Passwörter geleakt und nun?

Dieses Thema im Forum "Tech & FAQ Forum" wurde erstellt von lessie, 26 Januar 2019.

  1. lessie

    lessie Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    6.749
    Hey,

    habe nachgeschaut und meine 2 email Accountes sind in der Liste von HPI Identity Leak Checker.

    So was tun? Habe dann die Passwörter https://haveibeenpwned.com/ eingegeben und nichts. Alles ok.
    Das Problem sind doch eigentlich die Bestände und das diese alte sind und bei HPI nichts steht woher . Seit dem letzten Mal habe ich schon für jede Seite ein eigenes Passwort, also eher ein Satz, der dann Seitenmäßig angepasst wird vergeben.

    Wie geht ihr damit nun um? pwned glauben oder wieder alles ändern?
    romeo sagt Danke.
  2. silverrider

    silverrider The One and Only

    Registriert seit:
    7 April 2013
    Beiträge:
    1.955
    Anmerkung: Mach den Test später noch einmal, weil aktuell zwei riesen Datenbanken erst eingelesen werden!
    Also in 1-2 Tagen.
  3. Theoderix

    Theoderix Miesepeter

    Registriert seit:
    22 April 2001
    Beiträge:
    3.331
    Soweit ich gelesen hatte sind bei Troy Hunt die Collection #2-5 noch nicht im Datenbestand drin, bei HPI schon.
    Deswegen kann es sein du wirst bei ihm unter powned noch nicht gefunden, bei den anderen schon. Warte bis er seinen Datenbestand aktualisiert hat, dann solltest du auch bei Troy Hunt auftauchen. Bis dahin solltest du deine betroffenen E-Mail Adressen mit neuen Passwörtern versehen und auch in alle Shop etc. an denen du mit denen vertreten bist, die Passwörter erneuern.
  4. lessie

    lessie Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    6.749
    Puhh, da wird ja was, weil ich auch noch verschiedene Passwörter verwende unter der email Adresse. Und der Satz unterscheidet sich auch noch. Kann zuerst nur die allerwichtigsten ändern.
  5. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    12.715
    Jetzt hat sich also herausgestellt dass die Mailadresse "test@aol.com" in Verbindung mit dem Passwort "Pa$$w0rd" wohl doch nicht so sicher war wie gedacht. :D
    romeo sagt Danke.
  6. romeo

    romeo Bekanntes Mitglied

    Registriert seit:
    6 November 2002
    Beiträge:
    4.117
    Gibt es eigentlich zuverlässige Passwort- Manager?
    Irgendwie vertraue ich solchen Passwort- Programmen mein Passwort dann doch ungern an, obwohl es sicherer sein soll!?

    2) Wo leaken die Hacker die Passwörter? Im DarkNet?

    3) Eines meiner Passwörter wurde 2012 gehackt, aber ich ändere meine Passwörter bei den EmailAccounts jährlich.

    Und den gmx -Account nutze ich just for fun, der wurde offensichtlich schon öfters mal "gebreached" ;)
    GMX scheint ein massives security- Problem zu haben..

    4) Betroffen sind bei mir nur die free-Accounts, die auf meinem Webhoster sind alle sicher seit Jahren..
    Zuletzt bearbeitet: 27 Januar 2019
  7. Theoderix

    Theoderix Miesepeter

    Registriert seit:
    22 April 2001
    Beiträge:
    3.331
    Naja, nicht unbedingt gmx, sondern vielleicht ein Anbieter bei dem du deine gmx-E-Mail-Addie hinterlegt hast könnte das Problem gewesen sein. Kleiner Shop, Forum oder ähnliches.
    Bei Troy Hunt siehst du ja -außer es ist so ein amalgierter Massendump wie #collection 1-5- welcher Anbieter deine Daten verloren hat...Dropbox Hacks etc. waren da ja in der Vergangenheit z.B. dabei und ähnliches.

    Was Passwortmanager angeht, geht es mir ein wenig wie dir, ich nutze deswegen dafür -ganz oldschoolig- ein kleines Notizbuch...langsam, aber hackersicher, außer mir wirds beim Einbruch geklaut. Passwörter darin einfach nochmal mit einem nur dir bekannten Schlüssel versehen und auch der Fall des Einbruchdiebstahls ist sicher, denke ich. ;)
    Also bspw. dein Passwort lautet mygully.com in die Kladde schreibst du aber Kanaldeckel...wenn jemand nun dein Heft klaut wird er mit Kanaldeckel nicht so weit kommen...oder eben deutlich erschwerter.
    romeo sagt Danke.
  8. Mr. Big

    Mr. Big old geezer

    Registriert seit:
    2 Januar 2002
    Beiträge:
    10.764
    Die wirklich wichtigen Passwörter und Zugangsdaten verwahre ich auch ganz konventionell im analogen Format.
    Die weniger wichtigen Passwörter und Zugangsdaten habe ich auf einem USB-Stick und auf einer SD-Karte als Backup.
    Außerdem nutze ich ansonsten KeePass für alle Passwörter die nicht im extrem sensiblen Bereich (Finanzen, etc.)verwendet werden
    Zuletzt bearbeitet: 27 Januar 2019
    romeo sagt Danke.
  9. lessie

    lessie Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    6.749
    es wäre ja schön, wenn einem angezeigt würde bei welcher Seite das Passwort abgeschöpft wurde. Wenn es bei Panasonic Weihnachtskalender war, ist mir das irgendwie schnuppe.
    Kann ne Apotheke gewesen sein, Autohändler usw. Jeder nen andres Passwort. Das kann ja zur Suche der Nadel im Heuhaufen ausarten.
    Zuletzt bearbeitet: 27 Januar 2019
    romeo sagt Danke.
  10. silverrider

    silverrider The One and Only

    Registriert seit:
    7 April 2013
    Beiträge:
    1.955
    Seit Jahren:

    PasswordSafe
    https://www.pwsafe.org/

    oder

    Keepass
    https://keepass.info/

    Datenbank bei Bedarf auch auf dem Android-Handy nutzbar, ob das bei Apple geht keine Ahnung.
  11. silverrider

    silverrider The One and Only

    Registriert seit:
    7 April 2013
    Beiträge:
    1.955
    @lessie Ich gehöre jetzt auch zu den Glücklichen!
    HPI hat dir doch geschrieben, wo die Daten abhanden gekommen sind? Oder nicht?
    Bei mir haben sie jedenfalls eine schönen Meldung abgegeben, wo die Logindaten abahnden gekommen sind und welche!
  12. lessie

    lessie Bekanntes Mitglied

    Registriert seit:
    23 April 2001
    Beiträge:
    6.749
    nö. nur das es die email dabei ist.

    Betroffener Dienst: Unknown (Collection #1-#5)
    Datum Jan2019
    Passwort betroffen.

    Kann ich nun viel mit Anfangen.
  13. silverrider

    silverrider The One and Only

    Registriert seit:
    7 April 2013
    Beiträge:
    1.955
    Stimmt, bei mir sah es bei der entsprechenden Emailadresse so aus:
    --------------------------------------------------------------
    Affected Service: Beispielwebseite.de
    Date: Dec. 2016
    Verified: No
    Credential Count: 123,345


    Password: Affected
    First and last name: -
    Credit card: -
    Bank account details: -
    Telephone number: -
    Address: -
    Date of birth: -
    Social security number: -
    IP Address: -
    --------------------------------------------------------------
  14. adhome

    adhome Bekanntes Mitglied

    Registriert seit:
    10 Juni 2001
    Beiträge:
    6.327
    Ich wurde 25x gepawned. Kann man kaum verhindern wenn man sich in lauter Foren rumtreibt.
    Wo ich verzweifelte war Origin. Mein Account wurde mehrmals übernommen obwohl ich immer wieder ein neues langes gutes Password eingestellt hab.

    Wie ich es handhabe:
    Paypal --> Nur auf Papier + 2F
    Amazon, Email, google usw. --> Laang und Passwordmanager (könnt kotzten beim Kindle einrichten...)
    Foren und Games --> Einfach ohne Manager. Problem sind z.B: Spiele wo man keine Zwischenablage verwenden kann oder die Daten erst im Manager suchen muss.
  15. Mr. Big

    Mr. Big old geezer

    Registriert seit:
    2 Januar 2002
    Beiträge:
    10.764
    Was is'n 2F?
  16. adhome

    adhome Bekanntes Mitglied

    Registriert seit:
    10 Juni 2001
    Beiträge:
    6.327
    zwei Faktor
    Mr. Big sagt Danke.
  17. hosit

    hosit Aktives Mitglied

    Registriert seit:
    3 Juni 2001
    Beiträge:
    708
    Bleibt für mich die Frage ob tatsächlich Passwörter drin stehen oder "nur" Hashwerte. Bei halbwegs sicheren Passwörtern wäre letzteres doch wirklich kein so großes Problem, da das Errechnen der Passwörter noch unverhältnismäßig lange dauert. Um so mehr Accounts mit verschiedenen Passes von einer Person, desto größer der Aufwand...
    Tippe eher, dass das Die gesammelten Werke von Trojanern oder von internen Passwortdatenbanken der Browser sein könnten.
  18. silverrider

    silverrider The One and Only

    Registriert seit:
    7 April 2013
    Beiträge:
    1.955
    @hosit In meinen Fall war es immer die Webseite, weil sie bereits vorher davon wussten.
    Beidesmal wurde ich aber nicht informiert.
    Die Accounts ansich waren belanglos. Ersterer war noch mit einem.Startpasswort 8 Zeichen und nicht gefuellt, zweiterer ein Forenhack.
    Also Browser scheidet da aus.
  19. hosit

    hosit Aktives Mitglied

    Registriert seit:
    3 Juni 2001
    Beiträge:
    708
    OK. Was ich mich aber frage...speichern Foren wirklich die Passwörter (wenn ggf auch verschlüsselt)?
    Das ist doch nicht erforderlich. Man könnte doch nur den Hash des Passwortes speichern und den Hashwert bei der Anmeldung prüfen. Oder habe ich einen Denkfehler?
  20. cliffi

    cliffi Aktives Mitglied

    Registriert seit:
    3 Dezember 2001
    Beiträge:
    449
    Bei mir wars der Chinashop: www.buyincoins.com, das dortige einmalige Passwort wurde im Klartext veröffentlicht. Der Hack war wohl schon 2017, ich bekam jetzt die Mail das meine Email in Collection #1 enthalten war.
    Zuletzt bearbeitet: 29 Januar 2019
  21. adhome

    adhome Bekanntes Mitglied

    Registriert seit:
    10 Juni 2001
    Beiträge:
    6.327
    Ich glaube dass Hash Speicherung Standard ist bei allen Foren. Nur aber gesalzener Hash und nicht MD5 und so neueres Zusatzsicherung sind vielleicht nur über addons zu realisieren.
    VBulllitin V4 z.B: hatte noch MD5 ohne Salz verwendet.
    Einfach Hash Speicherung ist aber bereist über Tabellensuche rückübersetzbar.

    Es ist nur eine Frage der Zeit bis auch große Konzerne mal Passwörter speichern.
    Adobe hats nicht getan. Sony mit Playstation dienst auch nicht.

    @cliffi: Wenn du die Liste hast sieht man vielleicht ob auch lange Passwörter bei sind (>12)
    Zuletzt bearbeitet: 29 Januar 2019
  22. cliffi

    cliffi Aktives Mitglied

    Registriert seit:
    3 Dezember 2001
    Beiträge:
    449
    Ich will das jetzt nicht offen posten, aber ja, es sollen auch Passwörter >12 Zeichen dabei sein.
    Zuletzt bearbeitet: 29 Januar 2019
  23. masterp

    masterp Aktives Mitglied

    Registriert seit:
    20 Februar 2003
    Beiträge:
    906
    ich nutze seit jahren keepass mit kee(fox), wobei keepass mit schlüsseldatei gestartet wird.

    die keepaas datenbank synce ich via nextcloud auf div. geräte.
  24. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    12.715
    Und was nützt dir das wenn dein sorgsam gesichertes Passwort auf der ganzen Welt verbreitet ist und jeder zweite Hacker es in der Liste hat?
  25. silverrider

    silverrider The One and Only

    Registriert seit:
    7 April 2013
    Beiträge:
    1.955
    Hmm.., dass das Passwort einmalig pro Dienst ist? Also kein Folgeangriff möglich ist.

    Aus Erfahrung mit meinen Emails muss ich sagen, dass es sich dabei teilweise garnicht um meine
    Passwörter gehandelt hat.

    Der eine Dienstleister hatte mir ein Start-PW gesendet, dass 6 Stellen hatte. Weiterhin waren innerhalb des Accounts keine Daten vorhanden.
    War also sozusagen absehbar!

    Der zweite Account war bereits kurz nach dem Hack vom BKA informiert worden und hatte alle Accounts zurückgesetzt.
    Das Passwort dort war aufgrund von Unwichtigkeit auch recht klein gewählt, mein Fehler.

    Ergebnis: 0 Schaden.

    Wir reden also von einem normalen Forum über eine gewisse PC-Gattung und einer Softwarebude mit Maximalpreis 12 €.
    Ich würde die Angriffe also mehr als sportlich, als irgendwie produktiv nutzbar ansehen.

    Wenn einer was will, nützt nicht, auch kein großes Passwort und Two Factor, was nutzt, das habe ich aber bisher nur
    bei einem Diensleister, wenn das Forum und die Kundendaten komplett getrennt sind und mit unterschiedlichen Zugansdaten
    innerhalb des Forums getrennt aufgerufen und verbunden werden. Das macht wenigstens die Arbeit, an sensible Daten zu kommen, schwehrer.

    Andere Dinge aus der Vergangenheit, waren Inhausangriff von einem Mitarbeiter, wurde aber zeitnah festgesetzt, Daten kamen nicht in den Umlauf.
  26. masterp

    masterp Aktives Mitglied

    Registriert seit:
    20 Februar 2003
    Beiträge:
    906
    du weißt schon wie keepass funktioniert?

    du generierst für jedes login ein eigenes passwort. niemals eine duplette.
    somit verlierst du ein passwort und nicht den zugang zu allen.
  27. dr_tommi

    dr_tommi alter Oldie

    Registriert seit:
    26 April 2001
    Beiträge:
    12.715
    Natürlich weiß ich wie keepass und auch die anderen Passwortmanager funktionieren.
    Ich nutze sowas ja auch.

    Diese Passwortlisten im Netz enthalten Anmeldedaten für bestimmte Webseiten bzw. Dienste.
    Wer natürlich ein Passwort für alles verwendet und dieses Passwort auch noch nach dem Muster Vorname.Geburtsdatum oder Admin1234 aufgebaut ist hat da wohl das eine oder andere Problem.

    Trotzdem birgt auch ein von einem Passwortmanager generiertes Passwort welches nur für eine Anmeldung verwendet wird die Gefahr, dass genau dieses bekannt und missbraucht wird.
    Und wenn man eben nicht weiß von welchen Seiten die Anmeldeinformationen bekannt geworden sind, erzeugt das zusätzliche Unsicherheit.
    Zu Glück sind diese Listen meist nicht wirklich aktuell.
    So sollte man die schönen generierten Passwörter auch ab und zu mal zu erneuern. Vor allem wenn mal wieder so eine Liste auftaucht.