Forum: Netzwelt
Hacker-Angriff: Ebay-Nutzer sollen dringend ihre Passwörter ändern
Ebay

Passwörter, E-Mail-Adressen, Telefonnummern und Geburtstage von Ebay-Kunden haben unbekannte Angreifer erbeutet. Wer ein Konto bei dem Dienst hat, solle ein neues Passwort wählen.

Seite 7 von 12
disklord 21.05.2014, 20:31
60.

Zitat von itrentner
Gibt es etwa noch IT-Systeme, wo der Administrator Passwörter rekonstruieren kann? Ich kenne das so: Passwort vergessen - Festlegung eines neuen automatisch durch System oder von Hand durch Administrator - Mitteilung an User - Pflicht des Users, sofort nach der ersten Anmeldung ein neues eigenes Password festzulegen
Ich würde das nicht rekonstruieren nennen. Aber jeder der Zugang zu den Hashes hat kann sich daran versuchen. Ist dann die weniger auffällige Variante gegenüber dem Ausporbieren der Kombinationen am Login.

Zudem kann man nach den Hashes von bekannten Passwörtern suchen. Dann hat man zwar nicht seinen Wunschaccount geknackt, aber irgendeiner hat sicher ein Standardpasswort. Wenn es ein Wunschaccount sein soll, dann muß man halt hoffen, daß der Hash schon in der Tablle vorkommt oder darf deutlich länger probieren.

Da wird halt nicht ein Passwort zum Account gesucht, sondern zum Passwort der/die Account(s). Wenn das Passwort vorkommt ist das halt viel schneller. Ist halt nur ungezielt. D.h. es lohnt sich Passwörter (Sätze oder deren Anfangsbuchstaben) zu suchen, die mit hoher Wahrscheinlichkeit nicht in der Liste der beliebten Passwörter auftauchen.

Beitrag melden Antworten / Zitieren
disklord 21.05.2014, 20:43
61.

Zitat von Tr1umph
Es müssen endlich verbindliche Gesetze her wie ein Passwort gespeichert werden muss. Passwörter sollten nur als gesalzen und als Hashwert gespeichert werden. Hätte ebay das gemacht müsste niemand sein Passwort ändern! Wer Klartextpasswörter speichert sollte die Kosten für sämtliche daraus entstandenen Kosten tragen!
Nur wurden keine Passwörter im Klartext gestohlen. Trotzdem sollte man sein Passwort ändern, da auch mit dem Hash und mit genügend Zeit das Passwort herausgefunden werden kann. Die Zeit kann natürlich auch ganz kurz sein, wenn das Passwort auf der Liste der beliebtesten Passwörter steht und die Hashes gesucht wurden.

Dem Gesetzgeber würde ich es übrigens weniger in die Hände legen. Man kann ja sehen, was bei der eMail herausgekommen ist. Ein von einem NSA Ableger entworfenes Produkt, welches die Mails auf dem Server zum Schutz vor Viren entpackt und dann weiterversendet.

Die richtige Herangehensweise wäre eine Aufklärung der Nutzer, aber der innere Schweinehund ist doch sehr bequem.

Beitrag melden Antworten / Zitieren
mm71 21.05.2014, 20:46
62.

Zitat von LK1
Es gibt Passwort-Generatoren, die nicht nur helfen kryptische Passwörter zu erstellen, sondern diese auch entsprechend lokal und verschlüsselt speichern. Niemand ist gezwungen, sich etwaigen Buchstaben- und Zahlensalat zu merken. Schlimm, das sowas im Jahr 2014 scheinbar noch separat erwähnt werden muss. Vielleicht wäre ein Internetführerschein doch noch eine gute Idee, um die Sicherheitslücken vor dem Rechner zu schliessen.
Nee, schlimm ist es aber, wenn Sie nicht zuhause sind und dringend an ein Konto müssen. Klar, da haben Sie die Keepass-Datei auf dem Stick. Und den hoffentlich auch dabei. Jetzt noch schnell Keepass installieren. Mist, geht nicht im Internetcafé. Na ja, dann halt über Smartphone. Wann hatte ich die Schlüsseldatei zuletzt gesynct? Ja, meine Schuld, kann man ja auch automatisieren, einfach nur Dropbox und dann...

Sie merken schon, die "ganz einfache Lösung" (immer wieder gern gehört der Spruch) wird dann ganz schnell zu einem mittelgrossen IT-Projekt, zu dem ein Gutteil der Menschen einfach weder Lust noch ausreichend Know-how hat...

Beitrag melden Antworten / Zitieren
disklord 21.05.2014, 20:51
63.

Zitat von harry0606
Ist es nicht gerade das, was die Unsicherheit hervorruft? Der Provider muss das alte Kennwort kennen, es auf ein "Einstiegs- oder vorgegebenes" Passwort zurücksetzen.
Nein. Üblicherweise generiert der Provider ein Einmalpasswort. Dieses hat meist ein Verfallsdatum und wird an eine registrierte email-Adresse verschickt. Wenn die Mail ignoriert wird, weil man die Änderung nicht beantragt hat passiert gar nichts. Wenn man das Passwort ändern möchte und die Mail bekommen hat, kann man sich mit dem Einmalpasswort anmelden und ein neues Passwort setzen.

Es muß also kein Passwort gespeichert werden. Manche System benutzen allerdings alte Hashes, um Passwortwiederholungen zu unterbinden.

Beitrag melden Antworten / Zitieren
AmokSchleicher 21.05.2014, 21:02
64. Nach näherem Nachfragen

Zitat von sysop
Passwörter, E-Mail-Adressen, Telefonnummern und Geburtstage von Ebay-Kunden haben unbekannte Angreifer erbeutet. Wer ein Konto bei dem Dienst hat, solle ein neues Passwort wählen.
Also, nachdem ich jetzt bei ebay und paypal alles geändert habe, stellt sich folgendes heraus:
- beide Firmen waren nicht in der Lage, mir mein Passwort zu nennen - zumindest eine notwendige Voraussetzung für verhashte Passwortspeicherung
- beide Firmen haben vorbereitete Geschäftsprozesse für diesen fall, die bei mir funktionierten
- ich gehe davon aus, dass irgendwelche Datenpiraten alles erobert haben, aber keine Klartext - Passwörter (die Frage nach Bank- und CC-Daten kann ich da nicht beantworten, ich arbeite meist mit paypal).

Die Tartarenmeldung mag für den Firewall etc bei ebay Hinweise geben, aber die Panik zu Passwörtern ist übertrieben.

Beitrag melden Antworten / Zitieren
!Obacht! 21.05.2014, 21:08
65. Billige Werbung

Zitat von total_perspective_vortex
Könnte eine Methode sein um die user dazu zu bringen mal wieder auf der Seite vorbei zu schauen.
Genau das schoss mir auch spontan durch den Kopf. Immerhin hat es diese Meldung bis in die alt ehrwürdige Tagesschau gebracht. Was solch eine Werbung wohl kosten würde, wenn man sie denn kaufen könnte?

Beitrag melden Antworten / Zitieren
GalvanicM 21.05.2014, 21:19
66. Fühlt sich irgendwie gut an ...

Das eBay-Konto wird aufgehoben

Wir haben die Aufhebung Ihres Mitgliedskontos eingeleitet. Dieser Vorgang kann bis zu sieben Tage dauern. Wenn Ihr eBay-Konto aufgehoben ist, senden wir Ihnen eine entsprechende E-Mail an die bei uns hinterlegte E-Mail-Adresse.

Wir danken Ihnen für Ihre Mitgliedschaft in der eBay-Community.

Beitrag melden Antworten / Zitieren
dasmerkel 21.05.2014, 21:24
67.

An erster Stelle sollten mal die Multi Mrd. Dollar-NSA-US Unternehmen ihre Passwörter sichern. Solange dort 6 mal x als Zugangscode für Kundendatenbanken gewählt wird, kann ich 100stellige wahllose Buchstaben-Zahlen-Sonderzeichen-Groß/Kleinschreibungs-Passwörter verwende wie ich will!
Alles Armleuchter
Und ausserdem hat nicht Ebay informiert, sondern die Presse! Wenn Ebay an der Sicherheit der Kundendaten etwas liegen würde, hätten sie gleich über die Presse informieren lassen und nicht zwei Monate später! Jetzt ist es zum Passwort ändern wohl etwas spät......
Alles Armleuchter

Beitrag melden Antworten / Zitieren
dasmerkel 21.05.2014, 21:37
68.

An erster Stelle sollten mal die Multi Mrd. Dollar-NSA-US Unternehmen ihre Passwörter sichern. Solange dort 6 mal x als Zugangscode für Kundendatenbanken gewählt wird, kann ich 100stellige wahllose Buchstaben-Zahlen-Sonderzeichen-Groß/Kleinschreibungs-Passwörter verwende wie ich will!
Alles Armleuchter
Und ausserdem hat nicht Ebay informiert, sondern die Presse! Wenn Ebay an der Sicherheit der Kundendaten etwas liegen würde, hätten sie gleich über die Presse informieren lassen und nicht zwei Monate später! Jetzt ist es zum Passwort ändern wohl etwas spät......
Alles Armleuchter

Beitrag melden Antworten / Zitieren
sowasvonanderssein 21.05.2014, 21:39
69. Ein Vorteil hat es ja:

Ich muss mir keine Hochsicherheitspasswörter mehr einfallen lassen, die ich mir sowieso nicht merken kann. Bei so einem Datenklau ist es ja wurscht, ob es nur 24680 war oder eben ein Passwortungetüm. Ändern muss ich es wohl eh alle 4 Wochen...

Beitrag melden Antworten / Zitieren
Seite 7 von 12