Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Wurde dein Online-Passwort gestohlen und verkauft? So findest du es heraus

DrWindows

DrWindows

Redaktion
Wir alle kennen die Meldungen, die uns in schöner Regelmäßigkeit begegnen: Es wird in Server von irgendwelchen Dienstanbietern eingebrochen und die Daten werden anschließend in kriminellen Netzwerken gehandelt. Erst in der vergangenen Woche wurde über die bisher mutmaßlich größte Sammlung...

Klicke hier, um den Artikel zu lesen
 
Anzeige
Ich bin mir imzwischen gar nicht mehr sicher ob das alles wirklich stimmt.
Erst war angeblich eine meiner Email Adressen betroffen die ich früher bei Dropbox genutzt habe.
Wenn ich jetzt mit der gleichen Email Adresse die Abfrage mache wird nur angezeigt das das Passwort betroffen war aber die Email Adresse nicht. Sehr komisch.
Mal davon abgesehen das es die Email Adresse schon gar nicht mehr gab als der Hack angeblich passiert ist und der Dropbox Acoount auch nicht mehr existierte.
 
Zuletzt bearbeitet:
man soll ja ein möglichst sicheres Passwort nehmen und braucht dann ewig es einzugeben oder man muss einen Passwort Manager nutzen.
Was hilft das aber alles, wenn ja die Listen gehackt werden?
 
@andyga: Dazu gibt es zwei interessante Kommentare bei Heise die genau dieses Problem auch zum Thema haben. Das sicherste Passwort nutzt nix, wenn die Anbieter es "verlieren". Es ist zwar kein Grund keine sicheren Passwörter zu benutzen, aber es muss hier auch mal dringend was auf der Seite der Anbieter gemacht werden.

https://www.heise.de/newsticker/meldung/Kommentar-Der-Aendere-dein-Passwort-Tag-ist-gut-gemeinter-Unsinn-4293393.html
https://www.heise.de/newsticker/meldung/Kommentar-Steckt-Euch-Euren-Aendere-dein-Passwort-Tag-sonstwohin-4291584.html
 
Hab's gleich mal getestet:
Glückwunsch ihre Email Adresse...... taucht in unserer Datenbank nicht auf.
Nochmal Glück gehabt.....
 
Wenn eine E-Mail-Adresse in der Datenbank auftaucht, muß das übrigens nicht unbedingt etwas heißen. Schließlich gibt es auch eine Reihe eher unseriöse bis illegale Webseiten, die den Besitz einer E-Mail-Adresse nicht überprüfen, so daß sich jeder dort mit einer fremden E-Mail anmelden könnte. Gerade solche Webseiten werden aber verstärkt gehackt oder verkaufen auch Daten.

Solange diese Abfragen bei haveibeenpawned.com oder HPI keine Details liefern, kann man mit den Infos nicht viel anfangen außer eher grundlos in Panik zu verfallen. Berechtigt dürfte die Panik nur sein, wenn man Passwörter für Foren auch für Microsoft, Google, Facebook, Amazon, usw. verwendet. Bei den großen Anbietern kann man sicher sein, daß diese Passwörter nur in Form eines Hash speichern, so daß ein Diebstahl dort folgenlos wäre, wenn beim Hashen kein Mist gebaut wurde.

Eine genauere Überprüfung wäre möglich, wenn diese Anfragen über die Felder Passwort, Name, usw. mehr als ein Betroffen liefern würden. Beispielsweise könnten die den ersten und/oder letzten Buchstaben oder die Länge mitteilen. Das würde im Fall einer unberechtigten Abfrage nichts offenbaren, würde aber dem Besitzer der E-Mail ermöglichen die Gefährdung genauer abzuschätzen.

Von meinen E-Mail-Adressen befinden sich mehrere in diesen Datenbanken, aber laut haveibeenpawned.com keines meiner Passwörter, die ich für derartig unsicherer Seiten verwendet habe.
 
Die "Testseiten" sind im aktuellen Fall sinnlos. Zum einem handelt es sich bei der aktuellen Collection um eine ungeprüfte Sammlung. Auch bei Quellen der neuen Collection handelt es sich zu einem großen Teil aus ungeprüften Sammlungen. Selbst wenn die Mail-Adresse im Zusammenhang mit einem Passwort dort gelistet ist, bedeutet es nicht automatisch das es sich um das eigene Passwort /ein echtes Passwort handelt. Es kann ein Hash sein, oder eine völlig unbekannte Kombination
In der Liste tauchen auch Maillisten aus Spamlisten auf.
Solange der Nutzer nicht explizit gesagt bekommt, deine Adress -und Passwortkombination stammt von Dienst xy, bringt einem die Info nichts. Egal ob er immer das gleiche Passwort nutzt oder nicht, ohne Diensthinweis bleibt einem nichts anderes Übrig wie alle Passwörter zu ändern…..
Generell zu den Listen noch eine Anmerkung. Die Listen bestehen aus Sammlungen anderer Liste. Taucht man einmal in einer Liste auf, wird man auch in der nächsten Liste erscheinen, in der die erste Liste eingepflegt wurde.

Im Übrigen stehen in den Listen zwei Mail-Adressen von mir, die nie für ein Anmeldeverfahren oder eine Registrierung benutzt wurden. Die Adressen habe ich nur wegen der Namenssicherung.
 
Bei mir,wie bei LutzH . Gratulation......
Hab aber auch nur zwei Passworte. Eins ist für mein MS Konto und das Andere für Dr. Windows !
 
Solange die Listen 2-5 nicht weiter aufgelöst sind, ist die Abfrage zweckbefreit, ich weiss nicht, welcher Dienst betroffen ist.
 
Meine Mailadresse wird in Bezug auf Passwort angezeigt. Allerdings Okt. 2013 und betroffener Dienst adobe.com. Keine Ahnung was da war, da ich mit adobe eigentlich nie was als Kunde zu tun hatte.
 
"Wenn eine E-Mail-Adresse in der Datenbank auftaucht, muß das übrigens nicht unbedingt etwas heißen."

Genausowenig muss es etwas heißen, wenn diese nicht auftaucht, denn, solche Seiten können immer nur bekannte Datensätze durchsehen, nicht alles, was im Darknet, oder sonstwo noch kursiert. Von daher halte ich sowas für wenig sinnvoll, genausowenig wie die Angabe meiner E-Mail-Adresse einem "Institut" gegenüber, von dem ich auch nicht weiß, was es so alles macht.

Man muss sich auch fragen, was denn jetzt wirklich schlimm ist. Dass meine E-Mail-Adresse im Umlauf ist? Wohl kaum. E-Mail-Adresse und Passwort? Nächste Frage: Wie kommen die an dieses Passwort. Und, was macht wer dann damit? Fragen über Fragen, wenig Antworten.
 
Allerdings Okt. 2013 und betroffener Dienst adobe.com.
Zum Vergrößern anklicken....
Bei mir auch, habs Passwort geändert und gut ist. Da ich keine bezahlten Optionen oder überhaupt irgendwo eine CC (Kreditkarte) hinterlegt habe, kann mich das sowieso nicht treffen.
Und, was macht wer dann damit?
Zum Vergrößern anklicken....
Wieviel Millionen Datensätze sind das? Es dauert, bis die durch sind. Und wenn du sonst nichts hinterlegt hast, was sich zuspammen oder abgreifen liesse, bist du eh unwichtig.
Ich führe eine Liste, was wie wo hinterlegt wurde. Wie gesagt, ohne konkreten Dienst (siehe oben) kann ich nur pauschal alles ändern.
 
Ich habe vor einigen Tagen eine Spam-Mail bekommen, in der meine Mailadresse und ein Passwort angegeben waren. Und beide waren richtig.
Ich weiß aber nicht, ob ich das Passwort noch irgendwo in Benutzung habe. In meinem Passwort-Manager war es jedenfalls nicht mehr drin. Allerdings war es eins, welches ich früher mehrfach nutzte, als ich noch keinen Passwort-Manager hatte.
Ich kann jedem nur raten einen Manger zu benutzen. Ich persönlich nutze Keepass.
 
in der meine Mailadresse und ein Passwort
Zum Vergrößern anklicken....
Hat ein Kollege letztes Jahr bekommen und ich ihn fragte, ob das Passwort auch das richtige sei. Denn falls nicht, ist die Drohung gegen Bezahlung pillepalle.
Ich kann jedem nur raten einen Manger zu benutzen
Zum Vergrößern anklicken....
Bedingt, Passwörter von einem System abzugreifen macht auch zB vor keepass nicht halt. Dazu muss der Trojaner auf das System und wenn dass passiert ist, ist es egal, wie man Passwörter speichert, zur Not wird die Tastatur abgegriffen bei Eingabe. Dann haben aber auch alle andere Sicherheitsvorkehrungen schon versagt. Von daher ist das eine relative Frage, wie man Passwörter sicher ablegt, wenn wie bei HPI die Datenbanken von den gehackten Servern kommen. Die Daten bei HPI sind auch keine lesbaren, sondern nur die Hashes, man müsste schon das salt etc bla kennen, um ein Passwort entweder im Klartext zu bekommen oder es wurde dämlicherweise als Klartext auf dem Server gespeichert.
 
Adobe hat IMO damals die Leute angeschrieben. Und Malwarebytes-Forum war auch mal geleakt^^ Die haben aber auch geschrieben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben