News Datenleck: BKA entdeckt 500 Mio. E-Mail-Adressen samt Passwörtern

[Wardaddy]

nein natürlich nciht,aber das ist mal etwas provokativ gezeigt das der Ansatz nicht reicht ein Sicheres passwort zu benutzten und es gibt viele Leute die ihre Passwörter im browser speichern,sehr viele.

Es muss aber ein anderer Ansatz her und das ist minimal eine zweifaktoer anmeldung,das passwort allein ist leider schon überhollt.

Manches muss man Provokativ zeigen damit es verstanden wird warum es nicht so einfach ist und jeder Email anbieter sollte schon lange über eine zweifaktor anmeldung verfügen mindestens diese.

Damit will ich sagen das der user nicht schuld ist,egal ob er ein super schweres Pw hat oder ein total ewinfaches,sondern der Anbieter ist schuld.Die Schadware heut zu tage ist schon viel viel weiter und die Anbieter schlafen noch immer und ruhen sich auf ihre einmal Anmeldung aus die schon total veraltet ist.

ich will nicht den User angreifen mit der Provokanten art die ich oben zu tage lege,sondern die Anbieter.

Schadware ist so clever Programmiert heute zu Tage das die von mir aufgezeigten Funktionen noch absolut harmlos sind und zu den Stadard Funktionen gehören.Der Anbieter von Emails und Co geht nicht mit der Zeit und gibt die Schuld den usern die so unsicherer passwörter haben,dabei bringt selbst ein gutes passwort ncihts mehr wenn es auf einfachste Weise entwendet werden kann.

 

[Andy]

Artikel-Update: Wer bereits selbst prüfen wollte, ob die an bestimmte E-Mail-Adressen geknüpften Login-Daten in dem Datensatz enthalten sind, wurde seit Freitagmittag auf eine harte Probe gestellt: Das Angebot des Hasso-Plattner-Instituts war bis spät in die Nacht und bereits früh am Samstagmorgen überlastet, Abfragen auch mit Geduld kaum möglich.

Jeder Nutzer sollte den Test machen
Der Identity Leak Checker steht allerdings dauerhaft zur Verfügung, eine Überprüfung ist also auch in einigen Tagen noch möglich, wenn sich der Ansturm in Folge der Veröffentlichungen vom Freitag gelegt hat. Vergessen sollten es Anwender allerdings nicht, lassen sich der Prüfung doch wichtige Erkenntnisse über die Verfügbarkeit bestimmter E-Mail-Passwort-Kombinationen entnehmen.
Selbst wenn die Daten dort, wo sie ursprünglich entwendet wurden, bereits geändert worden sind, kommen sie möglicher Weise auch auf anderen Plattformen noch zum Einsatz, was sich Kriminelle zu Nutzen machen könnten.

 

[mr999]

Irgendwie geht die Seite nicht
Es kommt immer folgende Meldung:

Service Temporarily Unavailable

The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

 

[Hatsune_Miku]

Ich weiss bis jetzt noch nichtmal wie die seite ausschaut, seit eröffnung der News versuche ich alle paar Stunden mal die seite zu öffnen, jedoch immer mit 503 Service Temporarily Unavailable. Schaue ich halt die Tage nochmal.

 

[surogat]

Ich bezweifle ernsthaft, dass überhaupt irgendwer noch in der Lage ist, seine E-Mail-Adressen über diese Seite zu überprüfen. Da ist durchgehend keine Abfrage möglich. Jeder wird wohl wie ich nach mehr als 10 Minuten an Versuchen aufgeben. Selbst mitten in der Nacht, wenn die meisten schlafen, war das nicht möglich.

 

[TNM]

Geht bei mir ebenfalls nicht, gestern nicht, heute nicht, jetzt gerade eben nicht. Manchmal sehe ich die Startseite, aber die DB Abfrage verläuft ins leere.

Meine Güte, ich finde es ja toll dass das BKA das macht, aber die Ressourcen dafür muss man dann halt auch zu Verfügung stellen.

 

[Dextro1975]

Wenn man es ein paar mal hintereinander versucht klappt es, habe es selber gestern mit mehreren gemacht.

 

[4to cka3al]

Gut gemeint. Misserabel durchgeführt. Seite läuft STÄNDIG bei der Überprüfung auf Fehler 500 Internal Server Error hinaus.
Deutschlands IT 2017 by BKA! Entweder richtig oder gar nicht, das nächste Mal bitte.

 

[Pyrukar]

hmm,

ist dieser Leak schon in https://haveibeenpwned.com drinn? kann ich auch darüber meine Emails checken? das geht nähmlich bedeutend zuverlässiger ( bzw die Seite ist stabiler).

Und tatsächlich wurde schon vor ewigkeiten ein unwichtiger account von mir dort als gehackt registriert ... Korrigiert mich bitte wenn ich Falsch liege: es geht dann nur um diese Email und PW kombi die gebusted wurde oder? Der dazugehörige Emailaccount ist nur gefärdet, wenn dort das selbe PW als auf der gehackten Seite verwendet worden wäre ?! Genauso wäre es doch relativ ungefärdet das selbe PW mit einem anderen Email Account als Anmeldedaten zu verwenden oder werden diese Passwörter schon nach einmaliger entdeckung in einen PW Katalog aufgenommen?


Gruß

Pyrukar

 

[surogat]

Wenn man es ein paar mal hintereinander versucht klappt es, habe es selber gestern mit mehreren gemacht.

Ja, gestern vielleicht.

 

[Dextro1975]

Hab es eben nochmal versucht und es hat geklapp (~10 Versuche).

 

[auna]

Optimisten leben nicht unbedingt länger, aber besser!

Habe eben 3 Emial Konten überprtüft, negativ, soweit bekannt Trotzdem: Passwortwechsel, man muss ja nicht erst aus Schaden klug werden...

 

[Sc0ut3r]

mein erster gedanke gestern war, wiso sie keine capture abfrage eingebaut war...

wundert mich nicht wenn spambots die seite zum absturz brachten

 

[FranzvonAssisi]

"Nutzt sichere Passwörter!"

NAja, wenn die Datenbank geknackt wird und die Passwörter nicht ordnungsgemäß verschlüsselt sind, bringt das auch nix.
Es muss im Grunde heißen: Sichere Passwörter und regelmäßige Aktualisierung

Aaaber in den meisten Fällen sind die Passwörter gehasht. Einfache Passwörter sind aber bereits in den Passwort-Hasttables hinterlegt und lassen sich somit innerhalb von Sekunden knacken, gute Passwörter sind so abstrakt, dass es unwahrschejnlich ist, dass die da drin stehen. Wenn jemand dann dein Passwort rausfinden wollen würde, bräuchte er immer noch Jahre bis hin zu vielen Jahrhunderten.

 

[MTechlerin]

Warum werden nicht die Betroffen Dienste direkt in einer Liste Aufgeführt ??
So sieht es eher da nach aus das hier jemand email adressen sammeln möchte um diese in einen weiteren gang dann zu Hacken/Konrollieren.

Nach meiner sicht dieser News würde ich nur bei gehen alle Passwörter ändern und Fertig.
eine Kontrolle auf dieser Dienst Seite kann einen bitteren nach geschmack haben in der Heutigen Zeit.
Da man so sieht welche eMail Adressen noch Aktiv genutzt werden.

 

[auna]

Lustig, wie immer wieder Argumente kommen, dass Passwortwechsel angeblich sowieso nix bringt.

Wohnungstür abschliessen bringt auch nix wenn man wirklich rein will oder Türschloßwechsel nachdem die Hausschlüssel gestohlen wurden... Wer hört eigentlich auf diese Experten?

 

[schmibu]

Captcha wurde jetzt nachgerüstet. Sollte also demnächst tatsächlich wieder funktionieren.

 

[deo]

Ich konnte gerade 5 Adressen hintereinander prüfen lassen.

 

[Skycrumb]

Captcha ist doch schon seit gestern Nacht drin

Meine sind Clean...

 

[Troma_Fanboy]

nein natürlich nciht,aber das ist mal etwas provokativ gezeigt das der Ansatz nicht reicht ein Sicheres passwort zu benutzten und es gibt viele Leute die ihre Passwörter im browser speichern,sehr viele.

Es muss aber ein anderer Ansatz her und das ist minimal eine zweifaktoer anmeldung,das passwort allein ist leider schon überhollt.

Manches muss man Provokativ zeigen damit es verstanden wird warum es nicht so einfach ist und jeder Email anbieter sollte schon lange über eine zweifaktor anmeldung verfügen mindestens diese.

Damit will ich sagen das der user nicht schuld ist,egal ob er ein super schweres Pw hat oder ein total ewinfaches,sondern der Anbieter ist schuld.Die Schadware heut zu tage ist schon viel viel weiter und die Anbieter schlafen noch immer und ruhen sich auf ihre einmal Anmeldung aus die schon total veraltet ist.

ich will nicht den User angreifen mit der Provokanten art die ich oben zu tage lege,sondern die Anbieter.

Schadware ist so clever Programmiert heute zu Tage das die von mir aufgezeigten Funktionen noch absolut harmlos sind und zu den Stadard Funktionen gehören.Der Anbieter von Emails und Co geht nicht mit der Zeit und gibt die Schuld den usern die so unsicherer passwörter haben,dabei bringt selbst ein gutes passwort ncihts mehr wenn es auf einfachste Weise entwendet werden kann.

Zum Teil hast du recht, zum Teil nicht.
Ein infiziertes Gerät ist immer ein großes Problem, denn ein Trojaner kann auch eine 2 Faktor Auth aushebeln.
Das mTAN Verfahren hat ja gezeigt das auch 2 Faktor Auth nicht unbesiegbar ist, vorallem wenn man es auf jemand spezielles abgesehen hat.

Das Problem mit den Passwörtern im Netz ist zu 99% nicht deren Komplexität, denn bei den meisten Anbietern kommst du mit Brute Force oder Library Attacken nicht weit, da gibts so einfache wie wirksame Mittel wie Login Verzögerungen nach 5 Fehlversuchen.
Das Problem besteht immer dann wenn ein Anbieter gehackt wird und damit Passwort Datenbanken in falsche Hände gelangen. Das ist ja hier wohl wieder der Fall.
Und da hilft dann nur noch die Tatsache das man nicht das gleiche Passwort überall verwendet.
Wenn das Passwort nur bei diesem einen Anbieter verwendet wird ist man nur dort kompromitiert.
Wenn man für eBay, PayPal, Amazon und dem E-Mail Anbieter das selbe Passwort verwendet reicht es wenn einer gehackt wird um die Sicherheit bei allen zu verlieren.
Und genau da helfen Passwort Manager.
Denn die vielen einzelnen Passwörter kann sich kaum einer merken.

Den Passwort Safe kann man dann wieder mit einem starken Passwort, welches nur hierfür verwendet wird und nicht bei irgendwelchen Anbietern im Netz, und 2 Faktor Auth sicher gestaltet werden. Auch wenn der Safe selbst in der Cloud liegt, nur die z.B. Key Files dürfen logischerweise nicht auf der Cloud liegen, am besten wäre auf einem USB Stick der nur bei Bedarf eingesteckt wird.

Ein reiner verschlüsselter Key-Pass Safe ist aber sehr sicher, auch mit nur einem starken Passwort, da der Ssafe selbst schon Funktionen besitzt um BruteForce auszuhebeln/auszubremsen.

Wichtig ist es aber wenn man einen Safe verwendet sein System sauber zu halten, bzw. es ist immer wichtig das System sauber zu halten