Ankündigung

Einklappen
Keine Ankündigung bisher.

Passwörter regelmässig ändern - viele Datensätze im Internet

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Synonym
    antwortet
    Ehrlich gesagt finde ich das schon fast Panikmache, denn man kann nichts verifizieren. Das "neue" Tool meldet 17 Treffer. Die gleichen 11 wie das andere und 6 weitere, die ich alle nicht kenne, wie "pemiblanc" oder "prima-anzeigen" oder "onliner spambot"

    Einen Kommentar schreiben:


  • Alex07
    antwortet
    http://www.spiegel.de/netzwelt/web/c...a-1249751.html

    Ihr könnt nun auch weitere Datensätze hier prüfen:
    https://sec.hpi.uni-potsdam.de/ilc/

    Oh mann

    Einen Kommentar schreiben:


  • Synonym
    antwortet
    "Findet nun jemand seine Mailadresse über den Suchdienst, bedeutet das für ihn lediglich, vorsorglich alle Passwörter zu ändern, die mit dieser Adresse in Verbindung stehen."

    Das ist das Problem an der Sache, denn das weiß ich gar nicht. In der Liste der 11 Treffer kommen mir nur zwei bekannt vor. a) Linkedin, da habe ich die Zugangsdaten aber schon vor einem Jahr geändert und b) vbulletin, aber dort habe ich die eigentlich gar nicht verwendet, sondern eine andere.

    Einen Kommentar schreiben:


  • Alex07
    antwortet
    http://www.spiegel.de/netzwelt/web/c...a-1248678.html

    Collection #1 war nur der Anfang!

    Könnt ihr auch für 45 Dollar kaufen. Es sollen aber noch weitere Datensätze kommen... Ohh je

    Einen Kommentar schreiben:


  • Alex07
    antwortet
    Ja, Margin hat es da auf den Punkt gebracht. Sorry für mein wirres Geschwafel :)

    Einen Kommentar schreiben:


  • Margin
    antwortet
    Kann, muss aber nicht. Es sind viele Dienste, bei denen Du zum Anmelden die Mail-Adresse brauchst und eben keinen Nutzernamen. Der normale User hat übrigens in der Regel nur eine Mailadresse. Benutzt er jetzt noch überall das gleiche Passwort, ist es passiert.

    Wird Deine Mail-Adresse in den Datenbanken gefunden, bedeutet das nicht, dass da nur die Adresse vorhanden ist. Die Adresse ist quasi nur der "Name" des Datensatzes. Neben dem / einem Passwort können auch Benutzernamen, Geburtsdatum, Sicherheitsfrage und -antwort, Domains (FTP) ... alles was nur denkbar ist, in diesem Datensatz liegen.

    In den 20 Millionen sind natürlich Unmengen Blindgänger. Da die Login-Versuche jedoch nicht von Hand sondern per Script laufen, braucht es nur Geduld, die Volltreffer zu finden.

    Findet nun jemand seine Mailadresse über den Suchdienst, bedeutet das für ihn lediglich, vorsorglich alle Passwörter zu ändern, die mit dieser Adresse in Verbindung stehen.

    Einen Kommentar schreiben:


  • Synonym
    antwortet
    Margin, ja, den Artikel kenne ich, den habe ich schon heute morgen beim ersten Kaffee gelesen (heise lese ich stündlich :) ). Aber auch an Dich die Frage. Was hat es mit der Email auf sich?

    Du redest von Kombis Email und Passwort. Also ist in dem Fall die Email der "Benutzername"? Zugangsdaten bestehen ja aus zwei Dingen, nicht nur Passwort.

    Ich für meinen Fall habe die Email mit den 11 Treffern nie als Benutzername verwendet.

    Was bringt einem nun die Email und möglicherweise das Passwort, wenn man den Benutzernamen nicht kennt? Oder eben anders rum, wenn in dem Datensatz Benutzername und Passwort sind, warum fragt das Ding dann nach ner Email, die ja völlig anders sein kann?

    Irgendwie stehe ich echt, aber wo wirklich echt auf dem Schlauch. Was macht man mit den "Kombis", die bei keinem System einen Login ermöglichen?

    Einen Kommentar schreiben:


  • Margin
    antwortet
    Ganz einfach, weil halt keine "Zugangsdaten" an sich gesammelt wurden, sondern nur Kombis aus Mail-Adressen und Passwörtern.

    https://www.heise.de/security/meldun...t-4279375.html

    Einen Kommentar schreiben:


  • Synonym
    antwortet
    Ok, ich verstehe immer noch Bahnhof. Mein Kopf bekommt die Kurve zwischen Email-Adresse und Zugangsdaten einfach nicht hin. Das sind doch völlig verschiedene Dinge???

    Ich habe Logins, ohne Email. Also wenn die Email als Suchfaktor genommen wird und nicht als Benutzername, dann kann man die in deren Datenbank nie finden, weil eben keine Email vorhanden ist.

    Ich habe Logins, bei denen ist die Email gleich, die Logins aber völlig verschieden. Wenn die nicht anzeigen, welches Portal es betrifft, macht das keinen Sinn.

    Ich habe Logins, da sind die Zugangsdaten identisch, aber die Emails komplett anders. In dem Fall wären die Zugangsdaten also bekannt und würden öfters funktionieren, aber finden kann man das nicht, ohne 250 verschiedene Email-Adressen abzufragen. Was aber auch nichts bringt, siehe Punkt 2.

    Einen Kommentar schreiben:


  • Alex07
    antwortet
    Update:
    Es sind etwa 20 Millionen geknackte Passwörter dann auch im Netz erhältlich die einer Email zugeordnet werden können.

    Einen Kommentar schreiben:


  • Alex07
    antwortet
    zur kurzen Erklärung. Ihr gebt da eure Email Adresse ein. Dann wird eine Datenbank verglichen ob diese EMail Adresse schonmal bei einer Domain gehackt worden ist. zB VBulletin.COM war schonmal gehackt und EmailAdresse und Passwörter sind dann unsicher bzw wurden gestohlen.

    Natürlich spuckt das nicht euer Passwort aus, das ist ja auch der Sinn der Sache. zB Microsoft nannte den neuen Gau, da ist meine Email zB auch drin.

    Ein Beispiel steht im stacheligen
    Das könnt ihr ja mal testen und sehen. Ich denke auch der ein oder andere wird irgendwo Konten haben die schonmal kompromittiert worden sind. UM NICHTS anderes geht es dabei.

    ABER, nutzt ihr das Passwort auf mehreren Portalen oder sehr wichtigen Sachen auch, kann jmd was mit diesen Daten anfangen und weiter gehen. zB wenn ihr das gleiche Passwort für Mail verwendet, oder hier zB bei SEO NW oder auch woanders.

    Deswegen sage ich ja das es wichtig ist,
    • immer überall andere Passwörter
    • checken zb siehe oben
    Das sind nur bzw das ist ja der GAU, das diese Daten zum runterladen sind. also Euer "Konto" und dann dazu das Passwort. Dann spinnt mal weiter ;)

    Einen Kommentar schreiben:


  • Alex07
    antwortet
    guckste im stacheligen

    Einen Kommentar schreiben:


  • Synonym
    antwortet
    Da kannste als Email sogar 123456 eingeben und er findet Treffer .... Wie gesagt, verstehe das System nicht, denn ich sehe keinen Zusammenhang zwischen Email und Zugangsdaten.

    Einen Kommentar schreiben:


  • Synonym
    antwortet
    Ja, aber ich raffe die Seite noch immer nicht. Was wollen die denn mit einer Email? Benutzername würde ich ja verstehen, aber Email? Wie gesagt, es gibt ja auch Dienste, wo keine Email angegeben ist. Als was wird die also benutzt bei der Seite? Als "Email" an sich, oder als "Benutzername"?

    Sprich, sucht die Seite nach Datensätzen mit Email + Benutzer + Kennwort oder nach welchen mit Benutzer (eben die Email) + Kennwort?

    Einen Kommentar schreiben:


  • Alex07
    antwortet
    Ja Margin, so ähnlich mache ich das mit dem MasterPasswort. Ich denke ... mein Passwort gibt es auch nur einmal in der Welt. Das ist schon sehr kryptisch, muss es auch sein.

    Hmm, lieber Synonym , wir haben gestern telefoniert da ging es um das Thema.
    https://haveibeenpwned.com/ ist sauber, er nennt dir auch das Passwort nicht, manchmal allerdings normalerweise wo du angemeldet warst mit Email und Passwort. Dieses Passwort ist dann natürlich da und kann dann weiter verwendet werden zB Paypal, Email usw usf

    Aber nur wenn man eines mehrfach verwendet. Über sowas kann man dann auch weiter machen mit der "infiltration".

    Passt auf euch auf!

    Einen Kommentar schreiben:

Lädt...
X

Das Rechtliche
Impressum | Widerruf | Datenschutz | Disclaimer | Links

Über uns