Test: Wurde mein Passwort gestohlen?

Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Registriert
20 Apr. 2007
Beiträge
71.946
Auf Heise:

Wurde mein Lieblings-Passwort schon einmal in einem Datenleck veröffentlicht und kann deswegen einfach für Bruteforce-Angriffe verwendet werden? Diese Frage beantwortet ein neuer Webdienst des Sicherheitsforschers Troy Hunt.

Der unabhängige Sicherheitsforscher Troy Hunt hat seinen Passwort-Prüfdienst Have I Been Pwned erweitert: Man kann dort nun nicht nur nach geknackten Mailadressen beziehungsweise Benutzernamen, sondern nun auch direkt nach geknackten Passwörtern suchen. Der Dienst beantwortet die Frage, ob ein bestimmtes Passwort, etwa correcthorsebatterystaple, in einem bekannten Datenleck enthalten war (die Antwort ist in diesem Fall ja). Dem Dienst liegt momentan ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde.
...
Zum Vergrößern anklicken....

Ich habe es mal ausprobiert und tatsächlich waren drei meiner im Internet verwendeten Passwörter und eine meiner Mailadressen dabei. Natürlich verwende ich diese Passwörter seit längerem nicht mehr, da ich sie von Zeit zu Zeit ändere, natürlich auch, wenn über Datenlecks berichtet wurde und die Mailadresse existiert nicht mehr.

Meine Daten wurden offenbar seinerzeit bei Dropbox abgegriffen, da ich diese Mailadresse-Passwort-Kombination nur dort verwendet hatte.

Testet mal Eure Passwörter und Usernamen/E-Mailadressen - vor Allem, wenn Ihr diese Dienste nutzt und schon länger das Passwort nicht geändert habt.
 
Zuletzt bearbeitet:
Danke, Morns!

Ich habe wohl Glück gehabt, wechsel aber auch meine Kennwörter regelmäßig. Und nutze kein Dropbox.
Die Liste der Dienste, die eventuell schon mal geknackt worden sind, ist schon erschreckend lang.

Böse ist noch dieser Satz:
"Der Forscher gibt außerdem zu bedenken, dass die Tatsache, dass er ein Passwort nicht in seinem Datensatz hat, nicht automatisch bedeutet, dass es sicher ist."
 
Danke!

ich tauche da auf. :-(

aber den post Post nehme ich mal als Anreiz meine pw wieder zu ändern.
 
Ich gebe jetzt einer Webseite/einem Dienst meine Passwörter???
Und hoffe, das der nicht gehackt wird oder meine Passwörter verwendet/weitergibt???

Wenn ich die Seite besuchen möchte, sagt mein Browser: "Der Client und der Server unterstützen keine gemeinsame SSL-Protokollversion oder Verschlüsselungssammlung. Dieses Problem tritt häufig auf, wenn der Server die RC4-Verschlüsselung erfordert, die nicht mehr als sicher gilt."
Da tippe ich bestimmt nicht meine Passwörter ein :thumbup:
 
Pferdle schrieb:
sagt mein Browser: "Der Client und der Server unterstützen keine gemeinsame SSL-Protokollversion oder Verschlüsselungssammlung. Dieses Problem tritt häufig auf, wenn der Server die RC4-Verschlüsselung erfordert, die nicht mehr als sicher gilt."
Zum Vergrößern anklicken....
Mein FF 54 meckert nicht.
 
Das BSI hat letzthin einen Datensatz von rund 550 Mio. gehackten EMail-Adressen und Passwörtern online gestellt. Hier könnt ihr ebenfalls überprüfen, ob ihr irgendwo im Netz auftaucht.

HPI - Identity Leak Checker


LG Uwe


P.S.: Tauchte auch bei drei Diensten auf. Einmal bei Dropbox, Adobe-Account und Daemon Tools-Account. Die PWs habe ich mittlerweile natürlich geändert. :)

Sah dann so aus:
HPI - Identity Leak Checker.JPG

P.P.S.: Habe auch alles, was möglich ist, auf Zwei-Faktor-Authentifizierung umgestellt.
 
Zuletzt bearbeitet:
Also, ich kann auch bestätigen, dass die Seite sicher ist:
Eben mein General Master Pass Word (GMPW) "Till Eulenspiegel" (ohne "") auf >https://haveibeenpwned.com/Passwords< eingegeben, und es hat nur ••••••••••••••••• angezeigt. Nicht mal ich konnte das Passwort sehen! Und dann ... und nichts anderes war zu erwarten - "Good news — no pwnage found!"

Till Eulenspiegel is not pwned!!!

Aber wo sind meine Schuhe!?! :huh: Es hat doch bestimmt schon jemand den Schuhhaufen sortiert, oder?!? :eek:

Ich geh jetzt zu heise, Kommentare lesen... :)
 
Wo wird das gespeichert, was der Fragende dort eingibt
Zum Vergrößern anklicken....
Die Frage stelle ich mir etwas anders: Wird es tatsächlich nicht gespeichert?
Beide Fragen werden nicht beantwortet.

Das BSI hat letzthin einen Datensatz von rund 550 Mio. gehackten EMail-Adressen...
Zum Vergrößern anklicken....
E-Mail lasse ich mir ja noch gefallen. Die hat ohnehin (fast) jedes Unternehmen zu Werbezwecken. Sonst wäre Spam Geschichte.
Da habe ich meine Adressen durch, findet nix.

Aber Passwörter in Reinform und noch eventuell unverschlüsselt im Netz breit streuen? Da gruselt mir schon etwas.
 
Qip und Trillian wurde gehackt. Gut, jetzt wissen die Hacker mehr als ich. Ich finde meine Logindaten nicht mehr :thumbsup:
 
Was nützt einem ein Passwort ohne zugehörigem Login-Namen?
Zum Vergrößern anklicken....
Die Sammlung für Bruteforce vergrößern...
Bei Banken sehr oft die Kontonummer, welche auch die halbe Welt inzwischen haben dürfte.
Bei vielen anderen Seiten die E-Mailaddy. Das läßt sich bekannterweise ja überprüfen.
Bei ebay zB ist jeder Nutzername sichtbar.
Ein Login-Name ist meistens noch das unproblematischste. Den hat man recht schnell. Gerade da stellen sich die meisten recht unspektakulär an...ein Adressbuch reicht.
Vielleicht bin ich da nur zu alt und zu skeptisch:thumbsup:
Ohnehin habe ich nur ein Passwort für alle Seiten, wo es auch wurscht ist, wenn gehackt. Bei Banken geht ohne weitere Gegenkontrolle (zB TAN) eh nix und unsozialen Netzwerken bin ich fern.
 
.Sun schrieb:
Qip und Trillian wurde gehackt. Gut, jetzt wissen die Hacker mehr als ich. Ich finde meine Logindaten nicht mehr :thumbsup:
Zum Vergrößern anklicken....

Und ich hatte/habe nen Last.fm account, konnt ich mich gar nicht dran erinnern :Oldtimer:

MfG, Sebastian
 
Ist natürlich super wenn meine Email Adresse da auftaucht ohne konkreten Dienst, sondern in irgendeiner Liste. Was soll ich denn da bitte machen, überall wo ich die die Mailadresse verwende die Passwörter ändern? Wie soll das denn gehen, das weiß ich doch schon lange nicht mehr bei ner Adresse die ich schon >10 Jahre nutze :facepalm:
 
Oder halt auch nicht:

Unbenannt.PNG

Das Ding ist im HPI Identitiy Leak Checker auch schon aufgetaucht, ist dort aber genauso nichtssagend...
 
Okay. Dann lassen sich bestimmte Dienste wohl doch nicht erkennen...
 
Pferdle schrieb:
Ich gebe jetzt einer Webseite/einem Dienst meine Passwörter???
Und hoffe, das der nicht gehackt wird oder meine Passwörter verwendet/weitergibt???
Zum Vergrößern anklicken....

Deswegen steht doch da: "Do not send any password you actively use to a third-party service - even this one!"

Für Passwörter, die man aktiv nutzt, kann man die Liste der Hashes herunterladen und manuell abgleichen.

Helios schrieb:
P.P.S.: Habe auch alles, was möglich ist, auf Zwei-Faktor-Authentifizierung umgestellt.
Zum Vergrößern anklicken....

Irgendwer fasste Zwei-Faktor-Authentifizierung mal zusammen als "something you lost + something you forgot" :D

Mich nervt bei manchen Diensten die zwangsweise Verwendung der 2FA, weil sie Notfallverwendung des Dienstes unterbindet. Ich kann nicht einfach wenn mein Telefon verlorengegangen ist in ein Internetcafé gehen um jemanden per Mail zu kontaktieren (was für viele ja so gut wie 'ne SMS ist).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben