2 Millionen Login-Kennungen im Klartext gefunden

Sicherheitsforscher des Unternehmens Trustwave haben einen Server ausfindig gemacht, auf dem über zwei Millionen Zugangs-Datensätze zu einer ganzen Reihe von Webseiten und anderen Diensten gespeichert waren. mehr... Facebook, Login Screen, facebook ipad Bildquelle: Facebook Facebook, Login Screen, facebook ipad Facebook, Login Screen, facebook ipad Facebook

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Aber Google ist doch so sicher *rofl*
 
@MarcKe: Was hat das mit dem Beitrag zu tun?
 
@BrakerB: hatte gehofft der Originalbeitrag vor seinem Edit machts plausibel: Fehlanzeige.
 
Also zumindest die Trottel mit den "1234..."-Kennwörtern haben's aber irgendwie auch nicht besser verdient.
 
@DON666: in diesen fall sinds diejenigen dies richtig gemacht haben... lieber wird von mir ein 123 Passwort veröffentlicht als das mein kryptisches Passwort in einer Datenbank erscheint -> um für die Zukunft irgendwas zu knacken... OKE ich als Admin muss mir leider viele Passwörter merken und somit ist es kein ding, wenn ein Passwort nach außen kommt, muss ich mir ein neues Suchen... aber viele bekannte haben ein Passwort für 10 Accounts... und da wirds dann happig wenn man jetzt ne liste mit guten Passwörtern hat!
 
@DON666: Trottel? Ich nutze das Passwort auch überall da wo ich gezwungen bin mich zu Registrieren aber weiß das ich das angebot dort nie nutzen werde. Z.B. Auf einem Downloadportal einer Software die von mir verlangt mich zu registrieren. Fakedaren rein, Passwort 123456 und fertig is die Laube. Anschließend besuche ich die Seite nie wieder....
 
@ThreeM: In dem Fall ist das natürlich völlig okay, aber das meinte ich natürlich nicht. ;)
 
@DON666: Jo aber ich denke das ist der häufigste Grund für diese Passwörter. Denke nicht das es leute gibt die das verwenden um einen ernsthaften Account abzusichern xD
 
@ThreeM: Also ich habe seit zig Jahren mit der "PC-Betreuung" aller möglichen Leute zu tun, daher weiß ich aus Erfahrung, dass es leider doch so ist, weil viele entweder zu faul sind, oder absolut keinerlei Sicherheitsverständnis an den Tag legen.
 
@DON666: Nennen wir das Kind einfach beim Namen, der 08/15 Endanwender ist schlicht überfordert mit dem was ein PC kann, was er mit dem PC machen kann und vor allem wie man einen PC sinnvoll und sicher bedient. Da braucht man sich auch nicht wundern, dass Gauner die Leute nach Strich und Faden über den Tisch ziehen. Ich hatte auch schon nen Kunden, dem konnte man 100x erklären, dass die Mails die da in gebrochenem Deutsch und mit Anhang kommen gelöscht gehören und der Anhang auf ja keinen Fall geöffnet werden soll. 2 Tage später hieß es dann nur, ja hätte doch eine Wichtige Mail sein können oder im Anhang..... Hat halt wieder zu nem Kopf -> Tischplatte geführt und der Rechner ist wieder formatiert worden.
 
@DON666: Ich würde mal behaupten, dass ein großer Teil der Accounthacks entweder durch Serverhacks oder durch "freiwillige" Hergabe von den Zugangsdaten von PhishingMails entstehen. In diesen beiden Fällen bringt dir ein sicheres Passwort rein gar nix.
 
@slave.of.pain: Richtig, aber ein guter Teil der 1234-PW dürfte durchaus "erraten" sein.
 
Für mich die wichtigste Frage : Haben die die Nutzer Benachrichtigt? Oder lassen die es Laufen, bis es richtig Kracht?
 
Und bitte WF, 15.820 Mal "123456" als häufig zu bezeichnen bei 2 millionen Datensetzen, ist Dreist.
Viel zu viel, richtig, aber nicht häufig, rund 0,8%!
 
@Kribs: Es geht um die Übertragbarkeit. Du kannst dieses Nutzerverhalten auf jede Userdatenbank übertragen. Selbst wenn die Passwörter mit salted Hashs gespeichert werden, wenn du 15000 mal U$7huj$uhzU($jh$(7$JH als gehashtes Passwort findest, kannst du gezielt diese Accounts mit Standard Passwortlisten angreifen, und ich hab gerne Zugriff auf 15000 Bankkonten.
 
@DerGegenlenker: Sorry, ich weiß nicht was du damit sagen willst.
 
@Kribs: Da es so viele Leute gibt die das gleiche Passwort/Hash haben, kann man davon ausgehen, dass sie ein gängiges Standardpassowort verwenden und was bietet sich da an? ja genau, ein Angriff mit Passwortlisten der gängigsten Passwörter. Ich hoffe ich konnte Dir helfen ^^
 
@Gunni72 : Danke, da hab ich auf der eigenen Leitung gestanden!
 
@Kribs: Sorry, wenn was unklar war, aber ein Uni Prof wollte bei uns mal was an unserer UserDB demonstrieren und zufällig hatte jemand die gleiche Hash wie er. Zufällig war der Prof auch RZ Admin und zufällig wurde der kurz darauf von Domain Controller rausgefeuert, weil jemand anders seinen Account benutzt hat ;)
 
@DerGegenlenker: Nein nicht unklar, ich Habs nur nicht Kapiert, wieso auch immer. Sorry.
 
@Kribs: prozentual erstmal nicht viel. Aber im Idealfall sollte es ja gar keine übereinstimmungen geben bei Passwörtern. Daher kann man hier schon von "viel" reden. Und anscheinend ist 123456 das meist genutzt gemeinsame passwort.
 
@Skidrow: Mir geht es um die Formulierung, und das 0,8% zu viel sind hab ich erwähnt. Wenn 5 % Sichere Passwörter verwenden ist das Häufig, wenn 17 % Gute Passwörter benutzen ist das Häufig und erfreulich. Leider wird auch der Zusammenhang wichtigen Logins (Mail, Bank), unwichtigen Logins (WF) verschleiert, also die rund 470.000 (320.000+ 10% von 1,5 Millionen).
 
@Kribs: Keine Ahnung ob der Artikel seitdem bearbeitet wurde, aber da steht, dass das Passwort 123456 am häufigsten benutzt wurde und nicht, dass es insgesamt häufig verwendet wurde (gemessen an der Gesamtzahl der Passwörter). Mit anderen Worten: 123456 wurde von unterschiedlichen Anwendern insgesamt häufiger benutzt als z.B. 654321.
 
Aber was nutzt den 5% ein ach so sicheres Passwort, wenn sie dann Mitglied eines Botnetzes sind?
 
selbst schuld wer einfache PWs verwendet, dazu auf vielen Seiten das selbe verwendet und am Ende noch Opfer einer Malware wird (unerfahrenen kann das passieren, aber Phishing-Seiten können auch Leute erkennen, die sich weniger mit dem Internet auskennen)
 
@Johro: Fehlt noch die Meldung: "Der Admin (der die Userdatenbank Verwaltet hat) verwendete das Passwort 123" :D -> als Verschlüsselung hat er alles in umgekehrter Reihenfolge abgelegt!
 
@baeri: rofl lol lol rofl lol roflcopter :D
 
@Johro: Letzter Absatz: "Lediglich in 5 Prozent der Fälle sicherten die Experten den Nutzern den Einsatz sehr starker Passwörter zu (...)" - ein 555-Stelliges Passwort mit Sonderzeichen, Zahlen, Buchstaben, Groß- und Kleinschreibung hätte dir auch nichts gebracht wenn es mittels Keylogger aufgezeichnet wurde. Wo ich allerdings zustimme ist die Sache von wegen "gleiches Passwort für unterschiedliche Dienste verwenden". Ich empfehle z.B. jedem Bekannten ein Passwort-Tool wie KeePass. So kann jeder für jede Seite unterschiedliche Passworte generieren und im Falle eines Falles muss man dann ein Passwort ändern und macht sich nicht digital komplett nackig.
 
@RebelSoldier:--> LastPass ftw, nutze ich überall, sogar mobil!
 
hmm...evtl. ein grund um die 2-faktoren-authentifizierung bei ein paar diensten zu nutzen
 
@gast27: Die benutz ich überall wo es nur geht. Am liebsten wäre mir, wenn Webseiten/Windows mal irgendwas machen, dass ein einfacher Keylogger, den man in 10 Min programmieren kann, in einem Passwordfeld, nicht einfach so auslesen/loggen kann. Ne Verschlüsselung auf der Client Seite, wenn ein Passwordfeld erkannt wird oder sowas, wenn überhaupt möglich, also sprich das KeyEvent verschlüsseln!
 
@crimey:
einfach nicht die tastatur verwenden.
Neo's safe keys hilft (http://www.aplin.com.au/)
 
"ordentliche Kennungen" - Ist Kennung nicht eigentlich der Benutzername?!
 
@DRMfan^^: Ich nehme auch an, dass eigentlich "Kennwort" gemeint war, welches synonym zu "Passwort" steht. Kennung ist mir im Zusammenhang zum Artikel auch nur als "Nutzername" geläufig.
 
Da die Daten ja eh schon öffentlich sind isses ja eh egal: werden die gefundenen Daten von den Sicherheitsfirmen die das auswerten oder gefunden haben bereitgestellt (u.A. auch von den Angriffen auf Adobe, Sony, usw.)? Wäre interessant die selbst mal auszuwerten oder zu sehen, ob da von einem selbst wo was dabei ist und wenn ja, was ;-)
 
Meine Passworte sind so sicher, dass ich ziemlich oft den Button/Link "Passwort vergessen" anklicken und ein Neues hinbasteln muss, sofern ich mal auf einer Webseite länger nicht gewesen bin. :D
 
@Diak: Ist das so sicher oder du so vergesslich?;)
 
zu gut xD 1234 wtf wer macht sowas .... text und zahl ist ja eh fast überall pflicht also kann man sich shcon was einfaches einfallen lassen aber nja pech für die leute
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles