ComputerBase Menü
Aktuelles

News Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs

Highspeed Opi schrieb:
@Rexus
Nein, kein Yahoo Account.
Die E-Mail gibt es wirklich absolut nirgendwo außer hier auf ComputerBase. Ich trenne meine E-Mail Accounts je nach Zweck und Wichtigkeit.
ComputerBase hat eine eigene E-Mail Adresse, so wie auch alle anderen "öffentlichen" Seiten in denen ich angemeldet habe, eine eigene E-Mail Adresse haben.

Das handhabe ich seit sehr vielen Jahren so, quasi seit ich das Internet nutze und damals war der Sinn davon sofort zu sehen, welche E-Mail Adresse Spam erhält und mit welcher Seite diese verknüpft ist.
Damals gab es nämlich keine Werbeblocker, Datenschutz oder Verschlüsselung... ^^
Zum Vergrößern anklicken....

ich vermute trotzdem, dass du entweder mal einen dubiosen VPN oder Proxy nutztest oder es eine Sicherheitslücke bspw. von vBulletin war, welche dein Passwort verraten hat.
Auch könnten etwaige PasswortmanagerApps selbst einen Breach haben, du dich auf einem fremden PC eingeloggt der nicht nur gesunde Software enthielt, irgendjemand bei irgendwas blind deine Mailadresse bekommen haben, bspw. beim antworten auf PNs via Email/wenn benachrichtigt via Email uswuswusw.
Ebenso kann jemand der deine CB Mailadresse hatte infiziert mit irgendwas gewesen sein, wollte dir was böses und hat sie rausposaunt, du hast einen offenen Hotspot genutzt und jemand hatte arirdecap laufen oderst irgendwas anderes. Die anderen 47 Milliarden Möglichkeiten kennst du ja selbst.

Du erkennst: So einfach ist das nicht "Computerbase hat Schuld" zu plakatieren.

Zu diesem "DataBreach" ist nur lachen ein gutes Mittel -> einher MUSS es sowas einfach geben damit die Gemeinde Internetwütiger Kompetenztrolle endlich mal sensibilisiert wird was das rausbrüllen von Informationen und nutzen von "smarten" Dingen im Alltag angeht. Bei einigen habe ich das Gefühl denen würde selbst in einer Hue-Lampenfabrik immer noch komplette Dunkelheit auf der Birne herrschen, frei nach dem Motto: Wenn die Lampe smart ist kann ich ruhig dumm sterben.
 
SheepShaver schrieb:
Ich denke dieser xkcd Comic sagt schon alles:
https://xkcd.com/936/

Ich bin selbst in der IT-Security tätig und wir haben die veralteten Passwort-Regeln längst in Rente geschickt, da nicht mehr zeitgemäß.
Zum Vergrößern anklicken....
Mh, also du schließt bloß von der Entropie in Bits auf die stärke des Passwortes? Man muss auch berücksichtigen, dass Passwörter meistens aus normalen Wörtern bestehen und Kriminelle dies natürlich schon längst wissen. Es werden nicht einfach willkürlich Zeichenkombinationen probiert, sondern primär Sinn ergebende Wörter. Das als vermeintlich "sicherere" Passwort in dem Comic "correct horse battery staple" wäre mit einem Wörterbuchangriff schnell geknackt.
Womöglich werden in diesem Bereich durch KI wie Deep Learning in Zukunft große Fortschritte gemacht und dann ist jemand mit einem einhundertprozentig zufälligen Passwort mit Sonderzeichen deutlich besser aufgestellt als jemand, dessen Passwort auf irgendeine Art und Weise "Sinn" ergibt.
 
  • Gefällt mir
Reaktionen: ZeusTheGod
Du hast die Links offensichtlich nicht gelesen. :rolleyes
Eine offline Wörterbuchattacke bringt dich hier nicht wirklich weiter. Eine Aneinanderreihung zufälliger Wörter mit Gesamtlänge > 20 ist als sicher einzustufen.

Ein Vergleich:
https://lowe.github.io/tryzxcvbn/

Und das nächste mal einfach lesen, denken, posten.
 
  • Gefällt mir
Reaktionen: linuxxer und Keiyuu
Auch auf die Gefahr hin, dass das hier schon beantwortet wurde: wie finde ich nun raus welches Passwort betroffen ist wenn meine E-Mail Adresse angeblich in dieser Daten-Sammlung steht? Mich interessiert dabei welche Passwörter in Verbindung mit meiner E-Mail Adresse auftauchen. Ich habe nicht vor meine Passwörter auf haveibeenpwned einzugeben.
Der einzige sonstige Treffer ist DropBox, den Account habe ich aber seit Jahren nicht verwendet und keine Ahnung welches Passwort ich dort überhaupt verwendet hatte.
 
AMDprayer schrieb:
Auch auf die Gefahr hin, dass das hier schon beantwortet wurde: wie finde ich nun raus welches Passwort betroffen ist wenn meine E-Mail Adresse angeblich in dieser Daten-Sammlung steht?
Zum Vergrößern anklicken....
Gar nicht. Passwörter können in vielerlei Hinsicht vorgehalten werden. Sobald gehasht wird (selbst ohne Salt), kommst du nicht an das ursprüngliche Passwort heran, außer durch Herumprobieren. Entweder du gibst es ein und die API hasht das Passwort für dich und gleicht es ab oder du hast Pech. Statt aber dem Passwort nachzurennen, nutz lieber einen Passwortmanager und ordentliche, unterschiedliche Passwörter pro Zugang.
 
  • Gefällt mir
Reaktionen: AMDprayer
@Yuuri: Also sind diese Infos doch eher Hinweis auf eine mögliche Gefahr als direkter Alarm. Wenn mein Passwort mit Salt gespeichert wurde könnte man damit nur bedingt was anfangen. Ich hatte schon Angst da wäre irgendwer an Passwörter im Klartext gekommen. Wenn mir jetzt noch jemand sagen könnte wie DropBox damals seine Passwörter gespeichert hat :D
Ich werde auf jeden Fall einen Passwortmanager einsetzen. Ich muss beschämend zugeben mich trotz Bewusstsein dieser Gefahr einfach zu faul gewesen zu sein mich mit sowas mal zu beschäftigen.
 
AMDprayer schrieb:
Also sind diese Infos doch eher Hinweis auf eine mögliche Gefahr als direkter Alarm.
Zum Vergrößern anklicken....
Ne Gefahr ist es nur, wenn das Passwort im Klartext vorliegt oder ohne Salt gehasht ist (dafür gibts Rainbow Tables). Ist ein Salt mit drin, ist die Gefahr schon geringer. Wobei ein Salt auch nicht unbedingt ein Kriterium ist, denn optimalerweise nutzt man pro gehashtem Passwort einen einzigartigen Salt, damit Rainbow Tables zwecklos werden. Du als Nutzer weißt aber natürlich nicht, welche Methode genutzt wird.
AMDprayer schrieb:
Ich hatte schon Angst da wäre irgendwer an Passwörter im Klartext gekommen.
Zum Vergrößern anklicken....
Da musst du jeden einzelnen bekannten(!) Leak durchforsten. Aber auch das ist kein Indikator. Knuddels bspw. hat die Passwörter gehasht vorliegen gehabt, hat aber "aus Sicherheitsgründen" das Passwort auch als Klartext vorliegen gehabt, wurde aber nicht als "Passwort" sondern als "bitte gib dein Passwort nicht im Chat preis-Feature" verwendet. Insofern wäre das Passwort selbst sicher, aber durch das "Feature" hat man es trotzdem im Klartext vorliegen gehabt, wodurch es nicht mehr sicher war.
AMDprayer schrieb:
Ich werde auf jeden Fall einen Passwortmanager einsetzen. Ich muss beschämend zugeben mich trotz Bewusstsein dieser Gefahr einfach zu faul gewesen zu sein mich mit sowas mal zu beschäftigen.
Zum Vergrößern anklicken....
Faulheit zählt nicht als Argument, denn mittels einem Passwortmanager wirst du eher noch fauler, da du dir unterschiedliche Zugangsdaten nicht merken musst. Ein Passwortmanager unterstützt dich allerdings ordentliche und pro Zugang unterschiedliche Passwörter zu vergeben. Keepass sei da genannt oder Bitwarden als On-Premise Lösung. Dann die üblichen Verdächtigen wie Lastpass (nutze ich seit vielen Jahren), Enpass, 1-Password und wie sie alle heißen. Alle haben so weit ja Browser-Extensions und tlw. auch Standalone Anwendungen.

Also hopp! Probier ein paar durch und nimm das, was dir zusagt.
 
@SheepShaver
Ich mag ja XKCD, aber den Comic finde ich nicht sehr gelungen.
  • Ein längeres Passwort ist also sicherer als ein kurzes? Wer hätte das gedacht...
  • Man kann sich Troubadour (und 1337-Speak) nicht merken, aber die vier zufälligen Wörter und deren Reihenfolge schon? Insbesondere weil der Merksatz ja ein Dialog ist, bei dem die Antwort auf die Aussage des horses, dass es sich um einen battery staple handelt "correct" lautet. Somit müsste "correct" das letzte Wort im pass-satz sein.
  • Wie berechnen sich in dem Comic die bits of entropy? "horse" (5 Buchstaben) und "battery" (7 Buchstaben) haben jeweils 11 bits of entropy?
  • Wären nicht 25 "a" genau so sicher, wie dieser "Satz"?
Für einen Bruteforce-Angriff spielt doch im Endeffekt nur die Länge des PWs eine Rolle, oder werden da erstmal nur Kleinbuchstaben probiert und wenn das zu keinem Ergebnis führt, klein und groß und dann zusätzlich Zahlen und im letzten Schritt dann auch mit Sonderzeichen!? Also der Angreifer weiß ja nicht, dass das PW welches er knacken will nur aus Kleinbuchstaben besteht.

Aus dem Grund sind auch die üblichen Verdächtigen, wie z.B. das Geburtsdatum gar nicht soooo unsicher. Klar, wenn ich mich in den Rechner von meinem Kollegen einloggen will und weiß, was sein Geburtsdatum ist, oder wie seine Frau heißt, oder was seine Hobbys sind, dann kann ich das natürlich ausprobieren. Aber aus Sicht eines Bruteforce-Angriffs ist "07.03.1984" ziemlich genau das gleiche wie "71,39,0840". Somit nicht einfacher zu knacken als jede belibeige Kombination aus 8 Zahlen und 2 Sonderzeichen.


Zum Thema "zu viele Passwort-Regeln sind Kontraproduktiv":
Zum Einen verringere ich mit jeder Regel die möglichen Passwörter. Beispiel: bei uns in der Firma muss das PW exakt 8 Zeichen lang sein. Wenn dann noch Zeichen ausgeschlossen und andere Pflicht sind, wird die ANzahl an möglichen PW weiter verringert.
Der andere Knackpunkt ist, dass es dem Anwender erschwert wird, das Passwort so zu wählen, dass er es sich merken kann. Dadurch wird er z.B. verleitet, es irgendwo aufzuschreiben.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: s0UL1
das_mav schrieb:
...Sicherheitslücke...PasswortmanagerApps...fremden PC eingeloggt...irgendjemand...jemand-wollte dir was böses...offenen Hotspot...47 Milliarden Möglichkeiten...

Du erkennst: So einfach ist das nicht "Computerbase hat Schuld" zu plakatieren.
Zum Vergrößern anklicken....

Naja...
ich habe eine E-Mail erstellt, damit ein ComputerBase Account erstellt und diese E-Mail nur hier genutzt.
Irgendwann habe ich eine neue (die Aktuelle) E-Mail erstellt, diese im ComputerBase Account geändert und seit dem wortwörtlich nie wieder angefasst oder darin eingeloggt.
Ich hatte die E-Mail also wortwörtlich nur zwei mal im Leben geschrieben. Beim Erstellen und Eingeben hier im Forum. Alles innerhalb weniger Minuten. Das dritte Mal war zum Test, ob diese geleakt wurde.

In dem Sinne gibt es nur zwei Möglichkeiten:
1. Ich hatte einen Keylogger beim Erstellen dieser E-Mail
2. "ComputerBase ist schuld". Also Datenleck, Sicherheitslücke, schlecht programmiert, gehakt, usw.

Option 1 ist unwahrscheinlich, da ich das Ändern aller meiner Passwörter und E-Mails auf einem frisch installiertem Linux System in einer Virtual Box durchgeführt habe.
Option 2 ist sehr viel wahrscheinlicher, da es immer neue Möglichkeiten gibt Daten aus irgenwelchen Seiten zu auszulesen. Damit wäre ComputerBase vielleicht nicht direkt schuld, da wohl unvermeidbar, aber trotzdem zu einem kleinen Teil Teilschuld.

So oder so... es ist egal.
Ich habe die News schon bevor die auf ComputerBase veröffentlich wurde gelesen und das Passwort mittlerweile geändert. Und selbst wenn jemand die E-Mail klaut, das Passwort vor mir ändert und mich aussperrt, wäre es nicht tragisch. Ein neuer Account ist schnell erstellt.
 
Chris007 schrieb:
naja.. ich würde mal behaupten das 90% der Internetnutzer aber immer das gleiche Passwort benutzen und auch nicht ändern, von daher ist das schon ein Problem, vielleicht nicht für computerbase Nutzer, aber für die Allgemeinheit schon.
Zum Vergrößern anklicken....

Das hat wenig mit diesen Leaks zu tun, sondern mit mangelnder Digitalbildung. Es ist doch wirklich kein Geheimnis, dass man seine PW's ändern soll, regelmäßig. Nervt das? Klar. Nervt es, sein Türschloss zu ändern wenn man den Schlüssel verloren hat? Natürlich. Man macht es einfach trotzdem, ansonsten wird die Gesellschaft wenig Mitleid haben wenn was passiert (bzw. zahlt dann die Versicherung eben nicht).
 
So oder so... es ist egal.
Zum Vergrößern anklicken....

Wäre es eh. Identitätsdiebstahl darf man glücklicherweise anzeigen, wenn dir irgendwelche, vorwiegend Geldwerte Nachteile entstehen.

Wie auch immer: Menschen gehören sensibilisiert und in einem Land wo sowas nie passierte ohne dass etwas passierte muss sowas eben passieren.
Im Zusammenhang mit dem "Bundestagsleak" ist es nun eben auf der Tagesordnung endlich mal da wo es seit 10 Jahre schon sein sollte.

Daher finde ich die Skandalisierung als solches als recht pragmatisch an. Es war das einzige rationelle Ergebnis von Untätigkeit und Uneinschätzbarkeit vom "Neuland". Lernt daraus, macht es besser und nicht genauso wieder. Das wusste schon Einstein.
 
TNM schrieb:
Das hat wenig mit diesen Leaks zu tun, sondern mit mangelnder Digitalbildung. Es ist doch wirklich kein Geheimnis, dass man seine PW's ändern soll, regelmäßig. Nervt das? Klar. Nervt es, sein Türschloss zu ändern wenn man den Schlüssel verloren hat? Natürlich. Man macht es einfach trotzdem, ansonsten wird die Gesellschaft wenig Mitleid haben wenn was passiert (bzw. zahlt dann die Versicherung eben nicht).
Zum Vergrößern anklicken....
du wechselst dein Türschloss aber nicht regelmäßig ohne das du deinen Schlüssel verloren hast. Von daher hat es eben doch mit den Leaks zu tun.
 
  • Gefällt mir
Reaktionen: linuxxer
@Chris007
Stört dich der Vergleich, oder gehts ums Recht haben?

PW's sind regelmäßig zu ändern, Grundregel im Internet, weil man, im Gegensatz zum Schlüssel, keine persönliche Kontrolle über die Lagerung hat.

Die Regel heißt nicht "ändere das PW immer dann, wenn du von einem Leak hörst", denn davon hörst du eh nie, wenn überhaupt Jahre später, weil es keine Gesetze gibt die Unternehmen zwingen Leaks öffentlich zu machen.

Du willst das anders handhaben? Be my guest, erwarte nur kein Mitleid.
 
Artikel-Update: Über den Identity Leak Checker des Hasso-Plattner-Instituts lassen sich nun auch E-Mail-Adressen auf Basis der weiteren Datensätze überprüfen, sodass jetzt für Collection #1 bis #5 eine Überprüfung möglich ist. Auf der Webseite muss dafür die potenziell betroffene E-Mail-Adresse eingegeben werden, woraufhin an diese vom Identity Leak Checker eine Nachricht mit dem Befund verschickt wird.
 
interessant das beide checks für meine spammailadresse verschiedene ergebnisse ergeben. der vom HPI sagt nicht betroffen... :lol:
 
Bei HPI kann ich nicht meine Passwörter checken, also ziemlich nutzlos. Schmeiße ja nicht alle meine pws einfach so weg oder meine Mail Adresse nur weil sie betroffen ist. Das macht HIBP wesentlich besser.
 
Ich empfehle auf jeden Fall die Passwörter offline zu checken. HIBP bietet die SHA1 gehashten Passwörter als Download an (ca. 10 GB). Für Keepass gibt es ein Open Soruce Plugin namens HIBPOfflineCheck womit man seine ganze Datenbank sicher überprüfen lassen kann ohne jemanden Vertrauen zu müssen.
 
  • Gefällt mir
Reaktionen: Arcturus128, Zockmock und fox40phil
Was bringen einem diese ganzen Datensätze eigentlich? Werden die enthaltenen e-mail Adressen dann mit diversen "Betrugsemails" bombatiert mit der Hoffnung ein paar Dumme zahlen dann die geforderte Summe?

Mein GTA5 Account wurde zb von irgendwelchen "Russischen Hackern" gehackt und ich musste ihn dann von Rockstar Games zurücksetzen lassen. 1 Monat später wieder das gleiche. Natürlich keine Entschuldigung oder irgendetwas von Rockstar Games.
Bin mir ziemlich sicher, dass ich danach eine Email erhalten habe, wo mein altes Passwort offen angegeben wurde und ein paar Zeilen Text, dass ich jetzt so und so viel Geld an den armen Hacker zahlen soll, damit er "Daten" nicht veröffentlicht. WTF, hab nur zurückgeschrieben er soll sich bitte umbringen und so der Welt einen Gefallen tun. Aber wieviel andere Zahlen den Betrag weil sie von Haus aus schon leicht paranoid sind?

Mein Ubisoft und EA Account wurden auch schon ein paar mal Angegriffen, GuildWars2 im speziellen seit dem Release. Anscheinend sowieso jeder Spielebetreiber.

Verstehe halt einfach nicht, was es bringen soll einen Spieleaccount zu hacken :freak::freak:
Und wie ich mich als Spieler aktiv dagegen wehren könnte, außer dass ich mir alle paar Tage neue Passwörter ausdenken müsste, die dann erst wieder über den Spieleanbieter durch die Hacker ausgelesen werden können.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: fox40phil
Headcool schrieb:
Ich empfehle auf jeden Fall die Passwörter offline zu checken. HIBP bietet die SHA1 gehashten Passwörter als Download an (ca. 10 GB). Für Keepass gibt es ein Open Soruce Plugin namens HIBPOfflineCheck womit man seine ganze Datenbank sicher überprüfen lassen kann ohne jemanden Vertrauen zu müssen.
Zum Vergrößern anklicken....
Ja, aber da ist nur die #1 Liste drin bisher.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz