News Collection #1: Datenleak mit über 773 Millionen E-Mail-Adressen

[Scythe1988]

nö hat er bei facebook in einer voll seriösen gruppe gelesen das muss also stimmen.

 

[McMOK]

Also ich machs immer so und bin damit die ganzen Jahre super gefahren:

1. E-Mail Anbieter ---> sehr starkes Passwort zusätzlich mit 2 factor authentication
2. E-Mail Anbieter ---> sehr starkes Passwort zusätzlich mit 2 factor authentication

3. Passwortsaves (Lastpass, Firefox, Chrome) ---> sehr starkes Passwort zusätzlich mit 2 factor authentication

4. Unwichtige Websitelogings ----> Normales Passwort das man sich gut merken konnte ohne Laastpass
5. Wichtige Websitelogins ----> jeweils einzigartiges sehr starkes Passwort

 

[Forum-Fraggle]

2. sind laut der Webseite keiner meiner Passwörter bekannt, sind eh zu kompliziert, aber wer die Zeit hat die paar Milliarden Jahre zu warten, um aus dem Hash das Passwort im Klartext zu bilden bitte xD

Wenn jeder in der Lage wäre richtige Passwörter zu verwenden, gäbe es solche Probleme garnicht erst, bzw würde es niemanden interessieren, weil ist ja gut und schön, das er mein gehashtes Passwort hat, und? Was will der jetzt damit anfangen? xD

3. Wenn man natürlich zu blöd ist sich ein Kompliziertes Passwort auszudenken, und nur 123456 oder Hallo123 verwendet ist man selber schuld, dummheit muss eben bestraft werden

Du bist Dir schon im Klaren, daß das in,Bezug auf die Nachrichten hier nicht relevant ist?
Es geht nicht darum, wie gut Deine PW sind, wenn die Webseiten gehackt wurden, auf denen Du sie verwendet hast. Dort ist dann die Frage wie sie gehasht wurden, aber in erster Linie ist Deine Annahme gefährlich.

 

[crashbandicot]

Wenn ich mal viel Zeit habe, muss ich mich auch einmal an das Thema begeben. Ich war viel zu Faul und bin zu schlecht aufgestellt...

GMail nutzen. Wenn du z.B. BridaX@gmail.com registriert hast, kannst du via Punkt Plus (+) einfach einen Anhang an deine Mailadresse ranhängen, z.B. BridaX+Computerbase@gmail.com
Das machst du dann für alle Dienste.
Bridax+ebay@gmail.com
Bridax+amazon@gmail.com
Bridax+pornhub@gmail.com
you name it

 

[Tallantis]

Da steht, dass ich drei Mal auf breached Seiten gepwned wurde, aber nicht welche. Zu lange her? Passwort war komplett clean und das nutze ich länger. Meine anderen Mails waren alle grün. Naja seit einer in mein eBay gehüpft ist verwende ich eh so gut wie überall zwei Faktoren Anmeldeverfahren. Lästig, aber einfach sicherer.

 

[makaay1]

Für mich ist ein Passwort Manager ja nicht nur die Sicherheit immer und überall an meine Zugänge zu kommen sondern auch eine Sicherheit falls es zum schlimmsten kommen sollte wie Brand im Haus oder sogar mein Tod damit angehörige an meine wichtigen Daten kommen.

Wie kommen die Angehörigen an deine Daten, wenn sie das Masterpasswort von KeePass nicht kennen?

 

[YukaChan]

Also bei mir tauchen einige in Collection 1 auf, die seit mehreren Jahren 2FA benutzen und auch geänderte Passwörter im letzten halben Jahr haben... Also entweder ist 2FA kaputt oder Troy Hunt braucht Kohle von 1Password....

Was kann daran denn nicht stimmen? Die Daten aus den Leaks sind ja auch unter umständen mehrere Jahre alt. Ob du nun 2FA aktiviert hast oder nicht hat doch nichts damit zu tun, ob die Seite ihre Passwörter durch einen Breach verloren hat?

 

[AnkH]

Meine eMail ist auch drauf, dafür das Passwort nicht. Heisst für mich: von den genannten Seiten wurde meine eMail gestohlen (NexusMods, Dropbox), jedoch nicht das Passwort? Da ich mein Passwort für meine eMail nirgends sonst verwende, sollte alles i.O. sein, oder?

 

[TrueAzrael]

Und dann reicht ein Passwort und man hat alle, tolle Vorstellung.

Dann kombiniere das Master-Passwort mit einer Key-File. Aber jedem das seine, nur hoffentlich nicht ein Passwort für alles.

Dann lieber jedes PW ein wenig abändern und im Kopf haben.

Ist auch nicht ganz ungefährlich, kommt man an 2 deiner Passwörter im Klartext ran, spart sich der Brutforce-Algorithmus den Großteil des Passworts.

Taugen Freeware Passwortmanager genauso gut? Gibt es irgendwelche Go-To Programme, zu denen jeder greift?

Und welcher Passwort Manager wäre hier empfehlenswert? Schön wäre Open Source und/oder ein Kompromiss aus Sicherheit und Komfort.

Wurde ja bereits oft genug erwähnt KeePass und dessen Derivate sind in der Regel zu empfehlen.

Da ich schon länger mit dem Gedanken spiele mir einen PW Manager anzuschaffen hätte ich dazu mal eine banale Frage: Wenn ich unterwegs bin (oder auf der Arbeit oder was auch immer, sprich: Nicht an meinem Heimrechner), wie komme ich dann in meine diversen Accounts mit den generierten Passwörtern?

Passwort Manager am Smartphone, oder in die Cloud. (siehe z.B. meine Lösung unten)

Ich gebe meine Passwörter bestimmt nicht irgendeinem Passwort Manager?! Wer garantiert mir denn, dass ich damit nicht alle meine Daten gesammelt und geordnet irgendwohin übertrage?

Am besten Open Source Offline Manager nutzen, da lässt sich leicht prüfen ob da was heim gesendet wird.

Zu meiner Lösung:
Ich nutze KeePass, KeePassXC bzw. Keepass2Android meine Datenbank liegt in meiner eigenen (Next)Cloud und wird über alle eigenen Geräte synchronisiert. Zur Entschlüsselung selbiger benötige ich mein Passwort und ein Keyfile. Das Keyfile wird über einen verschlüsselten USB-Stick per Hand auf alle meine Geräte kopiert. Zumindest der Datenträger auf auf dem das Keyfile auf den einzelnen Geräten abgelegt wird ist verschlüsselt und wird mit der Anmeldung am Gerät entsperrt.
Auf diese Weise braucht ein Angreifer entweder Remotezugriff auf eines meiner Geräte, physischen Zugang zu einem Gerät und das Passwort für den zugehörigen OS-Account oder aber Zugang zu dem verschlüsselten USB-Stick inkl. Passwort um die Keyfile ziehen zu können. Zumindest in den ersten beiden Fällen hätte ich wohl Pech gehabt egal welches Passwort-System ich nutze.
Wenn ich mich mal an einem Gerät anmelden muss welches ich nicht konfigurieren kann (versuche ich eigentlich zu vermeiden) dann bleibt mir immer noch die Möglichkeit das jeweilige Passwort vom Smartphone abzutippen.

 

[ph0enX]

Ich würde ja einen Teufel tun und auf einer Seite wie Pwned eines meiner Passwörter eingeben und auch jedem empfehlen dies ebenfalls nicht zu tun.

Und wieso solltest du dort dein Passwort eingeben?

 

[DFFVB]

Was kann daran denn nicht stimmen? Die Daten aus den Leaks sind ja auch unter umständen mehrere Jahre alt. Ob du nun 2FA aktiviert hast oder nicht hat doch nichts damit zu tun, ob die Seite ihre Passwörter durch einen Breach verloren hat?

Naja also dann müsste jeder Leak in den letzten Jahren unter diesem auch sein, ich hab aber Adressen, die sind nur im neuen nicht im Alten!

 

[Zaptek]

Shit " qwerty " wurde geleaked

 

[YukaChan]

Naja also dann müsste jeder Leak in den letzten Jahren unter diesem auch sein, ich hab aber Adressen, die sind nur im neuen nicht im Alten!

Laut diesem Tweet kommen ja noch ein paar mehr Leaks in den nächsten Wochen.

https://twitter.com/campuscodi/status/1086061689190170624

 

[scryed]

Du behauptest also, dass alle eingegebenen E-Mail-Adressen gespeichert werden. Gibt es dafür auch irgendwelche Belege?

Gibt es Beweise das die es nicht machen oder nach der Suchanfrage die Mailadresse gelöschte wird ?

So oder so jede Email die man irgendwo benutzt kommt in irgendeine Datenbank .....

Und wenn sie nur bei deinem Mailanbieter liegt wo sie erstellt wird , für den armen oder möglicherweise kriminellen Mitarbeiter ist es kein Problem die zu sammeln ..... Wenn man es ganz finster sehen möchte

 

[MR2007]

Wenn da jetzt eine Web.de E-Mail dabei wäre und diese ein Passwort verwendet, dass nirgends sonst benutzt wird. Könnte man jetzt eine Anzeige gegen web.de starten?

 

[YukaChan]

Gibt es Beweise das die es nicht machen oder nach der Suchanfrage die Mailadresse gelöschte wird ?

So oder so jede Email die man irgendwo benutzt kommt in irgendeine Datenbank .....

Und wenn sie nur bei deinem Mailanbieter liegt wo sie erstellt wird , für den armen oder möglicherweise kriminellen Mitarbeiter ist es kein Problem die zu sammeln ..... Wenn man es ganz finster sehen möchte

Der Betreiber von haveibeenpwned schreibt dazu folgendes: https://haveibeenpwned.com/Privacy

Searching for an email address only ever retrieves the address from storage then returns it in the response, the searched address is never explicitly stored anywhere. See the Logging section below for situations in which it may be implicitly stored.

Data breaches flagged as sensitive are not returned in public searches, they can only be viewed by using the notification service and verifying ownership of the email address first. Sensitive breaches are also searchable by domain owners who prove they control the domain using the domain search feature.

Warum sollte er die eingegeben Mails speichern und dieses ggf. verkaufen?

 

[SVΞN]

Wenn da jetzt eine Web.de E-Mail dabei wäre und diese ein Passwort verwendet, dass nirgends sonst benutzt wird. Könnte man jetzt eine Anzeige gegen web.de starten?

Man kann in Deutschland jeder Zeit etwas zur Anzeige bringen, die Aussichten auf Erfolg sind nur sehr gering.

Außerdem müsstest du ja irgendwie Schaden erlitten haben.

 

[Phear]

Das machst du dann für alle Dienste.
Bridax.ebay@gmail.com
Bridax.amazon@gmail.com
Bridax.pornhub@gmail.com
you name it

Du machst das ernsthaft für alle Dienste? Da müsste ich um die 150 verschiedene E-Mail Adressen anlegen und verwalten. Ich vermute mal, die laufen dann alle an eine Hauptadresse, die du dann mit Outlook/Thunderbird verwaltest? Also quasi nur Weiterleitungen pro Dienst?
Oder ich verstehe es gerade falsch und du meinst bei gmail kann man bei der Adresse XY@gmail.com einfach x-beliebige Weiterleitungen direkt einrichten und muss nur den Dienst quasi dranhängen.
Das würde mich in der Tat vielleicht auch interessieren

 

[micha`]

Ich würde ja einen Teufel tun und auf einer Seite wie Pwned eines meiner Passwörter eingeben und auch jedem empfehlen dies ebenfalls nicht zu tun.

Die Seite verlangt kein PW?!

BTW 1 Account betroffen, uralt.


EDIT: pwned pw überlesen. Die kannte ich noch nicht, muss neu sein.

 

[unknown-user]

GMail nutzen. Wenn du z.B. BridaX@gmail.com registriert hast, kannst du via Punkt (.) einfach einen Anhang an deine Mailadresse ranhängen, z.B. BridaX.Computerbase@gmail.com
Das machst du dann für alle Dienste.
Bridax.ebay@gmail.com
Bridax.amazon@gmail.com
Bridax.pornhub@gmail.com
you name it

Soeben getestet, es funktioniert nicht.
Der Absender bekommt den Fehler: unbekannte Mailadresse.

Das einzige was seit Jahren bekannt und tatsächlich möglich ist,
ist an einer beliebiger Stelle der Mailadresse einen Punkt einzufügen.