IT Sicherheit: Passwort-Sammlung aufgetaucht

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • IT Sicherheit: Passwort-Sammlung aufgetaucht

      Laut diesem heise-Artikel ist eine sehr große Passwort-Sammlung im Netz aufgetaucht:
      heise.de/security/meldung/Pass…-aufgetaucht-4279375.html


      Hier kann man testen, ob die eigene Mailadresse dabei ist...
      haveibeenpwned.com/
      Wenn die eigene Mailadresse dabei ist ("Oh no — pwned!"), sollte man seine wichtigsten Passwörter ändern.
      Es ist gut, für alle wichtigen Webseiten unterschiedliche Passwörter zu verwenden, die in einem Passwort-Manager wie KeePass verwaltet werden können.
    • Danke für die Links.

      Ich habe aus Sicherheitsgründen ein ganzes Konvolut an „Schrott-Emailadressen“ mit denen ich weltweit einkaufe. Zwei davon stehen auf der Liste.
      Obwohl es mich nicht wirklich überrascht und ich immer damit rechne (deshalb ja die ganzen verschiedenen Emailadressen, man „hört“ ja einiges), muss ich einräumen, dass mir dafür jegliches fachliches Verständnis fehlt.
      Ich bin in IT-Sachen eine absolute Nullnummer. Ich kann mit Microsoft-Office und SAP umgehen, aber da hört es auch schon auf.

      Kann mir ein IT-Spezi in wenigen, einfachen (!) Sätzen erklären, wie solche Listen zustande kommen? Werden die einzelnen Emailadressen von den Privatpersonen ausgelesen, oder wird z.B. eine Shopping-Homepage gehackt und die Kundendaten abgesaugt, oder geht das nur durch das Hacken des Email-Anbieters direkt?
    • Ich denke, die Listen kommen zustande, indem die entsprechenden Homepages bzw. Firmen gehackt werden (z. B. linkedin, Adobe) oder indem verschiedene Listen kombiniert werden (Collection #1).
      Außerdem sind die Listen teilweise mehrere Jahre alt, das muss also nichts mit aktuellen Vorfällen zu tun haben.

      Wobei das vermutlich nicht so wichtig ist... wenn ein Schrott-Emailadresse dort auftaucht, einfach deren Passwort ändern oder eine andere Schrott-Emailadresse verwenden.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von martin1ws ()

    • martin1ws schrieb:

      < snip >
      Es ist gut, für alle wichtigen Webseiten unterschiedliche Passwörter zu verwenden, die in einem Passwort-Manager wie KeePass verwaltet werden können.
      Das ist nicht nur gut sondern elementar wichtig! Man muß immer davon ausgehen das der "Dienst" bei dem man sich anmeldet diese Daten gewollt oder ungewollt "verliert". Spätestens bei gezielten Angriffen auf einen Selber hat man dann bei gleichen Passwörter verloren.


      Zero schrieb:

      < snip >

      Kann mir ein IT-Spezi in wenigen, einfachen (!) Sätzen erklären, wie solche Listen zustande kommen? Werden die einzelnen Emailadressen von den Privatpersonen ausgelesen, oder wird z.B. eine Shopping-Homepage gehackt und die Kundendaten abgesaugt, oder geht das nur durch das Hacken des Email-Anbieters direkt?

      Grundsätzlich kommt es Täglich zu Einbrüchen bei Internetdiensten. Gründe für diese Einbrüche können ganz unterschiedliche sein, ein interessantes Ziel ist aber immer die Datenbank mit den Accoundindormationen. Von den meisten Einbrüchen bekommt man nichts oder erst viel später etwas mit. Entweder weil der Betreiber des Dienstes es selbst nicht mitbekommt oder aber dieser das nicht bekannt gibt. Ziel der Angriffe sind nicht nur die großen bekannten Dienste sondern alles wo man sich irgendwie einloggen muß, z.B. auch dieses Forum.
    • Also um es für Doofe zusammen zu fassen: Wenn ich eine Schrott-Emailadresse bei web.de oder gmx.de habe, werden meine Emailadresse samt Passwort dadurch bekannt, indem ein Hacker web.de oder gmx.de hackt. Ist das so richtig?

      Ergo, kann ich selbst nichts dagegen tun, um es zu vermeiden (z.B. mittels Anti-Virensoftware oder dergleichen). Auch richtig?
    • Richtig, gegen dieses hacken der Webseiten kannst du selbst nichts machen.

      Allerdings sollten die Webseiten dein Passwort nicht als Passwort, sondern nur als hashwert (sozusagen verschlüsselt) gespeichert haben. Dann müssen es die Hacker erst "entschlüsseln". Dies ist bei sicheren Passwörtern sehr schwierig.

      Was man machen könnte: Alle paar Monate sein Passwort ändern (oder bei Schrott-Emailadressen neue Emailadressen verwenden).
    • Die Hacker haben bei so einem Einbruch zunächst mal Deine Mailadresse und den Hashwert des Passworts. Theoretisch könnte das Passwort im Klartext aus dem Hash zurückkodiert werden, das ist aber ein ziemlicher Aufwand. Eigentlich ist sowas eine erweiterte Bruteforce Attacke. Das Passwort "Test" wird verschlüsselt und ergibt den Hashwert "567u8iokmnbvgftzhj". Der Hash passt nicht also wird das nächste PW / die nächste Kombination verwendet, der neue Hashwert generiert und dann wieder mit dem vorhanden Zielwert verglichen. Bis es passt. Oder der Hacker aufgibt.

      Wirklich sichere Systeme verwenden eine 2-Faktor Authentifizierung. Ich melde mich an, gebe mein Passwort ein und das System möchte zusätzlich noch eine Zahlen-/Buchstabenkombination von einem kleinen Token haben der sich alle x Minuten ändert.
    • martin1ws schrieb:

      Wie erstelle ich sichere Passwörter?datenschutz.org/sicheres-passwort/
      Mit dem Hinweis "Formen Sie stattdessen etwa Passwörter, die auf einem persönlichen Merksatz beruhen oder komplett unreflektierte Zeichenreihen beruhen." aus dem Verlinkten Text sollte man vorsichtig sein. Das war früher einer der Hauptempfehlungen, mittlerweile zeigt sich aber das das auch dies zu gleichen oder ähnlichen Passwörtern fühlt.

      Holgie schrieb:

      Die Hacker haben bei so einem Einbruch zunächst mal Deine Mailadresse und den Hashwert des Passworts. Theoretisch könnte das Passwort im Klartext aus dem Hash zurückkodiert werden, das ist aber ein ziemlicher Aufwand. Eigentlich ist sowas eine erweiterte Bruteforce Attacke. Das Passwort "Test" wird verschlüsselt und ergibt den Hashwert "567u8iokmnbvgftzhj". Der Hash passt nicht also wird das nächste PW / die nächste Kombination verwendet, der neue Hashwert generiert und dann wieder mit dem vorhanden Zielwert verglichen. Bis es passt. Oder der Hacker aufgibt.

      Wirklich sichere Systeme verwenden eine 2-Faktor Authentifizierung. Ich melde mich an, gebe mein Passwort ein und das System möchte zusätzlich noch eine Zahlen-/Buchstabenkombination von einem kleinen Token haben der sich alle x Minuten ändert.
      Das Ziel des Hashens ist das man aus dem Hash den Grundwert nicht errechnen kann. Wenn dies möglich ist (egal ob mit viel oder wenig Aufwand) ist das entsprechende Hashverfahren kaputt.

      Wenn ein Hacker eine Tabelle mit Benutzernamen+Passworthashes erbeutet hat er primär folgende Möglichkeiten.

      Dann kann er natürlich durchprobieren. Einfach Haswerte der reihen nach erstellen und abgleichen, das nennt sich dann Brute Force, das ist aber nur bei zu kurzen Passwörtern wirklich zielführend. Wobei die kritische Passwortlänge immer länger wird, da die Verfügbare Rechenleistung immer weiter steigt. Die im Verlinkten Text oben angegeben mindestens 8 Zeichen halte ich für ziemlich kurz, würde ich nur verwenden wenn ich das Passort händisch eingeben muß. Bei wirklich kritischen Passwörtern liege ich mittlerweile bei deutlich über 50 Zeichen.

      Das Brute Force aufwenig ist wird ein intelligenter Hacker erst einmal anders Probieren. Mit der sogenannten Wörterbuchattacke. Er wird erst einmal sämtliche bekannten Passwörter ausprobieren, dann Kombinationen daraus, Varianten daraus, Wörter aus Duden... da gibt es Programme die solche Listen automatisch erstellen. Dieses verfahren hilft auch gut bei der Merksatzmethode.

      Man sollte allerdings anmerken das das Speichern des Passorts als reiner Hash heute nicht mehr stand der Technik ist (aber noch viel verwendet). Es sollte zusätzlich Salt verwendet werden. Das heist der Webseitenbetreiber Hashed nicht das Passwort alleine sondern ergänzt das Passwort um ein paar zusätzliche zufällige Zeichen. Dieser Salt wird ebenfalls in der Tabelle mit den Userdaten gespeichert. Ziel ist das wenn mehrere User das selbe Passort verwenden diese nicht den gleichen Hash haben.
    • Zero schrieb:

      Also um es für Doofe zusammen zu fassen: Wenn ich eine Schrott-Emailadresse bei web.de oder gmx.de habe, werden meine Emailadresse samt Passwort dadurch bekannt, indem ein Hacker web.de oder gmx.de hackt. Ist das so richtig?

