gemeines email hacking

Wenn es nicht um Spiele und / oder den Podcast geht, dann stehen die Chancen gut, dass dein Thema hier richtig ist.
WARNUNG: Gerade bei Politik & Co. geht's gerne hoch her. Auch hier gelten die Benimmregeln. Behandelt andere Foren-User immer mit Respekt, selbst wenn ihr deren Meinung nicht respektieren könnt!
Forumsregeln
Datenschutzerklärung: https://www.gamespodcast.de/datenschutzerklaerung/
Impressum: https://www.gamespodcast.de/impressum/

Forenregeln und zukünftige Weltverfassung
ART 1: Behandle andere Nutzer mit Respekt.
ART 2: Do NOT piss off the Podcasters

Lies bitte weitere Hinweise hier: viewtopic.php?f=4&t=2789
Benutzeravatar
HerrReineke
Archduke of Banhammer
Beiträge: 2124
Registriert: 6. Apr 2018, 12:03

Re: gemeines email hacking

Beitrag von HerrReineke »

Von Google gibt es jetzt eine Chrome-Extension namens "Password Checkup", mit der ebenfalls automatisch die eingegebenen Daten mit einer umfangreichen Datenbank abgeglichen werden. Gibt der Nutzer eine Nutzername/Passwort-Kombination ein, die in dieser Datenbank auftaucht erhält er eine Warnung.

In einem (englischsprachigen) Blogpost wird auch ein wenig zur technischen Seite erzählt, insb. wie durch Verschlüsselungsverfahren dabei die eingegebenen Daten geschützt werden. Es gibt darüber hinaus auch eine (deutsche) Hilfeseite für die Benutzung der Extension um z.B. einzelne Webseiten von dieser Überprüfung auszunehmen.

Hier muss man dann Google vertrauen - wer das tut, für den dürfte dieses Tool durchaus praktisch sein, da es die Daten bei jeder Benutzung mit einer (hoffentlich aktuellen) Datenbank abgleicht und damit viel regelmäßiger und beiläufiger funktioniert als individuelle Überprüfungen über andere Drittanbieter.
Quis leget haec?
Benutzeravatar
Desotho
Beiträge: 5514
Registriert: 13. Dez 2016, 19:05
Kontaktdaten:

Re: gemeines email hacking

Beitrag von Desotho »

Wobei ich mir dann sage: In der Zeit habe ich auch das Passwort einfach geändert.
El Psy Kongroo
Benutzeravatar
gnadenlos
Beiträge: 397
Registriert: 1. Dez 2016, 03:52
Kontaktdaten:

Re: gemeines email hacking

Beitrag von gnadenlos »

Warum nicht gleich vernünftige und unterschiedliche Passwörter verwenden? Dann brauche ich auch nicht Google meine Passwörter übertragen.

Zur Vereinfachung gibt es doch auch Passwort-Manager, die dann lokal einen verschlüsselten Passwort-Safe erstellen. Damit ist dann auch ein komplexes Passwort mit einem Klick eingegeben - also sogar deutlich schneller als irgendwelche Simpel-Passwörter von Hand einzugeben.
Benutzeravatar
HerrReineke
Archduke of Banhammer
Beiträge: 2124
Registriert: 6. Apr 2018, 12:03

Re: gemeines email hacking

Beitrag von HerrReineke »

gnadenlos hat geschrieben: 6. Feb 2019, 18:15 Warum nicht gleich vernünftige und unterschiedliche Passwörter verwenden? Dann brauche ich auch nicht Google meine Passwörter übertragen.

Zur Vereinfachung gibt es doch auch Passwort-Manager, die dann lokal einen verschlüsselten Passwort-Safe erstellen. Damit ist dann auch ein komplexes Passwort mit einem Klick eingegeben - also sogar deutlich schneller als irgendwelche Simpel-Passwörter von Hand einzugeben.
Das betrifft doch unterschiedliche Dinge: Natürlich sollte man idealerweise einen Passwortmanager nutzen und damit überall unterschiedliche random-Passwörter der maximal zulässigen Länge + 2-Faktor-Authentifizierung realisieren. Dieses Google-Plugin guckt aber ja auch nur, ob deine Nutzername/Passwort-Kombination z.B. durch Hacks öffentlich bekannt ist und warnt dich dann (ähnlich, wie man es auch bei den schon benannten Plattformen wie haveibeenpwnd.com machen kann). Und dass sowas bekannt wird kann dir auch bei der Nutzung eines Passwort-Safes passieren - und dann willst du ja wissen, dass du besser ein neues Passwort vergeben solltest.

Einen Nutzen sehe ich in dem Plugin eindeutig. Ob man es persönlich nutzen will (z.B. da es von Google stammt) ist dann wieder eine andere Frage.
Quis leget haec?
Benutzeravatar
gnadenlos
Beiträge: 397
Registriert: 1. Dez 2016, 03:52
Kontaktdaten:

Re: gemeines email hacking

Beitrag von gnadenlos »

Wenn ich überall unterschiedliche Passwörter habe, ist aber doch nur dass Passwort von dem Anbieter betroffen, bei dem es entwendet wurde.

Damit ein Account/PW auf einer Liste wie haveibeenpwnd.com (oder bei Google) auftaucht, muss es sich um einen bekannt gewordenen Hack handeln, bei dem mich auch der jeweilige Anbieter informieren (innerhalb der EU auf Grund der DSGVO sogar sehr zeitnah) und Maßnahmen zur Änderung des Passworts einleiten müsste.

Daher sehe ich bei Verwendung eines vernünftigen Passwort-Systems keine entscheidenden Vorteil, der rechtfertigen würde, dafür Google seine Passwörter anzuvertrauen und somit im Gegenteil ein weiteres Sicherheitsrisiko zu schaffen.

In Panik verfallen und großartig aktiv werden muss man auch bei haveibeenpwnd.com eigentlich nur, wenn man das Passwort an mehreren Stellen im Einsatz hat. Dann hat man aber schon vorher was falsch gemacht.
Benutzeravatar
HerrReineke
Archduke of Banhammer
Beiträge: 2124
Registriert: 6. Apr 2018, 12:03

Re: gemeines email hacking

Beitrag von HerrReineke »

Wo wir mal wieder dabei sind: Es sind weitere 127 Millionen Datensätze öffentlich bekannt bzw. zum Verkauf angeboten worden.

Diese stammen, dem Bericht von Techcrunch folgend, wohl aus insgesamt 8 Quellen, wovon aber nur eine bisher als gehacked bekannt war - die anderen sieben Webseiten haben entweder gar nicht gemerkt, dass sie gehacked worden sind, oder haben es einfach niemandem gesagt; was jetzt beides nicht gerade für diese Seiten sprechen würde.
Quis leget haec?
Rince81
Beiträge: 8668
Registriert: 21. Dez 2015, 04:30

Re: gemeines email hacking

Beitrag von Rince81 »

Yeah, bei MyFitnessPal dürfte ich dabei sein...

Um da mal wieder eine Lanze für Google und Facebook und deren Loginangebote zu brechen. Da ich mich da durch meinen Facebookaccount anmelde dürften da diesmal zumindest nicht wieder ein Passwort zirkulieren und da meine Premiummitgliedschaft dort über Google bezahlt wurde auch mal keine Zahlungsdaten...
Die "Gesendet von meinem HTC11 Life mit Tapatalk"-Signatur
Benutzeravatar
CheeseChurch
Beiträge: 56
Registriert: 11. Jan 2019, 09:57

Re: gemeines email hacking

Beitrag von CheeseChurch »

Laut golem.de sind noch weitere 127 Millionen Zugangsdaten dabei.

