ComputerBase Menü
Aktuelles

News Collection #1: Datenleak mit über 773 Millionen E-Mail-Adressen

Genau so ist es Sven, danke ! Deswegen die Frage wo man die Daten in Textform downloaden kann, damit ich sie auf meinem PC selbst überprüfen kann..
 
kampion schrieb:
162 Millionen Jahre
Zum Vergrößern anklicken....
mit bf-Methode nehme ich an. Korrekter wäre dann aber "dauert bis zu 162 Millionen Jahre", denn theoretisch kann man mit der Methode auch schon beim ersten Treffer richtig liegen. Is halt try and error... sowas wird hier aber nicht benutzt um an die Passwörter entsprechender Konten zu kommen...

Deswegen nützen solche "guten" Passwörter quasi null, wie diese schöne News zeigt. Du kannst auch ein Passwort haben, wofür man ne Milliarde Jahre braucht um das mit modernsten Supercomputern via bf zu knacken. Wird die Schmutzfilmchenseite gehackt, wo du das pw hast und die Login-Daten geklaut, wissen deine Kumpels trotzdem, was für Fetische du hast...
 
RYZ3N schrieb:
Die Webseite erkennt also, IP-Adresse xyz gibt folgende E-Mail Adressen ein.

Anschließend überprüfe ich "natürlich" auch noch meine Passwörter und die Webseite erkennt...
Zum Vergrößern anklicken....
Das sollte man nun wirklich nicht online machen!

Ein entsprechender noch deutlicherer Hinweis in der News sollte noch verbessert werden!
news schrieb:
..dennoch sollte im Zweifel das eigene Passwort auf keiner Website für die es nicht bestimmt ist, eingegeben werden
Zum Vergrößern anklicken....
ist meinem Empfinden nach zu sachte formuliert.

Fragt man die Passwortverwendung einfach solo und am besten offline ab, bekommt man ja maximal den Hinweis, ob schon Jemand anderes dieses PW benutzt. Das kann man kompromittiert selber sein oder das eigene Passwort ist eben doch nicht einmalig.
Dieser Informationsgehalt allein ist aber wenig aussagekräftig.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: SVΞN
Mustis schrieb:
oder ums kurz zu machen: Die Komplexität des Passworts und der Einsatz von PW Managern ist komplett unerheblich, ob man dort auftaucht oder nicht. Bei den Emailadressen ohnehin...
Zum Vergrößern anklicken....

Das ist aber auch nur auf den ersten Blick richtig. Denn der erste Schritt zu Übernahme von Accounts ist die Kenntnis der mit ihnen verbundenen Mail-Adresse. Wenn das potenzielle Opfer für diese auch noch ein unsicheres Passwort verwendet, kann sich der Angreifer leicht Zugang zum Mail-Account und zugleich zu den hinsichtlich des Passwortzurücksetzungsverfahrens damit verbundenen anderen Accounts verschaffen. Hat der Nutzer hingegen ein sicheres Passwort, ist das Auftauchen der Mail-Adresse in der Datenbank kein Problem, und genau dort kommen ja die Passwort-Manager ins Spiel.
 
Aphelon schrieb:
Deswegen nützen solche "guten" Passwörter quasi null, wie diese schöne News zeigt. Du kannst auch ein Passwort haben, wofür man ne Milliarde Jahre braucht um das mit modernsten Supercomputern via bf zu knacken. Wird die Schmutzfilmchenseite gehackt, wo du das pw hast und die Login-Daten geklaut, wissen deine Kumpels trotzdem, was für Fetische du hast...
Zum Vergrößern anklicken....
Deswegen beschrieb ich in Beitrag #129 ja wie man ein derartiges Passwort einfach per Schema erstellt. ;)
Dann macht es garnichts aus wenn eine der Seiten geknackt wird und ein Bot dieses Kennwort über diverse Seiten jagt.
Da brauch es schon einen Menschen (oder gegebenfalls eine KI) die drüber schaut, idealerweise mindestens zwei der nach dem Schema erstellten Passwörter hat und daraus abliest wie die Kennwörter abhängig zur Seite aufgebaut sind.
 
ThomasK_7 schrieb:
Das sollte man nun wirklich nicht online machen!
Zum Vergrößern anklicken....

Vollkommen richtig! Da bin ich zu 100% bei dir!

Wer bitte geht auf eine Webseite, gibt da zuerst einmal ein paar seiner E-Mail Adressen ein und anschließend auch noch einige seiner [vermeintlich] dazugehörigen Passwörter? Das ist einfach fahrlässig und leichtsinnig.

Die Leute die sich hier auf die Füße getreten fühlen, sind die, die das gemacht haben und sich jetzt selbst fragen, warum sie sowas dummes getan haben. :D
 
Es wird bald so weit sein,

Alexa wie ist mein Passwort für das Onlinebanking.

Viel Spaß damit!
 
  • Gefällt mir
Reaktionen: SVΞN
Xanta schrieb:
Dann lieber jedes PW ein wenig abändern und im Kopf haben.
Zum Vergrößern anklicken....
Mach das mal bei den drölfzig verschiedenen Diensten, die alle einen Account wollen. Ich hab das bei den wichtigen Sachen so gemacht und dennoch manchmal Probleme mir zu merken, wo ich jetzt genau welches Passwort hatte. Der Passwortmanager ist selbst ein Risiko für sich, das ist richtig. Aber wenn man es nicht schafft sich für alles oder zumindest alles wichtige ein eigenes Passwort zu merken, dann ist es mMn noch wesentlich sicherer einen Passwortmanager zu nutzen als Kompromisse einzugehen und nur wenige verschiedene Passwörter zu nutzen.
Außerdem ist so ein Manager sehr komfortabel.


Optimal ist aber auch der nicht. Wenn man sich dann irgendwo einloggen möchte und da gerade keinen Passwortmanager hat...
 
Christock schrieb:
Das ist aber auch nur auf den ersten Blick richtig. Denn der erste Schritt zu Übernahme von Accounts ist die Kenntnis der mit ihnen verbundenen Mail-Adresse. Wenn das potenzielle Opfer für diese auch noch ein unsicheres Passwort verwendet, kann sich der Angreifer leicht Zugang zum Mail-Account und zugleich zu den hinsichtlich des Passwortzurücksetzungsverfahrens damit verbundenen anderen Accounts verschaffen. Hat der Nutzer hingegen ein sicheres Passwort, ist das Auftauchen der Mail-Adresse in der Datenbank kein Problem, und genau dort kommen ja die Passwort-Manager ins Spiel.
Zum Vergrößern anklicken....

Oder einfach ein PW, das sich differenziert, nutzen.
 
habla2k schrieb:
Und welcher Passwort Manager wäre hier empfehlenswert? Schön wäre Open Source und/oder ein Kompromiss aus Sicherheit und Komfort.
Zum Vergrößern anklicken....
Ich kann KeeWeb sehr empfehlen. Lässt sich sowohl lokal als auch in diverse Cloud Dienste einbinden. In Zusammenspiel mit lokalen Key Files ist dann auch die Datenbank selbst bei Google Drive abgesichert. Selbst wenn sie dein Passwort hätten, so bringt es ihnen nichts ohne dem Key Files.

KeeWeb ist für mich der beste Anbieter, da hier in sehr vielen Bereichen gegenüber Keepass Ablegern verbessert wurde. So lassen sich dort problemlos Bilder und andere Daten per Drag & Drop Einbinden. Auch die Bedienung ist Keepass X, Keepass 2 und vielen anderen Ablegern vorraus.
 
Xes schrieb:
"70%Zuck3R12CO" -> "70%Zuck3R" relativ einfach zu merkendes Standardkennwort mit Zahlen, Groß&Kleinbuchstaben und Sonderzeichen. Computerbase hat 12 Zeichen und beginnt mit den Buchstaben COmputerbase.
Zum Vergrößern anklicken....

So ähnlich mach ich das auch. Zwei Standardpws mit dienstspezifischem Anhängsel. Bei wichtigen Sachen dann die Anfangsbuchstaben von einem Spruch/Satz, mit etwas l33tspeak, den man sich leicht merken kann, z.B. Der BMWE36325i war mein 3rstes schönes Auto. Die 9700NonPro war die geilste GraKa von Ati 3ver.
 
Zuletzt bearbeitet von einem Moderator:
Sester schrieb:
So ähnlich mach ich das auch. Zwei Standardpws mit dienstspezifischem Anhängsel.
Zum Vergrößern anklicken....
Das habe ich früher auch mal so gemacht, aber im Grunde ist das auch sehr unsicher. Wer z. B. von deinem Amazon-Account das Passwort 70%Zuck3R12AMA erfährt, der kann dann auch auf deine weiteren Passwörter für andere Seiten schließen z. B. 70%Zuck3R12EBA für eBay usw. Wenn da kein komplexeres System dahinter steckt, ist das wirklich sehr unsicher.

Das mit den Passwörtern ist wirklich eine sehr verzwickte Sache. Ich habe bestimmt an die 50 verschiedenen Passwörter für Onlineshops, Mailanbieter, Onlinebanking und da man für jeden Anbieter ein vollständig neues Passwort verwenden soll, ist es unmöglich das alles zu merken. -> Deshalb geht es imo ohne Passwortmanager heutzutage nicht mehr.

Für mich ist das auch einer der Gründe, weshalb ich mittlerweile kaum noch neue Accounts anlege und falls möglich immer Gastbestellungen o. ä. nutze.
 
  • Gefällt mir
Reaktionen: Hirtec und Christock
Sester schrieb:
So ähnlich mach ich das auch. Zwei Standardpws mit dienstspezifischem Anhängsel. Bei wichtigen Sachen dann die Anfangsbuchstaben von einem Spruch/Satz, mit etwas l33tspeak, den man sich leicht merken kann, z.B. Der BMWE36325i war mein 3rstes schönes Auto. Die 9700NonPro war die geilste GraKa von Ati 3ever.
Zum Vergrößern anklicken....

