ich glaube seit neuesten sind nur noch Groß/Klein-Buchstaben und Zahlen gültig, wenn ich mich nicht irre:freak:
 
@ Chippo

Du hast natürlich Recht. Das hatte ich ja im unteren Absatz auch geschrieben, dass man das beachten sollte. Natürlich kann und sollte man das ganze etwas untypischer machen. Entweder durch Einfügen von Zahlen und/oder Zeichen (z.B. zwischen den Wörtern) oder durch verwenden von untypischen, am besten noch falsch geschriebenen Wörtern in einer untypischen Reihenfolge.
Jedoch gilt auch hier, lieber ein längeres, einfachereres als ein kürzeres kompliziertes, was man sich dann nicht merken kann.
Es war ja nur ein Beispiel. Du kannst ja was nehmen wie: LangesHolzverbautSichschwererAlsKurzesHolz
Obwohl richtig geschrieben und häufige Wörter wird das erst ziemlich am Ende erraten, weil der 0815-Hackbot ohne persönliche Verbindung zu dir erstmal die kürzeren Passwörter durchgeht und nicht bei 40 Zeichen anfängt!

Ich gehen mal davon aus, dass der Großteil der Leute hier weniger Probleme hat, sich Passwörter zu merken. Wenn ich meinen Eltern oder gar Großeltern ein "sicheres" Passwort mache, dann können die sich das nicht merken und schreiben sich das irgendwo auf. Oder sie verwenden ihre 6-8 Zeichen langen Passwörter, die ziemlich unsicher sind.
Trotzdem wurde noch keiner von denen gehackt.

Wenn es wirklich jemand darauf anlegt, genau DEINEN Account zu knacken, dann schaffen die das auch. Bei einem Webaccount werden die dann sicher nicht alles durchprobieren, sondern einen anderen Weg wählen und Phishing betreiben oder einen Keylogger auf deinem Rechner installieren oder sowas in der Art.

Denn "richtiges" Brute Force mit vielen Millionen Versuchen pro Sekunde ist nur bei Direktzugriff möglich. Zum Beispiel bei einer Festplattenverschlüsselung. Da MUSS man ein möglichst langes und vielseitiges Passwort nehmen.
Wenn eine Behörde deine Platte konfesziert, dann lassen die da ihren Großrechner drüber laufen, der ein paar mehr Versuche pro Sekunde hat und die haben auch Zeit. Also sollte man schon ein 30-50 Zeichen Passwort nehmen mit allem drum und dran.
Das ist aber bei einem GMX Account nicht notwendig meiner Meinung nach.

Ich kann mir nicht vorstellen, dass ein SPAM-Bot tagelang versucht einen speziellen Account zu knacken. Da muss ja schon eine persönliche Motivation dabei sein, denn nur für SPAM lohnt sich der Aufwand nicht. Und dann wären wir wieder bei dem Hacker-Fall, der ganz andere Methoden zur Verfügung hat!
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz