News Gamigo: Angeblich elf Millionen Passwörter frei verfügbar

Immer schön verschiedene Passwörter benutzen, dann kann man im Fall der Fälle "relativ" entspannt bleiben.
 
buzz89 schrieb:
Mach nicht die Täter dafür verantwortlich, sondern lieber die Anbieter.
Denn hier wird an der falschen stelle gespart, genauso wie bei Sony.
Genau! Täter verantwortlich machen - wo kämen wir denn hin?! :rolleyes:

Im Ernst: Die Täter tragen die Schuld und gehören entsprechend bestraft.
Der Anbieter trägt aber natürlich eine Verantwortung für die Sicherheit der ihm anvertrauten Daten. Sollte er dieser Verantwortung mit Absicht oder aus Fahrlässigkeit nicht nachgekommen sein, sollte er zumindest für den entstandenen Schaden mit haften müssen.

Keine Ahnung wie da die gegenwärtige Gesetzeslage ist, aber solch eine Anbieterhaftung scheint mir dringend geraten.

edit:
DaBzzz schrieb:
[Hier prüfen, ob Ihre Kreditkartennummer schon im Internet kursiert] :D
Oh wie bitter! Und ich kann mir sogar vorstellen, daß diese Masche hervorragend zieht...
 
Zuletzt bearbeitet: (siehe beitrag.)
@ Lunerio: mag für Dich offensichtlich sein, aber nicht für meine 70-jährigen Eltern!

Ich kann Deine Aussage nachvollziehen, aber trotzdem stützt sie die, meiner Ansicht nach, falsche Sichtweise der Dinge, indem sie indirekt den arglosen zum Schuldigen macht.
Der Schuldige ist aber immer der, der die Arglosigkeit ausnutzt!!!
 
koolaid schrieb:
Ich schubse jemanden über ein Brückengeländer. Nach deiner Logik wird der Hersteller des Brückengeländers verklagt weil es nicht hoch genug war.

Das Beispiel spiegelt aber nicht die vorliegende Situation wider, denn eigentlich müsste das Beispiel folgendermaßen formuliert sein:

Ich schubse jemanden gegen ein Brückengeländer, und zwar im vollen Bewusstsein darüber, dass dieses fahrlässigerweise nur ungenügend gesichert und an neuralgischen Stellen bereits durchgerostet ist.

Wer ist schuld? Sowohl der Hersteller, als auch die Person, die diese Schwachstelle ausnützt.
In Zeiten von bcrypt gibt es keinerlei Ausreden, warum man sensible User-Daten nicht ausreichend schützt. Klar, einen Web-Server, eine Datenbank kann man nie 100%ig schützen, denn selbst mit Up-to-date-Software kann man immer Opfer eines Zero-Day-Exploits werden, aber mithilfe von bcrypt kann man die Daten selbst soweit verschlüsseln, dass es de facto unmöglich ist, diese wieder zu entschlüsseln.

Hier wird ganz klar fahrlässig gehandelt, denn die Implementierung von aktuellen Verschlüsselungsalgorithmen ist ein vernachlässigbarer finanzieller Aufwand. Umso unverständlicher ist es, warum weltweit nach wie vor die Unternehmen im Bereich Datensicherheit derart sparen. Wie gesagt: schlichtweg fahrlässig, dieses Verhalten.
 
Ok, anderes Beispiel: Deine Bank hat keine Lust, dein Geld richtig zu sichern, und lagert es daher in kleinen Scheinen in gut tragbare Kisten nahe des Gebäudeausganges. Ein Krimineller kommt vorbei und packt die in seinen Wagen. Hat die Bank einen Fehler gemacht? :freaky:
 
@ Chillvie: natürlich hätte die Bank in diesem Fall einen Fehler gemacht! Aber es wird immer jemanden geben, der bestehende Sicherungen überwinden kann. Und wenn ich etwas wegnehme, dass nicht für mich bestimmt ist, egal wie hoch das Niveau der Sicherung ist, dann bin ich für die Wegnahme verantwortlich!
 
Zuletzt bearbeitet:
Rallomane schrieb:
@ Chiville: natürlich hätte die Bank in diesem Fall einen Fehler gemacht! Aber es wird immer jemanden geben, der bestehende Sicherungen überwinden kann.
Es gibt Verschlüsselungsmechanismen (natürlich auch für Passwörter), für die aktuell keine sinnvolle/erfolgreiche Angriffsmöglichkeit bekannt ist. Wer sich hier als Anbieter nicht am Stand der Technik orientiert, handelt fahrlässig.

Rallomane schrieb:
Und wenn ich etwas wegnehme, dass nicht für mich bestimmt ist, egal wie hoch das Niveau der Sicherung ist, dann bin ich für die Wegnahme verantwortlich!
Dann müssen wir ja nur noch warten, bis die Welt ein besserer Ort ist und brauchen gar keine Passwörter mehr. :lol:
 
so ist es!
Ergänzung ()

definiere mir diesbezüglich mal den "Stand der Technik"...

Wie weit man hier auch ausholt: verantwortlich bleibt der, der wegnimmt...
 
Zuletzt bearbeitet:
Gut das ich keinen Account bei Gamigo habe oder jemals hatte...bis jetzt gingen immer alle hacks schön an mir vorbei...und das kann auch gerne so bleiben.

Hoffe nur die CB Server werden nie gehackt... ;)
 
Rallomane schrieb:
definiere mir diesbezüglich mal den "Stand der Technik"...
Ich bin nicht besonders kryptografisch belesen, aber soweit ich es mitbekommen habe: Passwörter salted und mit AES (256 Bit) gehashed in einer Datenbank hinterlegen.

Rallomane schrieb:
Wie weit man hier auch ausholt: verantwortlich bleibt der, der wegnimmt...
Natürlich, aber das hilft niemandem, der betroffen ist. Nur geeignete Prävention hilft (hätte geholfen ;)).
 
Meh, das erste mal hats mich erwicht. pwnedlist sagt auch ein Eintrag.
Naja gut, dann wirds Zeit umzurüsten auf Keepass und für jede Site ein 20-Zeichen-PW anlegen.
 
Vivister:

Du kämpfst gegen Windmühlen. Hier im Forum wird Raubkopieren paradoxerweise mehr Wertschätzung entgegengebracht als den Spieleherstellern selbst. Vulgärmarxismus und Antikapitalismus ist hier en vogue. Und die meisten, die dagegen ankämpften (wie bspw. mir), haben einfach keine Lust mehr, seitenweise Argumente zu schreiben, die überlesen oder billig abgeblockt werden.

Topic:

Dumm gelaufen. Eigentlich sollte man regelmäßig alle Passwörter ändern.
 
Rallomane schrieb:
Wie weit man hier auch ausholt: verantwortlich bleibt der, der wegnimmt...

Da machst du es dir – finde ich – etwas zu einfach.
Es ist richtig, dass es für Fälle wie diese derzeit noch keine ausreichenden gesetzlichen Bestimmungen gibt, was auch der Grund dafür ist, warum Unternehmen den Schutz von Userdaten derart stiefmütterlich behandeln – es drohen ihnen ja ohnehin keinerlei Konsequenzen, außer vielleicht ein paar User im einstelligen Prozentbereich, die ihren Account stilllegen.

Moralisch gesehen sieht die Sache aber wieder ganz anders aus.

Und auch gesetzlich sieht es da in manchen Bereichen ganz anders aus. Einem Betreiber, Hersteller, etc. darf ein zumutbarer Aufwand abverlangt werden, um ihr Produkt, Erzeugnis oder Service vor Missbrauch zu schützen.
Bleiben wir kurz beim obigen Beispiel mit dem Brückengeländer: Würde sich im Rahmen eines Gerichtsprozesses herausstellen, dass der Hersteller des Brückengeländers bei der Errichtung bzw. Instandhaltung fahrlässig gehandelt hat, dann wäre es durchaus denkbar, dass sich dieser Hersteller in einem separaten Prozess zu verantworten hätte.

Anderes Beispiel:
In Deutschland müssen Waffen in Privatbesitz – je nach Sicherheitsbehältnis – räumlich getrennt von der Munition und in einem verschließbaren Behältnis aufbewahrt werden.
Sollte diese Vorschrift missachtet werden und sich jemand unerlaubt Zugang zu der Waffe + Munition verschaffen und in weiterer Folge mit dieser Waffe einen Mord begehen, dann wird sich sehr wohl auch der Eigentümer der Waffe vor Gericht verantworten müssen.
 
Zuletzt bearbeitet:
Rallomane schrieb:
Der Schuldige ist aber immer der, der die Arglosigkeit ausnutzt!!!

Schön. Ich hab aber nicht gesagt, dass derjenige nicht bestraft werden soll. Der, der das ermöglicht hat, sollte aber auch was davon abbekommen. Weil eine Verbesserung hingehört, DA ES SONST WIEDER VORKOMMEN KANN!

Oder willst du dass man 10 mal hintereinander neue Daten von der selben Firma klaut?

Klar Fehler können immer passieren (noch viel schlimmer wäre es wenn der selbe Fehler 2 mal passiert).
Wobei man sagen muss, dass es bei solchen Dingen eine SELBSTVERSTÄNDLICHKEIT ist, alle Sicherheitsvorkehrungen korrekt einzuhalten! Das alles einfach perfekt vorkalkuliert wurde!

Oder würdest du auch nur den Makler fertig machen wollen, wenn das Haus wegen einen inkompetenten Ingenieur abstürzt und eine Famile dabei getötet wurde? Er hat das Haus schliesslich verkauft, der Übeltäter, der so dreist war...... ;)
 
Zuletzt bearbeitet:
koolaid schrieb:
Von wem kam jetzt das Zitat? Egal, hier mein Gegenbeispiel warum deine Denkweise falsch ist: Ich schubse jemanden über ein Brückengeländer. Nach deiner Logik wird der Hersteller des Brückengeländers verklagt weil es nicht hoch genug war.

So funktioniert das nicht.

Und wenn das Geländer fehlt?
 
Chillvie schrieb:
Ich bin nicht besonders kryptografisch belesen, aber soweit ich es mitbekommen habe: Passwörter salted und mit AES (256 Bit) gehashed in einer Datenbank hinterlegen.
Eher bcrypt als Algorithmus nehmen. Bei Passworthashing geht es darum einen möglichst langsamen Algorithmus zu nehmen, damit Bruteforceangriffe möglichst lange dauern. Blowfish ist ca. 1000 mal langsamer als SHA512 oder MD5, dementsprechend braucht man auch 1000 mal länger um eine bestimmte Anzahl Hashes durchzulaufen. Teilweise sogar noch langsamer. (Beispiel: Auf dem Rechner eines Users im Internet wurde ein bcrypt-Hash in 0,3 Sekunden berechnet, während MD5 weniger als eine Mikrosekunde brauchte. Das ist ein Faktor von 300000. )
Für den Server bzw. Nutzer ist es relativ irrelevant, da selbst 0,1Sekunde fürs Hashen noch schnell genug ist, sofern nicht tausende Leute gleichzeitig drauf zugreifen. (Für Diablo3-Login also vllt. weniger gut geeignet. ;) )

AES ist daher insofern schlecht, da dieser Algorithmus von modernen CPUs massiv beschleunigt wird und somit die Sicherheit senkt.
Aber natürlich mit Salt und das Hashen selber mit HMAC ("Keyed-Hash Message Authentication Code").
 
Zuletzt bearbeitet:
Picknatari schrieb:
Hallo,

PwnedList ist auch so was wie Scareware. Ich habe meine E-Mail gecheckt und es wurde gesagt: 1x gefunden, als ich dann mich angemeldet hatte -> kein mal gefunden. Ist das verarsche?
same here....
 
koolaid schrieb:
@tree-snake
Welche Seite sichert Passwörter im Klartext? Muss doch zumindest mal das unsichere md5 zum Einsatz kommen. Deine Idee für Strafen bei mangelndem Datenschutz finde ich gut.

@buzz89
Ich verwende sowieso nie das Mail Acc Passwort auf anderen Websites und wer benutzt für eine Spielewebseite die Mailadresse mit echtem Namen? (die sollte man nur für wichtige Dinge wie Pay-pal nutzen)

Dafür gibt es Account Checker die das in Sekunden prüfen.
Hier werden die erbeutetet Daten (Mail Passwort)in Sekunden an allen relevanten Seiten ausprobiert.

Rallomane schrieb:
buzz89
Natürlich sind die Täter dafür verantwortlich, wer denn sonst????

Ich kanns nicht mehr hören, das Gerede von den Samaritern, die nur auf irgendwelche Missstände aufmerksam machen wollen, oder was auch immer...


Ach so wenn du des Schlüssel in deinem Auto stecken lässt, bist du natürlich nicht schuld.
Wenn du deine Haustür offen stehen lässt bist such auch nicht schuld, schon klar.
Es sind die die diese Dummheit ausnutzen.
Komisch das deine Versicherung in diesen Fällen nicht zahlt weil es grob fahrlässig war.

Und das selbe gilt hier.
Komisch das es andere schaffen ihre Daten zu sichern.
 
Zurück
Oben