News Collection #1: Datenleak mit über 773 Millionen E-Mail-Adressen

[SVΞN]

Was ist bloß kaputt bei manchen hier ?

Die Frage ist doch, was ist bloß los mit dir? Man muss doch vom [meinem] ersten Posting an erkennen, worum es geht [vor allem wenn man den Beitrag gelesen hat.]

Man gibt auf der Website eine E-Mail Adresse ein. Das wars. Nix Passwort.

„Nix Passwort?“ Worauf bitte schön bezieht sich dann folgende Passage im Beitrag?

Zitat: “Mit Pwned Passwords bietet Hunt auch eine Abfrage nach kompromittierten Passwörtern an.“

Und weshalb sagt @MichaG selbst [völlig zu recht]: “(...) dennoch sollte im Zweifel das eigene Passwort auf keiner Website für die es nicht bestimmt ist, eingegeben werden.“

Du sollst auch nicht dein Passwort auf dieser Seite eingeben sondern deine Email

Das hat mittlerweile jeder verstanden.

Es ging einzig und alleine darum, dass man niemals seine Adresse und zusätzlich auch noch seine Passwörter auf einer Webseite preisgeben sollte.

Daran gab’s von Anfang an keinen Zweifel, nur darauf habe ich hingewiesen.

Dann treten plötzlich Leute auf den Plan und rechtfertigen auch noch, dass es völlig normal sei seine Adressen+Passwörter dort einzugeben.

Alles klar, zumindest wissen dann jetzt weshalb so viele Nutzer betroffen sind.

 

[Klueze]

Bin auch dabei - dank passwortmanager ist es mir aber wumpe Da kann nun jemand auf ner seite wo ich mich registrieren musste um die Suche nutzen zu können böses schindluder treiben *höhö*

 

[Jossy82]

Schön dass man aktuell bei gmx nicht das pw ändern kann.

 

[rg88]

Hast du dort tatsächlich 300 Adressen abgeglichen und für was benötigt man so viele?

Die Frage hört sich an wie von Else bei "ein Herz und eine Seele".
"Wozu brauchen wir denn soviele Bundeskanzler"?

Tellerrand und so

 

[Keiyuu]

Wenn ich sehe wie aufwändig sich hier einige ihre Passwörter zusammen Stricken dann muss man das einfach auf die falschen Vorschläge von Behörden (BSI wäre hier ein Kandidat) und die Umsetzung bei den Service Providern schieben.

Natürlich gibts auch dazu ein xkcd:
https://xkcd.com/936/

Davon kann ich mir sicher mehr merken und auch schneller eintippen als bei den L33T- oder Wortanfangsbuchstaben-Varianten die hier so herum kreisen.

Endlich jemand, der das mal erwähnt!

Muss auch immer schmunzeln, wenn sich Leute irgendwelche bescheuerten l33tspeak Passwörter ausdenken, die man sich kaum merken kann und kompliziert zu schreiben sind und dann noch denken, ein Computer hätte es dadurch schwerer, sie zu knacken.
Ihr solltet euch mal anschauen, wie Passwort-Entropie funktioniert. Dann würdet ihr auch verstehen dass beispielsweise ein für den Menschen simples Passwort wie bunteziegelwiesenkette, für den Computer um ein vielfaches schwerer zu knacken ist und es wohl Jahrhunderte oder länger dauern würde, als irgendein Schwachsinn wie 3b4yPa$$w0rt, den ein PC innterhalb kurzer Zeit knackt.

Der von @Ko3nich gepostete Comic bringts auf den Punkt.

Leichtfertig, so n quatsch! Man kann sichere Passwörter auch im Kopf haben ohne das IRGENDWO etwas hinterlegt ist!

Klar isses bequem, ist dein PW manager einmal geknackt überlegst dir das nochmal mit der bequemlichkeit ^^

Und wie willst du dir Passwörter für 50 verschiedene Accounts merken?
Nur weil die Oma außer bei GMX und brigitte.de nirgendwo angemeldet ist, heißt es nicht dass es allen so geht.

 

[F1Pole]

Auf ZDF.de gibts auch Infos "Hier können Sie überprüfen, ob die eigene Mail-Adresse in einer gehandelten Datensammlung auftaucht: https://haveibeenpwned.com. Die Seite wird von Troy Hunt betrieben. Auch das Hasso-Plattner-Institut bietet einen "Identity Leak Checker" an: https://sec.hpi.de/ilc/search. Wer dort seine Mail-Adresse eingibt, bekommt eine Mail mit konkreten Handlungsempfehlungen. "

 

[tox1c90]

Aber irgendwie ist die Info ziemlich nutzlos.
Meine Mailadresse ist "pwned" in dieser Collection und auch in einigen anderen Listen, die jedoch keinerlei Rückschlüsse darüber zulassen, bei welchem Dienst genau.

Da ich bereits einen Passwortmanager habe und für jede Seite ein anderes Passwort, bringt mir diese Info jetzt genau Null.

Ich müsste im Prinzip die Kombination aus meiner Adresse und dem geleakten Passwort wissen, um zu wissen bei welchem der hunderten Dienste jetzt genau ich das Passwort ändern muss. Sonst weiß ich nur, dass offenbar bei einem von 300 Diensten die Mail+PW Kombination geleaked wurde.

 

[christan]

Ich habe nach dem Dropbox-Leak von 2012 meine Mail gewechselt, denn der Spam hat in den darauffolgenden Wochen massiv zugenommen und bis heute angehalten. Meine "neue" Hauptadresse bei Gmail ist aber auch dank den Datenpannen bei CD Projekt RED und HLTV zusammen mit der alten Adresse in der Riesensammlung drin.

Dann habe ich mir irgendwann ne Domain besorgt um unbegrenzt viele Mülladressen für die ganzen Anbieter erstellen zu können, aber zum Glück funktioniert der Spamfilter von Gmail inzwischen wirklich sehr sehr gut.

 

[>[WarLord]<]

Schaut mal im Blog des Seitenbetreibers Troy Hunt vorbei. Teilweise sehr interessante Dinge dabei, wie z.B. der Blog-Eintrag, wo er beschreibt, wie die Passwörter vor der Abfrage anonymisiert werden: https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/

Edit: Man kann die DB auch runterladen und mit einem der Skripte lokal durchsuchen, wer ganz sicher gehen möchte

 

[iN00B]

nichts neues hinzu gekommen^^
eine Email hat 1 Eintag in der neuen Sammlung - keine weiteren Angaben!
eine andere Email hat 6 Einträge (davon 3 redundante Listen)
- qip.ru 2011 - die ICQ-Accounts sind nicht betroffen und alte/verwaiste qip-Accounts gehen eh nicht mehr auf der heutigen Site
- Nexusmods 2015 - pw ist damals nach Hinweis der Betreiber geändert worden
- Dailymotion 2016 - nie genutzt/lange deaktiviert (war ich das wirklich selber?^^ ja - ist geloggt! )
hab' noch ein par einmalig genutzte Fake- u. Wegwerfmails geprüft - 1 Treffer: Adobe 2013

Ich hatte früher immer Schiss, dass im Laufe der Zeit zig alte WebShops und Foren gehackt werden aber da scheint alles gut gepflegt und sicher zu sein. Im Vergleich zur Gesamtanzahl an Accounts ist das bei meinen Mails ein Witz und (zum Glück) gab es keinen echten Abfluss von Daten oder späteren Missbrauch. Man steht halt in einer ungepflegten Liste, die auch Dritte nutzen können. Das stinkt, und es ist natürlich voll peinlich, da man ja normalerweise 100% kugelsicher ist, wa. Teuteuteu!

 

[Chaos Theory]

hab einfach mal eben aus quatsch pussy at gmx de eingegeben die ist natürlich knallrot vielleicht sollte man email-adressen wählen, auf die man nicht so einfach kommt aber daten leak is halt wahrscheinlich einfach daten leak, wenn man betroffen ist, kann man nix ändern, am besten mail-adresse löschen und eine neue generieren

ich habe abc@d.e und jan@computerbase.de ausprobiert und sie waren beide dabei.

_____

ich verstehe aber immernoch nicht wieso meine neue GMX Adresse dabei ist. kann es sein, dass GMX gelöschte Mail Adressen wieder freigibt?

Edit: ich beantworte meine frage selbst. GMX gibt die gelöschten Adressen nach 12 Monaten wieder frei. ich habe eine E-Mail Adresse gewählt, die es schonmal gab. der Vorbesitzer hat sich scheinbar irgendwann bei MySpace angemeldet und deshalb findet man sie jetzt in der Datenbank. ich besorge mir jetzt einfach eine andere Adresse.

 

[Euphorikus]

Ich weiss nicht was ihr mit den Merken von Passwörter Probleme habt? Man kann sich schliesslich auch locker 100 Vokabeln am Tag merken ! Für unwichtige Dienste nehme ich einfach irgendein kryptisches Passwort und wenn es dann mal vergessen sollte, Passwort vergessen Funktion und neues schicken lassen ;d kommt zwar nicht oft vor, aber is doch Wayne

 

[xammu]

Der Testseite traue ich nicht, angeblich war einer meiner Adressen beim Myspace Leck dabei,
doof nur, dass die fragliche Adresse samt Domain erst seit 2016 existiert.
Beim Adobehack ist angeblich auch eine Email betroffen, während die tatsächliche verwendete Adresse als sauber gilt und das Konto damals schon verwendet wurde. Sogar mit abcdef123 Passwort

Bei Kimsufi habe ich auch kein Konto, allerdings bei OVH.

Und ohne Hinweis auf das geleakte Passwort nützt die Information eh nichts.

 

[Arcturus128]

Mein Passwort-Manager sagt mir, dass ihm das ziemlich egal ist. Wer heutzutage so ein Programm noch immer nicht nutzt, agiert in meinen Augen leichtfertig, weil es nicht nur die Sicherheit massiv erhöhrt, sondern zugleich leicht in der Bedienung und darüber hinaus sogar höchst bequem ist.

Was leider auch Nachteile mit sich bringt. Hier kann Malware mit einem Schlag all deine Passwörter, schön sortiert in einer Datenbank abgreifen.

 

[spezialprodukt]

eine meiner gammel-mailadressen bei web.de ist gelistet. und genau die funktion zur änderung des passworts ist dort gerade nicht erreichbar naja.. gammeladresse bei gammelanbieter.

 

[Chaos Theory]

Schön dass man aktuell bei gmx nicht das pw ändern kann.

bei mir ging es ohne probleme.

Der Testseite traue ich nicht, angeblich war einer meiner Adressen beim Myspace Leck dabei,
doof nur, dass die fragliche Adresse samt Domain erst seit 2016 existiert.
Beim Adobehack ist angeblich auch eine Email betroffen, während die tatsächliche verwendete Adresse als sauber gilt und das Konto damals schon verwendet wurde. Sogar mit abcdef123 Passwort

Bei Kimsufi habe ich auch kein Konto, allerdings bei OVH.

Und ohne Hinweis auf das geleakte Passwort nützt die Information eh nichts.

jup. das gleiche bei mir. neue Mail Adresse angeblich bei MySpace geleakt worden.

 

[derfledderer]

Was ist denn, wenn so ein Passwortmanager gehackt wird? Wieder pwnd?

 

[new Account()]

Dann ist erstmal garnix, weil immer noch jemand deine Datenbank klauen muss.

 

[Valeria]

Komisch, meine einzige e-Mailadresse, die ich seit 2005 nutze, ist nicht dabei.

 

[Arcturus128]

Was einen scheiß du laberst. Unglaublich. Um 3b4yPa$$w0rt mit Brute Force zu knacken, benötigt man mehrere Jahre.
Nächstes mal informiere dich bevor du so einen Stuss posten willst oder lass es ganz sein.

Für bunteziegelwiesenkette benötigt man etwa die Hälfte der Zeit. Du hattest also in allen Punkten unrecht.

Also 3b4yPa$$w0rt hat 76 Bit Entropie, bunteziegelwiesenkette hat 72 - das unterscheidet sich also schon deutlich.
Wenn ich mich nicht irre dann wird bei Bruteforce-Angriffen mittlerweile aber auf solche Schemata wie in diesen beiden Wörtern geachtet. Das eine ist einfach zusammengesetzt aus deutschen Wörtern die im Wörterbuch zu finden sind. Das ist wahrscheinlich binnen Tagen geknackt. Das andere hingegen sind auch nur zwei Wörter (Ebay und Passwort) mit teilweise durch Zahlen und Symbole ersetzten Buchstaben, also Leetspeak. Auch diese Passwort sollte in schnell geknackt sein.

Am besten sind einfach rein zufällig generierte Passwörter ohne jegliches Muster mit Ziffern, Buchstaben groß und klein, sowie diversen Sonderzeichen mit mindestens 12 Stellen.