Der Dienstag begann mit einer Hiobsbotschaft für unseren prallen Passwortwiederverwender: Sein Spreadshirt-Shop ist nämlich vorerst Geschichte.
Der Grund: Anscheinend ist jemand an Rainerles Zugangsdaten für den Spreadshirt-Shop gekommen und hat Einblicke hinter die Kulissen auf Twitter veröffentlicht. Unter anderem Informationen darüber, welche Designs wie oft verkauft wurden (Poster waren offenbar nicht sonderlich beliebt) und die Einnahmen, die mit insgesamt 2.000€ (seit Bestehen des Shops) doch nicht so hoch sind, wie vielleicht erwartet.
Im Anschluss an ihr Eindringen in den Shop haben die Cyberkriminellen auch noch Mörtsch-Artikel mit Rainerles Nacktbildern (auf Tassen sehr zu empfehlen, dann wird der Kaffee nie kalt) und verfassungsfeindlichen Symbolen eingestellt … und den Shop gelöscht.
Wie konnte es dazu kommen?
Diesen Anlass möchte ich nun dazu nutzen, um mit euch über Passwortsicherheit zu sprechen:
Wenn ihr euch auf einer Website mit einem Passwort registriert, dann speichert diese Website in den seltensten Fällen das Passwort im Klartext (wenn doch, wäre das wirklich sehr dämlich und fahrlässig), sondern als sogenannte “Hash”. Dabei wird mit einem Hash-Algorithmus aus dem Passwort ein (im Idealfall) eindeutiger Fingerabdruck generiert. Der Clou an der Sache ist, dass man zwar sehr einfach aus dem Passwort den Hash berechnen kann - andersherum aus einem Hash das zugehörige Passwort zu errechnen, ist aber quasi unmöglich.
Ein Beispiel für einen Hash-Algorithmus ist MD5 - den kennt ihr vielleicht von den Prüfsummen, die auf manchen Download-Seiten angegeben werden. Darüber kann man überprüfen, ob man sich auch wirklich die richtige Datei heruntergeladen hat.
Wenn ihr euch auf irgendeiner Website registriert und als Passwort “drachenfeuer1510” verwendet, dann würde die entsprechende Website (in unserem vereinfachten Beispiel) eine Hash des Passwortes erstellen und diese abspeichern.
In unserem Beispiel mit MD5 sähe die so aus:
”0035d934b4e366999ee63488c535040c”
Wenn man sich jetzt mit seinem Passwort einloggen möchte, wird das eingegebene Passwort gehasht und mit dem Wert in der Datenbank verglichen - stimmt alles, wird der Zugriff gewährt.
So muss man sich keine Sorgen machen, dass, sollte die Datenbank mit den Username/Hash-Kombinationen irgendwann mal an die Öffentlichkeit geraten, sich jemand unbefugten Zugriff auf euren Account verschaffen kann, da die Passwörter eben nicht im Klartext gespeichert sind.
Eine weitere wichtige Sicherheitsmaßnahme ist es, “salted hashes” zu verwenden - also einen weiteren zufälligen Wert an das Passwort zu packen, um das Erraten von Hashes zu erschweren.
Tut man das nicht und verwendet stattdessen Standardpasswörter wie “letmein”, “passwort123” oder den Namen der Freundin, ist es oft ein Leichtes, selbst aus der Hash das Passwort zu erraten, weil man die Hash oft einfach googlen (bzw. mit Rainbow Tables nachschlagen) kann und dann auch nicht selten das dazugehörige Passwort findet.
Wenn man nun Rainerles Kontakt-E-Mail-Adresse auf haveibeenpwnd.com (einer Security-Seite, die Passwortleaks recherchiert) überprüft, kommt dabei heraus, dass seine Accounts von diversen Datenleaks betroffen waren, bei denen die Passwörter im Klartext oder als MD5-Hashes vorlagen. Und weil Rainerle sicher nicht so umsichtig war, für jede Website ein anderes Passwort zu verwenden und Spreadshirt auch keine Zwei-Faktor-Authentifizierung (das ist das, wo ihr einen Code per SMS bekommt) anbietet, konnte sich anscheinend jemand dort einloggen und den Account plattmachen.
Damit euch so etwas nicht auch passiert, habe ich hier ein paar Tipps für euch:
(Und ja, es kann wirklich jeden treffen. Die meisten Cyberkriminellen interessiert nämlich nicht, ob ihr ein Youtube-Star seid oder nicht - die suchen einfach nur nach Accounts, mit denen sie wild Schindluder betreiben können.)
Verwendet Passwörter nicht mehrfach. Moderne Browser haben mittlerweile in der Regel eigene Passwortmanager eingebaut, die auch automatisch starke Passwörter generieren.
Auf je mehr Websites ihr einen Account erstellt, desto höher ist auch das Risiko, von einem Datenleak betroffen zu sein. Auf BugMeNot findet ihr frei verfügbare Usernamen und Passwörter, die ihr verwenden könnt, wenn ihr z.B. nur mal in einem passwortgeschützten Forum etwas lesen möchtet, ohne extra einen Account erstellen zu müssen.
Wenn ihr der Website nicht vertraut und sie euch Logins über Google/Facebook/Twitter/Instagram anbietet, dann nutzt diese Möglichkeiten. Natürlich birgt das aber auch ein Risiko, was das Tracking angeht. Das müsst ihr dann für euch abwägen.
GMail ist egal, an welcher Stelle die Punkte in eurer E-Mail-Adresse stehen und ihr könnt an euren Nutzernamen noch ein “+beliebigerstring” anhängen. Somit könnt ihr für jede Website quasi eine eigenen E-Mail-Adresse verwenden.
Wenn die Website Zweifaktor-Authentifizierung anbietet, dann verwendet sie!
Registriert eure E-Mail-Adresse auf haveibeenpwnd, um immer über Datenleaks informiert zu werden. Und nein: Die wollen kein Passwort.
Seid kein meddlfrängischer Youtube-Star!
―
Am Abend ging Rainerle auf YouNow live, um uns über den Hackerangriff auf seinen Spreadshirt-Shop zu informieren.
Davon abgesehen, dass er nicht glaubt, dass er wirklich gehackt wurde, ist es ihm natürlich vollkommen egal!
Oh, und ein neues Beerchen hat er auch noch …
Hinter ihm hängt ein gerahmter “Drachenlord”-Schriftzug, den ihm ohne Zweifel irgendein bemitleidenswerter Drachi gebastelt hat. Immerhin: Darin spiegelt sich sein Bildschirm und man kann Umrisse ausmachen.
Kippe geht rein in der Kinderdisco.
“Nach dem Lied hab’ ich euch was zu sagen."
Einige dürften mitbekommen haben, dass jemand "angeblich seinen Mörtschendeis gehäckt und gelöscht” haben soll. Rainerle glaubt jedoch nicht, dass der Account gehackt wurde - denn er hätte den Account nicht gelöscht, sondern “andere Arten” an Content hochgeladen und damit den Account “lächerlich gemacht”. “Fakt: Das ist nicht passiert.” (Rainerle, das ist passiert, bevor der Account gelöscht wurde - erst mit Nacktfotos von dir und dann mit verfassungsfeindlichen Symbolen.)
Außerdem hat er es natürlich “nachgeprüft”. Sein Account heißt eigentlich ganz anders und das “Guthaben” und die “Designpreise” stimmen auch nicht. (Jaja, sicher.)
Rainerle glaubt nicht, dass “sich die Person in [s]einen Account einhacken konnte”. Er weiß, dass es zurzeit eine Person gibt, die versucht, ihn zu “hacken” , denn er bekommt ständig Benachrichtigungen, dass sich jemand in seine Accounts einloggen möchte. Dabei ist das vergeblich, weil er überall “dreifache Färrfifizierung" benutzt. Außerdem wird die Person sowieso schon verfolgt …
Auf einer anderen Website hat jemand versucht, seinen Account löschen zu lassen, das hat aber nicht funktioniert.
Zu Spreadshirt: "Ich hab mittlerweile da schon ‘ne Klage dagegen eingereicht.” Er hofft, dass die seinen Account wieder “reaktivieren” können. (Daran glaube ich eher nicht.)
Selbst, wenn der Account nicht wiederhergestellt wird, kann er auch immer noch seinen alten Spreadshirt-Account verwenden.
Rainerle scheint nicht zu begreifen, dass es “Affiliate-Bonus” heißt und spricht stattdessen von "Affinititäsbonus-Gedöhns”. Außerdem stimmen die Einnahmen, die auf den Screenshots zu sehen sind, gar nicht. (Das liegt daran, dass in der Excel-Tabelle, die bei den Leaks dabei ist, das Komma fehlt - es sind also nicht 8549€, sondern gerade mal 85,49€.)
“Der Mötschendeis-Shop ist jetzt 'ne Zeit offline.” Eigentlich ist ihm das sogar ganz recht, denn er würde eh gerne seinen alten Account verwenden.
An seiner “Stimmlage” merkt man wahrscheinlich, dass es ihm “total am Arsch vorbei” geht, denn viel hat er mit seinem Account nicht verdient. Der Verlust des Shops wäre für ihn “kein Beinbruch” und würde ihn “nicht interessieren”. (Es interessiert dich wirklich KEIN Stück, das merkt man!)
Dass er gerade ein Oberteil aus seinem Mörtsch-Shop trägt, ist übrigens auch nur “kompletter Zufall”. (Nein, das ist Rainer Zufall!)
“Es war 'n kleines Taschengeld nebenbei.”
“Und ich muss ganz ehrlich sagen, dass das totaler Kindergaddn ist.” Erst hat er “Panik geschoben”, war dann aber “happy”, als er gesehen hat, dass der Account gelöscht wurde, anstatt dass damit Schindluder betrieben wurde: “Juckt mich des? Nö!” (Dann könntest du ja jetzt auch aufhören, ohne Punkt und Komma darüber zu schwadronieren.)
“Ich bin übrigens ned so lang online heude.” (Ein Glück!)
Bier geht rein.
Rainerle hat ein neues Ledsbläh auf seinem Gamingkanal hochgeladen, und zwar “der Änzester”. (Gemeint ist “Ancestors The Humankind Odyssey”. Ein brandneues Survivalspiel, für das Rainerle anscheinend mal wieder 40€ zum nicht mehr verglasten Fenster rausgeschmissen hat.)
“Ich komm’ heute echt wieder nicht zum Saufen.”
Bei dem neuen Bild hinter ihm an der Wand war auch eine SD-Karte mit dem Entstehungsprozess dabei. Die wird er sich aber nicht anschauen, weil er “keinerlei SD-Kadden, die [er] nicht kenn[t]” in den Rechner steckt.
Subtiler Hinweis darauf, dass die Leute, die etwas “gespendet” haben, wohl auch etwas aus der virtuellen Schatzkiste auf YouNow bekommen können …
Anscheinend ist schon wieder ein neues Beerchen am Start: “Äh … Große … ich streame gerade, weil ich grad Zeit hab und weil’s Übergang ist, weil ich auf dich wadde.” (Und, womit wirst du dieses Mal beim Treffen angegriffen? Mit Fanta und Waschpulver vielleicht?)
Rainerle singt bei “Discovery Channel” von der Bloodhound Gang mit:: “Baby klien na wa nascho noch scheläs!”
Dass die schwarze Sonne ein “Nazi-Symbol” ist, hat er erst durch die Hater erfahren, vorher wusste er das nicht.
Sein Aschenbecher ist “auch schon wieder randvoll”. Außerdem steht da “Emskirchen” drauf. (Irgendwie poetisch.)
Der unbekannte Hacker versucht wohl gerade erneut sein Glück: “Du kommst in meine Accounts ned rein, lass es bleiben. […] Die erwischen dich dann erst recht. […] Wenn du hinterher im Knast landest, beschwer’ dich nicht. Ich hab dich gewarnt.”
Rainerle weiß schon seit fünf Monaten, dass jemand versucht, sich in seinen Account einzuloggen. (Also, ich hätte an deiner Stelle dann ja mal mein Passwort geändert.)
“Die haben dich noch nicht erwischt, aber das wird nicht lange dauern.” Based God, RedTV, Affenkeks und RBS haben ja schließlich auch irgendwann Fehler gemacht. (Rainerle, die Polizei stellt mit Sicherheit keine Ermittlungen an, weil du zu blöd bist, dein Passwort zu ändern.)
Er hat schon überlegt, dem Hacker Zugriff auf seinen Account zu geben, denn “letzten Endes” würde er dadurch wieder Aufmerksamkeit bekommen, wenn sein Account gelöscht wird.
Ja, da sieht man mal wieder, wie perfide Rainerles Gedankengänge so sind. Was die angespannte Situation im Dorf oder seine ganzen rechtliche Probleme angeht, hat er sicher ähnliche Gedanken …
Er provoziert die Eskalation um jeden Preis, um nicht an Relevanz zu verlieren. Mal sehen, wie das läuft, wenn im Winter die Besucher wieder weniger werden …
“Ich kann kein WoW-Classic spielen, weil ich keine Kohle für WoW hab.” … aber wenn der erste Monat kostenlos ist, muss er vielleicht “doch mal wieder reinschauen”. (Ja, bitte!)
Rainerle fragt sich, wie sich “Wolken im Himmel halten” können, weil Kälte ja nach unten wandert, es weiter oben aber trotzdem kalt ist. (DIE SONNE IST KALT.)
Dass der Bizeps von Salat schrumpfen soll, juckt ihn “überhaupt nicht”. (Ja, was soll da bei dir auch schrumpfen?)
“Die Fenster sind überhaupt nicht dreckich, da geht lediglich die Farbe ab.”
Und das war es dann zum Glück auch schon auf YouNow! Gerade einmal 52 Minuten Stream und etwas weniger als $13 Verdienst … aber wir sind trotzdem noch nicht am Ende.
―
Denn: Auf DrachenGamesLP gab es ganze drei Stunden “Content”: Jeweils einen Part von Mist: Survival und Borderlands 2 und dann noch FÜNF Parts Ancestors: The Humankind Odyssey. Uff.
Mist: Survival:
Er redet schon wieder davon, dass er ja nicht das Ledsbläh von Gronkh kopiert hat, “nur weil’s zufällig auf’s gleiche Datum hinausgelaufen ist, mein Gott”.
Borderlands 2:
Er stellt fest, dass er “ziemlich aktiv am Zocken” ist, obwohl er sich eine “Sommerpause” gönnen wollte. (So ist das eben mit deinen Ankündigungen …)
Bald erscheint ”Borderlands 3″, das würde er auch gerne spielen, aber er weiß nicht, ob er es sich leisten kann. (Könntest du wahrscheinlich, hättest du nicht wieder Unmengen an Geld für die ganzen anderen Spiele ausgegeben … Wobei du dein Geld natürlich eigentlich sowieso lieber für wichtigeres Dinge ausgeben solltest.)
Ancestors: The Humankind Odyssey:
Das ist ein Survival-Game von “den Machern von Assassin’s Creed”, in dem man einen “Vormenschen” spielt. (Einen Kommentar dazu verkneife ich mir mal …)
Die ersten 6 Minuten verbringt er damit, sich durch das Menü zu klicken, diverse Einstellungen vorzunehmen und seinem Stamm den Namen “Die Keksflüchte” (eigentlich gehört noch ein “r” ans Ende) zu geben.
Rainerle möchte auch noch das Spiel “Darkborn” ledsblähen. Dazu gibt es aber noch kein Erscheinungsdatum. (Das ist ein RPG, in der man in einer Welt, die ziemlich stark nach Skyrim aussieht, ein Monster kontrolliert, das Nordmänner abschlachtet.)
“Servus und willkommen zurück bei Änzester … oder Änzest … oder wie auch immer.”
“Ey Fliege, geh weg!”
“Ich hab halt überhaupt keine Ahnung, was ich da gerade mache.”
“Den ganzen Tag haben mich die Leude ned genervt und jetzt, wo ich am Aufnehmen bin, müssen sie hier auftauchen.”
“Metal Leude, Servus und willkommen zurück zu Anzäster … oder Änzest, […] nicht zu verwechseln mit Inzest.”
Es ist Dienstag um 16:50 Uhr und Rainerle regt sich über Besucher vor seiner Haustür auf …
Rainerle muss “dringend erst mal Ding machen”.
Ja, ich muss dann auch erst mal Ding machen … kommen wir aber vorher zum heutigen amüsanten Amazonkauf - einem wirklich nützlichen Küchenutensil.
Dabei handelt es sich um farbkodierte Schneidebretter, die ihr jeweils für unterschiedliche Lebensmittelgruppen verwenden sollt: Zum Beispiel ein blaues Schneidebrett ausschließlich für Fisch oder ein rotes Schneidebrett ausschließlich für Fleisch.
Die Idee dahinter ist, dass man nicht versehentlich das Schneidebrett, auf dem man das evtentuell salmonellenbelastete Geflügel geschnitten hat, dazu verwendet, die Gurke für den dazugehörigen Salat zu schneiden … oder um einfach nur vorzubeugen, dass der Obstsalat nach Räucherlachs oder Knoblauch schmeckt.
Wirklich eine super Sache, zumal die Schneidebretter auch noch biegsam sind, wodurch man die darauf geschnittenen Lebensmittel ganz leicht in Topf oder Schüssel befördern kann.