Riesiger Datenleak: 272 Mio. Mail-Adressen/Passwörter aufgetaucht

Nutzer von bekannten Diensten von Google, Microsoft und Yahoo sollten ihre Anmeldedaten wohl besser ändern, auch wenn das derzeit noch eine Vorsichtsmaßnahme ist. Denn ein renommierter Sicherheitsexperte sagt, dass in der russischen Unterwelt ... mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich nutze überall die 2 Faktor Authentifizierung, also kein Problem.
 
@starbase64: Soweit es angeboten wird ja.
 
@starbase64: Ich nutze bei den oben genannten Institutionen (freiwillig) garnicht erst was PW pflichtiges (an Diensten / Angeboten). Und nuuu ? Hab ich auch kein Problem, klarer Fall, davon wirklich betroffene haben aber dennoch mein Mitleid ! Deins auch ?

Oder bin ich da einfach zu "sozial" ?

Hmm..scheine bei manchen ne Reizleitung getroffen zu haben.. *lach
 
@DerTigga: Dass du zu sozial bist, darüber musst du dir sicher keine Sorgen machen.

Ach, und grundsätzlich, an die Minusser von starbase64: Was genau ist an der Aussage, dass die 2-Faktor-Authentifizierung das Problem löst, falsch?
 
@cgd: Mache ich mir auch nicht wirklich. Aber womöglich andere. Die ein zuviel davon eben als vermeidenswert, (mindestens) unintelligent, als Verschwendung oder ähnliches meinen behaupten zu dürfen bzw. mich entsprechend umerziehen wollen.
 
@DerTigga: Blöde Frage: Was ist an z.B. Hotmail oder GMail weniger vertraueswürdig als weg.de/gmx.de oder telekom.de als Mailprovider? Erstere beiden 2-Faktor-Auth an, letztere weiß ich es nicht. Ich würde behaupten, es war Zufall, dass ausgerechnet diese Daten betroffen sind. Egal bei welchem (Mail-)Anbieter du bist, es kann dich immer treffen, sobald du etwas mit einem Passwort schützt.
 
@larsh: Ich habe nichts drüber geschrieben und auch garnicht schreiben wollen, das ich und bei welchem (anderen) Mailprovider ich der Meinung bin, der sei besser oder schlechter !
Das bzw. sich da zu entscheiden, sich den "richtigen" auszusuchen, bleibt jedem selber überlassen ?! Sollte sich irgendwann rausstellen, das es ne Fehlentscheidung war, dann muss man eben damit leben.
Ich habe kein einziges Wort drüber geschrieben oder behauptet, das "mein" Mailprovider was besseres ist oder das ich dort besser abgesichert sei ??

Aber mir sowas rein-interpretieren, mir ein solche Denkweisen doch bestimmt habend mal reinwürgen zu wollen, das können, nach der Minusanzahl zu urteilen, scheinbar ziemlich viele hier. Erschreckenderweise wie ich finde.
Es geht mir nachlesbar nur darum, das ich es ok und wichtig finde, mit den womöglich betroffenen Mitleid haben zu können. Selbst als von der obigen News (noch)Nichtbetroffener, also sozusagen übergreifend.
Das ich sehr demnächst auch Betroffener sein / werden könnte, ist ja wohl klar ? Bei der jeden Tag steigenden Anzahl von Häckern beinah unvermeidbar ?

Einer derjenigen, die mir da dennoch und entgegen Nachlesbarkeit eine Art Besserwisserei und Beweihräucherung eines anderen bzw. meins Mailproviders reinwürgen will, ist z.B. Mitboardie M.Rhein. Wie der / die drauf kommen konnte, das ich ein keine Mails mehr schreiben auch nur ansatzweise als gangbaren Weg einstufe, werde ich wohl nie verstehen.
Ich finde die Reaktion regelrecht böswillig, da sowas draus zu stricken, nur weil ich offen und ehrlich geschrieben habe, das ich (noch) nicht betroffener bin, da mit den in der News genannten Providern Mail-Account technisch gesehen schlicht und einfach nichts zu tun habe.
DAS zu lesen war, wieso auch immer, um einiges wichtiger, als das, was das tatsächliche Thema meines Beitrags war: das empfinden (KÖNNEN !) von Mitleid.
 
Eure Grafik ist Humbug!

121341443215532 ist nicht sicher? Das trifft bestenfalls dann zu wenn der Angreifer sich SICHER sein kann, dass der Benutzer einen Zahlencode verwendet. Sonst muss er von einem vollständigen Zeichensatz ausgehen und danach suchen. Ein Hackversuch wird außerdem nur bei lokal erreichbaren Datenbanken klappen, so ziemlich jede Webseite wurde nach ein paar Fehlversuchen den Zugang sperren.
 
@xexex: Deine Zahlenreihe fällt ebenfalls / immernoch unter den Begriff, der oben nunmal in der Grafik steht: >kurzes< PW ?
Wäre das Dingens da oben ein Passwortgenerator, statt nur ne Grafik, könnte er deinen Zahlenrattenschwanz jedenfalls niemals ausspucken ;-)

Ich empfinde die obige Grafik als herrlich sarkastisch und ironisch gemeint bzw. als Anschauungs bzw. Lehrbeispiel, gegen die möglicherweise bei gewissen Intelligenzbolzen ziemlich weit verbreitete Ansicht, was (angeblich) SCHON ein ausreichendes PW IST :-)
 
@xexex: So etwas zuzulassen erhöht meiner Meinung nach die Sicherheit des Gesamtsystems. Das Verwenden von Zahlen/Sonderzeichen/Gloß-Klein-Schreibung zu erzwingen reduziert die Anzahl möglicher Passwörter und damit auch den Aufwand für einen Brute-Force Angriff.
Das mit den Webseiten ist nicht so simpel. Wenn OWA offen ist könntest du aus der Ferne jeden Account sperren, sofern der Benutzername bekannt ist, ein schöner DoS Angriff.
 
Der springende Punkt ist aber, dass eine lange Zahlenkolonne genauso "sicher" ist wie irgendwas kryptisches in Form von "Fg$$#DDFeeASAG45". Je komplexer es Kennwort ist, desto wahrscheinlicher wird dieser aber überall notiert sein und somit jegliche Sicherheit aushebeln.

Viel schlimmer in Zeiten von Facebook und Co. sind irgendwelche "Sicherheitsfragen", bei denen nach den Namen der Mutter oder der Schule gefragt wird und die jeder Hansel leicht ergooglen kann.

Am besten ist jedoch der, auch in dieser Bildserie genannte Vorschlag mehrere Wörter aneinander zu packen. Etwas wie "Ich-mag!grüne+Kühe" ist leicht zu merken und von der Länge perfekt. Leider ermöglichen noch immer nicht alle Systeme so lange Kennwörter zu benutzen.
 
@xexex: Dem kann ich nicht voll zustimmen. Wenn du Zugriff auf große Rainbow-Tables hast, sind dort für bestimmte Szenarien (z.B. nur Zahlen) Passwörter mit höherer Länge vertreten.
Die Sicherheitsfragen/Hinweise sehe ich ebenfalls als großes Problem.
Da gibt es aber noch ganz andere Baustellen. Oft werden Daten durch Service-Mitarbeiter herausgegeben, gute Schulung, Kontrolle und Workflows sind essentiell.

Passwörter auf diese Art und Weise zu konstruieren (mehrere Wörter) empfehle ich ebenfalls unseren Mitarbeitern :)

Leider ist der Sicherheitsgewinn aufgrund schlechter/alter Implementierungen in manchen Szenarien geringer als gedacht. Siehe auch: https://www.heise.de/security/artikel/Erfolgreiche-Angriffe-270994.html
 
@orioon: Bei meinem Mobilfunkanbieter ist das Passwort für die Webseite gleichzeitig das Kennwort für den Telefon-Support. Da sehen die Mitarbeiter die Passwörter im Klartext - so ist die Sicherheit natürlich überhaupt nicht mehr gegeben. (Drillisch)
Die Liste oben ist übrigens einfach nur falsch, die gehen davon aus, dass bei der Kombination 123 der Angreifer weiß, dass nur zahlen zwischen 1-3 vorkommen können (27 Möglichkeiten) - dabei ist bei einem 3stelligen Zahlencode eher von 0-9 auszugehen (1000 Möglichkeiten) und dieser Denkfehler zieht sich durch alle Beispiele durch.
 
