News Collection #1: Datenleak mit über 773 Millionen E-Mail-Adressen

[M@rsupil@mi]

Und dann reicht ein Passwort und man hat alle, tolle Vorstellung.

Dann lieber jedes PW ein wenig abändern und im Kopf haben.

Oder man informiert sich mal über Passwortmanager.

Da geht deutlich mehr, als nur ein PW, um die Datenbank abzusichern und dann muss ein Angreifer auch erst einmal die Datenbank haben. Zudem kann man die Datenbank / den PW-Manager ja auch komplett offline betreiben (Etwa auf einem ausgemusterten Smartphone ganz ohne I-Net. Quasi wie ein PW-Zettel, der in der Schublade liegen kann, der aber nicht für jeden, der die Schublade öffnet, lesbar ist).

Gleiche bzw. ähnliche PW sind die größten Einfallstore und mit "merken" wird es auch schwieriger je mehr Dienste man verwendet (bzw. verwenden muss) und dann sind das auch nur die PW für die Dienste. All die anderen Dinge, die ggf. durchaus relevant sind (Recovery-Codes, 2-Faktor-Offline-Codes, etc.) sind kaum etwas, was man irgendwie merken kann, wenn man mehrere Dienste verwendet. Insbesondere auch weil man vieles davon eventuell nie auch nur einmalig braucht. Außer man meint "man kann es sich merken", dann braucht man was davon und es fallen einem solche Sachen nicht mehr ein...

 

[zombie]

@Benji18 : Danke

 

[Xanta]

Oder man informiert sich mal über Passwortmanager.

Da geht deutlich mehr, als nur ein PW, um die Datenbank abzusichern und dann muss ein Angreifer auch erst einmal die Datenbank haben. Zudem kann man die Datenbank / den PW-Manager ja auch komplett offline betreiben (Etwa auf einem ausgemusterten Smartphone ganz ohne I-Net. Quasi wie ein PW-Zettel, der in der Schublade liegen kann, der aber nicht für jeden, der die Schublade öffnet, lesbar ist).

Gleiche bzw. ähnliche PW sind die größten Einfallstore und mit "merken" wird es auch schwieriger je mehr Dienste man verwendet (bzw. verwenden muss) und dann sind das auch nur die PW für die Dienste. All die anderen Dinge, die ggf. durchaus relevant sind (Recovery-Codes, 2-Faktor-Offline-Codes, etc.) sind kaum etwas, was man irgendwie merken kann, wenn man mehrere Dienste verwendet. Insbesondere auch weil man vieles davon eventuell nie auch nur einmalig braucht. Außer man meint "man kann es sich merken", dann braucht man was davon und es fallen einem solche Sachen nicht mehr ein...

Das mag natürlich zutreffen, habe ja auch bei der Arbeit damit zu tun. Allerdings ist mir das für Unterwegs meist zu umständlich und für wichtige Seiten hab ich dann sowieso unterschiedliche Passwörter und 2FA.

Früher oder später werde ich aber nicht darum rumkommen :-)

 

[instinkt]

Mein Passwort-Manager sagt mir, dass ihm das ziemlich egal ist. Wer heutzutage so ein Programm noch immer nicht nutzt, agiert in meinen Augen leichtfertig, weil es nicht nur die Sicherheit massiv erhöhrt, sondern zugleich leicht in der Bedienung und darüber hinaus sogar höchst bequem ist.

Ist das Ironie? Ich hoffe schon, weil es keinen Grund gibt, PW-Managern zu vertrauen.

 

[Laggy.NET]

Wenn mehr bekannt ist, ist ein Link und/oder eine FAQ im Begleittext aufgeführt. Ist eine nette Dreingabe, aber eher zweitrangig. Wichtig ist nur die Information, daß die Adresse kompromittiert wurde – dann solltest du nämlich das Passwort für sie schleunigst ändern. Am besten auch für alle Dienste, die auf sie registriert sind und die das gleiche Passwort wie die Adresse selbst verwenden.

Nicht falsch verstehen, nicht die mail Adresse bzw. der Mail account sind kompromittiert, sondern nur eine bestimmte Kombination aus Mail Adresse + Passwort auf irgend einer beliebigen Website auf der du nen Account hast.

