Info: Hilfen rund ums Passwort & den Passwortschutz

Posted by: TobyB

Info: Hilfen rund ums Passwort & den Passwortschutz - 05.07.2008, 00:37:56

Hilfen rund ums Passwort & den Passwortschutz

Übersicht


Begriffserklärung

Fake

Fake ist das englische Wort für "Fälschung" und stellt hier ebenfalls eine solche dar. Mit Fake-WORT ist die Fälschung von WORT gemeint, welche in diesem Zusammenhang mit dem Thema Passwortklau zu tun hat (zum Beispiel: Fake-Seite, Fake-E-Mail).

zur Übersicht

Phishing

Dies ist ebenfalls ein englisches Wort, allerdings ist dieses ein Kunstwort, welches sich aus den Wörtern "Password" (= Passwort) und "fishing" (= fischen, hier: "klauen") zusammensetzt. Phishing (sprich: "fisching") bedeutet also "Passwortklau". Als Phishing werden allgemein alle Vorgänge bezeichnet, die darauf abzielen durch gewisse (technische) Tricks an das Passwort einer Person zu kommen.

zur Übersicht

Bots

Ein Bot ist ein Programm, welches automatisiert, also ohne dass man z.B. selbst am PC sitzt, vorgegebene Eingaben im Chat tätigt (klassischer "Send-Text-Bot"). Bestimmte Bots sind auch in der Lage Chatnachrichten auszulesen, zu verarbeiten, und darauf zu reagieren (z.B. "Anti-Admin"- und Quiz-Bot). Diese Programme werden sehr oft von Plattformen im Internet verbreitet (zum Download angeboten) die in Verbindung mit Phishing stehen, weswegen bei jedem Bot die Gefahr sehr hoch ist, dass er von einer dieser Seiten stammt und einen Trojaner enthält. Dementsprechend hoch ist die Wahrscheinlichkeit, dass das eigenen Passwort hier in Gefahr ist.

zur Übersicht

Trojaner

Ein Trojaner ist ein Softwareprogramm was sich (bildlich) meistens zwischen Tastatur und Verarbeitung am \"Zielort\" (z.B. der Admincall-Login) setzt. Hierbei erkennt das Programm wo man gerade Eingaben macht und schreibt diese mit. Trojaner können aber auch gespeicherte Passwörter auslesen, sollten diese existieren (Cookies auslesen). Diese gesammelten Daten werden dann an ein bestimmtes Ziel zurück geschickt, in unserem Fall ein Nickdieb. Dieser hat nun alle nötigen Daten um mit einem Nick online zu gehen und damit Schindluder zu betreiben.

Diese Programme werden in der Regel über E-Mails oder Messenger (ICQ, MSN, Skype, ...) verschickt oder versuchen sich von präparierten Seite aus automatisch runter zu laden. In Knuddels werden diese Programme auch oft über sogenannte "Bots" (Quiz-Bots, Minuten-Bots, Knuddels-Bots, usw.) verbreitet, die oftmals einen Trojaner enthalten.

zur Übersicht

Ich wurde "gehackt"

Um gehackt zu werden wird vorausgesetzt, dass jemand an das Passwort kam, ohne es von dem User selbst bekommen zu haben (dazu unter "Passwortverlust" mehr). Dies stellt eine seeehr unwahrscheinliche Variante dar, da es bei Knuddels über mehrere Quadrillionen (eine Zahl mit über 24 Stellen!) Möglichkeiten für ein Passwort gibt, für welche ein handelsüblicher PC bis zu 2 Trilliarden Jahre zum "hacken" bräuchte (speziell präparierte PCs würden immer noch ca. eine Milliarde brauchen). Diese Zahlen zeigen, wie wahrscheinlich es ist, dass der Passwortverlust selbst verschuldet wurde.

Des Weiteren wird auch gerne behauptet, dass der Knuddels-Server gehackt wurde, was ähnlich unwahrscheinlich sein dürfte, wenn nicht noch unwahrscheinlicher. Und wieso sollte ausgerechnet DEIN Nick gehackt worden sein?! Es gibt sicher "wertvollere" Nicks (z.B. Holgis), ganz zu schweigen davon, dass jemand der die Datenbank hacken kann sich auch selbst sämtlichen virtuellen Güter (z.B. Knuddels, Rosen, Geschenke, usw.) in der Datenbank setzen könnte, da er so quasi SysAdmin-Status hätte, wenn nicht noch mehr.

zur Übersicht

Passwortverlust

Dies ist das richtige Wort, wenn man ausdrücken will, dass man keinen Zugang mehr zu seinem Nick hat. Zum Passwortverlust kann es auf Grund von Vergesslichkeit kommen ("Passwort vergessen"), oder auf Grund dessen, dass man auf eine Fakeseite hereingefallen ist oder einen Trojaner auf seinem PC hat. Dadurch kam es wahrscheinlich dazu, dass eine fremde Person Zugang zum eigenen Passwort hatte, und dies geändert hat.

zur Übersicht

Fakeseiten/Phishingseiten/Fake-Homepages

Was ist eine Fakeseite?

Eine Fakeseite ist ein Webdokument, welches in der Regel versucht das Aussehen einer originalen Knuddels-Seite nachzuahmen und dadurch dem User zu vermitteln sie sei echt (z.B. Admincall-Login). Des Weiteren wird auf diese Weise versucht, den User zum Eingeben des Chat-Nicks und des Chat-Passwortes zu bewegen. Oft kommen diese Dokumente in der Form vor, dass Knuddels, Rosen, Geschenke und Dergleichen versprochen werden. Diese Seiten ahmen in der Regel ein Knuddels-Gästebuch oder eine Knuddels-Fotoseite (dazu hier mehr) nach. Ebenso kommen fiktive Dokumente vor, welche als Original gar nicht existieren (z.B. CM-Test-, Poker- oder auch MauMau-Anmeldung und Dergleichen).

zur Übersicht

Wie erkenne ich eine Fakeseite?

Oft kann man Fakeseiten bereits an der Aufmachung, Inhalt und Rechtschreibfehlern oder Abweichungen vom herkömmlichen Design erkennen. Manchmal reicht dies aber nicht zum Erkennen aus, und man muss zu eindeutigeren Merkmalen greifen.

Dieses eindeutige Merkmal ist die URL (→Wikipedia), die Internetadresse. Und so hat eine original Knuddels-URL auszusehen:

http://host.knuddels.de/verzeichnis1/verzeichnis2/...

Entscheidend, um die Echtheit einer URL zu prüfen, ist was zwischen dem Protokoll (http://) und dem ersten darauf folgenden Slash (Schrägstrich) steht. Hierbei darf die Domain ausschließlich "knuddels" und die Top-Level-Domain ausschließlich "de", "at", "ch", "us" oder "com" lauten. Host und Pfad sind nicht wichtig, diese können variieren. Wichtig ist aber, dass Host, Domain und Top-Level-Domain ausschließlich durch Punkte getrennt sind, nicht etwa durch Bindestriche oder andere Zeichen. Entspricht die URL nicht dem hier genannten Aufbau, so handelt es sich höchstwahrscheinlich um eine Fakeseite, und man sollte tunlichst sein Passwort dort nicht eingeben.

Hier sind einige Beispiele für Knuddels-URLs:

  • http://chat.knuddels.de/… (Chat, Smileys)
  • http://hp.knuddels.de/... (Homepages & Gästebücher)
  • http://photo.knuddels.de/... (Fotoseiten)
  • http://forum.knuddels.de/... (Forum)
  • http://shop.knuddels.de/… (Knuddels-Shop)
  • http://scripts.knuddels.de/... (Verschiedenes)
  • http://beach.knuddels.de/… (Beach)
zur Übersicht

Was kann ich tun, wenn ich eine Fakeseite entdecke?

Wenn man eine Fakeseite findet, sei es durch Werbung im Channel, privat oder auf andere Art (z.B. per GB-Eintrag), dann sollte diese sofort unter www.knuddels-fakeseiten.de gemeldet werden, auch wenn man sich nicht ganz sicher ist, ob es sich um eine Fakeseite handelt. Hier gilt die Devise: "lieber einmal zu viel gemeldet, als einmal zu wenig". Auch vor Doppelmeldungen braucht man sich nicht zu scheuen, jede gemeldete Seite wird erst technisch, und dann per Hand vom Anti-Phishing-Team gefiltert und geprüft.

zur Übersicht

Gästebücher

Durch das Update bzgl. der Gästebuch-Seiten (vom 16.04.2009) wurde die durch auf Knuddels-Homepages eingebundenen Gästebüchern ausgehende Gefahr gebannt. Ab sofort ist es nur noch möglich einen Gästebucheintrag zu machen, wenn man im Chat eingeloggt ist und von dort aus das Gästebuch aufruft. Hierzu ist fortan keine Passworteingabe mehr nötig/möglich. Sollte man also auf irgendeiner Seite für einen Gästebucheintrag zur Eingabe eines Passwortes aufgefordert werden, so ist dies ein Phishing-Versuch.

zur Übersicht

Fotoseiten

Seit der Umstellung auf die neue Fotogalerie (Ende Juli 2010) ist es wieder möglich sich auf der Fotoseite direkt einzuloggen (hier: Foto-Login). Dieser Link ist erreichbar, wenn man in der Fotogalerie gerade nicht eingeloggt ist und erst auf der Knuddels-Startseite auf "Fotogalerie" und dann "Mein Profilfoto" klickt.

Wenn man sich mit einem Nick im Chat einloggt wird man mit diesem Nick automatisch auch gleichzeitig in der Fotogalerie eingeloggt und muss so sein Passwort nicht mehr eingeben, wenn man dann aus dem Chat ein Foto aufruft.

zur Übersicht

Fake-E-Mails

Was ist eine Fake-E-Mail?

Eine Fake-E-Mail ist eine E-Mail, die nicht von Knuddels.de versendet wurde, sondern von einer anderen Person, und dient eigentlich immer dem Zweck in den Besitz des Passwortes des angeschriebenen Users zu kommen.

zur Übersicht

Wie erkenne ich eine Fake-E-Mail?

Man kann eine solche E-Mail nur sehr schwer am Absender erkennen, da es, zum Leidwesen vieler User, technisch möglich ist z.B. James@Knuddels.de als Absender einzutragen, auch wenn dies nicht der wirkliche Absender ist. Grundsätzlich werden E-Mails vom Chatsystem selbst (James, Holgi, ...) nur dann verschickt, wenn dies im Chat bereits angekündigt wurde (z.B. bei der E-Mail-Verify), man selbst diese E-Mail ausgelöst hat (z.B. beim Beantragen eines neuen Passwortes), wenn sich der Status des Nicks ändert (man wird Family) oder man mit einem bestimmten Nick schon länger nicht mehr online war. In allen diesen Fällen würde aber NIE nach dem Passwort gefragt werden, sondern im Gegenteil, das echte Passwort würde in der E-Mail mit angegeben werden. Ein weiteres Indiz für eine Fake-E-Mail wäre ein beigefügter Link, welcher nicht zu Knuddels.de gehört (siehe hier).

zur Übersicht

Was tue ich, wenn ich eine Fake-E-Mail bekommen habe?

In diesem Fall sollte man sich an einen Admin oder direkt an das Anti-Phishing-Team wenden. Wenn in der E-Mail zusätzlich noch ein Link enthalten ist, was in der Regel der Fall sein sollte, dann meldet man diesen Link bitte auf www.knuddels-fakeseiten.de.

zur Übersicht

Fakes im Chat

Was ist Fakeseitenwerbung?

Fakeseitenwerbung ist öffentliche (oder auch private) Werbung im Zusammenhang mit einer Fakeseite. Diese tritt in vielen Fällen in Verbindung mit dem Versprechen für mehr Knuddels, Rosen, Geschenken, einem Gewinnspiel mit Knuddels als Gewinn, oder einer Foto- oder Gästebuch-Seite (auf einer Knuddels-Homepage), auf der man sich eintragen soll, auf.

zur Übersicht

Jemand macht Fakeseitenwerbung oder fragt nach meinem Passwort, was tun?

