ComputerBase Menü
Aktuelles

News Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs

Sykehouse schrieb:
OTP for the win
Zum Vergrößern anklicken....

Völlig egal bei irgendwelchen Foren, wenns dich nicht stört dass dein Account gekapert wird kannste auch 123 nehmen, und ob ich hier als mambo mit fiktivem Dienstgrad X oder mambo2.0 mit 10 fiktiven Dienstgraden drunter poste ist mir völlig buggi, genauso wie bei Heise oder sonstwo. Genauso bekommen auch Händler nicht meine Daten wenn ich da nicht öfter ordere, da gibts dann Nachnahme oder sie haben halt Pech (was auch vor Fakeshops schützt;))
Einfach drölf Accounts weniger, nur die Daten rausgeben die nötig sind und ich hab für sowas noch ne extra Spammailadresse.
 
  • Gefällt mir
Reaktionen: FGA
Ok Leute, mal Klartext!

Also wenn ich jetzt irgendwo, zB bei ner Email, oder Onlinespielseite mein Passwort "erneuere/ändere", in dem Moment geht das ja übers Inet und kann somit schonwieder ausgelesen/abgefangen und gespeichert werden.

Wo also soll der Nutzen dabei sein?

Ich denk es wär einfacher übers Inet einfach nix sensibles zu machen. Alles was man da eingibt kann und wird ausgelesen werden. Und alles im Inet iss vergänglich, nur Zeitvertreib und Fun macht da Sinn.

Oder wo iss mein Denkfehler?
 
frizzmaster schrieb:
@FGA Google mal nach SSL / TLS.
Zum Vergrößern anklicken....

Und? Das ist genauso angreifbar, und spätestens auf der Zielwebseite liegen ja deine Daten auch. Also kann man auch da die Datenbank angreifen?
 
FGA schrieb:
Also wenn ich jetzt irgendwo, zB bei ner Email, oder Onlinespielseite mein Passwort "erneuere/ändere", in dem Moment geht das ja übers Inet und kann somit schonwieder ausgelesen/abgefangen und gespeichert werden.
Zum Vergrößern anklicken....

Die zitierte Passage liest sich in der Formulierung so, als würdest Du aussagen wollen, dass Daten im Internet per se unverschlüsselt und für Jedermann auslesbar sind. Das stimmt nicht. Und die Zielwebsite hängt nicht vom Transportweg ab. Darum mein Kommentar in dem Post davor.
 
  • Gefällt mir
Reaktionen: Oceanhog und FCK-THIS
Hmm muss ja irgendwas richtig gemacht haben nicht mal meine Spam Adressen kann ich da finden, verwunderlich.
 
Bei mir war eine alte Email-Adresse betroffen und sogar mit einem Kennwort, dass ich mal verwendet habe. Denke das sind auch viele Daten aus Hacks von Onlineshops und Foren oder Ähnlichem? Gezuckt habe ich da schon mal. Mittlerweile habe ich durch Keepass auch überall verschiedene kryptische Kennwörter, das war zugegebener Weise früher nicht immer so *schäm*. Wo es geht benutze ich 2-Wege-Auth..

So wie ich das verstehe hilft das aber nicht, wenn das tolle Kennwort in einem Shop/Forum im Klartext in der Datenbank liegt und geklaut wird?
 
mambokurt schrieb:
Völlig egal bei irgendwelchen Foren,
Zum Vergrößern anklicken....
Klar, für Foren und so braucht's 2FA, wollte damit sagen, dass 2FA auch ohne Preisgabe persönlicher Daten geht (man muss ja nicht grad den Google Authenticator nutzen).
 
Yuuri schrieb:
Weil es absolut unnütz ist, wenn die Plattform gehackt wird. Wenn du eh einmal Zugriff hast, kannst du von jedem User auch einfach das Passwort ändern und 2FA deaktivieren oder Konten auch einfach löschen. Du kannst auch einfach nur den Shared Key vom 2FA auslesen und zukünftig nutzen.
Zum Vergrößern anklicken....

Das würde ich gerne verstehen. Wenn ich auf einer Website einstelle, dass ein zweiter Faktor benötigt wird, um den Login abzuschließen, wie kann ein Angreifer dann allein mit Kenntnis meiner Email-Adresse und des Passworts diese 2FA auf meinem Account aushebeln? Er hat doch keinen Zugriff auf meinen Account, wenn er nur die Email-Adresse und das Passwort kennt.
Wenn ich dich richtig verstehe, gehst du davon aus, dass der Angreifer kompletten Zugriff auf die Host-Plattform hat, also nicht nur irgendeine Datenbank mit Zugangsdaten abgegriffen, sondern vollen Zugang zum System hat, um dort dann serverseitig 2FA zu deaktivieren. Der Angreifer klaut also nicht die Zugangsdaten-Datenbank, sondern übernimmt den kompletten Server. Erst dann wäre 2FA aushebelbar, oder? Und doch auch nur durch diesen einen Angreifer. Wenn 2FA vom Server nicht deaktiviert wird, und meine Email-Adresse mit Passwort im Internet landet, hat niemand Zugriff auf meinen Account, da 2FA ja noch aktiv ist.


edit:

FGA schrieb:
Und? Das ist genauso angreifbar, und spätestens auf der Zielwebseite liegen ja deine Daten auch. Also kann man auch da die Datenbank angreifen?
Zum Vergrößern anklicken....

Ja das ist richtig, es hat ja auch niemand behauptet, dass es einen 100%igen Schutz gibt! Aber wenn du alle 5 Minuten dein Passwort änderst, ist doch die Chance, dass in einer geleakten Datenbank deine aktuellen Zugangsdaten gespeichert sind, eher gering, oder?
Einfach regelmäßig das Passwort ändern und wenn möglich eine sichere 2FA-Methode verwenden, wenn einem die Daten im Account wichtig sind. Es ist auf jeden Fall nicht damit getan, das Passwort einmal festzusetzen und dann nie wieder zu ändern, weil es ja bei einer Änderung direkt abgefangen werden könnte. Seriöse Websites speichern Zugangsdaten außerdem nicht im Klartext, sondern gehasht in einer verschlüsselten Datenbank.

Zu SSL/TLS von davor noch: Es gibt Tools für Browser, die automatisch die Verbindung zu einer Website blockieren, wenn die Verbindung nicht verschlüsselt erfolgen kann.
 
Zuletzt bearbeitet:
sorry vertan ... eine meiner Mailadressen gefunden. Besten Dank an Gamigo, deren Forum gehackt wurde. Ist aber schon seit Ewigkeiten bekannt, der Hack war 2012 ...
 
Zuletzt bearbeitet:
Die meisten emailadressen kommen von irgendwelchen gehackten foren. Das heisst nicht, dass das email konto betroffen ist. Und ohne email pw kann mir ein forum hack egal sein.
 
CrEaToXx schrieb:
@f1nal
In der Tat stellt es sich immer wieder raus, dass eigtl. alle Nutzer recht Sicherheitsbewusst handeln, die Provider aber schlampig gehandelt haben. Wobei es immer Ausnahmen der Regel gibt.
Zum Vergrößern anklicken....
Also hier muss ich mal kurz einhaken.
Ich arbeite als admin für ein ziemlich großes Unternehmen was in den KRITIS Sektor fällt, und du glaubst gar nicht wie oft wir am Tag Anrufe von Anwendern bekommen die sich wundern dass sie ihr Domänen Passwort nicht ändern können.
Wenn wir ihnen dann erzählen dass das neue Passwort aus den vier Kategorien (upper case, lower case, Zahlen und Sonderzeichen) mindesten drei enthalten muss, stöhnen schon mal alle, und sagen dann, geht immer noch nicht.
Wenn wir ihnen dann sagen dass es auch nicht aus der Passworthistorie der letzten 12 Monate stammen darf, stöhnen sie wieder, und sagen dann, geht trotzdem nicht.
Wenn wir ihnen dann sagen dass es weder Vor- noch Nachnamen enthalten darf, sagen sie nur "oh, ok..." und legen auf. Soviel zum Thema Sicherheitsbewusstsein.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Otsy, Schatten123, ringlbob und 2 andere
Meine seit 1997 verwendete Mailadresse ist da nicht drin.... Entweder habe ich viel richtig oder andere nichts richtig gemacht...
 
Hier wird aber ein wenig übertrieben.

Von meiner Domain aus ist genau eine Adresse in einem Breach vor Jahren enthalten, mit der Info, dass salted Passwort hashs gestohlen wurden. Eine Adresse, die genau für eine einzige Seite benutzt wurde.

Dann taucht genau die identische Adresse in anderen Breaches auf, wo sie plötzlich von Passwörtern im Klartext reden. Halte ich zwar nicht für unmöglich, aber ich glaube hier eher, dass der Großteil dieser neuen Breaches einfach nur Sammlungen von alten Bekannten sind, wo ein paar davon vielleicht Klartext vorkommen. Denn aus neueren "richtigen" Breaches konnte die Adresse nicht stammen, da sie nirgends sonst verwendet wurde.

Zudem hatte das Passwort auch nie was mit dem Emailpasswort zu tun.

Was ich damit sagen will:
Hier wird vielen Menschen, insbesondere auch der Presse, suggeriert, dass es einen gigantischen Breach von Emailaccounts gibt. Hier sollte man realistisch bleiben und sagen, dass das eigentlich gar nicht zutrifft. Leute mit Universalpasswörtern können da natürlich eher betroffen sein, aber dass sich jemand die Mühe macht, um gehashte, salted Passwörter in der Menge zu knacken kann ich mir nicht vorstellen, sofern es keine katastrophale Implemtierung gab.
 
shortround schrieb:
Also hier muss ich mal kurz einhaken.
Ich arbeite als admin für ein ziemlich großes Unternehmen was in den KRITIS Sektor fällt, und du glaubst gar nicht wie oft wir am Tag Anrufe von Anwendern bekommen die sich wundern dass sie ihr Domänen Passwort nicht ändern können.
Wenn wir ihnen dann erzählen dass das neue Passwort aus den vier Kategorien (upper case, lower case, Zahlen und Sonderzeichen) mindesten drei enthalten muss, stöhnen schon mal alle, und sagen dann, geht immer noch nicht.
Wenn wir ihnen dann sagen dass es auch nicht aus der Passworthistorie der letzten 12 Monate stammen darf, stöhnen sie wieder, und sagen dann, geht trotzdem nicht.
Wenn wir ihnen dann sagen dass es weder Vor- noch Nachnamen enthalten darf, sagen sie nur "oh, ok..." und legen auf. Soviel zum Thema Sicherheitsbewusstsein.
Zum Vergrößern anklicken....

Es gibt genug Untersuchungen, dass zu komplexe Passwortrichtlinien genau das Gegenteil von Sicherheitsgewinn bewirken. Einfach mal drüber nachdenken oder auch mal alternative Anmeldeverfahen in Betracht ziehen ( 2FA.) KRITIS rechtfertigt nicht alles und es gibt sicher für den Mitarbeiter auch einfachere Verfahren.
 
LordAKA schrieb:
Es gibt genug Untersuchungen, dass zu komplexe Passwortrichtlinien genau das Gegenteil von Sicherheitsgewinn bewirken.
Zum Vergrößern anklicken....

Ich hätte jetzt argumentiert, dass das Erraten eines Passworts unwahrscheinlicher ist, je größer der Pool an verfügbaren Zeichen ist. Dadurch wären Passwörter mit einer Vielzahl an geforderten, unterschiedlichen Symbolen "sicherer". Kannst du (oder jemand anderes) hier vielleicht einen solchen Untersuchungsbericht verlinken, bei dem ein Sicherheitsverlust mit zunehmender Komplexität des Passworts stattgefunden hat?
 
  • Gefällt mir
Reaktionen: Schatten123
wetterauer schrieb:
So wie ich das verstehe hilft das aber nicht, wenn das tolle Kennwort in einem Shop/Forum im Klartext in der Datenbank liegt und geklaut wird?
Zum Vergrößern anklicken....

2 Factor kann leider auch sehr leicht ausgehebelt werden.
Heutzutage braucht man nicht mal mehr Hacker Skills
Social Engineering reicht.
Jeder aus deinem Umfeld kann sich alle Accs von Dir holen, muss nur klug genug sein.
Es reichen meist ein paar Informationen.
Gerade die ganzen Sicherheits-Funktionen machen es oft noch einfacher....
Smartphones sind aktuell ein riesen Problem, wer das knackt der hat meist eh alles von den Leuten.
Mit den vorgefundenen Infos kommt man bei jedem Acc rein, egal ob PW oder nicht.
Finde die Diskussion bei nicht IT Leuten und in den Medien immer sehr lustig.
Es ist immer nur die Rede von Hackern, obwohl die Bezeichnung falsch ist.
Und immer wird nur zu einem sicheren PW geraten.
Es gibt Sicherheitsrichtlinien auch bei Privatanwendern, die jeder einhalten kann.
Sicherheit ist immer eine Sache von Aufwand, die nur die wenigsten betreiben.
 
  • Gefällt mir
Reaktionen: linuxxer
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News Bekannte Überwachung nur „Spitze des Eisbergs“
4 5 6
Antworten
114
Aufrufe
16.212
MXE
M

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz