News 8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht

[maxpayne80]

Gut, meine 4 Passwörter sind nicht dabei.

Bin auch kein Nutzer von Passworttresoren, nutze vielmehr 12-18 Zeichen-Passwörter die aus Anfangsbuchstaben von einem bzw. zwei Sätze(n) aus Märchen bestehen, die ich mit Sonderzeichen terminiere und einer Zahl kombiniere.

Nun ja ... jedenfalls mit direkter Wörterbuchattacke denke ich nicht zu ermitteln, vllt mit Brute-Force wegen der Länge. Aber gut

 

[calippo]

Keepass wird wohl Ausfall sicher sein das man sich sein Backup per E-Mail zuschicken kann oder?

Im Falle von Datei Korruption durch Festplattenausfall o.ä. so das man kein Zugriff mehr auf sein Keepass hat.

Bei Keepass bleibt die Datenbank bei Dir und natürlich bist Du dann verantwortlich für die sichere Ablage, so dass die Passwörter auch in verschiedenen Szenarien erreichbar bleiben. Da wird man um eine dezentrale Kopie an einem getrennten Ort nicht herumkommen.

 

[chartmix]

Das ist doch auch keine reine Passwortliste, oder?

Bevor ich da eines meiner Passwörter eintippe, ist es wohl besser alle mal wieder zu ändern. Sollte man ja von Z.z.Z. sowieso machen. Fast der selbe Aufwand nur ohne mießem Gefühl

Wieso sollte man seine Passwörter regelmäßig ändern? Meines Wissens ist das eine überholte Empfehlung.

Eine Alternative?

FIDO2-Keys als Stick o.ä.

Statt für jeden Account ein eigenes PW zu generieren habe ich mehrere nach Prioritäten sortiert. Also eins für Wegwerfaccounts, für Spieleaccounts, für wichtigere und eins für sensible Bankdaten.

Macht das Sinn?

PW Managern traue ich nicht, lasse mich aber gerne überzeugen.

Mir wurde auch ohne 2F noch nie ein Account kompromittiert, weil ich auf gesunden Menschenverstand setze. Dazu zählt auf so einer Seite nichts einzugeben.

Das macht wenig Sinn.
Zumindest Bankaccounts und andere wichtige Accounts solltest du mit jeweils eigenem Passwort versehen.
Insbesondere auch den Emailaccount, da dort viele andere Accounts drüber laufen.

 

[therealcola]

Wie Du Dir hoffentlich zumindest vorstellen kannst bin ich aus dem Alter raus wo mich derartige "Demonstrationen" beeindrucken.

Aber nur weiter, interessiert mich nicht.

Naja gut, vielleicht ein kleiner Denkanstoß, falls es dich wirklich nicht interessiert ist es auch nicht schlimm bzw. egal.

Um so erfreulicher das du scheinbar nicht laut deiner Aussage auf ner Comboliste gelandet bist.

Wenn man sich schon seit so langer eit im Internert herumtummelt und sein Fingerabdruck hinterlassen hat.

Ich hatte da beispielsweise weniger Glück, da einige diverse ältere Portale in denen ich mich registiert hatte komplett geleakt wurden / die Database gestohlen.

Demenstprechend finden sich auch eingie meiner älteren Passwörter in der haveibeenowned database

 

[Postman]

Ich wäre überall für eine 2 Wege Authentifizierung plus PIN (bei ebay ist das so und das reicht aus) oder einem persönlichen Token, dann bräuchte man nicht so oft seine Passwörter ändern. Wer soll sich das alles noch merken und einem Online Passwortmanager traue ich nicht über dem Weg.

Aber selbst Spotify bekommt noch nicht mal eine 2. Wege Authentifizierung auf die Reihe.
Zahlen soll man aber lückenlos.

 

[LeChris]

Ihr gebt nicht wirklich eure Passwörter auf solchen Seiten ein, oder? Besser feeden kann man solche Sammlungen ja nicht. Ich finde es auch höchst bedenklich, dass computerbase hiervon nicht dringend abrät. Generiert euch im Zweifelsfall neue Passwörter und gut ist, anstatt ominösen Seiten die Echtheit eurer Accounts zu bestätigen und nun auch noch alte oder gar aktuelle Passwörter zu sharen…

 

[machiavelli1986]

Mit der ganzen Aktion die letzten Tage, wo herausgekommen ist, dass FBI und Geheimdienste Chat-Apps unterjubeln, gebe ich natürlich mein Passwort irgendwo ein, um dieses "prüfen" zu lassen

Wie @LeChris es gesagt hat, Passwörter wechseln und gut ist. Eigentlich wäre es ja seriöser zu kommunizieren, woher die Passwörter überhaupt kommen.

 

[Kettenhunt]

Möchte mein CB-Passwort dort überprüfen und traue mich nicht es dort einzugeben.

Kann das bitte jemand für mich übernehmen?


Es lautet : 1ZweiDR3iFier

 

[GrumpyCat]

@SV3N "Der Prüfer überträgt die eingegebenen Passwörter dabei aber nicht an den Server von CyberNews, sondern sendet lediglich eine Hash-Summe der Eingabe" korrigiert das doch besser direkt im Text bzw. nehmt den Link raus - nicht jeder liest bis zum Update.

 

[Brati23]

Kann das bitte jemand für mich übernehmen?

We didn’t find your password on any leaked databases 🧐😆

 

[Mickey Cohen]

Und dann bieten heute noch einige Webseiten nur die Möglichkeit Passwörter mit weniger als 20 Zeichen zu nutzen. Erst die Tage hatte ich einen kleineren Onlineshop, der statt 20 Zeichen nur 14 Zeichen gespeichert hat. Nur durch ausprobieren konnte ich das herausfinden. Bei der Eingabe gab es keinen Hinweis auf maximal 14 Zeichen.

sparkasse online banking: maximal 5 zeichen

 

[Seehawk]

Meine Passwörter alle sicher !! Juhu ... äh, hmm, moment! upps ...

 

[ZeT]

Und dann bieten heute noch einige Webseiten nur die Möglichkeit Passwörter mit weniger als 20 Zeichen zu nutzen. Erst die Tage hatte ich einen kleineren Onlineshop, der statt 20 Zeichen nur 14 Zeichen gespeichert hat. Nur durch ausprobieren konnte ich das herausfinden. Bei der Eingabe gab es keinen Hinweis auf maximal 14 Zeichen.

Banken sind da zum Teil super. Maximal 5 Zeichen und keine Sonderzeichen erlaubt. Da fällst vom Glauben ab.

 

[Bonanca]

Oder habe ich einen Denkfehler drin?

Ja, weil du ausschließlich bei meinem Beispiel (Wörter aneinanderreihen) bleibst, welches ich nur aus Gründen der Veranschaulichung ergänzt habe. Du hast weiterhin die Möglichkeit, Variationen einzubringen. Nur Konsonanten, Großschreibung, zahlen, Sonderzeichen.
Allein ein Großbuchstabe würde in meinem Beispiel wieder genug Variationen (20) reinbringen, um auf mehr als die 100 trillionen zu kommen

Grundaussage war ja: ich bevorzuge längere, aber dafür leichter zu merkende Passwörter. Kombinatorisch besser, Sonderzeichen lassen sich auch so reinbringen.

Es ist dieser erzwungene Zeichensalat (mind ein groß, ein Kleinbuchstaben, eine Zahl, ein Sonderzeichen), was ich ablehne. Weil es die Sicherheit nicht erhöht, aber das merken erschwert (jmd der vorher 12345678 hatte nimmt jetzt halt 12345aA!)

 

[DerNiemand]

Artikel-Update: Passwörter sicher überprüfen
Da der POST-Request das zu prüfende Passwort im Klartext anzeigt, sollten Anwender lieber auf Plattformen wie have i been pwned? ausweichen um ihre Passwörter zu prüfen. Dort kann die API auch direkt angesprochen und anhand der ersten 5 Zeichen des SHA-1-Hashes mögliche Treffer gefunden werden.

Die Redaktion dankt Community-Mitglied „madawi92“ für den Hinweis zu diesem Update.

Da kann man aber nur die E-Mail-Adressen testen lassen und nicht Passwörter direkt eingeben um sie mit der Liste zu vergleichen, oder übersehe ich da etwas?

 

[Spike Py]

Man hat aber nicht nur beim Passwort die Möglichkeit sich besser zu schützen indem man exotische variationen Verwendet sondern auch bei der E-Mail bzw. den Username.

Ich weiß persönlich nicht was ich von Keypass halten soll, ich hab das Programm noch nie getestet, mir wär das zu riskant dort 20 Stellige Hardcore Passwörter zu erstellen , welche man sich nicht merken kann.

Keepass wird wohl Ausfall sicher sein das man sich sein Backup per E-Mail zuschicken kann oder?

Im Falle von Datei Korruption durch Festplattenausfall o.ä. so das man kein Zugriff mehr auf sein Keepass hat.

Letzendlich ist es ja so, das selbst ein 128 stelliges Nasa würdiges Passwort nichts bringt wenn die Gegenstelle, der Server , die Database gehackt oder geleakt wird...


Wer wirklich sicher gehen will kommt wohl nicht dabei herum quasi wöchentlich all seine Passwörter zu refreshen.

KeePass ist opensource und wurde schon oft auditiert mit guten bewertungen. es legt eine verschlüsselte datei an, sodass du nur noch ein Passwort zum öffnen dieser brauchst. Du kannst einfach Kopien dieser Datein anlegen. So kannst du sie bspw. bei git hochladen und versionieren, in dein onedrive/dropbox/etc. oder altmodisch auf einen stick/externe platte.

 

[Miuwa]

Naja, bei denen ist dann nach 3 maliger Falscheingabe häufig auch schluss (zumindest war das bei meiner alten Bank früher so. Bei meiner jetztigen gibt's die limitierung nicht)

Ergänzung (10. Juni 2021)

So kannst du sie bspw. bei git hochladen

Nur zur klarstellung: Ich nehme an damit meinst du nicht ein öffentliches github repository.

 

[Lupin III]

lol "bitchassmotherfucker" gibt es 22mal

PS: 133756 User nehmen es mit meiner Sig zu genau

 

[machiavelli1986]

We didn’t find your password on any leaked databases 🧐😆

Perfekt danke für die Info. Dann könnten wir ja jetzt für CB alle dieses Passwort nutzen🙃

 

[Bard]

Zahlenfolge von 0000 bis 9999
Überschrift "Geheimzahlen von EC-Karten geleaked!"