Klar, das jetzt für 10 verschiedene Seiten und dann besuchst du drei davon mal ein paar Monate nicht. Und dann weißt du bestimmt trotzdem noch ganz genau wie dein lustiger Satz war und welche Zeichen du davon für dein Passwort benutzt hast.

Das ist genauso, wie Leute, die sich mit Absicht falsche Antworten für ihre Sicherheitsfragen ausdenken: "Wie heißt deine Mutter?" "Fluxkompensator".

So und wenn man irgendwann dann mal am Account was ändern will musst du dich an diese Antwort erinnern. Viel Spaß.

Dann lieber n Open Source Tool, das mir 20 stellige sichere Zeichenketten erstellt, die ich mir nicht merken muss sondern nur auf Copy drücke und einfüge.

Dann kann man sich so einen netten Passwortsatz überlegen als MasterPW und muss sich nur diesen einen merken. Das bekommt man dann vielleicht sogar hin.
Ergänzung ()

anyone23 schrieb:
Das habe ich früher auch mal so gemacht, aber im Grunde ist das auch sehr unsicher. Wer z. B. von deinem Amazon-Account das Passwort 70%Zuck3R12AMA erfährt, der kann dann auch auf deine weiteren Passwörter für andere Seiten schließen z. B. 70%Zuck3R12EBA für eBay usw. Wenn da kein komplexeres System dahinter steckt, ist das wirklich sehr unsicher.
Zum Vergrößern anklicken....

In diesem Fall wäre es aber 70%Zuck3R6AM und 70%Zuck3R4EB. ;)
 
  • Gefällt mir
Reaktionen: Knecht_Ruprecht und Christock
Ich habe davon 3 Stück. Wlan, Paypal und Onlinebanking.
Bei den anderen haben ich ein Standardpasswort mit Dienstanhängsel nach Sester Art. Z.B.
535t3r 3b k03l5ch (3b = ebay als bsp. ohne leerzeichen)
 
Harmachis schrieb:
und spätestens wenn ich meine mailadresse auf dieser seite überprüfe haben sie auch diese - nein danke
Zum Vergrößern anklicken....

RYZ3N schrieb:
Vollkommen richtig! Da bin ich zu 100% bei dir!

Wer bitte geht auf eine Webseite, gibt da zuerst einmal ein paar seiner E-Mail Adressen ein und anschließend auch noch einige seiner [vermeintlich] dazugehörigen Passwörter? Das ist einfach fahrlässig und leichtsinnig.

Die Leute die sich hier auf die Füße getreten fühlen, sind die, die das gemacht haben und sich jetzt selbst fragen, warum sie sowas dummes getan haben. :D
Zum Vergrößern anklicken....


Was ist bloß kaputt bei manchen hier :rolleyes:?
Das zweite mal das CB einen Artikel mit der Website veröffentlicht und das zweite mal, dass sich die Leute über absoluten Unsinn beschweren. Man gibt auf der Website eine E-Mail Adresse ein. Das wars. Nix Passwort. Da wurde letztes mal schon in riesigem Ausmaß drüber debattiert. Die E-Mail Adresse wird dann gehasht und gegen die DB gefragt. Was ist daran jetzt bitte so schlimm? Und zeig mir doch mal bitte wo du auf der Seite dein Passwort in Kombination mit deiner E-Mail Adresse eingeben kannst.
 
new Account() schrieb:
Die Website gibts schon ein paar Jahre.
Die sammeln einfach alle Leaks, von denen die Daten erhältlich sind/waren.

Und die Passwortliste kann man sich herunterladen und dann sein eigenes Passwort gehashed darin suchen, falls man der Website nicht traut.
Zum Vergrößern anklicken....


Schon klar. Ich bezog mich auf den Treffen für diesen neuen Leak speziell.
Da eben dort die Adresse enthalten sein soll, spricht für zumindest einen teilweise ziemlich alten Datenstand. Da können durchaus neue Daten drin sein, keine Frage.
 
RYZ3N schrieb:
Ich würde ja einen Teufel tun und auf einer Seite wie Pwned eines meiner Passwörter eingeben und auch jedem empfehlen dies ebenfalls nicht zu tun.

Wer ein einfaches Passwort und keinen ordentlichen Passwortmanager verwendet, weiß das in der Regel selbst und sollte sich spätestens jetzt mal Gedanken machen.
Zum Vergrößern anklicken....

Du sollst auch nicht dein Passwort auf dieser Seite eingeben sondern deine Email :volllol:
Gut, da gibts auch die Möglichkeit, das PW prüfen zu lassen, aber ok, etwas schwachsinnig, sowas zu machen

Ansonsten ja, der Betreiber könnte tatsächlich eine wunderbare Sammlung aktueller Email Adressen damit erstellen ...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News Datenleck: BKA entdeckt 500 Mio. E-Mail-Adressen samt Passwörtern
13 14 15
Antworten
298
Aufrufe
73.826
Gleipnir
G
P
News Dropbox gibt Diebstahl von E-Mail-Adressen bekannt
2 3
Antworten
41
Aufrufe
8.515
Merle
Merle

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz