Erpresseremail

[RobertS]

Ja, ich hab auch so eine Mail bekommen.
Nachdem selbst die nigerianischen Prinzen beschlossen haben mich zu ignorieren fühle ich mich jetzt endlich wieder ernst genommen. Wenigstens einem ist meine Existenz noch wichtig und wenigstens Einer hat noch ein gewisses Grundvertrauen in meine wirtschaftliche Leistungsfähigkeit.

[whisper]

Ich habe mir eine MEGA große Wordlist mit geleakten Passwörtern geholt.
Da drin kann ich mit grep mal schnell suchen. Tatsächlich finde ich das Passwort aus der Erpressermail. Jetzt habe mal ein wenig gespielt und geguckt, wieviel Passwörter denn wohl Debian enthalten...
Kommt ihr nie drauf.

Von knapp 64 Mio Passwörtern sind 504 mit debian, teilweise auch richtig komplexe-lange Dinger.
stefano-zacchiroli-zum-neuen-debian-projektleiter-gewaehlt z.B. (da das 8 Jahre her ist, denke ich, das Passwort ist nirgendwo mehr gültig)
Also ich gehe davon aus, dass eins der gehackten Foren ein deutsches Fachforum (o.ä.) war.
Holt euch crackstation-human-only.txt
und guckt selber mal, welches Paswort von euch drin ist
Bei mir ist es glücklicherweise nur 1, und das nutze ich seit Jahren nicht mehr.

[DEBIANUNDANDREAS]

@whisper
das sind 4.2 GiB compressed. 15 GiB uncompressed.
Ist das nicht zuviel?

[whisper]

Code: Alles auswählen

# ls -lh crackstation-human-only.txt 
-rw-r--r-- 1 root root 684M Nov 11 11:54 crackstation-human-only.txt

[Lohengrin]

Coole Seite. Muss mich da mal registrieren um "sensitive breaches" zu durchsuchen. Lol.
Jeder, der dort eine E-Mailadresse eingibt, sollte sich mal überlegen, ob da nicht gerade eine neue Datenbank angelegt wird. Eine z.B. mit validen Mailadressen.

Das habe ich mir auch gedacht.
Erstaunlich, dass root@localhost nur drei Treffer hat. dummy@example.com hat acht.
Und meine default-Adresse für Datenkraken, nämlich muell@tonne.de, hat drei.

Der Typ dahinter ist bekannt und hat einen guten Ruf. Er weis auch was er macht.
Warum sollte er sein job und Identitaet aufs Spiel setzten fuer deine Email, ohne Password. Kommt mir nicht wahrscheinlich vor.

Braucht er doch gar nicht. Der behauptet, wenn es soweit ist, selber abgeschnorchelt worden zu sein.

Und dazu noch ein xkcd-Comic zum Thema (siehe https://imgs.xkcd.com/comics/password_strength.png)

Sehr schön! So muss man es den Leuten erklären! Das wäre mir aber zuviel Tipperei.
Ich empfehle ein anderes Verfahren.

Da die Kodierung von deutschen Umlauten oder chinesischen Schriftzeichen noch nicht überall gleich geschieht, ist es sinnvoll, nur ASCII-Zeichen zu verwenden.
Man denke sich einen Text aus, zum Beispiel aus einem bekannten Lied, oder etwas, das jemand Bekanntes gesagt hat, und wandele es skurril ab. Dann nimmt man die Anfangsbuchstaben und Satzzeichen, wobei man auch noch und als &, ø als /, und dergleichen kodieren kann.
Zum Beispiel wird Alle meine Wölfchen fallen in den Brunnen, und Grönemeyer hat Wackersteine zu AmWfidB,&GhW .

Sichere Passwörter verwenden, und für jeden einzelnen Zweck ein Eigenes. Dann kann’s einerseits nicht durch die simpelste Wörterbuchattacke erraten werden, andererseits weiß man dann, wo genau das Leck war.

Wenn ich mal wieder für irgendeine Webseite ein kompliziertes Passwort brauche, obwohl ich davon ausgehe, dass die Gegenseite unsicher ist, dann mache ich cat /dev/urandom | tr -cd '[:graph:]' | head -c 12, das kommt dann in die große ASCII-Datei, wo pro Zeile drei Spalten sind, nämlich url, login, passwd, und dann sage ich noch dem Webbrowser, dass er sich mein Passwort merken soll.

Also mir wäre noch nie aufgefallen, dass die Passwörter die pwgen generiert sonderlich gut aussprechbar sind. zB ohCei9sheiw8fohcaezo

Also ich find’ das recht einfach zu sprechen und zu memorieren. Die ersten und die letzten beiden Teile reimen sich, und es gibt eine Art Versmaß – das macht’s ziemlich einfach.

ah ok, jetzt wo du es sagst und ich es länger anschaue erkenne ich da auch gewisse muster

Ich bin wohl zu blöd dafür. Ich erkenne da kein Muster. Ich erkenne noch nicht einmal drei Teile. Und Versmaß? Dazu müsste ich es aussprechen - hochdeutsch, oxfordenglisch, ...

Glaub mir, die willst du nicht sehen

Was ist denn so peinlich daran? Die rosa Plüschhandschellen? Oder die Peitsche?

Wenn es mal soweit ist, dann hilft die Flucht nach vorn.
Auf alternativlos.org wurde mal von einem Geschäftsmann erzählt, auf den bei der Leipziger Messe erfolgreich eine Prostituierte angesetzt worden war. Als man dem die Bilder zeigte und ihm sagte, dass das doch bestimmt nicht seine Frau erfahren solle, soll der Geschäftsmann gesagt haben, dass er von diesem Bild zwei Abzüge haben wolle, und von jenem drei, nämlich für den Swingerclub, für die Parteikollegen und natürlich für seine Frau.

[DeletedUserReAsG]

Ich erkenne da kein Muster. Ich erkenne noch nicht einmal drei Teile. Und Versmaß? Dazu müsste ich es aussprechen - hochdeutsch, oxfordenglisch, ...

Eigentlich sind es vier Teile, wie ich schrieb (insgesamt acht Silben, wenn man die Zahlen je als Silbe zählt). Und das mit dem Aussprechen ist gerade der Punkt, ja. Ob deutsch oder englisch, ist dabei unerheblich.

[Lohengrin]

Ich erkenne da kein Muster. Ich erkenne noch nicht einmal drei Teile. Und Versmaß? Dazu müsste ich es aussprechen - hochdeutsch, oxfordenglisch, ...

Eigentlich sind es vier Teile, wie ich schrieb (insgesamt acht Silben, wenn man die Zahlen je als Silbe zählt). Und das mit dem Aussprechen ist gerade der Punkt, ja. Ob deutsch oder englisch, ist dabei unerheblich.

oh Cei 9 she iw 8 foh ca e zo sind bei mir zehn Silben. Das große C und ob das fo oder foh ist, habe ich damit immer noch nicht. Was sind die vier Teile? Was reimt sich da, und wo ist das Versmaß?
Auch wenn ich hier gerade den Thread entführe. Das ist für mich sehr interessant. Denn ich ticke offenbar völlig anders als ihr beide, die das Versmaß erkannt haben.

[DeletedUserReAsG]

Manchmal können zwei aufeinanderfolgende Vokale einen einzigen Laut ergeben.
oh Cei 9 shei w8 foh cae zo