Im Endeffekt ist auf den seiten deine Mail Adresse ja quasi nix anderes, als dein „Nutzername“ bzw. dein Alias. Mehr nicht.

Das heißt, dass nur der Account auf der Website incl. passwort bekannt ist. Dein Mail Account und sämtliche Dienste, bei der man sich mit der selben Mail Adresse, jedoch mit anderen Passwörtern angemeldet hat, sind weiterhin sicher.

Das einzige, was abgesehen vom gehackten Account auf irgend ner Seite ärgerlich ist, ist die Tatsache, dass deine Mail Adresse öffentlich ist. Das schlimmste, was passieren kann, sind dann halt mehr Spam und evtl. Phishing mails, aber bei Diensten wie z.B. Gmail wird das dermaßen gut gefiltert, dass die Chance gleich null sein sollte, dass davon irgendwas in deinem Posteingang landet...

 

[Christock]

Ist das Ironie? Ich hoffe schon, weil es keinen Grund gibt, PW-Managern zu vertrauen.

Komisch, mir fallen gleich mehrere Gründe dafür ein, aber da deine Aussage so apodiktisch ist, werden sie dich sicherlich nicht interessieren.

 

[teufelernie]

Ich würde ja einen Teufel tun und auf einer Seite wie Pwned eines meiner Passwörter eigeben und auch jedem empfehlen dies ebenfalls nicht zu tun.

Wer ein einfaches Passwort und keinen ordentlichen Pssswortmanager verwendet, weiß das in der Regel selbst und sollte sich spätestens jetzt mal Gedanken machen.

Teufel? Ja, hier!

Es reicht wohl, da eine Mailadresse anzugeben. Aber Ja, selbst mit Ssl würde ich da nicht alle Passes testen.
Weil ssl ja leider aufgebrochen werden kann, und dann hat man alle Passes auf einer Seite zum mitm-Abschnüffeln. Und die NSA so: Champagner!

 

[Nureinnickname!]

😆
https://haveibeenpwned.com/Passwords

Wer garantiert mir, dass das eingegebene Passwort nicht abgegriffen und gespeichert wird? Ist ja mal egal wem die Seite gehört.

 

[Aekoric]

Mein Passwort-Manager sagt mir, dass ihm das ziemlich egal ist. Wer heutzutage so ein Programm noch immer nicht nutzt, agiert in meinen Augen leichtfertig, weil es nicht nur die Sicherheit massiv erhöhrt, sondern zugleich leicht in der Bedienung und darüber hinaus sogar höchst bequem ist.

Da ich schon länger mit dem Gedanken spiele mir einen PW Manager anzuschaffen hätte ich dazu mal eine banale Frage: Wenn ich unterwegs bin (oder auf der Arbeit oder was auch immer, sprich: Nicht an meinem Heimrechner), wie komme ich dann in meine diversen Accounts mit den generierten Passwörtern?
Bei Passwörtern, die ich mir gemerkt habe, ist es ja durchaus praktisch, dass ich auch bei einem Freund mich noch einloggen kann, ich gehe mal davon aus, dass ich das dann nicht mehr kann?
Falls es eine Funktion übers Smartphone dafür gibt muss ich dazu sagen, dass ich keines besitze und diese nicht nutzen könnte.

 

[micv]

Wer garantiert mir, dass das eingegebene Passwort nicht abgegriffen und gespeichert wird? Ist ja mal egal wem die Seite gehört.

Musst es ja nicht machen. Kannst ja auch alles geleakte runterladen und selbst durchsuchen nach dein Passwort 😁

 

[Niyu]

Mein Passwort-Manager sagt mir, dass ihm das ziemlich egal ist. Wer heutzutage so ein Programm noch immer nicht nutzt, agiert in meinen Augen leichtfertig, weil es nicht nur die Sicherheit massiv erhöhrt, sondern zugleich leicht in der Bedienung und darüber hinaus sogar höchst bequem ist.

Ich gebe meine Passwörter bestimmt nicht irgendeinem Passwort Manager?! Wer garantiert mir denn, dass ich damit nicht alle meine Daten gesammelt und geordnet irgendwohin übertrage?

 

[hide.me]

Ich kenne den Typ der das realeat hat persoenlich. Kommt aus Bayern. Richtiger Black Hat der Typ.

 

[habla2k]

Empfehlenswert ist zum Beispiel das hier im Artikel auch zum Download verlinkte Programm KeePass 2. Es ist ein Open-Source-Projekt, verpflichtet nicht zur Cloud-Synchronisation, was zwar Komfort aufgibt, aber zusätzliche Sicherheit bringt, weil die Datenbank nur lokal gespeichert ist. Man muss damit Backups und die Synchronisation zwischen verschiedenen Geräten manuell vornehmen, aber das ist wirklich kein großer Akt.

Es gibt KeePass 1, KeePass 2 und KeePassXC (gehört der dazu?), sind die alle gleich gut zu verwenden? Oder ist 2 immer besser als 1 bspw.

 

[Hirtec]

Ich gebe meine Passwörter bestimmt nicht irgendeinem Passwort Manager?! Wer garantiert mir denn, dass ich damit nicht alle meine Daten gesammelt und geordnet irgendwohin übertrage?

Weil man sich Open-Source-Programme wie Keepass2 holt.

Es gibt KeePass 1, KeePass 2 und KeePassXC (gehört der dazu?), sind die alle gleich gut zu verwenden? Oder ist 2 immer besser als 1 bspw.

Es gibt verschiedene Forks davon. Empfehlen würde ich Keepass2, dieser erlaubt mehr Komfort. Außerdem gibt es dazu viele Plugins.

https://keepass.info/compare.html

 

[MaverickM]

Bei mir tauchte bei einer E-mail Adresse "Collection #1" auf. Aber daraus werd ich auch nicht schlaucher. Das ist ja wohl eine große Sammlung wo keiner genau weis woher die Daten stammen.

Bei mir dasselbe. Zudem taucht sie einem älteren, von 2016 stammenden ähnlichen Leak auf. Nur: Meine E-Mail Adresse könnten sie überall her haben. Ist ja nicht irgendwie geheim. Und dank Webseite und Impressums-Pflicht muss sie ja sogar veröffentlicht werden.

 

[cbtestarossa]

Mein Passwort-Manager sagt mir, dass ihm das ziemlich egal ist. Wer heutzutage so ein Programm noch immer nicht nutzt, agiert in meinen Augen leichtfertig, weil es nicht nur die Sicherheit massiv erhöhrt, sondern zugleich leicht in der Bedienung und darüber hinaus sogar höchst bequem ist.

Warum sollte man einen Passwortmanager (der eventuell auch Lücken aufreisst) verwenden
wenn man die PW im Kopf hat?
Was soll daran leichtfertig sein?

 

[Dorne]

also ich bin beruhigt... zwei Mailadressen sind wohl mit Passwörtern in der Liste aber als Datenbasis wurde 2016 angegeben... da ich Anfang 2018 meine Passwörter umgestellt habe, ist somit alles ok

 

[dr. lele]

Ist das Ironie? Ich hoffe schon, weil es keinen Grund gibt, PW-Managern zu vertrauen.

Ich gebe meine Passwörter bestimmt nicht irgendeinem Passwort Manager?!

Äh, was? Es gibt genug Open Source Passwort-Manager, die offline funktionieren. Da kannste dir den Code angucken und schauen ob sie auf kryptografische Standards setzen. Ich wüsste gerade nicht wem man mehr vertrauen sollte als open source Programmen die gut verschlüsseln

 

[habla2k]

Es gibt verschiedene Forks davon. Empfehlen würde ich Keepass2, dieser erlaubt mehr Komfort. Außerdem gibt es dazu viele Plugins.

https://keepass.info/compare.html

Ok, dann noch die Frage, gibt es dort die Möglichkeit alle PWs auf einmal neu generieren zu lassen? Und als 2. gibt es eine Möglichkeit da auch von außen ran zu kommen? Z. B. über Cloud oder ähnliches. Und, gibt es eine Möglichkeit für Recovery im Ernstfall?

(Nur falls du es direkt weißt, sonst schau ich später nach)

 

[updater14]

Die Datenbank taugt in meinen Augen wenig, ich habe mal ein paar unserer Firmenadressen gecheckt die einen Haufen SPAM-Mails erhalten, keine ist in der Datenbank vorhanden.