Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

[Mornsgrans]

Einige haben es vielleicht vorgestern in den Nachrichten gehört, dass wieder Datensätze mit geklauten Passwörtern aufgetaucht sind. Auch Heise berichtet darüber:

Eine riesige Sammlung mit Zugangsdaten zu Online-Diensten zirkuliert in Untergrund-Foren. Die Passwörter von Millionen Nutzern sind betroffen.

Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP), hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden. Insgesamt finden sich darin knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter. Die Sammlung umfasst insgesamt über eine Milliarde Kombinationen aus beidem. In dem Untergrund-Forum, in dem Hunt ihn entdeckte, wurde der Datensatz unter dem Namen "Collection #1" gehandelt. Die Daten scheinen aus den unterschiedlichsten Quellen zusammengetragen worden zu sein und alle Passwörter liegen im Klartext vor.

Wer wissen will, ob seine Mailadresse mit zugehörigem Passwort davon betroffen ist, kann die bei https://haveibeenpwned.com/ nachprüfen.

Umgekehrt lassen sich zwar auch Passwörter daraufhin überprüfen (https://haveibeenpwned.com/Passwords), nur erfährt man (ais verständlichen Gründen) zu zugehörige Mailadresse nicht. Im ungünsigsten Fall können zig-Tausende das gleiche Passwort verwendet haben (z.B. "123456").
Hierbei beachten:

Auch hier speichert Hunt nur Hashes und keine Passwörter im Klartext und überträgt nur Teile der Hashes, damit er selbst und ein mithörender Angreifer nicht auf das eingegebene Passwort schließen können. Trotzdem sollten Sie abwägen, ob Sie dort ein Passwort eingeben wollen. Hunt gibt sich alle Mühe, die Daten, die an seine Seite übermittelt werden, nach dem aktuellen Stand der Technik zu schützen. Trotzdem gilt eigentlich die Regel: Gib niemals ein Passwort irgendwo auf einer Webseite ein, außer es handelt sich um das Passwort-Feld der Seite, zu der es gehört.

Mir persönlich reicht die Abfrage der Mailadresse.

Sehr wahrscheinlich sind geleakte Passwörter bei Adobe, LinkedIn, Dropbox und anderen Diensten, die in den letzten Jahren wegen gehackter Nutzeraccounts in der Presse aufgetaucht sind. - Zumindest hat dies die Stichprobe einiger Firmen-Emailadressen in "meiner" Firma ergeben.

Von welchen Webseiten die Datensätze entwendet sein könnten, kann man lau dem o.a. Heise-Artikel hier nachsehen:
https://pastebin.com/UsxU4gXA

 

[AndreasBloechl]

Schade das man nur eine Mail an einem Tag testen kann.

 

[harpo]

Schade das man nur eine Mail an einem Tag testen kann.

Nö, wieso? Du bekommst für ein und dieselbe Mailadresse nur eine Antwortmail pro Tag. Du kannst aber beliebig viele verschiedene E-Mailadressen am Tag dort testen. Du bekommst sogar sofort die Möglichkeit angeboten, gleich noch eine weitere Adresse anzugeben, wenn du möchtst.

 

[martina]

Ich verwende für jede Webseite eine eindeutige andere Adresse. Mal sehen, ob ich mir ein Script bauen kann, um die alle abzufragen.

 

[Mornsgrans]

Wie im Heise-Artikel zu lesen scheint die Seite vom Hasso-Plattner-Institut tatsächlich derzeit aktuellere Informationen eingepflegt zu haben als haveibeenpwned.com. Beim HPI erscheint eine meiner Adressen als kompromittiert, die bei der anderen Seite noch als sauber ausgegeben wird.

Du musst auch vergleichen:
haveibeenpwned beinhaltet die Listen bis einschließlich "Collection #1" (6,4 Mrd Accounts)
HPI hingegen bis einschließlich "Collection #5" (8,1 Mrd Accounts)

 

[shadone]

Hier ist es bei einem Konto genau umgekehrt, HPI meldet "sauber", während haveibeenpwned den 2013 Adobe breach auflistet..

 

[harpo]

Hier ist es bei einem Konto genau umgekehrt, HPI meldet "sauber", während haveibeenpwned den 2013 Adobe breach auflistet..

Seltsam. Meine Adresse, die im Adobe breach 2013 gelistet ist, taucht als solche auch bei beiden Seiten so auf. Da scheint es wohl ratsam, auch beide Seiten zu nutzen um größtmögliche Gewissheit zu haben.

 

[AndreasBloechl]

Ja harpo, Denkfehler von mir Sorry.
Oje man wird alt. :facepalm:

 

[Mornsgrans]

Hier der passende Kommentar von Heise:

...
Am heutigen Freitag ist wieder "Änder dein Passwort"-Tag. Das heißt, wir werden wieder überschwemmt mit gut gemeinten Ratschlägen, was wir Anwender unbedingt tun sollten, um die Sicherheit unserer Daten zu gewährleisten. Dabei ist längst bekannt, dass das anlasslose Ändern von Passwörtern nicht nur nichts bringt, sondern sogar zu mehr Unsicherheit führen kann.
...
Und nicht ein einziger dieser Datensätze wurde geklaut, weil Anwender fahrlässig mit ihren Passwörtern umgegangen wären. Nicht ein einziger! Die wurden geklaut, weil die Firmen, denen wir unsere Daten anvertraut haben, nicht gut genug darauf aufgepasst haben. Hallo Yahoo, eBay, Adobe, LinkedIn, Dropbox? Hört mich jemand?
...

Der Schluss-Absatz sollte auch endlich mal Daten-Messies zum Nachdenken bringen:

Und wenn wir einmal dabei sind, am Besten auch gleich noch einen "Überprüft doch mal, ob ihr all die Daten wirklich braucht"-Tag. Denn nur was man nicht speichert, kann auch nicht geklaut werden...

Man kann es auch so umschreiben:
Wer seine Daten öffentlich zugänglich ablegt, muss doch regelmäßig sein Passwort ändern, da er damit rechnen muss, dass jederzeit seine beim Anbieter hinterlegten Login-Daten geklaut werden. :facepalm:

 

[AndreasBloechl]

Ich bekomme jetzt seit Wochen von Google die Meldung das jemand mein Paßwort kennt. Das kommt davon wenn man Googlemail mit einem Emailprogramm abrufen will. Diese Meldung alleine verunsichert bestimmt sehr sehr viele Leute und ändern wild drauf los was das GoogleKennwort betrifft. Ich finde Google hat das nicht sonderlich gut geregelt. Wenn du nämlich dann auch noch die vorgeschlagene Einstellung "nicht vertrauenswürde App zulassen" deaktivierst kommst du gar nicht mehr ohne GoogleMail App auf deine Emails. Wer da nur eine Email bei Google hat wundert sich warum die Emails nicht mehr abrufbar sind.

 

[cuco]

Aktiviere die 2-Faktor-Authentifizierung bei Google. Erstelle Anwendungspasswörter und gebe so jedem deiner Mailclients jeweils ein eigenes Anwendungspasswort. Fertig. Meldung sollte nicht mehr auftauchen

 

[AndreasBloechl]

Danke für die Info, werde ich mir vielleicht mal anschauen. Ich finde die Passwörter vor lauter Passwörter schon nimmer.
Gut das ich mir die alle notiere, eine Software will ich da auch nicht einsetzen, jede Software hat Fehler.

 

[linrunner]

Deine Zettelwirtschaft macht aber mehr Fehler als ein Passwortsafe.

 

[der_holzwurm]

Deine Zettelwirtschaft macht aber mehr Fehler als ein Passwortsafe.

