onsdag, oktober 23, 2019

Kompromitteret kodeord

Daily Rush Debat Off-topic Kompromitteret kodeord

  • Forfatter
    Emne
  • #0

    3nickma
    Bruger
    4.316 indlæg
    Offline

    Jeg sad lige og tjekkede min Gmail, og af én eller anden årsag fik jeg lyst til at tjekke mine 40 spam mails, før de ryger ud. Pludseligt ser jeg mit kodeord står i emnefeltet, hvilket fanger min opmærksomhed.

    I den engelske mail, som står skrevet rimeligt fornuftigt, forklarer vedkommende, at han ikke er blevet betalt for at tjekke mig, og jeg ikke kender ham, så jeg sikkert undrer mig over hvem han er.

    Han skriver også, at han har installeret malware på en voksenside (porno). Mens jeg så de frække videoer fungerede min browser som en remote control dekstop hvor han med en keylogger fik adgang til min skærm og webcam. Han skriver endvidere, at straks derefter begyndte hans program at indsamle alle mine kontakter fra Messenger, sociale netværk og email. Derefter lavede han en double screen video hvor den første viser hvad jeg så (jeg har god smag, synes han), mens den næste viser at det er mig via mit webcam.

    Han skriver jeg har 2 muligheder, hvoraf den ene er at ignorerer denne mail, hvorefter han højst sandsynligt vil sende videoen til alle mine kontakter og nedværdige mig, og hvis jeg er i et kærligt forhold, hvilken effekt vil det have. Jeg er single.

    Ellers så kan jeg betaler ham lige under 1.000 dollars, hvorefter han højst sandsynligt vil slette videoen øjeblikkeligt. Fremover kan mit liv fortsætte som om intet var hændt, og jeg hører aldrig fra ham igen. Jeg skal betale ham i Bitcoin, og hvis ikke jeg ved hvad det er, så kan jeg Google mig frem til det.

    Til sidst slutter han af med, at jeg ikke skal gå til politiet, da han har taget de nødvendige skridt for, at det ikke kan spores tilbage til ham. Hvis jeg vil overbevises kan jeg besvarer mailen med et Ja, hvorefter han vil sende viden til X antal af mine kontakter. Tilbuddet er endeligt, og lad venligst være med at spilde hans og min tid med at besvarer denne mail (modsiger det ikke lige det med beviset?).

    Hvordan mener DRs sikkerhedspanel, at jeg skal forholde mig i denne sag?

    Any given Sunday ville jeg grine af denne (tomme) trussel og slette mailen med det samme. Det bekymrer mig dog meget, at det rent faktisk er mit kodeord, som står skrevet i mailen. Jeg er dog næsten sikker på, at det er fup. Der har jo været en del sikkerhedsbrister på det seneste, hvor personlige oplysninger og kodeord i plain text er blevet lækket. Han har sikkert fundet sådan en database, og er gået i gang med at sende trusselsbreve ud.

    Han har sendt mailen den 15. juni og den 8. juli fra to forskellige adresser. Ved ikke om han har sendt den tidligere, at Gmail ikke gemmer mere end 30 dages spam. Ordlyden er ca. 80 % den samme i begge mails, dog lidt kortere i den seneste. Bitcoin adressen er også forskellig.

    Ja jeg ser selvfølgelig også YouPorn engang imellem. Jeg har dog aldrig gjort det fra min MacBook Pro (indbygget webcam), og det er mange måneder siden, at jeg overhovedet har haft tændt og brugt min PC (stationær uden webcam). Når jeg ser YP er det via min iPhone eller iPad i Inkognito mode i Safari

    Jeg ved godt, at det er rigtigt dumt, at genbruge det samme kodeord flere steder (shame on me!), i stedet for at bruge 1Password eller iCloud Keychain. Synes bare det er nemmere at huske, hvis jeg på arbejde kort skal logge ind og besvarer en rusher tråd f.eks. I stedet for kun at kunne logge ind fra ét af mine egne devices, fordi ingen mennesker kan huske et jq4tjklvT€Q autogenereret kodeord.

    Jeg har dog mig bekendt ikke oplevet noget suspekt i mellemtiden, eller fået nogle underretninger om underlige login forsøg, da jeg generelt kører med 2FA på de fleste sider, som understøtter dette.

    Vil dog ændre lidt best practices fremover ovenpå dette, men først efter konsultation af DRs sikkerhedspanel

Viser 6 kommentarer - 31 til 36 (af 36 i alt)
  • Forfatter
    Kommentarer
  • #31

    aloC
    Moderator
    8.873 indlæg
    Offline

    #30: Jeg får et par stykker af dem om måneden, med det samme gamle password i. Jeg tænker ikke videre over det. Bruger en password manager og generere nye password til alle sites jeg opretter mig på.

    "I am Guybrush Threepwood and i wanna be a pirate!"

    #32

    3nickma
    Bruger
    4.316 indlæg
    Offline

    Hvad er best practice for oprettelsen af et nyt Master Password?

    #33

    Sven_Bent
    Bruger
    25.431 indlæg
    Offline

    #32 laengde laengde laengde

    Istedet for et password saa brug en passphrase. tilfoej evt en smule randomness
    3nickma’sMasterPassword2019
    er et lang bedre password og nemmere at huske/skrive end
    G0dP@$$w0rd

    Sven Bent - Dr. Diagnostic
    www.TechCenter.DK

    • Denne kommentar blev ændret for 1 måned, 4 uger siden af  Sven_Bent.
    #34

    mortendb
    Bruger
    350 indlæg
    Offline

    Husk at alle de lækkede kodeord ligger offentligt tilgængeligt typisk sammen med brugernavn / email adresse. Så hver sted du genbruger dit kodeord gør du det lettere for folk at overtage din identitet.

    Der er selvfølgelig også mange som har fundet ud af at sende scam mails med dit password for at forsøge at afpresse, der er nogle milliarder kodeord som er lækket, er der bare en promille som betaler, er det en rigtig god forretning.

    #35

    Sven_Bent
    Bruger
    25.431 indlæg
    Offline

    #34
    Enig derfor men bruger password vault sasom keepass eller de mange andre cloud baseret

    Personligt ruger jeg keepass men det er pga den har understoettelse for OTP password ligesaa

    Sven Bent - Dr. Diagnostic
    www.TechCenter.DK

    #36

    3nickma
    Bruger
    4.316 indlæg
    Offline

    #33 Ej helt ærligt, nu var jeg ellers lige blevet bildt ind, at det var gørelsen fremfor størrelsen!

    Havde ellers hørt noget med, at man skulle bruge mindst 8 tegn, mindst 1 tal, mindst et Stort bogstav, mindst et $pecialtegn osv. Så jeg var helt klart ud i noget a la det du nævner (G0dP@$$w0rd), men et “simpelt” kodeord, der er langt, trumfer et “svært” kodeord, der er kortere? Så blev jeg da det klogere.

    Sidder på min MacBook Pro og gennemgår mine kodeord via Safari -> Adgangskoder. Meget smart system i øvrigt, men kan desværre også se, at jeg vist har genbrugt mit ‘master password’ ca. 40 gange, haha. Det er sku sørgeligt..

    Er ved at gennemgå dem én efter en. Logger ind på siden og får iCloud Keychain til at autogenererer et nyt og langt volapyk kodeord. Ufatteligt, at jeg ikke har benyttet mig af en password manager før! Det er jo meget mere sikkert, og unikt til hver side, så man ikke skal tænke på at lave nye og kreative kodeord.

Viser 6 kommentarer - 31 til 36 (af 36 i alt)
  • Du skal være logget ind for at kommentere på dette indlæg.