News BSI: 16 Millionen gestohlene Identitäten entdeckt

[kronen]

@ marco

Meinst du mit Mailprogramm sowas wie Outlook? Sowas benutze ich nicht.
Kann man bei den Anbietern (gmx,hotmail etc) einstellen, dass man nur Text will und keine Bilder?

 

[Einige_Fragen]

Ich hab grad ne geniale Idee wie man Passwörter-Verwirrung vermeiden kann.
Men denkt sich ein "Masterpasswort" aus was man immer und überall verwendet. Und dieses Masterpasswort wird dann ergänzt durch eine
individuelle Endung welche sich auf den Shop bezieht wo man dass Passwort nutzt.

Also mal ein Beispiel:

Masterpasswort = zidrediddl
individuelle Endung = amazon (für Einkäufe bei amazon)

das ergibt als Passwort für amazon:

zidrediddlamazon

Genial oder? So kommt man nie mehr durcheinander.

Und Dein Kennwort für Ebay lautet dann also:

zidrediddlebay

Sorry, aber kennzeichne Deinen Beitrag das nächste Mal bitte besser als Satire.

Falls es doch ernst gemeint gewesen sein soll:

Hat jemand Dein Amazon-Passwort (z. B. wenn es da mal ein Datenleck geben sollte), dann kann er nach Deiner "genialen" Logik auch deine übrigen Passwörter herausfinden. Ganz hart wird es natürlich bei

zidrediddlweb.de

 

[horstnotfound]

Ist nicht die bessere frage, was wurde gehackt, wo haben sie die email Adressen inkl Passwörter her ? Bevor das nicht geklärt ist, nützt es nicht viel sein Passwort zu ändern ? Da es jederzeit wieder passieren kann...

 

[f1n3]

Von meinen 5 E-Mails scheint wohl keine betroffen zu sein. So muss das.

Die Seite läuft Heute schon wesentlich besser. Sonst einfach mal spät Abends probieren, wer die Zeit dazu hat.

 

[Einige_Fragen]

Also ich bilde mir ein, dass mein System für einen Normalverbraucher schon sehr sicher ist (100 %ige Garantie gibt es nicht).

Meine Haupt-E-Mail-Adressen hat es nicht getroffen.

Die einzige E-Mail-Adresse, die sich von mir in der Datenbank befindet, ist eine E-Mail-Adresse, die eben genau für Sachen verwendet wird, bei denen nicht erkennbar ist, ob das zu 100 % seriös ist etc. und wo man sich z. B. für einen Zugang anmelden muss etc. Die E-Mail-Adresse wurde auch nur stets über einen Webbrowser benutzt und nie mit Dateianhängen etc.

Also meine ganz persönliche Vermutung ist, dass da viele Daten nicht von den Festplatten der Benutzer ausgespäht worden sind, sondern dass man versucht hat, ob die Zugangsdaten von einer bestimmten Website auch auf anderen passen bzw. auch beim E-Mail-Konto.

 

[kronen]

Was für ne Rolle spielt es denn ob man Emails über den Browser liest oder über ein Programm?

 

[Joshua2go]

Da ist wohl der Bundestrojaner ausser Kontrolle geraten was?

 

[Sylver]

Das BSI wußte ja angeblich schon seit Dezember 2013 von dem "Datenklau"...

Ich mache mir zwar persönlich keine Gedanken, der Login des betroffenen Mailaccount ist ganz sicher safe und mein Rechner auch sicher nicht kompromittiert, sonst wären die anderen knapp ~10 zum teil deutlich sensiblere Adressen auch betroffen.

Interessieren würde mich allerdings schon wo die Daten genau herkommen.
Wie gesagt, nur meine ganz uralte GMX Adresse steht 5 mal in der Datenbank. In meinem Fall habe ich die betroffene Adresse zu 100% aber nie bei Foren verwendet. Können echt nur irgendwelche kleineren Webshops sein, bei Mindfacrtory war ich ja auch betroffen...

Aber von Identitätsdiebstahl kann hier nicht wirklich die Rede sein.

 

[Prodigy78]

Wie glaubhaft ist eine Mail bei der im Kopf BSI steht?

Ich würde meinen genauso glaubhaft wie diese Aktion jetzt auch. In der Email kann bzw. soll ja auch auf die Nachrichten in den Medien hingewiesen werden. Klar gibt es immer Probleme was die Glaubhaftigkeit betrifft, da das gerne andere ausnutzen, gerade Phishingvorhaben.

Zuallererst wird sie wohl, bei 16 Millionen versandten Mails in den Spamfiltern vieler Provider hängen bleiben, trotz PGP Signatur. Außerdem bin ich mir ziemlich sicher dass 90 dieser Mails sofort ohne gelesen zu werden ins Datennirwana geschickt werden. Dank der verbreiteten Paranoia, die man gut an einigen Sprüchen hier ablesen kann, würde die Wirkung im fast vollständigen Nichts verpuffen. Man müsste dann trotzdem zusätzlich die Seite wie sie gerade online ist betreiben um die Menschen zu erreichen die mit Spamfilter nichts anfangen können.

Ich habe den Eindruck, durch deine Arbeit bist du insgsamt einach sehr pessimistisch in deiner Auslegung. Kann das sein? (nicht, dass ich das nicht kenne ) Ich meine es nicht böswillig und fand deinen Beitrag zu Wer oder Was ist der Mittelpunkt der Gesellsschaft und wer ist die Norm, sehr anschaulich, aber man könnte dir hier auch wieder vorwerfen zu glauben, dass der Größteil einfach zu dumm ist und nicht mal etwas differenzieren kann. Zumindest haben alle Betroffenen einen Pc und eine Emailadresse und haben sich vermutlich irgendwo aus Interesse angemeldet. Also eine gewisse Erfahrung ist da sehr wahrscheinlich mit dem Internet vorhanden.
Also ich würde es einfach trotzdem begrüßen und wenn es eben nur 10% erreicht, wären es 10% mehr als jetzt. Wobei ich da eben nicht ganz so pessimitisch wäre. Meinst du zudem nicht, dass man so eine Aktion auch Stückweise machen kann. Die müssen ja z.B. nicht an alle 16 Mio. gleichzeitig die Email rausschicken. Dafür gibt es doch dann auch Lösungsmöglichkeiten. Wenn das unter das Gesetzt wie du schreibst fallen sollte, dann könnte man andererseits darüber nachdenken, ob die Gesetze hier eventuell der Nachbesserung bedürfen, was schließlich auch zu einer Verbesserung beitragen könnte, denn zukünftig werden diese Themen wohl eher zu statt abnehmen. Da ist einfach vieles allgemein noch in der Entwicklung. Zum letzten Satz von oben, nichts anderes hab ich die ganze Zeit geschrieben. Die Infomails hätten zusätzlich zu der Seite und den offiziellen Nachrichten in den Medien versendet werden können/sollen, event. mit der Ankündigung, dass an alle betroffenen Emails auch eine Email gesendet wird.

Ich möchte dich nicht von deiner Meinung abbringen oder dir meine Meinung aufzwingen. Nichts liegt mir ferner, aber ich möchte einen zusätzlichen Blickwinkel auf die Problematik erreichen.

Ok, das hast du. Ist angekommen, diskutieren und Meinung austauschen finde ich auch wichtig, daher auch meine Nachfrage. Wünschenswert wäre, wenn es dann auch irgedndwie produktiv ist. Aber da verstehen wir uns!

 

[Gleipnir]

Interessieren würde mich allerdings schon wo die Daten genau herkommen.
Wie gesagt, nur meine ganz uralte GMX Adresse steht 5 mal in der Datenbank. In meinem Fall habe ich Adresse zu 100% aber nie bei Foren verwendet. Können echt nur irgendwelche kleineren Webshops sein, bei Mindfacrtory war ich ja auch betroffen...

mich auch

Da ich gestern bei der überlasteten Seite bei Web.de 4x die Mail bekommen habe, habe das ganze heute aus Neugier noch einmal gemacht und bis jetzt kam gar nichts.

 

[Creeed]

@Prodigy

Mein Pessimismus zur allgemeinen Intelligenz einer Masse beruht auf leidvoller Erfahrung. Ein Individuum kann intelligent sein, muss es aber nicht. Eine Masse ist immer dumm und von sich aus nicht zu intelligentem Handeln fähig. Wie sagt eine Freundin immer, Pessimisten sind Optimisten mit Lebenserfahrung. Obwohl mir immer nachgesagt wird das ich alles ein wenig zu negativ sehe.

 

[PC_Geek]

Ich habe Anhang hochgeladen von Zeitungauschnitt, wie man sich schützt und wo man seine E-mail Adresse testen kann ob man betroffen ist oder nicht.

In so einem Zeitungsausschnitt steht nicht nur viel Mist, sondern es ist wegen dem Urheberrechtsgesetz auch höchst bedenklich, den ganzen Artikel hier hochzuladen.

Ich kann dir daher nur raten, sofern du nicht die Verwertungsrechte für diesen Artikel besitzt, ihn wieder zu entfernen, zumal man im Internet wesentlich fundiertere Aussagen und Anleitungen findet als in so einem Laienartikel.

 

[Syrell]

Was für ne Rolle spielt es denn ob man Emails über den Browser liest oder über ein Programm?

Über ein Programm tauchen keine sachen im gesendet ordner auf, du kannst alle mails abfischen und wenn sich jemand in den account einloggt sind alle mails ungelesen. Viele Leute hier , haben noch immer nicht geschnallt das wenn das BSI die Mail gelistet hat , dass es nicht heisst, das das MailAccount Konto gehackt wurde oder ihr nen Trojaner aufm rechner habt
. Das kann einfach ein Forum Passwort sein was man mal mit der Email Adresse als Anmeldename benutzt hat.

 

[Prodigy78]

@Creeed:
Genau so hatte ich dich dann auch endlich verstanden. Deine Meinung und Antworten sind besser nachzuvollziehen, wenn man deine Einstellung etwas kennt.

 

[PC_Geek]

Ich hab grad ne geniale Idee wie man Passwörter-Verwirrung vermeiden kann.
Men denkt sich ein "Masterpasswort" aus was man immer und überall verwendet. Und dieses Masterpasswort wird dann ergänzt durch eine
individuelle Endung welche sich auf den Shop bezieht wo man dass Passwort nutzt.

Also mal ein Beispiel:

Masterpasswort = zidrediddl
individuelle Endung = amazon (für Einkäufe bei amazon)

das ergibt als Passwort für amazon:

zidrediddlamazon

Genial oder? So kommt man nie mehr durcheinander.

Die Idee ist nicht genial, sondern dumm.

Glaubst du ernsthaft, keinem Hacker würde das auffallen und daher nicht mal mit deinem zidrediddlamazon Passwort mal ausprobieren, ob er mit zidrediddlyoutube in deinen Youtube Account reinkommt?
Solche Passwörter schützen bestenfalls gegen automatisierte Programme & Skripte, gegen mehr aber auch nicht.


Was du aber machen kannst, ist eines dieser diversen Passwortverwaltungstools zu verwenden.
Da kommen alle deine Passwörter rein und um diese lesen zu können brauchst du dir nur ein Masterpasswort merken.


Noch viel sicherer ist allerdings, deine Passwörter einfach auf ein Stück Papier zu schreiben
und das Stück Papier sicher zu verwahren. Dadurch musst du dir keine komplizierten aber guten Passwörter merken und kannst trotzdem gute komplizierte Passwörter verwenden.
Außerdem schaffen es die meisten Leute sicher eher ihre Papierliste wesentlich sicherer zu verwahren, als die Daten auf ihrem Rechner, oder von woher weißt du schon, ob dein Rechner nicht schon längst kompromittiert wurde?


Und wenn du ganz schlau bist, dann nummerierst du die Passwörter einfach durch und hängst die Nummer für den jeweiligen Internetdienst bei deinem Nicknamen dran.
Z.B. kronen_42 für das Passwort mit der Nummer 42 in deiner Liste.

Dann musst du auf die Liste nicht einmal dazu schreiben, für welchen Internetdienst du das jeweilige Passwort benutzt hast. Alles was du dir merken müsstest, wäre der Anfang deines Nicknamen, den Rest entnimmst du deiner Liste.

Und sollte der Nickname zusammen mit der Nummer bereits bei der Registrierung belegt sein, dann erhöhst du die Nummer einfach so lange, bis du einen freien unbelegten Nicknamen gefunden hast.
Auf deiner Liste kannst du dann entweder entsprechenden Platz lassen, oder einfach mit der letzten Nummer weiternummerieren und die vorherige, die du nicht benutzen konntest, ignorieren.

PS:
Gegen den Verlust der Papierliste solltest du eine Kopie haben und dann schnellstmöglich alle PW ändern.


EDIT:

Noch eine kleine Verfeinerung der Papierliste mit Passwörtern.

Wenn du deinen Passwörtern noch eine z.B. vierstellige Zahl dranhängst, z.B.

mxgH8J+ZG_5675


Dann könntest du dir noch eine Zahl ausdenken die du dir merken musst und auf diese Zahl addieren musst, um das gültige Passwort zu erhalten.
Damit gewinnst du Zeit beim Verlust deiner Papierliste und kannst deine Passwörter ändern, bevor ein Dieb, der in dein Haus eingebrochen ist und die Liste gestohlen hat, etwas mit den Passwörtern anfangen kann.
Denn erst mal muss er da drauf kommen und zweitens muss er dann noch alle Kombinationen durchprobieren.

Beispiel:
Deine von dir ausgedachte und gemerkte Zahl ist 351.
Dein verwendetes Passwort für Internetdienst XY ist fg92Hx#3G_2312
Und dein Passwort, welches du auf deine Papierliste niederschreibst ist
fg92Hx#3G_1961

Um also das richtige Passwort für deinen Internetdienst XY zu erhalten musst du nur das
Passwort fg92Hx#3G_1961 aus der Papierliste entnehmen und deine gemerkte Zahl 351 dazuaddieren.
Und schon hast du das richtige Passwort fg92Hx#3G_2312.


Im Prinzip ist das wie eine vierstellige Pin, die der Dieb erst einmal durch Trial & Error herausfinden müsste um das richtige Passwort zu ergattern.

PS:
Wer gar nicht rechnen will, der hängt die Zahl einfach hinten dran, ohne sie auf die Liste zu schreiben.
Im Prinzip kann man dann auch einen zeichenbasierten String als Passworterweiterung verwenden und kombinieren.
Der Haken ist dann allerdings, dass viele Passwörter wieder eine Gemeinsamkeit haben und wenn dann mal das Passwort mit der Nummer 53 auf der Liste durch einen kompromittieren Server offengelegt wurde,
dann ist die dran gehängte Passworterweiterung für alle Passwörter nicht mehr sicher.
Der Zeitvorteil geht dann auch verloren, wenn der Dieb auch diese Information besitzt und damit hätte er dann sehr schnell zugriff auf alle Passwörter
Deswegen ist eine willkürliche Nummer im Passwort und eine Masternummer die dazuaddiert wird, die bessere Methode.

 

[dieSpürnase]

Hallo @all

die Frage ist wirklich....war es ein Datenleck(zugriff auf einen größeren eProvider-Server-Passwortdirektzugriff) oder
war es einfach ein gehackter ePlattform-Passwort vs. eMail-Account-Passwort Abgleich/Rasterung/Fishing?
Bei der Menge an Betroffenen...ist doch ein Keylogger doch eher unwahrscheinlich....

Mich würd mal interessieren, welche Rechenkapazität nötig wäre.....um 16Millionen eMail-Accounts zu "öffnen", wenn
sagen wir mal 160000 ePlattform-Passwörter + eMail-Adressen bekannt wären.....ich mein das wärn selbst bei einer extrem hohen 50% Ausbeute also Trefferwahrscheinlichkeit gerade mal 80000 eMail-Accounts.....

wie schau es mit der ganzen androiden Smartphone-S.......e aus? Viele ePlattformen-Zugriffe, viele Logins? Wahrscheinlichkeit?
Gibts Infos aus Europa? Warum so viele aus Deutschland? Warum zu einer Zeit, wo über Datenschutzgesetzgebung intensiv diskutiert wird? Zufall?

Gruß

 

[MiamXD]

Botnetze werden und wurden ja eigentlich häufiger hochgenommen, grade letztes Jahr jedoch mehrere große in ziemlich kurzen Abständen.

Ich für meinen Teil hab aber Glück gehabt, Gmail, gmx, web.de, gestern abend geprüft, bis jetzt keine Mails bekommen

 

[greife]

Hallo!!

habe mir auch mal wieder ein neues Passwort angeschafft, weil eine meiner Adressen gehackt wurde.
Was haltet ihr eigentlich von so Passwort-Makern bzw. Passwortgeneratoren aus dem Netz?
Wie z.B. www.passwort-generator.eu ??
Sind solche Seiten sicher?
Wie werden solche Passwörter generiert?

Grüße!!

 

[Dytec]

Ich nutze bei "relativ" unkritischen Sachen immer das selbe Passwort, bei wichtigen/kritischen Dingen allerdings immer ein anderes.

Ganz ehrlich wer behält noch den Überblick über all seine PW ?? Das ist mittlererweile viel zu viel, ich will auch gar nicht wissen über welche Shops etc.. meine Bankdaten schon längst im Umlauf sind. Aber gut bei meinen Konto Bewegungen bin ich dafür auch sehr penibel! Zum Glück kann man Lastschriften zurückbuchen lassen.


Ich warte noch ab mit dieser Email-Abfrage so ganz geheuer ist mir das nicht BSI in kooperation mit NSA

Deshalb nutzt man auch so etwas wie Keepass (Link: eine verschlüsselte Datenbank wo jeder Zugang ein eigenes PW bekommt). Dann darfst du lediglich dein Masterpasswort zur Keepass Datenbank nicht verlieren.

 

[PC_Geek]

Was haltet ihr eigentlich von so Passwort-Makern bzw. Passwortgeneratoren aus dem Netz?
Sind solche Seiten sicher?

Wenn der Passwortgenerator komplett in Javascript geschrieben ist und das generierte Passwort nicht an den Server zurückgeschickt* wird und für die Generierung eine Eingabe für eine Seed verlangt wird, dann ist das sicher, denn der JS Code läuft nur auf deinem Rechner.

In allen anderen Fällen würde ich sie nicht verwenden, das Passwort könnte z.B. ansonsten mitgeloggt werden.

* Der Seed darf auch nicht zurückgeschickt werden.

Wie werden solche Passwörter generiert?

Das hängt vom verwendeten Algorithmus und Code ab, da gibt's dutzende Möglichkeiten.


Aber wozu brauchst du so ne Seite?
Es ist doch total einfach sich ein sicheres Passwort auszudenken.

Benutze groß und klein Buchstaben, baue Zahlen und Sonderzeichen ein und sorge dafür, dass das PW lang genug ist.
Was soll daran so schwer sein?