Sicherheitsleitfaden für KingX - Druckversion +- KINGx - Das inoffizielle PlayStation Forum & News Portal (http://www.kingx.de/forum) +-- Forum: Sonstiges (/forumdisplay.php?fid=9) +--- Forum: Community (/forumdisplay.php?fid=16) +--- Thema: Sicherheitsleitfaden für KingX (/showthread.php?tid=39951) |
Sicherheitsleitfaden für KingX - fkrone - 12.04.2011 20:17 Hallo Leute, heute möchte ich euch erklären, wie ihr euch sicher auf KingX und im Internet bewegen könnt und euren Account schützen könnt. Vorab ist zu sagen, dass das alles nicht zu eine 100%igen Sicherheit führt, aber zu einer sehr hohen Sicherheit. 1. Passwörter 1.1 Sichere Passwörter Das A und O ist ein sicheres Passwort. Doch was heißt sicher. Klar ist: Passwörter wie 123456 oder qwertz sind in keinem Falle sicher, ebenso wie der Name des Haustieres, das Geburtsdatum, der Wohnort oder der Usernamen. Doch selbst ein Passwort wie "IchgingdieStraßehinunter" ist zu knacken, über eine sogenannte Wörterbuchattacke. Genauso ist es falsch, ein kurzes Passwort wie "r4fER" zu verwenden. Dies kann über eine Bruteforceattacke geknackt werden. Sicher ist es, ein mindestens 10-stelliges Passwort zu wählen, das aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht, am besten in zufälliger Reihenfolge. Man kann auch einen Satz nehmen, wie zum Beispiel: "Meine Oma geht jeden Mittwoch Salami und Schinken einkaufen" Daraus nimmt man dann die Anfangsbuchstaben der Wörter: "MOgjMSuSe" Nun kann man es noch verfremden, indem man zum Beispiel das "O" durch eine "0" (Null) ersetzt und vieles mehr. So ergibt sich ein recht sicheres Passwort. 1.2 Einzigartige Passwörter Doch selbst ein einigermaßen sicheres Passwort ist knackbar. Deshalb sollte man grundsätzlich für eine Seite ein Passwort verwenden. Das heißt: Nicht das gleiche Passwort bei KingX, Amazon, Ebay, Mailaccount etc. Sollte eines der Passwörter geknackt werden, so kann der Angreifer ohne Probleme sich in die anderen Accounts auch einloggen. Daher nutzt bitte für KingX ein einzigartiges Passwort. 1.3 Ändern von Passwörtern Grundsätzlich sollte man Passwörter jedes Jahr ändern. In einigen Firmen ist es sogar Zwang, alle 3 Monate die Passwörter zu ändern. Dabei ist es nicht möglich, das alte Passwort zu verwenden. Auch das Anhängen "11" für das Jahr 2011 ist in dem Falle nicht sinnig da, wenn der vordere Teil bekannt ist, man das Passwort trotzdem hat, selbst nachdem es geändert wurde. Daher nehmt dann bitte ein komplett anderes Passwort. 1.4 Weitergabe des Passworts Gebt niemals euer Passwort weiter. Nicht mal an Freunde. Erst recht nicht an Fremde, denn man weiß nie, was derjenige mit dem Account anstellt. 1.5 Speichern von Passwörtern Passwörter sollte man weder im Browser noch als Textdatei auf dem PC gespeichert haben. Passwörter gehören grundsätzlich in den Kopf und im Notfall in ein extra Büchlein, das man an einem sicheren Ort verwahrt. Einigermaßen sicher kann man seine Passwörter auf dem PC mit dem Programm KeyPass speichern. Dieses legt die Passwörter in einem verschlüsselten Container ab. Dieser kann nur über das Masterpasswort geöffnet werden (oder Key-Datei, Benutzerkonto; beides nicht zu empfehlen). Hier sollte man auch ein sicheres einzigartiges Passwort wählen. Das Programm bietet zusätzlich die Möglichkeit, Zufallspasswörter in verschiedenen Stärken zu generieren. 2. Lokaler Schutz 2.1 Virenschutz Grundsätzlich ist ein aktueller Virenschutz in Kombination mit einem aktuellen System mit den neusten Updates Pflicht! Ohne ist es für Schädlinge ein Leichtes, in euer System unbemerkt einzudringen und euren PC zum Beispiel zum Spamversand oder auch zum Websiten attackieren zu nutzen. Zudem ist es leicht, eure Passwörter auszuspähen. Jedoch sollte man seinem Virenschutz nicht blind vertrauen. Oder anders gesagt: Kein Virenschutz kann den menschlichen Verstand ersetzen. Führt nie Dinge von Leuten aus, denen ihr nicht vertraut. Dies gilt auch für Dinge von teils unbekannten Usern von KingX. Wir versuchen zwar, die schädlingsbehaftete Dinge zu finden, können sie jedoch nicht immer finden. Denn man kann Schädlinge rund 2 Wochen vor den Antivirenprogrammen verstecken. Wenn sich der Schädling auch noch aktualisieren kann, kann er über Wochen oder Monate unentdeckt bleiben. 2.2 Browser Einige Leute vernachlässigen das Updaten des Browsers. Dies sollte man nicht tun, da der Browser ein gutes Einfallstor bietet. 2.3 Flash, PDF und Java Dies sind heutzutage eines der Haupteinfallstore. Sie aktuell zu halten ist sehr wichtig. Diese aktuell zu halten ist allerding nicht gerade immer leicht. Daher empfehle ich PSI. Mit dieser Software ist es leicht, die auf dem PC installierte Software aktuell zu halten. 3. KingX 3.1 Das Einloggen Grundsätzlich gibt es mehrere Möglichkeiten, sich einzuloggen. Alle anderen Abfragen von Passwörtern sind nur Phishingversuche. Hier sind 2 Möglichkeiten: Entweder oben über den Login-Knopf oder aber über den Quick Login am Ende der Seite. Es funktioniert aber auch, wenn man unangemeldet ist und bei einem Thread auf "Antworten" oder "Zitieren" klickt. Wenn man auf Login in der oberen Leiste klickt, oder aber auf "Antworten" oder "Zitieren" gelangt man zu dem Logindialog. 3.2 Frage nach Passwörtern Weder alexking noch irgendein Moderator wird euch je nach eurem Passwort fragen. Auch würden wir keinen User beauftragen, dies zu tun. Es gilt die Faustregel: Gib nie dein Passwort weiter. 3.3 Eingabe auf anderen Homepages Die offiziellen Seiten von KingX sind nur Kingx.de, King3.de, 3King.de, PSPKing.de, PS3King.de, DSKing.de und PSVitaKing.de. Jegliche anderen Seiten sind Phishingseiten. Gebt dort nie eure Daten ein. Es sind keine offiziellen Seiten von uns. Also achtet immer auf die Adresszeile des Browsers. 3.4 Loginabfrage auf KingX Falls ihr eine Abfrage nach dem Passwort kommt, lest euch sie genau durch. Steht da nicht ausdrücklich "Kingx.de", "King3.de", "3King.de", "PSPKing.de", "PS3King.de", "DSKing.de" oder "PSVitaKing.de" ohne irgendwas dahinter, so ist es ein Phishingversuch. Im allgemeinen kommt sowas jedoch nicht vor. Falls ihr so eine Abfrage in einem Thread seht, meldet es es bitte sofort uns Moderatoren. Wir werden uns schnellstmöglischst darum kümmern. 3.5 E-Mail Bitte gebt eure richtige E-Mailadresse im Profil an. Somit können wir euch kontaktieren, falls ihr gehackt werdet. 4. Was tun, wenn ich gehackt wurde? Ändert, sofern es noch möglich ist, euer Passwort. Auch nur, wenn ihr den Verdacht habt, jemand könnte Zugriff auf euren Account haben. Falls dies nicht mehr möglich ist, versucht über die Funktion "Passwort vergessen" beim Login euch ein neues Passwort an eure E-Mail zusenden zu lassen. Ich hoffe, ich konnte euch einen Überblick geben, was man machen sollte und kann und beachten sollte. Ich hoffe, ich habe alles erwähnt, falls nicht, macht mich bitte darauf aufmerksam. RE: Sicherheitsleitfaden für PSPKing - Xcan - 12.04.2011 20:20 100% Sicherheit geht nur mit eingeschaltetem Brain.exe! *Anmerkung von fkrone: Erst lesen, dann schreiben * *Anmerkung von Xcan: Habs gelesen ^^ Nur um es zu 100% zu bringen sollte man Brain.exe einschalten Ich glaube ich habe mich etwas falsch ausgedrückt * RE: Sicherheitsleitfaden für PSPKing - GaMers4D - 12.04.2011 20:27 YeaH¡ ThX Aber kann man sich doch selbst denken das Passwort zu ändern.. RE: Sicherheitsleitfaden für PSPKing - davdda - 12.04.2011 20:44 Man kann sich auch einloggen indem man auf i nen thread klickt und dann auf antworten klicken dann kommt man auch zum login nur damit jetzt nicht alle noobs phising schreien aber ansonsten sehr gut gemacht Ich will ja nicht meckern aber: Grundsätzlich gibt es mehrere Möglichkeiten, sich einzuloggen. Alle anderen Abfragen von Passwörtern sind nur Phishingversuche. Hört sich i wie komisch an RE: Sicherheitsleitfaden für PSPKing - Nussnougat - 14.04.2011 12:13 Dann möchte ich dazu auch noch etwas beitragen. Bin zwar noch als "Noob" tituliert aber was solls Zu den Punkten des Threaderstellers noch etwas hinzuzufügen, sei es die allbekannte Möglichkeit sein Passwort lokal speichern zu lassen. Viele (Oder vielleicht sogar alle) Internetbrowser bieten an den Benutzernamen, sowie das Passwort zu speichern, damit man sich danach einfacher einloggen kann. Dies ist natürlich sehr unsicher, denn durch etwaige Sicherheitslücken im Internetbroswer könnten "Informationsbegierige" diese gespeicherten Passwörter erspähen. Wie "sicher" das Passwort dann im endeffekt auch sei, wenn sie vom Broswer gespeichert werden wären sie in dem Falle dann nutzlos. Also speichert keinerlei Passwörter im Browser, auch wenn es (Auch mit Hinsicht untenstehender Bemerkung auf KeePass) immer wieder "nervig" ist jedes mal das PW neu eingeben zu müssen. Da man sich nicht für jede Seite, an welcher man angemeldet ist verschiedene Passwörter merken kann (Ich sowieso nicht) gibt es Abhilfe, zum Beispiel Passwort-Generatoren. Eine für mich positive Erfahrung war/ist KeePass Password Safe. Installations- und Nutzungsanleitung findet Ihr dort. Dieses generiert auf Wunsch 10-xx Stellige Passwörter für jede Applikation und speichert diese dann verschlüsselt ab. Groß, klein, Zahlen, Sonderzeichen, ... Die Stärke des Passwortes wird in bit dargestellt. Je höher umso besser. Ein Master Kennwort ist erforderlich, um im nachhinein die Passwörter wieder sichtbar zu machen. Da es ein Stand alone Programm ist kann man es auch ganz einfach auf einer externen Speicherkarte nutzen Ich selbst muss mir so nur 2 Passwörter merken. Eines für das Programm und eines für den Mail-Account. Denn wenn das Programm defekt/unbrauchbar werden sollte bestünde immerhin die Möglichkeit existierende Passwörter so zurück zu setzen. Aber bisher gab es noch keinerlei Problematik bei mir Ich hoffe das gab es noch nicht^^ Und verzeiht mein schlechtes Deutsch, ich muss teilweise noch mit Übersetzern schreiben Grüsse Ayane RE: Sicherheitsleitfaden für PSPKing - MESSI10 - 19.04.2011 17:22 Das mit dem sicheren Passwort bringt sowas von garnichts. Wenn man jemanden einen Trojaner unterjubelt ist es egal ob das Passwort "12345" oder "~dsfdsopowebnk9tkjhfztpp+" ist. Den Rest hast du aber echt klasse gemacht! RE: Sicherheitsleitfaden für PSPKing - ToXXiN - 19.04.2011 17:42 Ach ja, wer wirklich sicher gehen will, kann sich auch eine Virtuelle Tastatur zulegen, ich glaub Kaspersky bietet sowas. Denn es gibt Viren, die Tastatureingaben aufzeichnen können, also euer Passwort abspicken...Falls du willst, kannst du das noch adden, fkrone RE: Sicherheitsleitfaden für PSPKing - fkrone - 19.04.2011 19:50 Virtuelle Tastaturen sind eigentlich nutzlos. Moderne Keylogger machen auch Screenshots und Videos, somit sind diese virtuellen Tastaturen ehr nutzlos. RE: Sicherheitsleitfaden für PSPKing - PSP_Joker - 19.04.2011 19:54 fkrone : Virtuelle Tastaturen sind eigentlich nutzlos. Moderne Keylogger machen auch Screenshots und Videos, somit sind diese virtuellen Tastaturen ehr nutzlos.
RE: Sicherheitsleitfaden für PSPKing - Nussnougat - 19.04.2011 20:45 Wie sieht es mit der brain.exe aus? Natürlich sollte man immer sehr vorsichtig im Netz unterwegs sein, seine Basis-Applikationen auf dem neusten Stand halten, den PC regelmäßig durchscannen (Nicht nur einmal die Woche). Und mit den bisher gegebenen Hilfestellungen bezüglich dem sicheren Anmelden ist den Usern bereits sehr geholfen. Zu Trojanern, ect. sei nur hinzuzufügen, dass die meisten Passwörter durch gefälschte Phishing-Seiten ergattert werden, auf welche leider noch (zu viele) User hineinfallen. Dafür sei der Thread - so finde ich - eigentlich erdacht gewesen. LG RE: Sicherheitsleitfaden für PSPKing - TrueBent - 19.04.2011 20:50 Soweit ich weiß ist PSPLexikon.de auch noch ein Domain, der alexking gehört. Aber sonst alles Perfekt beschrieben. RE: Sicherheitsleitfaden für PSPKing - James_Cutter - 19.04.2011 22:37 Im Endeffekt reichts doch dicke aus, das man weis wo man sein PW angeben darf + aktueller und guter Virenscanner.... Sonst biddeschön vielmspaass mit meinem 10€ paypal Konto... RE: Sicherheitsleitfaden für PSPKing - TeamTaKKa - 24.06.2011 00:15 cool danke dass wollte ich immer finden RE: Sicherheitsleitfaden für PSPKing - hunne_atilla - 24.06.2011 00:27 Hab grad PSI ausprobiert: Bor ! bin Echt positv überrascht, hat mir echt viel zeit weggenommen! RE: Sicherheitsleitfaden für PSPKing - Jay-Puddy - 10.07.2011 18:23 Du musst noch psvita.de hinzufügen. RE: Sicherheitsleitfaden für PSPKing - 3m!n - 23.07.2011 22:31 Hallo, Hab mal einpaar Wörter zu ergänzen: Anmerkung 1: FUD Crypting Du denkst,du bist mit einem Antivirus sicher ? Dann liegst du da falsch ! Man kann ,mit sogenannten Cryptern, die Datei FUD crypten,sodass kein Antivirus sie findet. Normalerweise sind die Dateien nur 1-2 Wochen FUD und dann ist die schon in der Virusdatenbank. Anmerkung 2: VMWare Wenn du dir nicht sicher bist,ob eine Datei ein Virus ist oder nicht,dann lade dir die Freeware VMWare runter.Mit VMWare kannst du Anwendungen ausführen, ohne angst zu haben,dass da ein Virus ist.Denn selbst bei Viren passiert nix. Anmerkung 3: Java / Javascript deaktivieren Ihr solltet auch im Internet sicher sein,deswegen immer Java bzw. Javascripts deaktivieren. Denn mit einem ganz leichten Trick bist du schon in einen Java-Drive By geraten. Dann gibt es kein Zurück mehr ! Anmerkung 4: Quelltext nachsehen Ich würde immer im Quelltext (STRG + Q) nachsehen,denn man kann auch Phishing-Programme mit einem 1x1 großen Layer einbinden und schon haben sie deine Passwörter. Anmerkung 5: IP-Adresse Selbst wenn du die obrigen Schritte befolgtst,bist du nicht ganz sicher. Denn wer deine IP-Adresse hat,kann deine IP-Adresse als VicSock benutzen und mit deiner IP-Adresse surfen.Dabei kann man ganz schön mist bauen. Die IP-Adresse zu kriegen ist ganz leicht: Der Täter muss nur einen IP-Logging Script in ein Verzeichniss einbinden und eine Bild-datei posten.Und schon hat er eure IP-Adresse. Hoffe ihr befolgt meine Schritte und Fkrone ergänzt sie 3m!n RE: Sicherheitsleitfaden für PSPKing - PSP_Joker - 23.07.2011 22:54 3m!n : Anmerkung 5: IP-Adresse
Selbst wenn du die obrigen Schritte befolgtst,bist du nicht ganz sicher. Denn wer deine IP-Adresse hat,kann deine IP-Adresse als VicSock benutzen und mit deiner IP-Adresse surfen.Dabei kann man ganz schön mist bauen. Die IP-Adresse zu kriegen ist ganz leicht: Der Täter muss nur einen IP-Logging Script in ein Verzeichniss einbinden und eine Bild-datei posten.Und schon hat er eure IP-Adresse. Hoffe ihr befolgt meine Schritte und Fkrone ergänzt sie 3m!n
RE: Sicherheitsleitfaden für PSPKing - 3m!n - 23.07.2011 22:58 Hallo, hast recht^^ Kann nix mehr kritisieren RE: Sicherheitsleitfaden für PSPKing - _Kai_ - 23.07.2011 23:02 3m!n : Anmerkung 1: FUD Crypting
Du denkst,du bist mit einem Antivirus sicher ? Dann liegst du da falsch ! Man kann ,mit sogenannten Cryptern, die Datei FUD crypten,sodass kein Antivirus sie findet. Normalerweise sind die Dateien nur 1-2 Wochen FUD und dann ist die schon in der Virusdatenbank.
3m!n : Anmerkung 4: Quelltext nachsehen
Ich würde immer im Quelltext (STRG + Q) nachsehen,denn man kann auch Phishing-Programme mit einem 1x1 großen Layer einbinden und schon haben sie deine Passwörter.
3m!n : Die IP-Adresse zu kriegen ist ganz leicht:
Der Täter muss nur einen IP-Logging Script in ein Verzeichniss einbinden und eine Bild-datei posten.Und schon hat er eure IP-Adresse.
3m!n : Anmerkung 5: IP-Adresse
Selbst wenn du die obrigen Schritte befolgtst,bist du nicht ganz sicher. Denn wer deine IP-Adresse hat,kann deine IP-Adresse als VicSock benutzen und mit deiner IP-Adresse surfen.Dabei kann man ganz schön mist bauen.
RE: Sicherheitsleitfaden für PSPKing - fkrone - 23.07.2011 23:31 Klar kann ich es ergänzen. Nur dann wird es so klingen als sei es das sicherste, gar nicht mehr an den PC zu gehen. Also sehe ich nicht unbedingt das Bedürfnis, das zu erweitern, da es dann eh kaum einer mehr versteht RE: Sicherheitsleitfaden für PSPKing - Whynot - 31.08.2011 14:09 Naja das mit dem sicheren PW bezweifle ich. Allein schon wenn die sql datenbank mithilfe eines 0815 sql inject ausgelesen wird , hilft dir auch dein 12 stelliges PW nix ... RE: Sicherheitsleitfaden für PSPKing - _Kai_ - 31.08.2011 15:54 Whynot : Naja das mit dem sicheren PW bezweifle ich. Allein schon wenn die sql datenbank mithilfe eines 0815 sql inject ausgelesen wird , hilft dir auch dein 12 stelliges PW nix ...
RE: Sicherheitsleitfaden für PSPKing - PhysXPSP - 31.08.2011 16:18 WIKI : Message-Digest Algorithm 5 (MD5) ist eine weit verbreitete kryptographische Hashfunktion, die aus einer beliebigen Nachricht einen 128-Bit-Hashwert (deutsch: Prüfsumme) erzeugt. MD5 wurde 1991 von Ronald L. Rivest entwickelt. Sie gilt inzwischen nicht mehr als sicher, da es mit überschaubarem Aufwand möglich ist, unterschiedliche Nachrichten zu erzeugen, die dieselbe MD5-Prüfsumme aufweisen.
RE: Sicherheitsleitfaden für PSPKing - PhysXPSP - 31.08.2011 16:29 Hash vom passwort + hash vom salt = großer hash und dieser hash wird nochmal mit md5 verschlüsselt zb Passwort: Hallo Hallo(MD5) = d1bf93299de1b68e6d382c893bf1215f salt = 123 ABC # (ürgendwas halt) salt(MD5) = 1b7547beee4e8321d4c9f50f087ce43c neuer hash d1bf93299de1b68e6d382c893bf1215f1b7547beee4e8321d4c9f50f087c e43c und das ist 9be5605ac8e86f60acf76de3df351248 RE: Sicherheitsleitfaden für PSPKing - _Kai_ - 31.08.2011 16:36 Relok : Und was heißt das? (Bitte in Noobsprache!)
Können die geknackt werden? Oder ist das diese Überprüfungszahlen? Womit man z.b bei nem English Patch checkt ob die ISO untouched ist?
PHP-Code: <?php
RE: Sicherheitsleitfaden für PSPKing - Whynot - 31.08.2011 16:49 PSP-Hilfe : Whynot : Naja das mit dem sicheren PW bezweifle ich. Allein schon wenn die sql datenbank mithilfe eines 0815 sql inject ausgelesen wird , hilft dir auch dein 12 stelliges PW nix ...
RE: Sicherheitsleitfaden für PSPKing - 3m!n - 31.08.2011 17:33 Whynot : Und das cracken dauert zwar
RE: Sicherheitsleitfaden für KingX - go-boy - 27.03.2014 22:21 Ist zwar total veraltet der Thread, aber naja: Ich empfehle auf jeden Fall die benutzung des Plugins NoScript (für Chrome Safescript) Sollte m.M.n in keinem Browser fehlen. Am anfang nervt es vielleicht, da einfach alle Inhalte erstmal geblockt werden, aber nach einer gewissen Zeit bemerkt man das Plugin gar nicht mehr. Wenn man dann noch ein vernünftiges Antivir und einen gesunden Menschenverstand besitzt ist man eigentlich Optimal geschützt RE: Sicherheitsleitfaden für KingX - ToXXiN - 14.04.2014 22:01 NoScript ist etwas, dass euch ersten viele Nerven und 2tens viele Probleme sparen kann: |