E-Mail Account "hacken"

[Fastel]

Hi,
ich habe dauernd fehlgeschlagene Loginversuche bei meinem GMX Account. jetzt innerhalb von 3 Stunden 6 mal.

Mich würde interessieren wie ein professioneller Hacker vorgeht. Also es gibt soweit ich weiß Programme die automatisch alle möglichen Passwörter durchprobieren und ... was weiß ich, in der Minuten 10.000 Buchstabenkombinationen eingeben oder so
Allerdings hat Gmx glaube ich so eine Beschränkung - 3 Fehlgeschlagene Logins - dann Sperre für xyz Minuten. Naja ich weiß es nicht.

Also 6 Fehlgeschlagene Logins - will da nur jemand mein Passwort erraten?
Vor einiger Zeit hatte ich einige Viren auf dem Rechner. Eventuell ein Keylogger. Aber wäre jemand dahinter gekommen, so könnte er sich doch einloggen? Ist es wahrscheinlich, dass da irgendwo einer sitzt und sich den ganzen Tag die Arbeit macht haufenweise Keylogs auszuwerten um dann blind auszuprobieren? Aber warum dann nicht viel mehr fehlgeschlagene Logins?

Irgendwie bin ich verunsichert. Es gibt einen eifersüchtigen Lebensgefährten einer Freundin, der mich schon bedroht hat weil er eine Affaire unterstellte.

Hat jemand irgendwie Ahnung/Erfahrung mit sowas? Wonach sieht das aus? Mein Passwort ist nicht zu erraten hat mehr als 10 Buchstaben und ein Sonderzeichen. Ich würde es noch sicherer machen aber habe kein 100% sauberes System zum erneuern.

Grüße

 

[Merowinger110]

Zufällig die Großschreibtaste aktiviert? Hatte ich mal.

 

[Fastel]

Ne ich habe das Passwort sozusagen "gespeichert", das heißt ich logge mich automatisch ein. Ich selbste habe keine fehlgeschlagenen Loginversuche ausgeführt.

 

[Vester]

Hallo Fastel,

wenn das so ist wie du schrubst, könnte ja jeder die GMX-Adresse von jedem durch "Knackversuche" lahmlegen.
Ich dachte immer, die Zeitsperre geht über die ID-Nummer?
Oder irre ich mich?? - ist ja interessant..

Viele Grüße

 

[Deltafox]

Ich wüsste jetzt auch keine andere Erklärung, warum du 6 fehlgeschlagene Loginversuche haben solltest, als dass jemand versucht hat, sich bei dir einzuloggen.
Soweit ich mich da auskenne, ist auch ein Hacker darauf angewiesen, die Logindaten zu kennen. Ob er das mittels Brute Force Attacks macht (die von dir erwähnte "Ausprobiererei") oder ob er sich Zugang zum Server verschafft, auf dem die Daten gespeichert sind oder ob er dir einen Trojaner/Keylogger unterjubelt, ist dabei egal. Das Ziel ist immer das selbe. Mir ist zumindest keine andere Möglichkeit bekannt (was aber nichts heißen muss).

Aber wäre es nicht deutlich "schlauer" von diesem Herrn Eifersüchtling, ins Mailfach seiner Partnerin einzudringen? Da ergibt sich doch sicherlich eher mal die Möglichkeit, entweder das Postfach in eingeloggtem Zustand zu erwischen oder zumindest das Passwort bei der Eingabe zu beobachten.

Wenn dein Passwort nicht völlig offensichtlich ist und es sich wirklich um einen völligen Amateur handelt, der aus Eifersucht "herumprobiert", sehe ich keine reelle Chance, dass er tatsächlich Zugang erhält.

 

[BenChnobli]

Vielleicht einfach nur ein spammer, der offene mail-adressen braucht, von wo er "legal" senden kann. Ich hatte auf meinem firmenserver auch schon solche. Die probieren dann alle x minuten irgendwas aus. Ich hatte mal einen, nach dem konnte man die uhr stellen: alle sechs stunden genau ein login-versuch

Rechnest du, dass der das bei zehntausend oder hunderttausend oder mehr servern/accounts so versucht, fällt er lange nicht auf. Und zum spammen braucht er dann vielleicht nur einen einzigen gültigen account, egal welchen. Ich würde sagen, die chancen, dass der hin und wieder erfolg hat, stehen gar nicht so schlecht.

Ich schätze, der beste schutz ist ein möglichst langes, möglichst konfuses passwort aus buchstaben, zahlen und sonderzeichen. Tipps dazu gibt es ja überall im netz.

Viel glück

Gruss, Ben

 

[Fastel]

Naja der Eifersüchtlichg hat Zugang zum Account der genannten Frau ("Vertrauensbeweis" ), daher hat er auch meine Mailadresse und offensichtlich eine belanglose Einladung von mir gelesen (ich habe 2 Jahre mit der Frau zusammengewohnt).
Allerdings weiß ich nicht ob sie ihm inzwischen weggelaufen ist (was ich nur hoffe) und er nun mich ausspionieren will. Die Idee wäre wenn sie einen 2., geheimen Account hat und mit mir über diesen schreibt, dann kann er nur noch meinen Account kontrollieren.

Die Loginversuche gehen schon seit einiger Zeit so, aber extrem unregelmäßig.
Und eine Firmenadresse oder sowas ist das auch nicht wo sich potentiell, lohnende/Betriebsgeheime Mails befinden.

Aber gut, danke erstmal. Ein wenig beruhigt bin ich schon. Sobald ich mal meine Festplatte Formatiere werd ich das Passwort noch sicherer machen.

 

[Peegee]

...Vor einiger Zeit hatte ich einige Viren auf dem Rechner. Eventuell ein Keylogger....

Und in wieweit bist du dir sicher, dass die nur vor einiger Zeit auf deinem Rechner waren?
Hast du das System komplett neu aufgesetzt, mit Löschen der Partitionen usw?
Eine "Säuberung" durch Antiviren-Programme wird durch Fachleute bestenfalls als Augenwischerei betitelt.
Ein einmal korrumpiertes System muss als nicht mehr sicher angesehen werden.

 

[peter55]

Ich hab auch Mailkonten bei GMX (die ich nur selten nutze) und habe schon öfter beim Einloggen, die Meldung gesehen, dass jemand versucht hat, so-und-so-oft-mal auf das Konto zuzugreifen.

 

[livebox]

Ich geh nur sehr selten übers Web-Interface an meine GMX-Adresse... aber ich glaub, fehlgeschlagene Login-Versuche hatte ich kaum, und wenn dann von mir durch ein Versehen.

Vor einiger Zeit hatte ich einige Viren auf dem Rechner. Eventuell ein Keylogger.

Mein lieber Herr, ich hoffe, du hast hinterher das Passwort geändert!!

Ist es wahrscheinlich, dass da irgendwo einer sitzt und sich den ganzen Tag die Arbeit macht haufenweise Keylogs auszuwerten um dann blind auszuprobieren?

Wenn einer das von Hand macht, ist er a) technisch nicht begabt, b) selten blöd und c) muss er einen heftigen Grund haben, das tatsächlich durchzuziehen. (Hormone können solche Gründe auslösen, ja )

Ich würde es noch sicherer machen aber habe kein 100% sauberes System zum erneuern.

Nimm DSL oder sonst ein live-System mit Web-Browser drauf. Zum Thema "sichere Passwörter" siehe die Seite dazu vom BSI.

Ich für meinen Teil habe benutze überwiegend Passwörter, die ich mir von Passwort-Generatoren hab erstellen lassen*. Nach ein paar mal eingeben kann man die auch auswendig, auch wenn sie viele Zeichen haben. Ansonsten gibt es KeePass, einen Passwort-Tresor, den ich sehr empfehlen kann. Läuft auf allen großen Betriebssystemen, kann man z.B.(zusammen mit der portablen Version) auf einem USB-Stick mitnehmen... man sollte nur das Master-Passwort entsprechend sicher machen und nicht vergessen. KeePass hat übrigens auch einen PW-Generator mit dabei.

Da ich durchaus auch im internationalen Umfeld arbeite achte ich darauf, mir mit den Sonderzeichen im Passwort zumindest auf englischen Tastaturen keine Stolpersteine zu stellen.

MfG, livebox



* So was macht man lokal mit einem Programm und NICHT übers Internet!! Dass solche Dienste online angeboten werden, wäre lustig, wenn es nicht so hirnrissig wär...

 

[Fastel]

Also ich habe halt per Virecheck alles entfernt was Antivir gefunden hat. Ich weiß dass es Augenwischerei ist aber aus, jetzt mal nicht näher erläuterten Gründen, momentan keine Formatierung leisten und versuche die gröbsten Symptome zu lindern. Naja...

Ich habe meine Passwörter auf nen Zettel Papier aufgeschrieben, den ich gut aufbewahre.

Es ging mir eigentlich darum, diese unregelmäßigen Versuche zu deuten. Wenn da jemand dran sitzt, der etwas davon versteht, würde er wohl ein entsprechendes Programm nutzen und das einfach laufen lassen? Aber dann würde ich nicht alle paar Wochen mal ein paar fehlgeschlagene Logins angezeigt bekommen. Das würde ich mir nur erklären, wenn jemand hin und wieder mal ins Blaue versucht etwa Geburtsdaten oder "12345" eingibt oder sowas. Da würde ich mir dann keine Gedanken machen.

Der verdächtigten Person traue ich keine großen Hackerkompetenzen zu. Ist eher so der "real life Stalker" Reifen Zerstecher

 

[livebox]

Ich habe meine Passwörter auf nen Zettel Papier aufgeschrieben, den ich gut aufbewahre.

Ich bin momentan kein System-Admin... meine Zeiten am HelpDesk sind vorerst auch vorbei... ich bin nicht für dich verantwortlich... du bist nur so ein Typ aus dem Internet... ich kenn dich nicht... ich... AAAARRRRGGGGHHHH!!!! WENN ICH SO WAS NUR LESE!

(Bitte nicht zu ernst nehmen naja, zumindest nicht die äußere Form, den Inhalt resp. die Aussage dahinter schon. Okay, genug zu dem Thema )


Was ich eigentlich vorhin noch schreiben wollte: Am besten melde dich mal bei GMX mit dem Problem. Dürfte das sinnvollste sein.

MfG, livebox

€: Ich seh grade... obiges sieht etwas schlimmer aus als erwünscht also bitte nicht persönlich nehmen!

 

[Fastel]

€: Ich seh grade... obiges sieht etwas schlimmer aus als erwünscht also bitte nicht persönlich nehmen!

Vor allem versteh ich es inhaltlich grade gar nicht? Bin ich so ein DAU weil ich meine Passwörter auf nen Zettel schreibe?

 

[livebox]

Naja, ich weiß nicht was bei dir "sicher aufbewahrt" heißt. Aber weder im Aktenschrank verschlossen noch auf dem Boden der Keksdose in der dritten Schublade von oben links ist "sicher". Dass eine gewöhnliche Haus- und Wohnungstür kein ernsthaftes Hindernis darstellt, ist dir ja wahrscheinlich bekannt.

Für Unternehmen empfiehlt es sich, dass Master-Admin-Passwort auf Papier zu schreiben und irgendwo im Banktresor zu lagern. Aber das is ne andere Geschichte. Ich kenne viele Firmen, in denen es den Mitarbeitern im Arbeitsvertrag untersagt ist, die Passwörter schriftlich fest zu halten. Das kann zu ernsthaften Einträgen in der Personal-Akte führen. Und das ist auch richtig so: Wer mal für nur ein paar Monate in der EDV saß, kennt all diese Verstecke... und ob in der Firma oder zu Hause, es ist echt überall dasselbe.

Natürlich ist ein digitaler Passwort-Tresor auch nicht 100%ig sicher, und in ein paar Jahren - spätestens wenn man die Quanten-Computer hat - ist ein Tresor, der nach heutigem Stand der Technik verschlüsselt wurd, in kurzer Zeit geknackt. Aber aktuell sehe ich das als die sicherste Lösung an.

MfG, livebox


P.S. Reicht dir meine Begründung? Ansonsten muss ich mal im Gedächtnis kramen und ein paar "Kriegsgeschichten" auspacken

 

[Fastel]

Ne also, soweit, dass der "Interessent" hier einbricht, würde ich nun wirklich nicht denken. Er weiß nicht wo ich wohne und wenn er in diesem Chaos hier den Zettel findet, den nur ich erkenne - alle Achtung

Ne also irgendeine Möglichkeit der Passwortniederlegung muss man doch haben oder? Und wenn es nur das Passwort für den Elektronischen Passworttresor ist.

Ps: heute wieder genau ein fehlgeschlagener Login. Ansonsten war es die Tage ruhig.

 

[BenChnobli]

Na ja, "sicher" ist relativ. Ob ein privatmann seine GMX-liebesbriefe oder ob z.b. ein pharma-konzern die geheimen formeln für ein revolutionäres neues medikament für sich behalten will, sind schon zwei sehr unterschiedliche paar schuhe. Ein einigermassen gutes passwort auf einem zettel zuhause reicht mMn für die liebesbriefe völlig aus und ist viel besser als ein schlechtes passwort, das man auswendig kann. Für den professor mit der formel des pharmakonzerns ist das natürlich keine option.

Auch meine empfehlung für KeePass, ich benutze den auch schon lange. Gerade für geschäftliche passwörter, die bei mir auch schon mal 500 und mehr zeichen lang sind und oft gewechselt werden, ist das eine grosse erleichterung. Keylogger müssen aber runter vom system, bevor sowas installiert wird, sonst bringt das nichts

Gruss, Ben

 

[Antron]

Genau das. Einfach eine Wortkombination als Passwort benutzen und schon bei 12 Stellen würde es 3 Jahre dauern es zu knacken (wenn GMX keinen Riegel vorschieben würde).

 

[-Martin-]

Genau das. Einfach eine Wortkombination als Passwort benutzen und schon bei 12 Stellen würde es 3 Jahre dauern es zu knacken (wenn GMX keinen Riegel vorschieben würde).

Wortkombination wie "WurstBrotKäse"? Oh, jetzt hab ich ja mein Passwort verraten Aber kann man solche Wörter nicht mit Tabellen (Hießen die Rainbow-Tables?) schneller erraten?

 

[Fastel]

Ja ich dachte auch, dass es Bots gibt, die automatisch das ganze onlinewörterbuch durchgehen - end eventuell auch deren Kombination.

 

[livebox]

Richtig - und die paar Tausend Wörter aus verschiedenen Sprachen sind noch relativ schnell abgegrast. Sinnvoller dagegen ist eine Passphrase. Ich überlege mir einen Satz - zum Beispiel "Das Musiker-Board ist toll" - dann wäre das Passwort in dem Fall "DMBit". Jetzt gehe ich noch her und setze ein bisschen Leetspeak ein, benutze ein oder zwei Sonderzeichen drin (hier eventuell an fremdsprachige Tastaturen denken - ist nicht nur im Business-Bereich sinnvoll, sondern auch bei Reisen) und hängt noch ein paar Zahlen (möglichst nicht "123") hinten oder vorn dran. Steht im Prinzip schon alles in dem Link auf das Bundesamt für Sicherheit in der Informationstechnik in #10.

MfG, livebox

€: @Antron: Bitte auch dran denken, dass Informationen im Netz sehr schnell veralten... vor allem wenn sie in statischen Inhalten wie Bildern 'rübergebracht werden. Ich hab's nicht nachgerechnet, aber ich bin mir ziemlich sicher, dass die Angaben von diesem Bild schon älter sind.