Die folgenden Webseiten/Portale sind betroffen:

Younow
Roll20
Stronghold Kingdoms
Ge.tt
Coinmana
Ixigo
Petflow
Houzz

https://www.golem.de/news/mehr-webseite ... 39413.html
the funniest thing about this particular signature is that by the time you realize it doesn't say anything it's to late to stop reading it
Benutzeravatar
HerrReineke
Archduke of Banhammer
Beiträge: 2124
Registriert: 6. Apr 2018, 12:03

Re: gemeines email hacking

Beitrag von HerrReineke »

Und die nächsten 763 Millionen Mailadressen - teilweise mit Namen, Geburtsdatum, Geschlecht, Anschrift, Telefonnummern, Beruf ... dafür ohne Passwörter.

Hatte ja erst die Hoffnung, dass die Datenbank durch den disclousure process geschlossen würde, bevor die überall bekannt wird - aber gibt natürlich ne Archivversion und damit sind die Daten nun doch allgemein bekannt und bei HIBP mit eingepflegt worden.
Quis leget haec?
Benutzeravatar
Desotho
Beiträge: 5514
Registriert: 13. Dez 2016, 19:05
Kontaktdaten:

Re: gemeines email hacking

Beitrag von Desotho »

Sowas wird auch in Zukunft immer wieder passieren.
El Psy Kongroo
Benutzeravatar
HerrReineke
Archduke of Banhammer
Beiträge: 2124
Registriert: 6. Apr 2018, 12:03

Re: gemeines email hacking

Beitrag von HerrReineke »

Weil es hier auch Betroffene geben könnte reaktiviere ich mal kurz diesen Thread: bei Magic: the Gathering gab es einen größeren Leak von ca. 450.000 Nutzerkonten inkl. gehashter Passwörter.
Quis leget haec?
Benutzeravatar
Desotho
Beiträge: 5514
Registriert: 13. Dez 2016, 19:05
Kontaktdaten:

Re: gemeines email hacking

Beitrag von Desotho »

Gibt es eigentlich vernünftige Passwortmanager die am PC und Mobilgerät nutzbar sind und KEIN Abo haben (darf aber gerne kostenpflichtig sein)?
Nutze derzeit aWallet Cloud und bin auch zufrieden. Am PC wäre halt eine Anwendung praktischer als immer vom Smartphone abtippen :)
El Psy Kongroo
Benutzeravatar
Corvus
Beiträge: 305
Registriert: 28. Mär 2019, 16:08

Re: gemeines email hacking

Beitrag von Corvus »

Desotho hat geschrieben: 17. Nov 2019, 21:00 Gibt es eigentlich vernünftige Passwortmanager die am PC und Mobilgerät nutzbar sind und KEIN Abo haben (darf aber gerne kostenpflichtig sein)?
Nutze derzeit aWallet Cloud und bin auch zufrieden. Am PC wäre halt eine Anwendung praktischer als immer vom Smartphone abtippen :)
Bitwarden ist derzeit der PW Manager meiner Wahl. Das liegt an folgenden Vorteilen:
  • Browseraddons für die meisten Browser mit addon unterstützung
  • App für Android und IOS
  • Die Normale Stufe ist kostenlos. Die Premiumversion bietet ein paar nette bzw sinnvolle Features, wie yubickey unterstützung, health reports usw, aber ist für den normalen nutzer nicht notwendig
  • Open-Source
Classical lurker ... not anymore :ugly:
Bild
Benutzeravatar
Desotho
Beiträge: 5514
Registriert: 13. Dez 2016, 19:05
Kontaktdaten:

Re: gemeines email hacking

Beitrag von Desotho »

Sieht gut aus. Gibt nat. auch Kritik aber die wird es für jede Anwendung geben und überprüfen kann ich es eh nicht.
Sollte ich umsteigen wird das übertragen aller Daten natürlich ne Aktion.
El Psy Kongroo
Antworten