News Wegen Datenklau: Opera-Nutzer müssen Browser-Passwort ändern

Vielleicht sollte man noch erwähnen, dass die User-Passwörter wenigstens mit einem Salt gehashed waren und nicht im Klartext gespeichert.

Although we only store encrypted (for synchronized passwords) or hashed and salted (for authentication) passwords in this system, we have reset all the Opera sync account passwords as a precaution.
 
Zwar immer doof sowas, lässt sich aber wohl nich ganz vermeiden....wenigstens wurden die Sachen aber scheinbar vernünftig gespeichert und die Reaktion ist auch vorbildlich.
 
Nutzer sollen die Passwörter aller über den Sync-Dienst gespeicherten Website-Logins ändern.
Nur nicht verharmlosen, das ist ernst, wenn Benutzer tatsächlich auch Website-Logins wie für PayPal, Sparkasse usw. im Browser speichern und dann auch noch synchronisieren.
Bis das alles die Runde macht, sind die Verbrecher schon satt.
 
N1truX schrieb:
Vielleicht sollte man noch erwähnen, dass die User-Passwörter wenigstens mit einem Salt gehashed waren und nicht im Klartext gespeichert.
Es ist ja schön, dass die Passwörter gesalzen wurden, nutzt nur nichts, wenn die entsprechenden Hashmethoden dahinter entweder als veraltet/unsicher gelten oder nicht genug Runden angewendet werden.

Ein (wie im vB) md5(md5(passwort).salt) ist auch mit einem Salt heute nicht mehr sicher. Wenn sie hingegen bcrypt oder sha512 mit entsprechenden Anzahlen an Runden verwenden, können sie sich an komplexeren Passwörter die Zähne ausbeißen.
 
Gut, Danke für die Meldung. Blöd, wenn man eben diesen Synch-Dienst benutzt hat und nun ändern darf. Dann muss ich halt mal anfangen...
Soeben gesehen, dass Opera gestern schon per Mail informiert hat. Finde dies wirklich vorbildlich von ihnen.

Bei dieser Gelegenheit frage ich mich, was denn eine sichere und gescheite Art ist, die Passwörter zu managen und auch zu synchen. Eigentlich ist ja leider jeder Dienst nicht vor solchen Angriffen sicher. Auch wenn die PWs hashed & salted sind. Aber wie Teralios schon geschrieben hat, sind auch heute salted PWs nicht mehr so ganz sicher.
Gibt es da heute vertrauenswürdige Lösungen? Natürlich am liebsten Plattformübergreifend (Win & Android).
Klar, die beste wäre vermutlich eigener Server, aber die hat natürlich nicht jeder rumstehen.
Oder vielleicht doch: jemand Erfahrung nit Synology und Synopass? http://www.itsmdaily.com/synopass-password-manager-for-synology/
 
ALLES wichtige, was außerhalb des eigenen PC's gespeichert wird, aber auch wirklich ALLES wichtige, muss man zuerst selber 128 oder 256 Bit AES-verschlüsseln, auch die KeyPass DB !

Nachtrag für Gringoli:
du musst die PW-DB oder andere Sachen eben verschlüsselt in der z.B. Magenta-Cloud ablegen und auf dem Mobile-Device wieder entschlüsseln und in die PW-App importieren.

Z.B. mit Cryptomator.
 
Zuletzt bearbeitet:
Gringoli schrieb:
Gut, Danke für die Meldung. Blöd, wenn man eben diesen Synch-Dienst benutzt hat und nun ändern darf. Dann muss ich halt mal anfangen...
Soeben gesehen, dass Opera gestern schon per Mail informiert hat. Finde dies wirklich vorbildlich von ihnen.

Bei dieser Gelegenheit frage ich mich, was denn eine sichere und gescheite Art ist, die Passwörter zu managen und auch zu synchen. Eigentlich ist ja leider jeder Dienst nicht vor solchen Angriffen sicher. Auch wenn die PWs hashed & salted sind. Aber wie Teralios schon geschrieben hat, sind auch heute salted PWs nicht mehr so ganz sicher.
Gibt es da heute vertrauenswürdige Lösungen? Natürlich am liebsten Plattformübergreifend (Win & Android).
Klar, die beste wäre vermutlich eigener Server, aber die hat natürlich nicht jeder rumstehen.
Oder vielleicht doch: jemand Erfahrung nit Synology und Synopass? http://www.itsmdaily.com/synopass-password-manager-for-synology/

Raspberry Pi mit Nextcloud und KeePass auf den Clients (PC, MAC, Handy, etc.)
 
Teralios schrieb:
Ein (wie im vB) md5(md5(passwort).salt) ist auch mit einem Salt heute nicht mehr sicher. Wenn sie hingegen bcrypt oder sha512 mit entsprechenden Anzahlen an Runden verwenden, können sie sich an komplexeren Passwörter die Zähne ausbeißen.
Heute noch MD5 zu verwenden gehört eh unter Strafe gestellt :D

Aber klar, wenn es so altbacken wie bei vBulletin gelöst würde, hätte man ein Problem. Da die Skandinavier aber eigentlich generell sehr auf Privatsphäre, Datenschutz und Co bedacht sind, KÖNNTE es durchaus eine sinnvolle Verschlüsselung sein. Ein HMAC mit SHA-256 oder SHA-512 wäre schon etwas anderes als das o.g. MD5-Sandwich.

In der Hoffnung, dass die Angreifer keinen Zugang auf das Dateisystem hatten, tut Opera natürlich gut daran keine Details (Stufen, Hash-Funktion(en), ggf. vorhandener Pepper) preiszugeben.
 
Zuletzt bearbeitet:
Gestern habe ich eine email von dropbox bekommem um passwort zu ândern und heute von opera. İch bin aber froh das ich überall andere passwort benutze. İnternet war nie so unsicher wie heute. Macht mich irgendwie traurig.
 
Deswegen speichert man seine Passwörter nicht in Browser-Clouds. Nervt mich ungemein, wenn dies auch noch als Default aktiv ist und man eigentlich nur Bookmarks syncen wollte.
Die Krone setzen dem Ganzen noch gesyncte History und offene Tabs auf. Gläserner kann man sich nicht mehr machen.
 
Soll man jetzt alle gespeicherten Passwörter ändern oder nur die synchronisierten?


Danke.
 
Sag das mal denen die ihre Passwörter in der cloud ablegen xD

Dass ein Dienst gehackt wird, okay, passiert. Blöd nur wenn über den Dienst Dein Internet abläuft und sie somit ALLES mitschneiden können.
 
Termy schrieb:
Zwar immer doof sowas, lässt sich aber wohl nich ganz vermeiden....wenigstens wurden die Sachen aber scheinbar vernünftig gespeichert und die Reaktion ist auch vorbildlich.

1.) Doch indem man solche schwachsinnigen Funktionen gar nicht erst anbietet. Ein Passwort verifiziert den Benutzer und muss von diesem auch ei gegeben werden. Wenn das der eigene Rechner daheim ist dann meinetwegen aber doch nicht rauf in die Cloud synchronisieren.

2.) Wenn das gespeicherte Kennwörter für Webseiten von Drittanbietern sind, dann wurde sicher kein Hashverfahren verwendet. Das kann man bei eigenen Diensten machen und dann nur den Hash vergleichen, aber bei externen Seiten muss man sich mit dem realen Kennwort vauthentifizieren d.h. es kann maximal eine asynchrone Verschlüsselung verwendet werden d.h. irgendwer hat den private Key mit dem die Daten wiederhergestellt werden können.
 
Mal ne Frage in die Runde: ich verwende (immernoch) die alte Version, 12.17. Bin ich auch betroffen? Opera Link wurde ja eingestellt, Konto existiert aber noch. Verwechsel ich hier was?
Ne Mail hab ich nicht bekommen, erst als ich gerade mein PW resetet hab
 
Nur gut das ich 0,0 Synce weder Passwörter(wer speichert wichtige Sachen überhaupt im Browser) noch Bookmarks. :)
 
Mir war bis dahin gar nicht bewusst, dass bei Opera Passwörter standardmäßig mit synchronisiert wurden. Peinlich, peinlich... :rolleyes:
Also erst mal alles betroffene geändert und den Synch von Passwörtern deaktiviert (und Sichern von Passwörtern auch abgeschaltet).

Wirklich wichtige Sachen (Onlinebanking oder irgendwas, wo Zahlungsinformationen hinterlegt sind) waren zum Glück eh nicht dabei, denn da habe ich dann doch so weit mitgedacht, dass ich solche Passwörter nicht im Browser speichere.

Es scheint aber nur eine Frage der Zeit zu sein, dass einem irgendwas schlimmeres passiert. Die Hacker scheinen so übermächtig und allgegenwärtig zu sein, dass früher oder später auch Amazon, Steam, Banken usw. direkt gehackt und die Accounts ausgeplündert werden.
 
lemba schrieb:
Raspberry Pi mit Nextcloud und KeePass auf den Clients (PC, MAC, Handy, etc.)
This. Keepass DB mit passwort hoher Entropie. Womit man synchronisiert sollte egal sein. Ich nehme Dropbox
 
Zuletzt bearbeitet:
Zurück
Oben