Habe auch eine "Zettelwirtschaft". Das ist bei mir ein kariertes DIN A4-Blatt. In jeder Zeile steht der Link, dann der Anmeldename, das Passwort und mit welcher Mailadresse ich mich angemeldet habe. Alles schön in einer Tabelle.
Dieser Zettel ist sicher verwahrt. (Nicht unter der Tastatur/ Schreibtischunterlage oder via PostIt am Monitor....)

Wieso sollte so ein Zettel mehr Fehler machen, wie ein Software basierter Passwortsafe?

Mal abgesehen davon, dass ich die wichtigsten Passwörter eh durch das regelmäßige abtippen mittlerweile auswendig gelernt habe. Ist also gleichzeitig noch ein wenig Hirn-Training.

 

[Aiphaton]

Mir wäre die dauernde Notiz auf Zetteln ehrlichgesagt zu aufwendig. Darum mag ich den Mooltipass - eine Pin merken (4 Stellen, Zahlen + Buchstaben) und es kann ohne die eingesteckte Karte eh nix gelesen werden. Sicher kann es in der Software auch Fehler geben - aber irgendwann muss man auch (zumindest zeitweise) auch mal den Hut absetzen .

 

[StefanW.]

Dieser Zettel ist sicher verwahrt. (Nicht unter der Tastatur/ Schreibtischunterlage oder via PostIt am Monitor....)

Ich habe einen ähnlichen Zettel, aber am Ende aller Passwörter gibt es noch einen (bei allen PW identischen) Buchstaben, der nicht auf dem Blatt steht. D.h. selbst wenn mal jemand bei uns einbricht, kann er mit meiner Liste nichts anfangen

 

[der_holzwurm]

Ich habe einen ähnlichen Zettel, aber am Ende aller Passwörter gibt es noch einen (bei allen PW identischen) Buchstaben, der nicht auf dem Blatt steht. D.h. selbst wenn mal jemand bei uns einbricht, kann er mit meiner Liste nichts anfangen

Gute Idee, die werde ich direkt mal kopieren!

 

[slainte]

Deine Zettelwirtschaft macht aber mehr Fehler als ein Passwortsafe.

Welchen Passwortsafe würdest DU, würden andere Nutzer und Threadleser denn empfehlen?

Ich selber bin noch Nutzer der Zettelwirtschaft, sehe aber für mich speziell ein durchaus hohes Fehlerpotenzial, deshalb mein Interesse bzw. meine Neigung umszustellen ....

 

[moronoxyd]

Keepass (wahlweise halt auch kompatible Software wie KeeWeb, PeepassCX, Keepass2Android). Gespeichert wird die Datenbank auf meinem Server.
Lösungen, bei denen die Daten zentral bei einem Anbieter liegen, halt ich für gefährlich, weil man sich auf einen Dritten verlassen muss. Und es gab schon einige Sicherheitsvorfälle bei solchen Anbietern.

 

[AndreasBloechl]

Und kennt eure Frau , Eltern oder sonstiges naheliegende Personen auch das Kennwort für die Software und können die damit umgehen?
Nicht so einfach ohne Zugangsdaten ein Abo zu kündigen, hat ein Bekannter hinter sich und das war alles andere als easy.

 

[moronoxyd]

Und kennt eure Frau , Eltern oder sonstiges naheliegende Personen auch das Kennwort für die Software und können die damit umgehen?

Ein sich nicht oder sehr selten änderndes Passwort irgendwo zu hinterlegen, wo es Angehörige im Ernstfall finden, ist einfacher als eine sich ständig ändernde Liste.

Mein Vater hat so eine Passwortliste wie du, und ich erlebe da immer wieder, wie schlecht das funktioniert. "Du, das Passwort, was hier steht, stimmt nicht." - "Ach ja, das habe ich ändern müssen, aber noch nicht eingetragen." (Und nein, ich behaupte nicht, daß es bei dir so läuft, aber so kann es laufen.)
Wenn ich ein Passwort auf einer Webseite ändere, landet es sofort per c&p auch im Passwortsafe.


Keine Lösung ist perfekt. jeder muss für sich selber entscheiden, welchen Kompromiss er eingehen will.