Collection #1: Meine Daten sind in der Millionen-Liste
Hacker haben eine riesige Liste mit Millionen von Mail-Adressen und Passwörtern veröffentlicht. In den fast 773 Millionen Einträgen finden sich auch Informationen von mir, möglicherweise auch von Euch. Was heißt das jetzt?
Habt Ihr schon nachgeschaut, ob auch Eure E-Mail-Adresse zu den millionenfach veröffentlichten gehört, die in der Collection #1 stecken? Bei mir ist es nicht nur eine, sondern gleich zwei. Bei einer wusste ich das schon, da ich vor gut einer Woche schon einmal bei "Have I Been Pwned?" nachgeschaut hatte. Die zweite, wichtigere, war da noch sicher, jetzt nicht mehr.
Und jetzt? Fühlt sich erstmal scheiße an, um es deutlich auszudrücken. Die eine der beiden Mail-Adressen ist eigentlich ohnehin nur noch eine Spam-Sammelgrube, die ich kaum noch aktiv nutze. Aber die meines privaten Google-Kontos? Da sieht das schon anders aus. Viele Dienste sind damit verknüpft, Google weiß jede Menge über mich, das ist schon eine andere Hausnummer als irgendeine E-Mail-Adresse bei irgendeinem kleinen Anbieter.
Panikmache ist nicht angesagt
Natürlich muss man jetzt auch nicht in blanke Panik verfallen, es ist ja erst einmal nichts passiert. Die Adressen stammen hauptsächlich aus älteren Leaks und wurden nun von Hackern gesammelt und veröffentlicht. Zudem beinhaltet sie "nur" 21 Millionen Passwörter, die in vielen Fällen keiner Mail-Adresse zugeordnet sind. Wer zumindest einigermaßen regelmäßig seine wichtigsten Passwörter ändert, sollte nicht in unmittelbarer Gefahr sein. Ein Schuss vor den Bug ist die Sache aber trotzdem.
Welche Lehren wir aus diesem Mega-Datensatz an Mail-Adressen und Passwörtern ziehen sollten, liegt auf der Hand, und sie sind nicht neu. Verwendet komplexe Passwörter, die Ihr regelmäßig wechselt und stets nur bei einem einzigen Dienst einsetzt. Am einfachsten geht das mit einem Passwort-Manager, wir haben die besten davon für Euch zusammengestellt. Wenn möglich, setzt bei allen wichtigen Diensten auf Zwei-Faktor-Authentifizierung, das erhöht die Sicherheit merklich. Und klickt nicht auf jeden Link, der Euch unter die Finger kommt. Ich versuche, mich auch dran zu halten.
Habt Ihr schon geschaut, ob Eure Mail-Adresse Betrügern in die Hände gefallen ist?
Via: Caschys Blog Quelle: Troy Hunt
Negativ, nicht in der Liste.
bin betroffen, die Auswertung sagt:
Android Forums: In October 2011, the Android Forums website was hacked and 745k user accounts were subsequently leaked publicly. The compromised data included email addresses, user birth dates and passwords stored as a salted MD5 hash.
Compromised data: Dates of birth, Email addresses, Homepage URLs, Instant messenger identities, IP addresses, Passwords
Meine GMail Adresse ist dort gelistet. Ursache: Adobe im Okt. 2013 gehackt worden, Disqus (dieses nervige Kommentarsystem für Blogs) im Okt. 2017 gehackt worden. Deswegen kommen wohl durchschnittlich 8 Spammails / Tag.
Wer seine richtige E-Mail Adresse bei Diensten wie Disqus angibt, ist selber schuld. Nicht umsonst gibt es Wegwerf-E-Mail Adressen.
Ich bin auch in der Liste, mache mir allerdings keine Sorgen. Meine Logins sind eh schon paar mal aufgetaucht, von Seiten die ich entweder eh nicht nutze oder die es nichtmal mehr gibt. Da da keine Zahlungsmethoden oder so hinterlegt sind ist mir das sowas von egal. Meine Alternativen Email-Addresen und neueren Passwörter sind sicher, von daher nicht weiter tragisch.
Moin,
ich loge mich immer mit dem jeweiligen Datum ein z.B.:"17Januar2019" und ändere ständig die Passwörter,kein "Schw..." kommt darauf wann und wo ich mich einlogge ,weil ich das natürlich nicht täglich mache... und ich brauch mir nur den Tag zu merken...
OK ist jetzt vielleicht etwas zu kompliziert ,für Leute die 20 Accounts haben ;-)
20? Du bist gut, jedes noch so winzige Internetklitsche verlangt heute eine Anmeldung, wenn man was bestellen möchte. Und für viele Offlinegeschäfte brauchst du das inzwischen auch, sonst bekommst du keine Kundenkarte und kannst die Rabatte nicht nutzen. Erst kürzlich musste ich mich bei einem Schuhgeschäft in der Innenstadt anmelden, um 35 Euro Rabatt zu bekommen. Und natürlich brauchte man dafür ein Passwort mit mindestens 8 Stellen und Zahlen und Sonderzeichen. Ich habe nicht 20 Passwörter, die ich inzwischen verwalten muss, sondern rund 60. Und dabei versuche ich schon, jeden neuen Account vermeiden zu können.
WTF mit 1 von 3 drin, und die ist von meinem Internet anbieter eigentlich die wo ich sehr selten nutze...
Dagegen weder Hotmail oder Gmail drin und die werden bei jedem Account verwendet. :D Irgendwie komisch....
Die hat sicher mein Anbieter verkauft. :mad:
„Nur“ 21 Millionen E-Mail-Adressen und Passwörter? Dann kann ich ja beruhigt schlafen gehen 🌙💫😴💭. Gut Nacht
21 Millionen Passwörter, aber über 700 Millionen Emailadressen.
Mal ein Tipp wie man Passwörter einfach und trotzdem sicher macht.
Ihr denkt Euch ein Master Passwort aus was lang aber einfach zu merken ist.
Z.B.
*****IsstEine*****
Das kann man sich merken und ist mit Absicht so geschrieben.
Für Ebay verwandelt man das dann in:
#Ebay******IsstEine******#
Für Amazon:
#AmazonAngelaMerkelIsstEineBitch#
Usw.
So hat jeder Dienst ein Passwort was man sich leicht merken kann und trotzdem sicher ist.
Gute Idee. Schlechte Umsetzung.
Politische Statements dieser Art sind echt nicht erwünscht.
Lies mal genau, ist extra kein politisches Statement. Es ist bewusst doppeldeutig und damit noch sicherer.
Warum löscht Du etwas was vollkommen korrekt war? Da kannst Du den Beitrag auch gleich löschen, jetzt kann man damit nichts mehr anfangen. Schade
Gute Idee, ich mach das ganz gerne Simpel mit Rechnungen.
z.B: 2+4=6 => PW wäre "Zwei+Vier=6"
So kommen kleine/große Buchstaben Zahlen und Sonderzeichen vor, un dsind auch ziemlich lang.
Naja, wirklich sicher ist das nicht, diese Methode verwenden sehr viele. Als Hacker würde ich sowas gleich am Anfang ausprobieren.
> Natürlich muss man jetzt auch nicht in blanke Panik verfallen, es ist ja erst einmal nichts passiert.
Stopp mal! Richtig, Panik ist nie ein guter Ratgeber. Dennoch sollte man umgehend die Passwörter bei allen Accounts ändern, bei denen man die gefundene E-Mail-Adresse verwendet.
"Umgehend" heißt jetzt! Man sitzt ja sowieso schon an einem Gerät, mit dem man das machen kann. Nicht denken, das mache ich morgen. Dann vergisst man es wohlmöglich. Der Ratschlag, Panik zu vermeiden führt aber leider oft dazu, dass man es nicht gleich macht und dann vergisst.
Man sollte sich auch überlegen, ob man bei den betroffenen Konten nicht auch gleich die E-Mail-Adresse für den Login ändert.
Dankesehr, weise Worte die ich Dir gerne unterschreibe. So und nicht anders.
Und jetzt noch ein kleines Sahnehäubchen: Viele werden sicherlich die selbe Kombination aus Passwort und Email Adresse bei einigen Anwendungen identisch haben.
Macht man nicht, aber ist manchmal so, Kennwörter wo ihr Geld bewegen könnt, aber bitte wirklich einzigartig nehmen : Bank, Amaz*n, E*ay usw.
Und noch ein Tipp, X3@h+&9=y mag vielleicht ein tolles Kennwort sein, aber : Donaudampfschiffahrt4u! (das 3. f fehlt mit Absicht) hat auch eine Zahl, hat auch ein Sonderzeichen, ist deutlich länger und trotzdem unglaublich viel leichter zu merken. Ergo mehr Zeichen sind gegen BruteForce Attacken deutlich stabiler und falls ihr noch einen absichtlichen Rechtschreibfehler einbaut hält es auch noch einer Wörterbuchattacke perfekt stand. Gute Kennwörter müssen nicht schwer sein.
Und jetzt ran an den Speck ;o)
Schwein gehabt. Mit keiner dabei.
Aber Passwörter wie folgende sind super und leicht zu merken.
Ichkaufeniebeiamazon3klingenrasierer!wirklich?
Traumhaftes Passwort, ich beneide Dich:
Gamigo: March 2012
Anti Public Combo List: December 2016
Collection #1: January 2019
So sieht es dann aus, wenn die Adresse 19 Jahre alt sind.
Falls es im übrigen interessiert,
wie kommen Passwörter eigentlich in diese Liste ?
Einfaches Beispiel:
Ihr regestiert Euch bei Anbieter XYZ mit einer Kombination
aus E-Mail Adresse & Passwort. Nun wird dass Kennwort
von deren Administrator kompromitiert, z.B.
durch ein schlecht gewähltes Passwort, Social Engeniering oder
Brute Force (stumpfes Ausprobieren durch eine Software).
alternativ durch eine Sicherheitslücke in der Website.
So gelangen die bösen Jungs Zugriff auf die Kennwort-Datenbank,
mit E-Mail Adressen und den dazugehörigen Kennwörtern. (Eventuell auch Adressen, Bankverbindung etc)
Falls man jetzt diese Login-Informationen bei anderen
Anbietern ebenfalls nutzt, hat der Angreifer in dem er diese
Informationen auf anderen Seiten testet Vollzugriff auf Eure Daten / Konten.
Dabei spielte ihm früher im übrigen noch die Tatsache
in die Hand, dass die Kennwörter in der Datenbank
im Klartext gespeichert wurden.
Später hat man dann gemerkt, dass das nicht die beste Idee
ist, wenn jeder Admin Zugriff darauf hat. Also hat man die Kennwörter
verschlüsselt abgelegt, Anstelle des Kennwortes stand nun ein
sogenannter Hash-Wert, also Quasi dass Kennwort verschlüsselt.
Da man jedoch bei selben Kennwort auf den selben Hashwert kam
und so Kennwörter auch wieder herausbekommen werden konnten,
wurden diese später noch gesalzen, sprich mit einem weiteren
Schlüssel doppelt verschlüsselt.
Seither ist dass ganze deutlich sicherer, solange der Verschlüsselungskey nicht in falsche Hände fällt und der Algorhytmus in dem verschlüsselt wurde sicher ist. Aber auch hier ist Technik nicht unfehlbar, kein System ist wirklich sicher.
Daher kommt im übrigen auch ein Großteil des Spams den ihr bekommt.
Andere böse Jungs kaufen dann z.B. für kleines Geld die Mail-Adressen aus diesen Listen und schon gibt es Werbung für Viagra, die nackte Nachbarin, schnelle Möglichkeiten an Geld zu gelangen oder arme hilfbedürftige Verwandte in Nigeria.
Im schlimmsten Fall mit persönlicher Ansprache und Adresse,
welches der Mail von der Bank augenscheinlich eine gewisse Authentizität verleiht.
Also wenn ihr in der Liste auftaucht ist nicht immer ein schlechtes
Kennwort eurerseits Schuld.
so far...
fdy