      Ergo, kann ich selbst nichts dagegen tun, um es zu vermeiden (z.B. mittels Anti-Virensoftware oder dergleichen). Auch richtig?

      Jain. Typischerweise werden nicht Gmx und Co gehackt (ist natürlich
      auch möglich) sondern Anbieter von Diensten bei denen man sich anmelden
      muß. z.B. dieses Forum hier ist ein mögliches Ziel. Da gibt es viele die
      es mit Sicherheit nicht so genau nehmen und das kann man von außen oft
      nicht erkennen.

      Im einfachsten fall geht es den Einbrechern wirklich nur um die Emailadressen (und weitere Persönliche Daten), diese lassen sich dann an Spamer verkaufen.

      Zu Virenscanner. Virenscanner haben sowieso für einen normalen Anwender kaum noch positive Auswirkungen. Die Techolologie des (Echtzeit) Virenscanners hat Verloren. Bei einem unbedarften Anwender der jeden scheiß installiert kann er noch bei ungezielten Angriffen mit glück helfen. Bei einem gezielten Angriff hat er aber keine Chance. Bei einem Anwender der weiß was er tut ist ein Virenscanner sogar eine Vergrößerung der Angriffsfläche.

      Aber du warst
      eigentlich auf was anderes aus. Natürlich gibt es auch die Möglichkeit
      das auf deinem PC/Handy ein Trojaner sein Unwesen treibt. Dieser kann
      auch Benutzername+Passwort erspähen, da hilft dann auch keine
      Passwortlänge und co mehr. Man muß sich sicher sein das die eigene
      Infrastruktur sauber ist sonst bringt alles nix. Wenn man Wasser in
      einem Fass lagern will hilft einem die beste Wasserqualität vom Stadwerk
      nicht wenn vorher jemand in das Lagergefäß gepinkelt hat.
    • Aktuell wird eine Passwortsammlung mit 620 Millionen Accound verkauft.

      heise.de/security/meldung/Geha…f-im-Darknet-4305517.html

      Diese Websites sind betroffen – in der Klammer steht die Anzahl der kopierten Accounts:
      • 8fit (20 million)
      • 500px (15 million)
      • Animoto (25 million)
      • Armor Games (11 million)
      • Artsy (1 million)
      • BookMate (8 million)
      • CoffeeMeetsBagel (6 million)
      • DataCamp (700,000)
      • Dubsmash (162 million)
      • EyeEm (22 million)
      • Fotolog (16 million)
      • HauteLook (28 million)
      • MyFitnessPal (151 million)
      • MyHeritage (92 million)
      • ShareThis (41 million)
      • Whitepages (18 million)
    • Also ich hatte meine E-Mail Adresse von einem offiziellen Institut (hab die Bezeichnung leider nicht mehr) überprüfen lassen, nachdem von offiziller Seit her dazu geraten wurde, weil eben so viel Adressen-Listen aufgetaucht waren, meine war aber nicht mit dabei.
      Nun Hatte ich vor ein paar Tagen aber doch tatsächlich ne echt Erpresser-Mail in meinem Spam-Ordner, hatte Sie auch göffnet da der Absender mir bekannt und auch in meinem Adressbuch vorhanden war. Echt unschöne Überraschung, hab se gleich gelöscht und ein Scanprogramm über den PC gejagt aber alles i.O. zur Sicherheit noch das Passwort geändert.
      Ich hab dann mal auf der Seite des BKA nachgesehn wie mann sich bei sowas verhalten sollte und der Rat war nicht drauf eingehen sondern Nachricht Fotografieren und Anzeige bei der Polizei erstatten. Leider war die Mail nicht mehr im gelöscht-Ordner vorhanden, bei Spam wird die wohl gleich komplett entsorgt aber man sieht es kann echt jeden treffen.

      HPI Identity Leak Checker

      So habs doch noch gefunden :P

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Maulwurf ()

    • Erpresseremails ("Ich habe deine Daten verschlüsselt. zahlst du hier ...") ist mittlerweile normaler Spam. Da ist deine Email "nur" auf Spam-Verteiler Listen gelandet. Dein Passwort brauchts dazu nicht.
      Und aus dem Chaos sprach eine Stimme zu mir: "Lächle und sei froh, es könnte schlimmer kommen!"
      Und ich lächelte, und ich war froh, ... und es kam schlimmer.