Wenn man jemanden bemerkt, der Werbung für so eine Seite oder etwas Ähnliches macht, dann sollte man schnellstmöglich einen Notruf (/admincall (Notruf-Button) » Beschwerde über andere Chat-Teilnehmer » Botnutzung / Faken von Nachrichten) absenden, in dem man den Fall erläutert. Sollte man selbst nicht in der Lage sein diesen Notruf abzusenden kann man versuchen einen CM oder anderen Chatter des Channels zu bitten, diesen Notruf für einen abzusenden.

zur Übersicht

Ein Admin/Knuddels-Mitarbeiter fragt nach meinem Passwort, was tun?

Dies stellt mit Sicherheit einen Phishing-Versuch (Versuch das Passwort zu "klauen") dar. Ein Mitarbeiter oder Admin von Knuddels würde niemals nach deinem Passwort fragen, denn er braucht es nicht.

zur Übersicht

Jemand möchte, dass ich seine E-Mail verifiziere, ist das in Ordnung?

Auch dies stellt einen klaren Phishing-Versuch dar, denn wenn man dies tut, dann hätte der Besitzer der E-Mail über den Passwort-Neusetzungs-Antrag die Möglichkeit den Nick zu "klauen". Sollte dies jemals Jemand verlangen, dann sollte dies auch unverzüglich einem Admin gemeldet werden (/admincall (Notruf-Button) » Beschwerde über andere Chat-Teilnehmer » Botnutzung / Faken von Nachrichten).

zur Übersicht

Was ist ein James-Fake?

Dies ist eine besondere Variante der Fakeseitenwerbung, in der versucht wird James zu imitieren. Es wird versucht in der Schriftfarbe von Privatnachrichten o.Ä. ein James (privat) nachzuahmen und auf diese Weise den User zum Eingeben des Passwortes in bestimmter Schreibweise oder das Besuchen bestimmter Seiten (Fakeseite) zu animieren. Solche Aufforderungen würde der echte James niemals schreiben.

zur Übersicht

Fakelinks von Freunden

Es kann auch vorkommen dass einen ein Freund/Freundin anschreibt und einen dazu bringen will einen bestimmten (dir unbekannten) Link von einer fremden dir unbekannten Seite anzuschauen. Es gibt auch die Variante dass man dazu gebracht werden soll eine bestimmte Datei/Zip-/RAR-Archiv über einen Messenger anzunehmen/runterzuladen. Bei all diesen Varianten ist äußerste Vorsicht geboten, wenn man diese Links/Dateien nicht erwartet hat oder weiß was sie enthalten und woher sie kommen. so wird oftmals versucht Trojaner zu verschicken/runterzuladen die dann später das Passwort auslesen und weitergeben.

zur Übersicht

Schadsoftware

Viren und Trojaner

Zur Vermeidung von Risiken durch derartige Schädlinge genügen in der Regel einfachste Maßnahmen.

Zunächst einmal sollte auf die Annahme unbekannter, nicht angeforderter Dateien verzichtet werden. Von Unbekannten keinesfalls, von Freunden nur nach Ankündigung Dateien annehmen. In den Ordneroptionen sollten die Einstellungen so getroffen sein, dass Dateiendungen nicht ausgeblendet werden. Weiterhin kann es sinnvoll sein, eine Datei vor dem Öffnen zu überprüfen, beispielsweise durch eine Anti-Viren-Software oder durch Anbieter wie www.virustotal.com. Grundsätzlich sollte ein Anti-Virus-Programm und eine Firewall installiert, auf dem neuesten Stand und aktiviert sein. So sind die meisten Gefahren bereits zu vermeiden.

zur Übersicht

Passwort verloren

Ich kann mich nicht mehr mit meinem Nick einloggen, wieso und was tun?

Hier kann es natürlich sein, dass man im Vorfeld auf eine Fakeseite reingefallen ist, und der Nick "geklaut" wurde. Es bietet sich hier immer an, erst einmal einen Passwort-Antrag (siehe /h passwortvergessen oder auf der Knuddels-Startseite "Passwort vergessen?" (drittletzter Menüpunkt)) zu stellen. Hierbei wird ein neues Passwort an die verifizierte E-Mail verschickt, mit dem man sich dann später einloggen kann. In der Regel dürfte im Falle eines Nickdiebstahls der Nick dann permanent gesperrt sein. Dies ist allerdings kein Problem, denn in der Sperrbegründung steht der Admin welcher den Nick gesperrt hat. An diesen Admin sollte man sich wenden, denn der Admin verfügt über Möglichkeiten festzustellen, ob der geklaute und gesperrte Nick tatsächlich derselben Person gehört, die sich bei Ihm wegen der Sperre meldet, und wird ihn dann entsperren.

zur Übersicht

Mein Nick wurde geklaut, was ist mit meinen Smileys & Knuddels?

Für die auf diesem Weg verloren gegangenen Knuddels, Smileys o.Ä. wird keinerlei Ersatz bereitgestellt. Dies ist so, da von Seiten des Chats keine Garantie für die Inhalte der Nicks ausgestellt wird, was diese virtuellen Güter einschließt.

Um seine virtuellen Güter zu schützen gibt es das TAN-System (/h tan) über das man seine Knuddels und Smileys mit einer TAN-Nummer schützen kann. Weitere Informationen dazu gibt es in der entsprechenden /h.

zur Übersicht

Passwortantrag

Was ist der Sinn der E-Mail-Verify?

Der Sinn der E-Mail-Verify liegt darin, dass man sich im Fall eines Passwortverlustes, sei es einfach durch Vergessen oder durch einen Nick-Diebstahl, ein neues Passwort zuschicken lassen kann. Daher sollten das E-Mail-Konto-Passwort und das Nick-Passwort keinesfalls das Selbe und auch nicht zu einfach gewählt sein. Man sollte hier keine Fremd-E-Mail verwenden, da so dem Besitzer der fremden E-Mail über den Passwort-Antrag Zugang zum Nick gewährt wird, was einen AGB-Verstoß darstellt (AGB Punkt 1.2).

zur Übersicht

Ich habe einen Passwortantrag gestellt, bekomme aber keine E-Mail, wieso und was tun?

Hier sollte zuerst im Spamordner des E-Mail-Kontos nachgeschaut werden, es kann sein, dass die E-Mail mit dem neuen Passwort dort gelandet ist. Es kann aber auch sein, dass die E-Mail einfach etwas länger braucht. Sollte sie allerdings selbst nach einem Tag noch nicht angekommen sein, dann sollte man es ggf. noch einmal versuchen. Nach dem dritten Versuch sollte ein Admin kontaktiert werden.

zur Übersicht

Ich habe einen Passwortantrag bekommen den ich nicht gestellt habe, wieso?

In diesem Fall hat wohl ein fremder User versucht, sich ein Passwort zu dem Nick zuschicken zu lassen. Dies ist grundsätzlich nicht schlimm, da er dazu die Zugangsdaten zu dem E-Mail-Postfach bräuchte. Allerdings kann dies auch ein Hinweis sein zu prüfen, ob das E-Mail-Postfach sicher genug gegen Eindringlinge geschützt ist.

zur Übersicht

Ich habe keinen Zugriff auf meine verifizierte E-Mail, was kann ich tun?

Hier besteht die Möglichkeit einfach eine neue E-Mail zu verifizieren. Genauere Informationen hierzu sind im Chat unter /h mailverifychange zu finden. Wurde zusätzlich noch der Nick geklaut, dann ist der folgende Punkt von Bedeutung.

zur Übersicht

Meine E-Mail-Verify wurde geändert, was kann ich tun?

Wurde die E-Mail-Verify durch eine fremde Person geändert (Nickklau mit E-Mail-Verify-Änderung), so ist die einzige Möglichkeit den Nick wiederzubekommen einen Admin zu kontaktieren. Dieser wird dann prüfen, ob es möglich/angebracht ist, ein neues Passwort setzen zu lassen, und wird dies dann veranlassen.

zur Übersicht

Allgemeine Passwort-Sicherheit

Erstellen eines sicheren Passwortes?

Ein sicheres Passwort sollte mindestens acht Zeichen lang sein, aus Klein- und Großbuchstaben bestehen und Zahlen sowie Sonderzeichen enthalten. Des Weiteren macht es durchaus Sinn, wenn man das Passwort nur sehr schwer rekonstruieren kann und es in keinem Lexikon/Duden/Wörterbuch zu finden ist. Je sinnfreier es ist, desto sicherer ist es in der Regel. Eine Hilfe dazu gibt es auch im Chat unter /h goodpassword.

zur Übersicht

Wie schütze ich mein Passwort?

Um das Passwort zu schützen sollte man es nur ein einziges mal benutzen, d.h. es sollte nur bei diesem einen Account/Nick benutzt werden und sich von dem E-Mail-Konto-Passwort stark unterscheiden. Des Weiteren sollte man genau darauf achten wo man es eingibt, also jede Seite, vor dem Eintragen des Passwortes, darauf prüfen, ob es sich um eine Fakeseite handelt. Weitere Tipps dazu gibt es im Chat unter /h pwtest, sowie unter /h passwortsicherheit.

zur Übersicht

Wo darf ich mein Passwort bedenkenlos angeben?

Wer sich an alle Tipps und Hinweise, wie z.B. die Fakeseitenerkennung, die Fake-E-Mail-Erkennung oder die richtige Nutzung der Gästebücher und Fotos hält, der dürfte sich diese Frage selbst beantworten können. Internetseiten sollten vorher möglichst darauf geprüft werden, ob es sich um eine Fakeseite handelt. Des Weiteren sollte man sein Passwort nie auf Anfrage im Chat herausgeben, da dies immer einen Phishing-Versuch darstellt.

zur Übersicht

Wie kann ich mich vor Trojaner schützen?

Man sollte immer die aktuellste Version eines seriösen Viren-Scanners sowie einer Firewall installiert haben, und diese möglichst täglich aktualisieren. Des Weiteren sollte man genau darauf achten, was man sich über Messenger (MSN, ICQ, Skype, ...) oder E-Mails schicken lässt und diese Dateien vorher daraufhin überprüfen lassen, ob sie Viren oder Trojaner enthalten. Man sollte keine E-Mail-Anhänge öffnen die man nicht angefordert hat.

Weiteres dazu sie hier.

zur Übersicht

Welche Hilfen bietet Knuddels zum Thema?

Hier nun eine Auflistung aller von Knuddels gestellten Hilfen zum Thema Passwortsicherheit:

  • /tut 23
  • /tut 37
  • /tut 39
  • /tut 63
  • /h goodpassword
  • /h anti-phishing-team
  • /h mailverify
  • /h mailverifychange
  • /h pwtest (oder: /h sicherheitstest)
  • /h passwortsicherheit
  • /h passwortvergessen (oder: /h newpassword)
  • AGB Punkt 1.2
  • Hinweis von James beim Abschließen einer E-Mail-Verifikation
  • /fa anti-phishing (aufrufbar nur für Channelmoderatoren, Ehrenmitglieder sowie Admins und Teammitglieder)
zur Übersicht

Das Anti-Phishing-Team

Posted by: snoop-dogg-rapper

Re: Info: Hilfen rund ums Passwort & dem Passwortschutz - 05.07.2008, 02:10:57



Huhu,


dieser Informationsthread wurde in die [FAQ] dieses Subforums aufgenommen.

[color:"orange"]Geschlossen[/color]!





#snoop
Posted by: Anonym

Re: Info: Hilfen rund ums Passwort & dem Passwortschutz - 29.11.2010, 00:19:16


Im Auftrag der Teamleitung des Anti-Phishing-Teams wurde dieser Informationsthread soeben aktualisiert und der alte Text durch einen neuen ersetzt. Es kann nicht schaden, sich die neue Version anzusehen. :-)