Microsoft findet bei Abgleich 44 Millionen doppelte Passwörter

Die Sicherheitsexperten von Microsoft haben öffentlich zur Verfügung stehende Account-Daten mit den Konten der eigenen Kundschaft abgeglichen und dabei eine unschöne Entdeckung gemacht: 44 Millionen Konten waren mit Passwörtern "geschützt", die auch für andere Dienste genutzt wurden.

Für den Abgleich, der...

Klicke hier, um den Artikel zu lesen

Ja das ist ein eines der beiden mühsamen Themen: Passwörter und Datensicherung. Bei beiden Dingen kann man die Leute garnicht oft genug darauf hinweisen und versuchen aufzuklären wie wichtig beides ist... Man muss ja auch garnicht jeden Dienst mit einer Zweifaktor-Authentifizierung versehen. Aber die wo man seine persönlichen Daten und Einkäufe hinterlegt hat sind einfach Pflicht.

Ich glaub ich gehöre da nicht dazu .-)

Leute eine Datenbank mit rund drei Milliarden gestohlenen Accounts, die frei im Internet angeboten wurde. Dabei wurden besagte 44 Millionen Übereinstimmungen gefunden.

Zum Vergrößern anklicken....

In der Summe ist das nicht viel.

44 Millionen Konten waren mit Passwörtern „geschützt“, die auch für andere Dienste genutzt wurden.

Zum Vergrößern anklicken....

Hier hat man womöglich lediglich nach kompromittierte Zugangsdaten aus Benutzernamen und Passwortkombinationen gesucht. Einen Rückschluss, es handele sich ausschließlich um "Doppler", finde ich etwas gewagt. Es sei denn es handelt sich um eine Datenbank eins spezifischen Unternehmens. Bei 3Mrd. handelt es sich aber eher um eine Sammeldatenbank und in diesem Fall wurden 1,47% Übereinstimmungen gefunden.

Edit:

Die Ursprungsquelle lässt ebenfalls diesen Rückschluss nicht zu. Hier wird in der Einleitung, erster Absatz, auf die Gefahr der Mehrfachverwendung hingewiesen, im weiteren Verlauf des Artikels geht es um die Prüfung von Daten aus verschiedenen Quellen.
The Microsoft identity threat research team checks billions of credentials obtained from different breaches (from multiple sources, including law enforcement and public databases) to look for compromised credentials in the Microsoft systems.
Anschließend heißt es For the leaked credentials for which we found a match, we force a password reset.

Ob es sich hier ausschließlich um Doppler handelt oder um "geklaute" Microsoft-Anmeldedate lässt sich nicht eindeutig daraus ableiten.

Die "Story" ist echt übel. Gar nicht mal so sehr aus PW-Sicht, sondern IMO eher weil es aufzeigt wie abhängig man vom Anbieter ist.

Mag ja blöd gelaufen sein und der User zumindest eine Mitschuld haben, weil er sein Konto nicht optimal geschützt hat. Aber das ist doch kein "faires Miteinander" (betrifft auf keinen Fall nur MS, sondern wird ja ähnlich von vielen Anbietern so gemacht). Es kann doch nicht sein*, dass ohne Angabe von Gründen ein Zugriff auf alles von jetzt auf gleich entzogen werden kann. Das steht doch in keinem Verhältnis.
* Klar, laut AGB / Nutzungsbedingung schon

Wäre das Konto besser abgesichert und trotzdem hätte jemand anders damit "was angestellt", dann wäre die Konsequenz doch mindestens gleich gewesen bzw. die User-Aussage "war ich nicht" wäre noch unglaubwürdiger. Und Möglichkeiten für Fremdzugriff wird es immer geben...

Das ist, wie gesagt, kein reines MS-Problem, sondern ein Thema, was nahezu alle Onlinedienste betrifft. (Wie halt eben auch schwache / schlechte / unsichere PW.)

Deshalb kaufe ich Spiele nie digital.

Ich verstehe den Zusammenhang nicht. Weil ein Kasper, der selbst auf Nachfrage nicht sein Kontpo vernünftig schützen wollte, obwohl sein Konto kompromittiert wurde, sein Konto gesperrt bekommen hat, kaufst du Spiele nie digital?

Fährst du auch kein Auto, weil einige Autofahrer ihren Führerschein wegen Geschwindigkeitsübertretung in großem Maßstab entzogen bekommen haben?

chakko schrieb:

Ich verstehe den Zusammenhang nicht. Weil ein Kasper, der selbst auf Nachfrage nicht sein Kontpo vernünftig schützen wollte, obwohl sein Konto kompromittiert wurde, sein Konto gesperrt bekommen hat, kaufst du Spiele nie digital?

Fährst du auch kein Auto, weil einige Autofahrer ihren Führerschein wegen Geschwindigkeitsübertretung in großem Maßstab entzogen bekommen haben?

Zum Vergrößern anklicken....

Er kauft die Spiele digital nicht wegen dem Kasper, sondern wegen dem Krokodil, bei dem die ganzen Lizenen verknüpft sind. Wenn der unter geht, dann nützen dir die ganzen Lizenzen nix. Physisch aber schon

Was bringen dir denn Weltuntergangsszenarien, wenn du gar nicht weißt, was passiert, wenn der jeweilige Store oder was auch immer "unter geht"? Bei Microsoft hatte man doch das interessante Beispiel mit dem Ebooks aus dem MS Store. Es gibt immer Möglichkeiten, Eine wäre, dass z.B. bei Steam ganz einfach der DRM entfernt wird. Aber, Hand aufs Herz, bevor Steam "unter geht" geht Windows unter. Und, dann wäre die gesamte Überlegung gleich wieder obsolet, denn, ohne Windows kannst du keine Windows-Spiele spielen.

Ist doch Blödsinn, diese ganzen Gedankenspiele. Besonders bei den großen Playern gibt es immer irgendeine Möglichkeit, wie die Kunden ihre Produkte behalten.

Leope schrieb:

Er kauft die Spiele digital nicht wegen dem Kasper, sondern wegen dem Krokodil, bei dem die ganzen Lizenen verknüpft sind. Wenn der unter geht, dann nützen dir die ganzen Lizenzen nix. Physisch aber schon

Zum Vergrößern anklicken....

Auch wenn er die Spiele des Krokodils wegen nicht kauft, weil dieser untergehen könnte, finde erste einmal kein Zusammenhang mit diesem Thema. Zumal ich ein solides Gebäude als Firmensitz vermute und weniger ein antiquiertes Dampfschiff.
Wenn aber zu befürchten ist den eigenen Account zu verlieren, da man ihn nicht zu schützen vermag, ist die Ablehnung nachvollziehbar und ein Zusammenhang mit diesem Thema erkennbar.

Sorry gab heute Clown zum Frühstück

Was ist mir egal mein Passwort für Windows ist ganz Einfach 1234? Ich hab ne zweifaktor Authentifizierung. Weiß das Passwort relativ egal.

Schlimm ist, dass diese Datenbank nicht sofort entfernt wird...
Diebstahl und Datenlecks wird es immer geben, egal wie hoch die Absicherung ist. Man kann nur die Minimierung des Risikos anstreben, die wichtigen Grundregeln einhalten und mit hellem Verstand und offen Augen incl. Bauchgefühl im Internet unterwegs sein, oder komplett offline bleiben.