News Collection #1: Datenleak mit über 773 Millionen E-Mail-Adressen

[Nureinnickname!]

Naja meine Passwörter haben meistens 20+ Stellen aus allen möglichen Zeichen bestehened, meistens bekommen die eh nur das Gehashte Password, viel Spass beim "Knacken" ^^, ich änder die Passwörter eh regelmäßig, ergo unknackbar würde ich behaupten, außer es wäre im klartext sichtbar, aber dann würde das Passwort eh keinen Sinn machen.

 

[resterudi]

eine e-Mail von mir ist dabei.... die war aber vor einem halben Jahr schon mal dabei und seit dessen ist das PW 2 mal geändert worden. Die Aktualität ist hier sehr ungenau......
Schade aber auch..

 

[nighteeeeey]

Ich benutze bisher LastPass, habe aber festgestellt, dass sie die Preise dieses Jahr (oder letztes) verdoppelt haben. Find ich ganz schön frech.

Taugen Freeware Passwortmanager genauso gut? Gibt es irgendwelche Go-To Programme, zu denen jeder greift?

 

[d3nso]

Klingt nach einem alten Leak. Da befindet sich irgendeine uralte Mailadresse von mir drin, welche schon seit Jahren nicht mehr bei Diensten eingetragen ist.

Laut den Kommentaren unter Troys aktuellem Blogpost sind dort auch recht aktuelle Daten vorhanden, die vom November 2018 stammen....

Sowohl eine meiner alten Mailadressen als auch ein von mir in der Vergangenheit benutztes PW sind hinterlegt. Wird wohl Zeit die Mailadresse bei meinen "wichtigen" Diensten zu aktualisieren.

 

[vincez]

E-Mail Adresse aus älterem Leaks bekannt, laut 1Passwort aber keines meiner Passwörter bekannt.
Nervig ist der zielgerichtete Spam den bekomme, seitdem bekannt war, wo diese E-Mail angemeldet war.

Würde mich generell freuen wenn die U2F Adoption zunehmen würde.

 

[matti87]

Glück gehabt. Meine wichtigen Adressen sind nicht dabei, aber zwei meiner "Wegwerf-Adressen" sind auf der Liste. Würde mich mal echt interessieren, aus welchen Quellen sich diese "Collection #1"-Daten zusammensetzen.

 

[cohrvan]

Was ich mich frage gerade. Ist diese angebliche Seite wo man seine Passwörter testet nicht sowas wie ne riesen Datenbank die, die eingaben "zum überprüfen bitte Passwort eingeben" speichert und sie dann als eine riesige "Mögliche Passwörter" Datei dann an andere anbietet ? Habt Ihr euch schon das Scenario überlegt ?

Nenn mich Paranoid aber ich hatte auch mal den Schwarzen Hut auf in der Jugend

 

[Sendaba]

eine e-Mail von mir ist dabei.... die war aber vor einem halben Jahr schon mal dabei und seit dessen ist das PW 2 mal geändert worden. Die Aktualität ist hier sehr ungenau......
Schade aber auch..

So funktioniert das ganze nicht.
In der Datenbank stehen die Adressen der zum damaligen geleaken/erbeuteten Accounts. Selbst wenn du alle 14 Sekunden dein Passwort ändern würdest, würde der Vermerk ewig in dieser Datenbank stehen, da zum Zeitpunkt X eben die Emailadresse mit weiteren Accountdaten erbeutet wurde.

Falls du für den betreffenden Account dein Passwort bereits geändert hast, so wie du es eben sagst, muss dich das ganze nicht mehr stören. Außer eben, dass der Anbieter deine Daten nicht ausreichend geschützt hatte.

 

[Trokana]

Ich weiß schon warum ich meine Passwörter nirgends speicher sondern lieber aufschreibe und die wichtigsten habe ich im Kopf

 

[DeusoftheWired]

Ich würde ja einen Teufel tun und auf einer Seite wie Pwned eines meiner Passwörter eigeben und auch jedem empfehlen dies ebenfalls nicht zu tun.

Dann schreib auch dazu, daß du ausdrücklich die Unterseite für die Passwörter https://haveibeenpwned.com/Passwords meinst und nicht die Hauptseite haveibeenpwnd.com, um die es im Absatz darüber geht:

Auf der Website Have I Been Pwned kann bei Eingabe der eigenen E-Mail-Adresse geprüft werden

Ist weniger mißverständlich.

 

[matti87]

Was ich mich frage gerade. Ist diese angebliche Seite wo man seine Passwörter testet nicht sowas wie ne riesen Datenbank die, die eingaben "zum überprüfen bitte Passwort eingeben" speichert und sie dann als eine riesige "Mögliche Passwörter" Datei dann an andere anbietet ? Habt Ihr euch schon das Scenario überlegt ?

Nenn mich Paranoid aber ich hatte auch mal den Schwarzen Hut auf in der Jugend

Wäre echt ne gute Methode um eine Datenbank mit Passwörtern anzulegen und diese auszuwerten.

 

[pilzsammler2002]

Und wie soll das laufen?
Die Seite wird nicht von irgendeinem Scriptkiddie betrieben...

Troy Hunt ist alles, nur kein 08/15 Script-kiddie

 

[DeusoftheWired]

Ich weiß schon warum ich meine Passwörter nirgends speicher sondern lieber aufschreibe und die wichtigsten habe im Kopf

Artikel gelesen oder überhaupt verstanden, worum es geht? Benutzt du passwortlose Dienste? Es ist eine Sammlung von Benutzernamen und zugehörigen Passwörtern aus vorangegangenen Hacks.

 

[habla2k]

Mein Passwort-Manager sagt mir, dass ihm das ziemlich egal ist. Wer heutzutage so ein Programm noch immer nicht nutzt, agiert in meinen Augen leichtfertig, weil es nicht nur die Sicherheit massiv erhöhrt, sondern zugleich leicht in der Bedienung und darüber hinaus sogar höchst bequem ist.

Und welcher Passwort Manager wäre hier empfehlenswert? Schön wäre Open Source und/oder ein Kompromiss aus Sicherheit und Komfort.

 

[Drölfzehn]

Hast du dort tatsächlich 300 Adressen abgeglichen und für was benötigt man so viele?

Nein, man kann dort auch komplette Domains abfragen, solange man der Domaininhaber ist. Ich bin doch nicht verrückt und teste jede einzelne E-Mail-Adresse .

Ich habe mir angewöhnt, überall wo ich mich anmelde, eine separate E-Mail-Adresse zu verwenden. Wenn es dann mal wieder irgendwo ein Leck geben sollte, sehe ich sofort wo das war und kann diese einzelne E-Mail-Adresse notfalls einfach abschalten und habe meine Ruhe.

 

[Pandemic]

Taugen Freeware Passwortmanager genauso gut? Gibt es irgendwelche Go-To Programme, zu denen jeder greift?

Also ich benutze seit längerer Zeit KeePass 2, bin damit auch ziemlich zufrieden.

Gestern schon eine Benachrichtigung für eine meiner E-Mail-Adressen bekommen von Have I Been Pwned. Ich bin froh, dass es diese Seite gibt... und bisher auch keinen Grund dass meine für Benachrichtigung hinterlegten E-Mail-Adressen missbräuchlich weitergegeben werden.

 

[Trokana]

Artikel gelesen oder überhaupt verstanden, worum es geht? Benutzt du passwortlose Dienste? Es ist eine Sammlung von Benutzernamen und zugehörigen Passwörtern aus vorangegangenen Hacks.

Ne natürlich nicht, wollte nur einen Tropfen Senf hier hinterlassen

 

[LMAO]

Lesen der News wäre hilfreich, aber hast Du anscheinend wieder einmal nicht nötig. So kommt man natürlich viel schneller auf viele Beiträge innerhalb kurzer Zeit.

Gibts denn eigentlich irgendeinen Bonus, für extrem viele (nutzlose) Posts in kürzester Zeit?

 

[Kräuterbonbon]

Eigentlich wertlos. E-Mail dabei aber ich bin mir sicher, dass die nicht geknackt / ge-pwned wurde. Die Adressen sind in den Listen vorhanden, um z.B. Werbemails abzufischen. Es geht hier nicht allein um geknackte Adressen.

 

[SVΞN]

Dann schreib auch dazu, daß du ausdrücklich die Unterseite für die Passwörter https://haveibeenpwned.com/Passwords meinst und nicht die Hauptseite haveibeenpwnd.com

Weshalb das? Zum einen werden beide „Services“ von ein und derselben Website angeboten und zum anderen wird doch in der News explizit darauf hingewiesen dass man sowohl seine Adressen als auch seine Passwörter prüfen lassen kann.

Aber natürlich liegen alle Daten nur als Hash vor. Wenn so eine seriöse Website das sagt, muss das ja stimmen.

Wer möchte soll seine Adressen und Passwörter gerne dort eingeben, ich kann nur davon abraten.