@xexex: Das Problem ist, dass man zur relativen Sicherheit trotzdem auf jeder Seite ein anderes PW braucht und nicht überall "Ich-mag!grüne+Kühe" verwenden sollte. Wer denkfaul ist, kann diesen String aber als Salt benutzen und über einen beliebigen Online-String-Encrypter "<domainname> + <Saltstring>" zu einem individuellen Passwort für jede Seite verschlüsseln. Aber ist den meisten wohl auch schon zu viel Aufwand. ^^
 
@orioon: am besten ist immer noch das verfahren von Blizzard.
Du kannst dich im battlenet account einloggen und musst dir keine gedanken über groß und kleinscheibung des passwortes machen. den für blizzard ist das passwort "wedontneedsecurity" und "WEdontNEEDseCuRitY" vollkommen identisch.
 
@DNFrozen: Beleg? Bei der "Geheimfrage" wird die Groß-Kleinschreibung definitiv geprüft, deshalb musste ich letztens selber den Support anschreiben. Bei Amazon fand ich es witziger: Alles nach der 6 Stelle wird abgeschnitten (Mittlerweile repariert, in meiner Uni gab es diesen Fehler ebenfalls eine Zeit lang - Das hat System!)
 
@orioon: mal abgesehen davon das ich das selbst getestet habe ist das noch sehr vielen anderen Nutzern aufgefallen.
http://eu.battle.net/wow/de/forum/topic/4888578959

wenn du noch mehr berichte willst einfach mal kurz google benutzen
https://www.google.de/?gws_rd=ssl#q=blizzard+password+case+sensitive
 
@xexex: sobald es die Ersten Quantencomputer gibt, is das sowieso alles hinfällig. Ich halten die Zahl zwar auch für übertrieben, aber laut neuesten Berechnungen soll ein Quantencomputer ca. 100 Billionen mal schneller sein als der schnellste Supercomputer mit Transistoren. Heißt im Klartext selbst ein Passwort wozu man 500 Mrd. Jahre mit einem PC bräuchte um alles durchzuprobieren, wäre in ca. 43 Stunden geknackt. Und..50 Mrd. Jahre...das is schon n ordentliches PW. So in etwa sind die Verhältnisse....
 
@legalxpuser: Man muss aber immer unterscheiden zwischen einer Datenbank oder Datei die man knacken kann/will und einem Online Zugang.

Bei einem Zugang bekommst du nur ein paar Versuche bevor du entweder dauerhaft oder zumindest temporär gesperrt wirst. Moderne Systeme warten bei jedem fehlgeschlagenen Versuch eine immer längere Zeit bis eine erneute Anmeldung möglich ist oder nutzen eine Zwei Faktor Authentifizierung.

Darum geht es letztlich auch in meiner Aussage. Hast du eine Kennwortgeschützte Datei in deinen Händen, ist ein Kennwortschutz ist es sowieso nur noch eine Frage der Zeit.
 
@xexex: Da muss man aber auch unterscheiden. Mit IP-Sperren nach 3-5 Versuchen hebelt man auch nur einen Einzeluser aus. Die Russen haben bekanntlich Bot-Netzwerke.. wenn zigtausend Computer ihre 3-5 Versuche machen oder gegebenenfalls auch noch mit jedem Request einen x-beliebigen Proxy-Server verwenden, nützen IP-bezogene Sperren auch nichts.

Dann müsste man noch Account-bezogene Sperren einbauen - dann könnte sich der reguläre User aber auch für einen gewissen Zeitraum nicht mehr einloggen, es sei denn es gäbe für ihn alternative Möglichkeiten (zB via SMS-Code) um die Sperre wieder aufzuheben. Ist aber nicht alltagstauglich, weil nicht jeder seie Handynummer angeben will.

Gab aber auch schon Systeme, die da vollkommenen Bockmist gebaut haben. Erst Account-Sperre dann ging vierstelliger Zahlencode ans Handy raus, den man auf der Webseite eingeben musste, um ein neues Passwort zu setzen. Blöderweise haben sie dann bei der Code-Eingabe auf jeglichen Sicherheitsschutz verzichtet. Nach maximal 10000 Versuchen war der Account dann gekapert. ^^
 
@legalxpuser: ich glaub, du verwechselst da einiges. wie willst du ein passwort "knacken"? der einzige weg ist, ein passwort im passwortfeld einzugeben und zu schauen obs klappt. was du meinst, ist verschluesselte daten zu entschluesseln. hat mit passwort aber nichts zu tun - absolut nichts...
 
@laforma: naja knacken in de m Sinne von alles durchprobieren halt. Is ja nix anderes bei Verschlüsselung. Das ist dann halt für Quantencomputer n Kinderspiel. Wie gesagt "noch" basiert immer noch alles auf Transistoren bzw. 0 und 1...also noch genauso wie vor 50 Jahren...das freilich auch bei dem neusten i7 oder ne Geforce GTX980 ti! ^^
 
Ausserdem sind nicht einfache Passwörter das Problem in der heutigen Zeit, sonder die riesigen Leaks. Was hilft mir ein sicheres Passwort wenn es dann doch wieder gestohlen wird? Nichtsdestotrotz sind komplexe Passwörter wichtig.
 
@tetam: Bei seriösen Unternehmen kann man davon ausgehen, dass die Passwörter ausschließlich als Prüfsumme + Salt vorliegen.
 
@Shadow27374: Wo bleiben die horrenden Strafen wenn das nicht der Fall ist? Leider schlampen auch heute noch viel zu viele Unternehmen. An Rewe erinnere ich mich gerade aus dem Stehgreif.
 
@Shadow27374: Ja schon, aber es gibt genug Firmen die sich nicht dran halten.
 
@Shadow27374: Die großen Skandälchen waren doch immer wenn gerade bei den großen Firmen Klartext rausgetragen worden ist. Ob groß oder klein, dort arbeiten Menschen. Die einen machen Fehler, die anderen bekommen nur den Auftrag ein veraltetes System zu warten. Die Umstellung auf aktuelle Sicherheitsstandards kostet nunmal Geld.
 
@Stamfy: Also einen String per Hashfunktion "umwandeln" und in einer Datenbank speichern kostet also richtig viel Geld? Warum nehme ich dann dafür so wenig...^^
 
Da nutzt man schon die doppelte rot13 Verschlüsselung und dan sowas.
 
"Es ist derzeit nicht bekannt, ob es Pläne gibt, den Daten-Leak beispielsweise in Form einer durchsuchbaren Online-Datenbank (teilweise) zu veröffentlichen." Sobald verfügbar, bitte posten. Danke.
 
@Shadow27374: Selbstverständlich.
 
ach eh alles fake accounts,
 
Mich würde die genaue Quelle dieser Daten interessieren, denn das macht nat. einen RIESEN unterschied.

Sind das nun 272 Mio Email-Adressen, die direkt von "Servern" entwendet werden konnten? (Kann mir schwerlich vorstellen, dass MS oder Google das Password im Klartext speichert, was dann aber Voraussetzung sein müsste.

Oder ist der "Leak" Ergebnis von Zahllosen Phising-Ausflügen, Facebook-Tricks etc. Wo "In Summe" nun halt 100.000 Deutsche Konten zusammenkommen (Jeden Tag steht ein Dummer auf ^^)
 
@dognose: Kann mir ehrlich gesagt auch schwer vorstellen, dass das alles direkt von den Anbieter Servern abgegriffen worden ist. Dann doch eher Phishing. Wenn das ganze überhaupt stimmt.
 
Was mich stutzig macht ist der Preis für die Adressen. Jemand der aktive Logins im Besitz hat wird sie nicht so billig vertickern, auch nicht, wenn sein Name "positiv" erwähnt wird. Auf einer anderen IT-Seite schreibt man, dass z.B Mail.ru einige schon getestet hat und die Accounts seien nicht mehr aktiv. Auf Grund des billigen Preises tippe ich eher darauf, dass ein Scriptkiddy sich wichtig machen will und groß auftischt aber nix zu bieten hat.
 
Weshalb macht sich hier irgendwer noch einen Gedanken über "sicheres Passwort", wenn unsere lieben Anbieter ihre Kundendaten (also Login & Passwort) frei verteilen?
 
@AWolf: Wie kommst Du zu dem Schluss, die "lieben Anbieter" hätten die Logindaten "frei verteilt"?

Oder meinst Du damit den russischen Hacker? (der hat die Daten ja angeboten, und gegen nur 50 EUR beinahe "frei" hergegeben).
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter