Forum: Netzwelt
E-Mail-Adressen und Passwörter: Unbekannte stellen Hunderte Millionen Zugangsdaten in
Getty Images

In einem Hacker-Forum ist ein riesiger Datensatz mit E-Mail-Adressen und Passwörtern aufgetaucht. Mit einem Online-Dienst können Sie prüfen, ob auch Ihre Daten Teil der "Collection #1" sind.

Seite 5 von 12
stefan_fueger 17.01.2019, 15:20
40. Du schreibst ja auch bei Spiegel.de

Zitat von Ayanami
Ich tippe bei einem mir unbekannten Sicherheitsforscher meine Mailadresse und mein Passwort ein, um zu sehen, ob ich vom Leak betroffen bin. Hört sich total legitim und gar nicht SAUDUMM an. Sagt mal, reflektiert ihr eigentlich intellektuell darüber, was ihr euren Lesern so empfehlt?
Du hast Deine E-Mail-Adresse und Dein Passwort bei SPiegel.de eingegeben, oder Dich hier. über z.B. Facebook eingeloggt. Woher weisst Du Du, dass Spiegel.de vertrauenswürdig ist?

Etwas nachdenken kann nicht schaden. Probier es einfach mal. :)

Beitrag melden
Crom 17.01.2019, 15:20
41.

Zitat von Ayanami
Ich tippe bei einem mir unbekannten Sicherheitsforscher meine Mailadresse und mein Passwort ein, um zu sehen, ob ich vom Leak betroffen bin. Hört sich total legitim und gar nicht SAUDUMM an. Sagt mal, reflektiert ihr eigentlich intellektuell darüber, was ihr euren Lesern so empfehlt?
Also ich hab nur mein Passwort eingetippt, die E-Mail-Adresse musste ich nicht nennen. Das sind also zwei separate Vorgänge.

Beitrag melden
Crom 17.01.2019, 15:22
42.

Zitat von ichliebeeuchdochalle
Aus dem Artikel: "Üblicherweise, sollte man überhaupt von einem bekannten Leak betroffen sein, verrät Hunts Service einem recht konkret, in welchem Kontext die eigene E-Mail-Adresse aufgetaucht ist. Dann heißt es etwa: Bei einem Hack bei Dropbox wurden Ihre Mail-Adresse und das zugehörige Passwort abgegriffen." Bei mir kommt das nicht ... nur der allgemeine Hinweis "Oh no — pwned! Pwned on 3 breached sites and found 1 paste (subscribe to search sensitive breaches") ... also erst wenn ich subscribe, dann kommen wohl weitere Infos. Will nicht subscriben.
Logisch, sonst könnte ja eine x-beliebige Person, welche Ihre E-Mail-Adresse kennt, herausfinden, wo Sie angreifbar sind. Daher muss aus Sicherheitsgründen dies über eine Subscribtion erfolgen.

Beitrag melden
Crom 17.01.2019, 15:26
43.

Zitat von curiosus_
Wenn ich weiß, dass irgend jemand auf der Welt irgend wo mein Passwort verwendet (s. oben: "Nur das Passwort alleine bringt ja nichts, da weiß ich ja nicht ob es mir zugeordnet ist")? Ganz abgesehen davon, dass "beides separat prüfen lassen" beim Prüfdienst automatisch verlinkt werden kann, wenn es von derselben IP-Adresse kommt? Bzw. in derselben Session geschieht? Da ist nichts mit "beides separat prüfen lassen"!
Dann benutzen Sie halt zwei verschiedene Sessions. Ich prüfe damit übrigens immer nur meine Passwörter. Das reicht vollkommen aus.

Beitrag melden
Crom 17.01.2019, 15:30
44.

Zitat von gigi76
Grundsätze: Passwörter nie doppelt vergeben, Passwörter bei kritischen Zugängen immer mal wieder ändern. Zweitemailadresse einrichten und diese für Logins nutzen, die Hauptmailadresse niemals.
Das ergibt keinen Sinn, denn wenn dann die Zweit-E-Mail-Adresse geknackt wird, dann kann sich der Hacker dennoch fast alle Passwörter zuschicken lassen oder ändern.

Beitrag melden
uk2011 17.01.2019, 15:36
45.

Zitat von Ayanami
Ich tippe bei einem mir unbekannten Sicherheitsforscher meine Mailadresse und mein Passwort ein, um zu sehen, ob ich vom Leak betroffen bin. Hört sich total legitim und gar nicht SAUDUMM an. Sagt mal, reflektiert ihr eigentlich intellektuell darüber, was ihr euren Lesern so empfehlt?
Vollkommen richtig.
Wenn die meine Emailadresse noch nicht hatten, haben sie die spätestens jetzt. Wenn die jetzt zufällig mein Passwort haben, weil irgendjemand auf der Welt ebenfalls das gleiche Passwort genommen hat, dann haben die schon Zugang zu meinen Daten.

Und es kommt ja auch gar nicht darauf an, dass MEINE Emailadresse mit MEINEM Passwort verknüpft ist.
Wenn ich irgendwo irgendwas knacken will, dann muss ich alle möglichen Kombinationen durchprobieren. Und das sind extrem viele Möglichkeiten.
Wenn ich jetzt 100 Millionen Passwörter auf dem Tablett serviert bekomme (plus all den Passwörtern, die eingetippt werden, nur um zu kontrollieren, dass das eigene Passwort dabei ist), dann brauche ich "nur" 100 Millionen Passwörter durchprobieren.
Hacken besteht nicht darinnen, dass ich genau EINEN Benutzernamen EINEM Passwort zuordne. In der Regel hat keiner Interesse, genau XYZ zu knacken, sondern irgendjemanden.
Man schreibt ein kleines Programm, dass probiert treudoof alle Permutationen aus, und wenn eine Kombination hinhaut, dann ist es prima.
Letztens gab es erst eine Liste der 10 häufigsten Passwörter. Wenn ich diese 10 habe, dann probiere ich die einfach bei jedem Account aus, der mir in die Hände fällt, und ich habe hin und wieder einfach Glück.
Wenn man also wirklich probieren will, ob das eigene Passwort einmalig ist, dann sollte man das nur verschlüsselt eingeben. Dann wird nur geschaut, ob der verschlüsselte Wert mit einem Wert aus der verschlüsselten Liste übereinstimmt, und wenn nein, kennt niemand das Passwort (vorausgesetzt die Verschlüsselung ist gescheit).

Beitrag melden
Ayanami 17.01.2019, 15:44
46. Nochmal zur Erklärung

Also nur nochmal zur Klarstellung: Ja, Mailadresse und Passwort gibt man auf der Prüfseite nicht in einem Zug ein. Es sollte jetzt aber bitte niemand denken, die Seite könnte nicht feststellen, welche Eingabe von Mail/Passwort zum gleichen Besucher gehört und somit beides zusammenführen. Ich sag's ja nur, macht was ihr wollt. Dass SPON die Eingabe allerdings promoted, ist mal wieder ein Zeugnis für Qualitätsjournalismus.

Beitrag melden
M. Vikings 17.01.2019, 15:48
47. Danke für den Link.

Zitat von curiosus_
Was bringt es mir wenn ich weis, dass vermutlich irgend ein Passwort von mir geleaked ist? Gut, ich kann dann alle ändern - aber wer macht das schon?
Bevor ich meine Passwörter auf einer unbekannten Seite
eingegeben hätte,
hätte ich sicher meine wichtigsten Passwörter geändert,
wenn ich betroffen gewesen wäre.

Beitrag melden
curiosus_ 17.01.2019, 15:50
48. Ok, hört sich...

Zitat von st.esser
Nein, das Passwort wird nicht übertragen, und wenn sie es ganz sicher machen wollen (oder zigtausende Passwörter testen wollen), dann können Sie die ganze Datenbank auch herunterladen (10 GB komprimiert, 22 GB entpackt) und lokal auswerten. Wenn Sie das Web-Interface verwenden, dann wird ein kryptografischer "Hash" des Passworts gebildet und ein Teil davon an den Server übertragen, der daraufhin etwa 500 Hash-Werte von Passwörtern zurück sendet, die den übertragenen Teil auch enthalten. Ob Ihr Hash (und damit Ihr Passwort) bekannt ist wird dann lokal geprüft, indem der aus dem Passwort berechnete Hash mit den 500 Hash-Werten verglichen wird. Ob es einen Treffer gibt und wie Ihr Hash tatsächlich lautet wird nicht nach außen übertragen, sondern nur Ihnen lokal angezeigt. Aber wie gesagt: Wer ganz sicher gehen will lädt die Datenbank herunter und prüft völlig lokal, ob der eigene Passwort-Hash darin enthalten ist.
...schon besser an. Also so wie üblicherweise auch Passwörter bei der Authentifikationsstelle abgespeichert werden.

Bis auf das, dass der Laie glauben muss, dass es wirklich so abläuft (und nicht das Klartext-Passwort übertragen wird).

Beitrag melden
DrStrang3love 17.01.2019, 16:04
49.

Zitat von ichliebeeuchdochalle
Aus dem Artikel: "Üblicherweise, sollte man überhaupt von einem bekannten Leak betroffen sein, verrät Hunts Service einem recht konkret, in welchem Kontext die eigene E-Mail-Adresse aufgetaucht ist. Dann heißt es etwa: Bei einem Hack bei Dropbox wurden Ihre Mail-Adresse und das zugehörige Passwort abgegriffen." Bei mir kommt das nicht ... nur der allgemeine Hinweis "Oh no — pwned! Pwned on 3 breached sites and found 1 paste (subscribe to search sensitive breaches") ... also erst wenn ich subscribe, dann kommen wohl weitere Infos. Will nicht subscriben.
Das haben Sie falsch verstanden. Wenn Sie etwas runterscrollen, sehen Sie unter dem Hinweis "Oh no - pwned!" (und einer Werbung für 1Password) konkret, bei welchen Hacks/Leaks Ihre E-Mail-Adresse aufgetaucht ist. Komplett ohne "subscriben".

Das "subscriben" brauchen Sie nur, wenn Sie sofort benachrichtigt werden möchten, sobald Ihre Adresse bei einem neuen Hack/Leak enthalten ist.

Beitrag melden
Seite 5 von 12
Diskussion geschlossen - lesen Sie die Beiträge!