Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

[Mornsgrans]

Einige haben es vielleicht vorgestern in den Nachrichten gehört, dass wieder Datensätze mit geklauten Passwörtern aufgetaucht sind. Auch Heise berichtet darüber:

Eine riesige Sammlung mit Zugangsdaten zu Online-Diensten zirkuliert in Untergrund-Foren. Die Passwörter von Millionen Nutzern sind betroffen.

Troy Hunt, Betreiber der Passwort-Sicherheits-Webseite Have I Been Pwned (HIBP), hat eine riesige Sammlung mit E-Mail-Adressen und geknackten Passwörtern im Netz gefunden. Insgesamt finden sich darin knapp 773 Millionen unterschiedliche E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter. Die Sammlung umfasst insgesamt über eine Milliarde Kombinationen aus beidem. In dem Untergrund-Forum, in dem Hunt ihn entdeckte, wurde der Datensatz unter dem Namen "Collection #1" gehandelt. Die Daten scheinen aus den unterschiedlichsten Quellen zusammengetragen worden zu sein und alle Passwörter liegen im Klartext vor.

Wer wissen will, ob seine Mailadresse mit zugehörigem Passwort davon betroffen ist, kann die bei https://haveibeenpwned.com/ nachprüfen.

Umgekehrt lassen sich zwar auch Passwörter daraufhin überprüfen (https://haveibeenpwned.com/Passwords), nur erfährt man (ais verständlichen Gründen) zu zugehörige Mailadresse nicht. Im ungünsigsten Fall können zig-Tausende das gleiche Passwort verwendet haben (z.B. "123456").
Hierbei beachten:

Auch hier speichert Hunt nur Hashes und keine Passwörter im Klartext und überträgt nur Teile der Hashes, damit er selbst und ein mithörender Angreifer nicht auf das eingegebene Passwort schließen können. Trotzdem sollten Sie abwägen, ob Sie dort ein Passwort eingeben wollen. Hunt gibt sich alle Mühe, die Daten, die an seine Seite übermittelt werden, nach dem aktuellen Stand der Technik zu schützen. Trotzdem gilt eigentlich die Regel: Gib niemals ein Passwort irgendwo auf einer Webseite ein, außer es handelt sich um das Passwort-Feld der Seite, zu der es gehört.

Mir persönlich reicht die Abfrage der Mailadresse.

Sehr wahrscheinlich sind geleakte Passwörter bei Adobe, LinkedIn, Dropbox und anderen Diensten, die in den letzten Jahren wegen gehackter Nutzeraccounts in der Presse aufgetaucht sind. - Zumindest hat dies die Stichprobe einiger Firmen-Emailadressen in "meiner" Firma ergeben.

Von welchen Webseiten die Datensätze entwendet sein könnten, kann man lau dem o.a. Heise-Artikel hier nachsehen:
https://pastebin.com/UsxU4gXA

 

[AndreasBloechl]

Du ich muss sagen das ich sogar eine Textdatei mit Passwort und Accountdaten auf der Platte habe. Ich glaube kaum das sich jemand für mich alleine so interessiert das er das alles durchkämmt um da was machen zu können. Wenn dann werden wir beim jeweiligen Provider oder Anbieter gehackt aber nicht unsere PCs wo ansonsten nur belangloses Zeugs für die vorhanden ist. Kann mich aber auch täuschen, jedenfalls habe ich das schon etliche Jahre so das ich auch auf dem PC das Zeugs gesichert habe was wichtig ist, nicht selten will man sich mit dem Handy wo anmelden und ist unterwegs und hat den Zettel nicht zur Hand.

 

[s-g]

[...] die wichtigsten Passwörter eh durch das regelmäßige abtippen mittlerweile auswendig gelernt habe.

Dann würde ich es wagen dir zu unterstellen, dass deine Passwörter nichts taugen.
LskafdJ8394rß2´ä#+#34uqLKJH89 lernt man nicht so schnell auswendig.

 

[Mystic-X]

Dann würde ich es wagen dir zu unterstellen, dass deine Passwörter nichts taugen.
LskafdJ8394rß2´ä#+#34uqLKJH89 lernt man nicht so schnell auswendig.

Genau! Man benutzt lieber Passwörter die man sich unter gar keinen Umständen merken kann! Damit man auf irgend ein Hilfsmittel angewiesen ist ohne das man sich nen Strick nehmen kann da man ja kein Passwort mehr im Kopf hat!
*Kopf->Tisch*

 

[cuco]

Ich habe auch lange Passwortmanager "verweigert". Hatte immer Angst vor einer Schwachstelle. Inzwischen glaube ich aber, dass der Vorteil eindeutig dem Nachteil einer möglichen Schwachstelle überwiegt. Vorher hab' ich halt doch viel zu häufig meine paar Standardpasswörter genutzt und mein Generierungsschema im Kopf für sicherere Passwörter war irgendwie doch zu unsicher, hab' es laufend durch bessere ersetzt was darin geendet ist, dass hier seit Ewigkeiten eine HDD rumliegt, für die ich das Passwort vergessen habe und ich würde eigentlich schon noch gerne gucken, ob noch irgendwas drauf ist, was ich nochmal brauchen könnte, weil das Backup davon leider nicht mehr existiert.
Aufgrund meiner Arbeit habe ich inzwischen auch immer mehr Passwörter "zugeteilt" bekommen und dann war es mir irgendwann zu viel.

Ich bin dann auch bei KeePass gelandet. OpenSource fand' ich gut, da ist zumindest ein Audit möglich. Einigermaßen Verbreitung und schon lange "am Markt" waren weitere Kriterien. Und ganz wichtig waren mir Möglichkeiten für Import, um z.B. gespeicherte Passwörter aus Chrome importieren zu können (hauptsächlich um eine Übersicht zu bekommen, wo man überall angemeldet ist - war doch ein kleiner Schock als ich gesehen habe, wie viele Einträge das waren), sowie für Export, um sich nicht für immer an ein Ecosystem zu binden, falls irgendwann z.B. die Entwicklung eingestellt wird. Und ja, da ist es wie gesagt Keepass geworden, mit ein paar nützlichen Plugins, sowie Keepass2Android auf dem Handy.

Und seitdem gehe ich gelegentlich durch, schnappe mir 3-5 Dienste, bringe die importierten Einträge auf einen neuen Stand und ändere die Passwörter auf einzigartige und möglichst sichere. Manchmal mache ich das jeden Tag, manchmal ein paar Wochen nicht. Zieht sich jetzt schon etwas hin, aber etwa 250 Einträge sind schon bearbeitet. Etwa 400 liegen noch im Chrome-Import-Ordner und warten auf Überarbeitung, aber Chrome hat auch sehr viele Einträge doppelt und dreifach abgespeichert gehabt, das heißt da bleiben am Ende vielleicht nochmal 150-300 Dienste übrig.

Ist also ganz schön Aufwand, aber es lohnt sich. Ich fühle mich persönlich seitdem sicherer, was Passwörter angeht. Denn meine Passwörter sind seitdem länger und sicherer, ich habe keine Passwörter mehr bei mehreren Diensten und wenn mal wieder so ein Datenleck irgendwo auftaucht, dann kann ich ziemlich beruhigt sein und ändere maximal ein Passwort.

Außerdem muss ich mir nur noch ein einziges Passwort merken, welches natürlich sehr lang und komplex ist, aber mit einem bekommt man das hin. Und notfalls kann man das auch noch irgendwo aufschreiben und wegschließen.


Papierlisten sind auch gut. Können auch sehr sicher sein, wenn man es richtig handhabt. Aber der Vorteil von so einem Passwortmanager ist, dass er auch weiterhin den Komfort bieten kann, wie es z.B. im Browser gespeicherte Passwörter bieten: das auf Wunsch automatische Ausfüllen auf Websites, in Apps, und sonstwo. Bei Papierlisten muss ich abtippen und spätestens bei >20 Zeichen inkl. Sonderzeichen macht das keinen Spaß mehr.

Genau! Man benutzt lieber Passwörter die man sich unter gar keinen Umständen merken kann!

Korrekt. Das ist in der Regel ein Merkmal für gute Passwörter - dass sie so lang und komplex sind, dass man sie sich selbst nicht merken kann, dann ist in der Regel die Entropie auch hoch genug, dass ein Computer/Hacker sie auch nicht knackt.*
Mein Standardschema meines Passwortmanagers spuckt z.B. sowas aus:

A\9Üx`q>g?MQ*4^C\/z7H!ü"`ßAVäwäKeP6J=?bx/|

*Natürlich gibt es auch Passwörter, die sicher sind und man sich trotzdem merken kann. Siehe z.B. https://xkcd.com/936/

 

[linrunner]

Welchen Passwortsafe würdest DU, würden andere Nutzer und Threadleser denn empfehlen?

Ich verwende Keepass oder genauer KeepassXC unter Linux und Keepass2Android mit lokaler Speicherung und Synchronisation per Syncthing.

 

[s-g]

*Kopf->Tisch*

Vorsicht, das kann bleibende Schäden hinterlassen .

 

[linrunner]

@s-g, Mystic-X: euer Sarkasmus ist deplaziert.

 

[Mornsgrans]

Und weitere Datensätze:

Gehackte Websites: 620 Millionen Accounts zum Verkauf im Darknet

Eine riesige Datenbank mit Mail-Adressen und Passwörtern steht zum Verkauf. Bei einigen Websites war bislang nicht bekannt, dass sie gehackt wurden.
...
Stichproben zufolge seien die Daten echt. Sie sollen von 16 verschiedenen Websites aus den Jahren 2016 bis 2018 stammen. Bei einigen Seiten war bis zum Auftauchen der Datenbank nicht bekannt, dass sie Opfer einer Hacker-Attacke waren.
...

Auf der verlinkte Seite sind die Websites gelistet, von denen Daten entwendet worden waren.

Leider ist eine Prüfung durch Anwender bisher nicht möglich.

 

[cuco]

Und weitere Datensätze:

Auf der verlinkte Seite sind die Websites gelistet, von denen Daten entwendet worden waren.

Leider ist eine Prüfung durch Anwender bisher nicht möglich.

Hmm.. keine der Seiten sagt mir was, außer "MyHeritage". Da lag mir was im Hinterkopf:

Diese Websites sind betroffen – in der Klammer steht die Anzahl der kopierten Accounts:
[...]
MyHeritage (92 million)
[...]

Dann habe ich weiter gesucht und diese News wiedergefunden, die etwa ein dreiviertel Jahr alt ist:
https://www.heise.de/security/meldu...t-Daten-von-92-Millionen-Nutzern-4069752.html

DNA-Webseite MyHeritage: Hacker kopiert Daten von 92 Millionen Nutzern

Eventuell verkauft da also auch nur jemand alte Datensätze. Bin mal gespannt, ob/was da neues dabei ist.

 

[Mornsgrans]

Wie der Artikel bereits erwähnte:

Beispielsweise war der Hack der Ernährungs-App MyFitness bereits öffentlich. Der Hack der Fotografie-Community 500px wiederum nicht.

Nicht alle Einträge sind also neu.

 

[cuco]

Wie der Artikel bereits erwähnte:

Nicht alle Einträge sind also neu.

1.) Du hast Recht.
2.) Ich bin/war offenbar blind :facepalm:

 

[Mornsgrans]

Nachtrag:
laut Heise ist der Datenbestand geleakter Passwörter auf über 10 Mrd angewachsen:

Die Datenbank des Webangebots "Have I Been Pwned" (HIBP) umfasst inzwischen mehr als 10 Milliarden Einträge zu geleakten Accountdaten. Auf der Seite des unabhängigen Sicherheitsforschers Troy Hunt können Privatpersonen, Unternehmen und Behörden unter Eingabe von E-Mail-Adressen und Passwörtern online abfragen, ob die jeweiligen Daten im Zuge eines Leaks kompromittiert wurden.

Interessant auch:

... Hunt stellt zusätzlich eine API für eine automatisierte Abfrage bereit. Administratoren können diese Überprüfung zudem für eine von ihnen verwaltete Domain vornehmen. Auch das direkte Prüfen von Passwörtern ist mittlerweile möglich, beispielsweise um geleakte Passwörter direkt bei einer Registrierung ausschließen zu können.