News Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs

[DieRenteEnte]

Du gehst zu leichtsinnig mit solchen Aussagen um. Sorry.
Ich kann durchaus nachvollziehen, dass Steffen da nicht amused ist.

Beide Sätze beziehen sich aber nicht auf die selbe Situation.

 

[leckerKuchen]

Geil hab gerade so eine Trash-Mail von mir überprüft. Lustig wo die überall auftaucht und was alles in der Vergangenheit von Datenlecks befallen war. Und natürlich taucht die Müllmail auch in der Collection 1 auf.

 

[scryed]

Naja...
ich habe eine E-Mail erstellt, damit ein ComputerBase Account erstellt und diese E-Mail nur hier genutzt.
Irgendwann habe ich eine neue (die Aktuelle) E-Mail erstellt, diese im ComputerBase Account geändert und seit dem wortwörtlich nie wieder angefasst oder darin eingeloggt.
Ich hatte die E-Mail also wortwörtlich nur zwei mal im Leben geschrieben. Beim Erstellen und Eingeben hier im Forum. Alles innerhalb weniger Minuten. Das dritte Mal war zum Test, ob diese geleakt wurde.

In dem Sinne gibt es nur zwei Möglichkeiten:
1. Ich hatte einen Keylogger beim Erstellen dieser E-Mail
2. "ComputerBase ist schuld". Also Datenleck, Sicherheitslücke, schlecht programmiert, gehakt, usw.

Option 1 ist unwahrscheinlich, da ich das Ändern aller meiner Passwörter und E-Mails auf einem frisch installiertem Linux System in einer Virtual Box durchgeführt habe.
Option 2 ist sehr viel wahrscheinlicher, da es immer neue Möglichkeiten gibt Daten aus irgenwelchen Seiten zu auszulesen. Damit wäre ComputerBase vielleicht nicht direkt schuld, da wohl unvermeidbar, aber trotzdem zu einem kleinen Teil Teilschuld.

So oder so... es ist egal.
Ich habe die News schon bevor die auf ComputerBase veröffentlich wurde gelesen und das Passwort mittlerweile geändert. Und selbst wenn jemand die E-Mail klaut, das Passwort vor mir ändert und mich aussperrt, wäre es nicht tragisch. Ein neuer Account ist schnell erstellt.

1. Emails sind allgemein kein Geheimnis, die wurden ja dazu erfunden um online mit Leuten in Kontakt zu treten, praktisch deine online Handynummer

2. Auch wenn man Email Adressen nur auf einer speziellen Seite benutzt heisst das lange nicht das diese nicht den Weg in eine Sammlung findet bzw das direkt die spezielle Seite schuld ist, dein Mail Anbieter kann die Adresse auch verscherbeln... Böswillig oder nicht


Leute macht euch klar wie auch immer Emails werden ihren Weg in eine Liste finden, wenn Eure mailadresse nun hier auftaucht keine Panik, fühlt ihr euch unsicher oder habt das Passwort seit langem dann austauschen

Es bringt garnicht eine neue mailadresse anzulegen (ausser man brauch eine neue im allgemeinen oder trennt Webseiten nach Emails) denn auch die neue wird in einer Liste landen ob ihr wollt oder nicht

Man merkt auch das das Thema nur zum Panikmache genutzt wird, erst kürzlich im Radio wurde auf diese Webseite wo man seine Adresse eingeben kann hingewiesen und wenn diese da auftaucht ist das was schlimmes, medien halt man sollte eigentlich ehr die Panikmache aus der geschichte nehmen aber nein man verunsichert den Bürger nur noch mehr


Edit

Einen sehr wichtigen Punkt übersehen einfach viele, wer hat denn noch keine fake Daten angegeben die man sich aus den Flingern gezogen hat

Oder dritte die sich einfach mailadressen ausdenken oder einfach Tippfehler.... Wie viele Adressen haben dopplungen weil es diese gibt wird eine 1.... Usw rangehängt beim eingeben bei gewinnspielen oder so einfach vergessen

Und weiter, nutzt man eine mailadresse auf nur einer Seite kann diese eine Seite zu einem viel größeren Unternehmen gehören und schwups liegt die Mail add beim mutterkonzern

Jedefals mailadressen sollen ja unverschlüsselt sein denn sie sind ja da um Kontakt zu schaffen

 

[DieRenteEnte]

Jedefals mailadressen sollen ja unverschlüsselt sein denn sie sind ja da um Kontakt zu schaffen

Das sehe ich nicht so.
Es wäre meiner Meinung nach besser, wenn man E-Mail Adressen auch verschlüsseln würde.

Man hebelt es beim Verraten zwar aus (wie beim Passwort), aber wenn man eine E-Mail Adresse auf Seiten wie ComputerBase eingibt, sollte man die gegen absolut jeden verschlüsseln können.
Ich möchte hier weder von Nutzern noch Admins E-Mails erhalten, ganz einfach weil ich die E-Mails überhaupt nicht ansehe. Und für genau diesen Fall, sollte die E-Mail verschlüsselt sein.

Eine noch bessere Alternative wäre aber, die E-Mails überhaupt nicht eingeben zu müssen.
Ein Benutzername mit Passwort wäre vollkommen ausreichend. Und mir kann niemand erzählen, dass E-Mails unbedingt dazu gehören müssen.
Ich habe das Internet auch noch zu der Zeit erleben dürfen, in denen das auch genau so möglich war.

E-Mails werden heute doch nur überall genutzt, "weil es schon immer so war" und Alternativen gar nicht erst in Betracht gezogen werden. Es geht einfach um die Möglichkeit es selbst entscheiden zu können.

 

[Steffen]

Wie ich dir in meinem vorigen Beitrag schon erklärt habe, ist es unmöglich, E-Mail-Adressen verschlüsselt zu speichern, wenn die Forumsoftware dir E-Mails senden können soll. Denn dazu muss die Forumsoftware die E-Mail-Adresse entweder im Klartext vorliegen haben oder sie muss sie jederzeit entschlüsseln können. Für letzteres müsste sie jederzeit auf den Schlüssel zugreifen können, d.h. effektiv wäre die Verschlüsselung dann sinnlos. Deine "Meinung" kann an diesen Fakten nichts ändern. Wenn du hier weiter deine "Meinung" kundtust als ob es andere Beiträge nicht gegeben hätte, dann können wir uns diesen Austausch hier sparen.

Man kann natürlich grundsätzlich einen Dienst betreiben, bei dem man gar keine E-Mail-Adresse eingeben muss. Das kannst du ja gerne selbst machen, ich halte das nicht für sinnvoll (in erster Linie weil man dann vergessene Passwörter nicht zurücksetzen kann).

 

[Chris007]

@Chris007
Stört dich der Vergleich, oder gehts ums Recht haben?

PW's sind regelmäßig zu ändern, Grundregel im Internet, weil man, im Gegensatz zum Schlüssel, keine persönliche Kontrolle über die Lagerung hat.

Die Regel heißt nicht "ändere das PW immer dann, wenn du von einem Leak hörst", denn davon hörst du eh nie, wenn überhaupt Jahre später, weil es keine Gesetze gibt die Unternehmen zwingen Leaks öffentlich zu machen.

Du willst das anders handhaben? Be my guest, erwarte nur kein Mitleid.

mir geht es nicht darum wie du oder ich meine Passwörter sicher bekomme, sondern wie man das Problem für die Allgemeinheit löst.
Und es ist einfach ziemlich unrealistisch das jeder Dau für 30+ Webseiten ständig alle Passwörter wechselt
Das Internet hat in seiner jetzigen Form einfach viel zu viele Sicherheitslücken, da muss sich irgendwann mal was grundlegendes ändern, anstatt mit ständig neuen Passwörtern herumzudoktern

 

[Yuuri]

Das Internet hat in seiner jetzigen Form einfach viel zu viele Sicherheitslücken, da muss sich irgendwann mal was grundlegendes ändern, anstatt mit ständig neuen Passwörtern herumzudoktern

OAuth ist zumindest ein guter Ansatz. Hier müsste man allerdings noch weiter gehen im Sinne von Tim Berners-Lees Solid, sodass man seine Daten bei sich behält und Anbieter sich nur noch aus diesem Stamm bedienen können und ich Herr darüber bin, was andere Anbieter auslesen dürfen. Ist allerdings noch ein steiniger, langer Weg.

Wobei für die Masse bei dem Prinzip allerdings auch nichts gewonnen sein wird, denn die werden wohl einfach alles freigeben und überall auf Ja klicken. Wobei da natürlich auch nicht sichergestellt ist, dass die Anbieter die abgefragten Daten nicht auch weiterhin selbst horten (was sie definitiv tun werden), verknüpfen und irgendwann Schindluder treiben.

So kann man aber zumindest halbwegs selbst steuern, was wo auftaucht und wer Zugriff auf was besitzt.

 

[new Account()]

Man könnte auch darüber nachdenken, in Websites eine standardisierte API zum Account erstellen, Einloggen und PW ändern einzuführen.
Dann könnte ein z.B. in den Browser integrierter PW-Manager sich automatisch einloggen mit dem aktuellen Passwort (, sich ggf. auch automatisch registrieren) und auch von Zeit zu Zeit die Passwörter automatisch wechseln.
Als User bräuchte man sich dann über PWs keine Gedanken mehr machen, außer überall den gleichen PW-Manager installiert zu haben.

 

[Steffen]

In dieser Richtung tut sich gerade was: https://webauthn.guide

Und: https://medium.com/@herrjemand/introduction-to-webauthn-api-5fd1fb46c285

 

[fischpo]

Muss ich jetzt wirklich 10GB Passwörter herunterladen?
Ich habe die zugehörigen PW zu den E-Mail Adressen, die hier bei Collection #1 erneut auftauchen, schon beim letzten größeren leak, der durch die Presse ging, geändert. Da ich diese E-Mail aber bei vielen Diensten nutze, ist es für mich essentiell, ob das alte Daten sind (also die alten Passwörter ), die hier nur wieder auftauchen.
HIBP kann nicht einfach das korrespondierende PW aus der Datenbank an die betreffende E-Mail-Adresse senden?
Wäre ideal.

 

[Arcturus128]

HIBP kann nicht einfach das korrespondierende PW aus der Datenbank an die betreffende E-Mail-Adresse senden?
Wäre ideal.

So wie ich das verstanden habe gibt es ja kein "dazugehöriges" Passwort, weil E-Mail-Adressen und Passwörter nicht zusammen gespeichert werden.

 

[fischpo]

Oh, richtig.
Ich habe aber eine Lösung. Zumindest, wenn man sich mit seinem Passwort viel Mühe gegeben hat, kann man nachsehen, ob es unter Pwned Passwords auftaucht.
Mir jedenfalls hilft das sehr viel weiter.