Forum: Netzwelt
Alte Datenleaks: MySpace-Passwörter als Steilvorlage für Hacker
DPA

Im Netz kursieren zahlreiche Kopien vergangener Datenleaks. Oft enthalten sie Passwörter, die Nutzer jahrelang für mehrere Accounts verwenden. So dürften auch im aktuellen Fall einige Politiker gehackt worden sein.

Seite 1 von 2
Actionscript 11.01.2019, 16:55
1. Hier könnten die Betreiber selber Abhilfe schaffen.

ZB könnten bei der Anschaffung eines Accounts automatisch starke Passwörter kreiert werden. Der Apple Safari von Mac OS macht das. Oder Nutzer könnten nach einer bestimmten Zeit aufgefordert werden, ihr Passwort zu ändern, oder es wird automatisch geändert. Es ist eben so, dass man Nutzern nicht vertrauen kann, dass sie sich selber schützen. Also sollten hier die Betreiber eingreifen (siehe auch Sacha Lobo's neuester Artikel).

Beitrag melden Antworten / Zitieren
Erythronium2 11.01.2019, 17:30
2.

Die Missbrauchsmöglichkeit ist aber nur bei haveibeenpwned.com gegeben, da hier die Kenntnis der Mailadresse reicht. Beim "Identity Leak Checker" klappt das nicht, da man da Kontrolle über das Mail-Account haben muss.

Beitrag melden Antworten / Zitieren
K. Larname 11.01.2019, 17:32
3.

Kleine Bestätigung "alter Hack-Bestände" am Rande:

Nicht lange her, da bekam ich eine Mail mit Geldforderung, ähnlich wie bei Malware, die Daten auf der eigenen Festplatte verschlüsselt. Es handelte sich aber nicht um Verschlüsselung, sondern sinngemäß "Ich habe Dich gehackt, Deine Mailadresse lautet soundso und Dein Kennwort soundso. Bezahle oder ich veröffentliche Deine Daten."

Uralte Mailadresse, uraltes Kennwort, keine Gefahr.

Aber dass der junge Mann mit dem "Promi-Hack" ggf. nur Daten gesammelt oder gekauft hat, die schon vor Jahren oder Jahrzehnten über alte bekannte Schwachstellen oder Hacks gesammelt wurden, habe ich mir auch bereits so gedacht.

Das ist kein "Hack". Das sind Daten, die beliebige Leute zu beliebigen Zeitpunkten mit beliebigen Methoden der letzten Jahre / Jahrzehnte abgegriffen haben.

Im DarkNet kenne ich mich nicht aus. Wer weiß, vielleicht bekommt man dort für wenig Geld derartige Datensammlungen, würde mich nicht wundern.

Beitrag melden Antworten / Zitieren
peter.lange 11.01.2019, 17:37
4. identity leak checker

Sie schreiben in dem Beitrag, Dienste wie der identity leak checker seien auch hilfreich für Kriminelle, weil diese die email Adresse des potentiellen Opfers dort eintragen koennten und so erfuehren, ob die Passwoerter schon in einem leak aufgetaucht sind.
Das stimmt nicht, denn das Ergebnis der Abfrage wird an die, in das Formular eingetragene, Email Adresse versandt.

Beitrag melden Antworten / Zitieren
curiosus_ 12.01.2019, 00:23
5. Falsch

Zitat von peter.lange
Sie schreiben in dem Beitrag, Dienste wie der identity leak checker seien auch hilfreich für Kriminelle, weil diese die email Adresse des potentiellen Opfers dort eintragen koennten und so erfuehren, ob die Passwoerter schon in einem leak aufgetaucht sind. Das stimmt nicht, denn das Ergebnis der Abfrage wird an die, in das Formular eingetragene, Email Adresse versandt.
Ihre Aussage stimmt zwar für den im Artikel verlinkten Identity Leak Checker des Hasso-Plattner-Instituts, aber nicht für die ebenfalls verlinkte Seite haveibeenpwned.com. Dort wird direkt, nach der Eingabe einer email-Adresse, im leak-Fall die Quelle des leaks angezeigt. Selber überprüft, das ist so. Dann muss der Kriminelle nur noch das geleakte Passwort im Internet finden und kann es dann bei beliebigen Internet-Diensten testen.

Beitrag melden Antworten / Zitieren
curiosus_ 12.01.2019, 00:41
6. Noch ein Nachtrag

Zitat von peter.lange
Sie schreiben in dem Beitrag, Dienste wie der identity leak checker seien auch hilfreich für Kriminelle, weil diese die email Adresse des potentiellen Opfers dort eintragen koennten und so erfuehren, ob die Passwoerter schon in einem leak aufgetaucht sind. Das stimmt nicht, denn das Ergebnis der Abfrage wird an die, in das Formular eingetragene, Email Adresse versandt.
Z.B. anhand der öffentlichen email-Adresse maybrit-illner@zdf.de können Sie das auf der Seite haveibeenpwned.com überprüfen. Es ergibt sich direkt folgende Rückmeldung:

Oh no — pwned!

Pwned on 1 breached site

tumblr.


Also wäre ich bei maybrit-illner-Beiträgen auf tumblr. vorsichtig. Die könnten gefaked sein (Wobei ich selbstverständlich davon ausgehe, dass die inzwischen das Passwort geändert haben).

Beitrag melden Antworten / Zitieren
lkrenzien 12.01.2019, 18:10
7. Passwort Manager sind cool

wenn sie gehackt werden. Gerade die populären wie Lastpass oder 1Passwort sind natürlich auch ein beliebtes Ziel für Hacker. Am sichersten sind die Passwörter, die nirgendwo elektronisch gespeichert sind.

Beitrag melden Antworten / Zitieren
ulrics 13.01.2019, 06:27
8. Kann mir nicht

passieren, dass mich jemand filmt, da keine Kameras vorhanden bzw abgeklebt sind.

Beitrag melden Antworten / Zitieren
Bala Clava 17.01.2019, 15:49
9. Möchte ich sehen

Zitat von lkrenzien
Am sichersten sind die Passwörter, die nirgendwo elektronisch gespeichert sind.
wie Sie 300 verschiedene Passwörter und 300 Konten mit vielleicht 100 verschiedenen Benutzernamen und deren jeweilige Zuordnungen zueinander zuverlässig abrufbereit im Kopf behalten.

Nehmen Sie einen Pasword-Manager - aber mit einem laaaaangen Master-Key.

Beitrag melden Antworten / Zitieren
Seite 1 von 2