gemeines email hacking

[DickHorner]

...... dass es eine gezielte Attacke gegen mich persönlich war...

Hast Du Dir irgendwelche Feinde gemacht?

Da hast Du mich falsch verstanden.


@bluttrinker: wie konntest Du denn identifizieren was die Quelle der geleakten Daten bei Dir ist?

[biaaas]

Bei den in #2 genannten Seiten wird das mit angezeigt. Bei mir war es Adobe, Kickstarter und Last.fm. Bei letzteren kann ich mich gar nicht mehr erinnern das ich da Daten hinterlassen habe.

[DickHorner]

Ne, wird auf haveibeenpwned leider nicht bei allen leaks angezeigt :/
#1 Combo list, exploit.in etc., mehr steht da oft nicht. Klar kann man die Listen irgendwie beschaffen, aber das ist ja jetzt auch nicht gerade für saubere Methode.

[HerrReineke]

Ne, wird auf haveibeenpwned leider nicht bei allen leaks angezeigt :/
#1 Combo list, exploit.in etc., mehr steht da oft nicht. Klar kann man die Listen irgendwie beschaffen, aber das ist ja jetzt auch nicht gerade für saubere Methode.

Bei diesen Listen ist nicht unbedingt klar, woher der einzelne in der Liste enthaltene Datensatz stammt, daher wird nur der Name der Liste angezeigt. Bei manchen Hacks ist es halt bekannt und dann wird es auch entsprechend angezeigt - bei mir z.B. mit einer meiner Spammails bei Nexusmods der Fall

Nur der Vollständigkeit halber: Es gibt dieses Angebot auch für Passwörter, ob also bestimmte Passwörter in diesen Listen auftauchen und wenn ja, wie oft. Und wer jetzt kluk ist und sich fragt: "Wie clever kann es sein das eigene Passwort in ein Suchfeld im Internet einzugeben?! " dem sei dieser zugehörige Blogpost dazu empfohlen

[hightower]

@HerrReineke, wäre nett, wenn du deine Frage auch beantworten würdest. Der Blogpost ist doch sehr umfangreich. Es hängt sicher davon ab wie seriös eine Seite ist.

[HerrReineke]

@HerrReineke, wäre nett, wenn du deine Frage auch beantworten würdest. Der Blogpost ist doch sehr umfangreich. Es hängt sicher davon ab wie seriös eine Seite ist.

tl;dr: Grundsätzlich eine beschissene Idee - In diesem konkreten Fall kann man es mutmaßlich machen, aber wenn man es bei sich vollständig lokal machen kann wäre es sicherer.

Das wichtigste ist auf jeden Fall, ob man der Seite bzw. den Personen dahinter vertraut. Da muss jeder für sich selbst wissen, ob er Troy Hunt vertrauen möchte - einem Menschen, dem er sicherlich noch nie persönlich begegenet ist. Wenn man das schon nicht will ist bereits vorbei.

In dem Blogpost wird beschrieben, wie er mittels k-Anonymität und Hashes dafür sorgt, dass das eigentliche Passwort gar nicht durch das Internet geschickt wird. Kurz gesagt: Client-seitig (also auf deinem PC) wird das eingegebene Passwort mittels SHA-1 gehashed. Von diesem Hashwert werden nur die ersten 5 Zeichen (Prefix) an die Datenbank übermittelt. Die schickt dann allle bekannten Endungen (Suffix) für das übermittelte Prefix zurück und auf deinem Client wird dann geguckt, ob deines dabei war (oder nicht). Falls ja, wird die ebenfalls mitgeschickte Trefferzahl angezeigt.

Da das Passwort nicht übermittelt wird könnte man es also machen. Ob es technisch tatsächlich so funktioniert habe ich jedoch nicht geprüft - auch das müsste man entweder selbst tun oder entsprechend der Quelle vertrauen. Und naja - wenn dein PC kompromitiert ist bringt das natürlich nichts, dass alles Client-seitig passiert. Aber dann hast du ohnehin bereits verkackt

Was man alternativ immer machen kann und was Troy Hunt für seine alte Version empfohlen hatte (als noch die Passwörter übermittelt wurden und er dringend davon abriet echte Passwörter zu verwenden): Ein sehr ähnliches Passwort ausprobieren. Wenn dein echtes Passwort also "test1234" wäre könntest du es mal mit "test12345" oder "test1337" probieren und wirst feststellen: Ist ein scheiß Passwort

[Feamorn]

Was man alternativ immer machen kann und was Troy Hunt für seine alte Version empfohlen hatte (als noch die Passwörter übermittelt wurden und er dringend davon abriet echte Passwörter zu verwenden): Ein sehr ähnliches Passwort ausprobieren. Wenn dein echtes Passwort also "test1234" wäre könntest du es mal mit "test12345" oder "test1337" probieren und wirst feststellen: Ist ein scheiß Passwort

Naja, der Sinn der Übung ist ja aber eher, herauszufinden, ob die Passwörter die bei irgendeinem Dienst mit einer kompromittierten Adresse, aus einem nicht genau identifizierten Hack, verbandelt sind, ebenfalls öffentlich aufgetaucht sind, nicht, ob das eigene Passwort sicher ist oder nicht. Ich habe ehrlich gesagt meine (wichtigen) aktiven Passwörter geändert und dann getestet.

Beispiel: Meine Email ist in diversen "bekannten" Hacks ausgelesen worden (last.fm, Dropbox, ...), dort kann man das Passwort direkt ändern. Dann taucht meine Email aber auch in "Collection #1" auf, das heißt, ich weiß nicht, wie die da herein gekommen ist. Das kann theoretisch von sämtlichen Seiten kommen, auf denen ich die Adresse jemals angegeben habe (auch Newsletter nicht zu vergessen). Das heißt streng genommen müsste ich sämtliche Passwörter ändern, oder eben zumindest die, bei denen mir oder anderen durch den Fremdzugriff ein Schaden entstehen könnte, und im Grunde habe ich genau das gemacht.

Wenn ich nicht so faul wäre, würde ich für jeden Dienst ein eigenes Alias einrichten, dann könnte man recht sicher identifizieren, woher die Adressen in der Sammlung stammen... aber ich bin eben faul. *seufzt*

[Feamorn]

Was man alternativ immer machen kann und was Troy Hunt für seine alte Version empfohlen hatte (als noch die Passwörter übermittelt wurden und er dringend davon abriet echte Passwörter zu verwenden): Ein sehr ähnliches Passwort ausprobieren. Wenn dein echtes Passwort also "test1234" wäre könntest du es mal mit "test12345" oder "test1337" probieren und wirst feststellen: Ist ein scheiß Passwort

Achso, Nachtrag, wenn die Passworte allerdings erst mit SHA1 gehasht werden, funktioniert das mit dem "ähnlichen" Passwort bereits nicht mehr, da ein geändertes oder hinzugefügtes Zeichen bereits einen völlig anderen Hash-String bedingt.

[HerrReineke]

Achso, Nachtrag, wenn die Passworte allerdings erst mit SHA1 gehasht werden, funktioniert das mit dem "ähnlichen" Passwort bereits nicht mehr, da ein geändertes oder hinzugefügtes Zeichen bereits einen völlig anderen Hash-String bedingt.

Doch, es funktioniert, denn du kriegst ja zu dem ähnlichen Passwort das korrekte Ergebnis angezeigt: Und das zeigt einem, ob viele Menschen ein zu deinem Passwort sehr ähnliches genutzt haben und dieses ähnliche Passwort kompromittiert worden ist. Daraus könnte man ableiten, dass es auch viele Menschen gibt, die dein richtiges Passwort ebenfalls nutzen und dieses ebenfalls kompromittiert ist.

Andersrum sagt es einem aber nichts, wenn bei ähnlichen Passwörtern keine Treffer erscheinen: Denn das Echte könnte trotzdem kompromittiert sein. Über Ähnlichkeiten kann man nur Gefahren finden aber keine Kompromittierung ausschließen.

Dazu vielleicht noch ein weiterer kleiner Hinweis: Nur weil ein Passwort bisher nicht in diesen bekannten Listen auftaucht heißt es nicht, dass das Passwort auch gut ist. Es heißt nur, dass es nicht in diesen Listen auftaucht. Wenn es ansonsten beschissen ist (z.B. eine sehr kurze Zahlenkombination; das eigene Geburtsdatum etc.) hilft es kaum weiter, dass es in diesen Listen nicht auftaucht, weil es dann über Brute-Force oder (bei semi-gezielten Angriffen) durch zusätzliches Wissen sofort kaputt ist.

[Feamorn]

Achso, Nachtrag, wenn die Passworte allerdings erst mit SHA1 gehasht werden, funktioniert das mit dem "ähnlichen" Passwort bereits nicht mehr, da ein geändertes oder hinzugefügtes Zeichen bereits einen völlig anderen Hash-String bedingt.

Doch, es funktioniert, denn du kriegst ja zu dem ähnlichen Passwort das korrekte Ergebnis angezeigt: Und das zeigt einem, ob viele Menschen ein zu deinem Passwort sehr ähnliches genutzt haben und dieses ähnliche Passwort kompromittiert worden ist. Daraus könnte man ableiten, dass es auch viele Menschen gibt, die dein richtiges Passwort ebenfalls nutzen und dieses ebenfalls kompromittiert ist.

Okay, unter dem Gesichtspunkt, ja.

Andersrum sagt es einem aber nichts, wenn bei ähnlichen Passwörtern keine Treffer erscheinen: Denn das Echte könnte trotzdem kompromittiert sein. Über Ähnlichkeiten kann man nur Gefahren finden aber keine Kompromittierung ausschließen.

Genau. Wie gesagt, die "korrekte" Vorgehensweise, sobald die Email in der Sammlung ist, wäre, alles zu ändern. Aber ich kann schon nachvollziehen, dass man den, ja teilweise enormen, Aufwand scheut, ich habe ja auch nur meine "wichtigen" Geändert (sprich Shops und die der Email selbst).

Dazu vielleicht noch ein weiterer kleiner Hinweis: Nur weil ein Passwort bisher nicht in diesen bekannten Listen auftaucht heißt es nicht, dass das Passwort auch gut ist. Es heißt nur, dass es nicht in diesen Listen auftaucht. Wenn es ansonsten beschissen ist (z.B. eine sehr kurze Zahlenkombination; das eigene Geburtsdatum etc.) hilft es kaum weiter, dass es in diesen Listen nicht auftaucht, weil es dann über Brute-Force oder (bei semi-gezielten Angriffen) durch zusätzliches Wissen sofort kaputt ist.

Ganz wichtiger Punkt!

Wobei ich bei manchen Anbietern auch echt schon einen Hals bekomme. Wie sehr ich es liebe, wenn man bei einem "Passwort vergessen" dann allen ernstes das alte Passwort im Klartext zugeschickt bekommt. Eigentlich sollte man da sofort die Segel streichen, denn das ist auf so viele Arten einfach nur falsch...
(Für Nicht-Informierte: Wenn der Anbieter das Passwort "korrekt" speichert kann der Anbieter einem nicht das eigene Passwort zusenden, da er es selbst nicht kennt, da auf den Servern bloß ein verschlüsselter Wert gespeichert wird. Daher sollten, wenn es einem passiert, dass man irgendwie sein altes Passwort wieder bekommen kann, alle Alarmglocken angehen!)

[HerrReineke]

Wobei ich bei manchen Anbietern auch echt schon einen Hals bekomme. Wie sehr ich es liebe, wenn man bei einem "Passwort vergessen" dann allen ernstes das alte Passwort im Klartext zugeschickt bekommt. Eigentlich sollte man da sofort die Segel streichen, denn das ist auf so viele Arten einfach nur falsch...
(Für Nicht-Informierte: Wenn der Anbieter das Passwort "korrekt" speichert kann der Anbieter einem nicht das eigene Passwort zusenden, da er es selbst nicht kennt, da auf den Servern bloß ein verschlüsselter Wert gespeichert wird. Daher sollten, wenn es einem passiert, dass man irgendwie sein altes Passwort wieder bekommen kann, alle Alarmglocken angehen!)

Das ist der Punkt, an dem man auch mal dem örtlichen Datenschutzbeauftragten bescheid geben könnte ... Man kann sich ein wenig Mühe machen und gucken, welcher DSB für dieses Unternehmen zuständig ist, oder man macht es sich einfach, und nimmt den aus dem eigenen Bundesland - der muss es dann an die zuständige Stelle weiterleiten

Und ja: An diesem Punkt sollte man dringend dieses Passwort und diese Mail nirgendwo mehr sonst verwenden und diesen Dienst besser nciht mehr nutzen^^

[tj91]

Für Nicht-Informierte: Wenn der Anbieter das Passwort "korrekt" speichert kann der Anbieter einem nicht das eigene Passwort zusenden, da er es selbst nicht kennt, da auf den Servern bloß ein verschlüsselter Wert gespeichert wird.

Da muss ich dich kurz korrigieren. Verschlüsselung ist der falsche Ausdruck Typischerweise speichert man ein Passwort gehashed und "gesalzen" ab, wobei Hashen im Gegensatz zum Verschlüsseln nur in eine Richtung funktioniert. So jedenfalls die Idee. Typische Implementierungen mit meist SHA1 als Hash-Funktion sind da auch fragwürdig. Man kann sehr viele Passwörter sehr schnell durchprobieren, da SHA1 auf Geschwindigkeit in kryptographischen Anwendungen optimiert ist und genau das bereitet hier Probleme. Es gibt bessere Methoden, die Passwörter sicher abzuspeichern. Aber da es immer noch Firmen gibt, die nicht mal ganz simpel hashen, wie du ja festgestellt hast, befürchte ich, dass die Quote derjenigen, die es richtig machen, nicht der Rede Wert ist.

[drgonzo]

Wenn du dein Passwort nicht in das Eingabefeld eingeben möchtest, kannst du es auch einfach selbst hashen und die ersten 5 Zeichen wie beschrieben gegen die API werfen und suchst nach den restlichen Zeichen des Hashs in der Ausgabe. Damit umgehst du die Blackbox, der du mit dem Eingabefeld vertrauen müsstest.

[HerrReineke]

Heise weist auf ein kleines Skript hin, mit dem man vergleichsweise leicht und ressourcenschonend auch lokal seine eigenen Passwörter gegen die große Liste der Pwnd-Passworts von Troy Hunt abgleichen kann - das wäre damit dann noch eine Möglichkeit^^

[DickHorner]

ein python skript lokal ausführen ist für Otto Normaluser schon eine gewisse Einstiegshürde...

[HerrReineke]

Nach "Colleciton #1" sind jetzt wohl auch #2 - #5 aufgetaucht, die wohl nochmals größere Datenmengen enthalten. Die entsprechenden Datensätze sind bei HIBP noch nicht zum Abgleich eingestellt, was aber vermutlich bald der Fall sein wird. Eine andere Stelle, bei der man wohl auch schon anhand der neuen Collections seine Mails kontrollieren kann ist der "Identity Leak Checker" vom Hasso Plattner Institut. Zu denen selbst kann ich nicht viel sagen.

Quelle: Heise

[IceGrin]

Brrrrrrrrrrr, scheiß dreck alles miteinander. In da Volksschule hab ich mich immer geärgert wenn ich als letzter beim Sport gewählt wurde, aber jetzt bin ich bei so was immer ganz vorne dabe....

[IceGrin]

Und was zur hölle ist badoo.com überhaupt?

[Don Mchawi]

Und was zur hölle ist badoo.com überhaupt?

Eine Datingsplattform. Ist glaube ich in Deutschland nicht so groß, aber recht international.
Wo taucht das denn auf?

[IceGrin]

Bei der email die meine daten geleakt haben.

Würde a foto davon anhängen aber das ist mir am handy grad zu dof