Apfelinsel
Talk => Thema gestartet von: radneuerfinder am Januar 21, 2014, 20:22:53
-
http://www.heise.de/security/meldung/BSI-Mehrere-Millionen-Internet-Konten-durch-Botnetze-geknackt-2090167.html
Ob eigene Anmeldedaten (EMail + Passwort) betroffen sind kann man auf einer Seite vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anhand der EmailAdresse überprüfen (die Seite ist z. Zt. überlastet):
https://www.sicherheitstest.bsi.de
-
Interessant wäre halt, welche Provider davon betroffen sind. Es wird immer nur gesagt, E-Mail-Konten wären geknackt. Aber bitteschön: welche denn?
-
Es ist noch nicht einmal klar, ob es wirklich die E-Mail-Konten selber sind oder nur Zugangsdaten bei anderen Diensten, bei denen man sein Mailadresse als Nutzername verwendet (z.B. Webshops etc.).
D.h. alleine die Info, man sei betroffen, hilft noch nicht viel. Wenn letzteres der Fall ist, kann man sein Mailkonto beliebig ändern, aber das Problem bleibt bestehen.
-
ich weiß nicht, ob ich das was eingeben will. (Email-Kollekte des BSI?)
Zum anderen habe ich im Laufe der Jahre zig Email-Adressen verwendet, die mir eh nicht mehr alle einfallen.
-
http://www.computerbase.de/2014-04/3-millionen-deutsche-identitaeten-geklaut-sicherheitstest/
-
Mal ne Frage, wie bekommt ihr denn raus, wo ihr überall eine bestimmt Mail Adresse eingesetzt habt?
Für Anregungen wäre ich dankbar ;-)
-
Tja, für mich kann ich dazu sagen: Nirgendwo kriege ich das raus, weil ich überall meine korrekte Adresse verwendet habe.
Ein Weg (im Vorfeld) wäre es, dass man für jeden Shop/Forum eine eigene Mail-Adresse einrichtet. Habe ich aber nicht gemacht.
Die Meldung, dass Mail-Adressen mit zugehörigen Kennwörtern erbeutet wurde, ist für mich absolut nutzlos. Ich müsste schon wissen, welches Kennwort zu meiner Adresse (wenn überhaupt) gespeichert ist, dann könnte ich nachsehen, welcher Shop/Forum betroffen ist. Aber so ist das sinnfrei.
-
Ja, das gleich Problem habe ich auch. Ich habe jetzt mal alle Passwörter mit dieser Mail als Anmeldung geändert, die in iPassword drin war. Und die mir sonst noch so eingefallen ist ...
Aber ja, es wäre schon gut zu wissen, Mail mit Passwort. Dann würde ich auch wissen, ob es überhaupt noch sixherheitsrelevant ist.
-
http://www.netzwelt.de/news/126671-bsi-sicherheitstest-finden-datendiebstahl-check.html
Zitat:
Alle Betroffenen, die ein Konto bei einem deutschen Anbieter haben, werden vom jeweiligen Unternehmen - sprich Telekom, Freenet, Gmx, Web.de, Kabel Deutschland oder Vodafone über den Datenklau informiert. Auf diese Weise werden dem BSI zufolge 70 Prozent aller Beteiligten benachrichtigt.
und
Wer jedoch bei Outlook, Gmail, Yahoo oder einem anderen Anbieter eine E-Mail-Adresse hat, darf nicht auf eine Benachrichtigung im Posteingang hoffen.
Hervorhebungen von mir.
LG Tom
-
Und die großen Fremail-Provider informieren nicht nur, sondern sperren gleich alle Mail-Konten und zwingen zu einer Änderung des Kennwortes.
Hinweisen zufolge sollen nicht nur betroffene Mail-Konten gesperrt werden, also Mail-Konten, zu denen das Kennwort auch passt. sondern alle Mail-Konten, deren Adresse in dieser Liste ist. Egal, ob das Mailkonto betroffen ist oder nicht. Auch bescheuert.
Problem ist, dass man nicht so genau weiß, wo die Daten herkommen.
-
Hier hört es sich nun etwas anders an. Die Daten sollen nicht gestohlen, sondern mittels Phishing gesammelt worden sein:
http://bazonline.ch/schweiz/standard/38-000-Schweizer-EMailKonten-gehackt/story/14349645
-
Und so tappen wir alle im Dunkeln, was da überhaupt für Daten aufgetaucht sind und was man tun sollte. Sehr unbefriedigend. :(
-
Man kann immerhin überprüfen ob eigene EmailAdressen beim BSI auf der Liste stehen:
Link siehe oben im ersten Beitrag
-
Und was habe ich dann davon? Ich weiß dann, dass meine Mail-Adresse mit irgendeinem evtl. irgendwo passendem Kennwort auf einer Liste waren. Was mache ich dann mit dieser Info? Sehr unbefriedigend.
Und wenn ich viele Adressen benutze (für jeden Dienst eine andere), dann darf ich tippen, bis der Arzt kommt. :(
<paranoia>Und der BSI sammelt so gültige Mail-Adressen.</paranoia>
-
Was mache ich dann mit dieser Info?
Alle Kennworte, die mit dieser Email verwendet werden ändern.
Und statt tippen würde ich copy & paste empfehlen. :-*
-
http://www.der-postillon.com/2014/04/18-millionen-e-mail-passworter.html ;D
-
Alle Kennworte, die mit dieser Email verwendet werden ändern.
Bei deutlich über 50 Diensten? Nur einfach so auf Verdacht, weil da einer vielleicht betroffen sein könnte?
Und umgekehrt: Wenn ich für jeden Dienst eine eigene Adresse verwendet hätte, dann über 50mal Copy/Paste?
Und dann gibt es durchaus auch Hinweise, dass auch Mail-Accounts, die nie benutzt wurden und nur als Honeypot dienten, in der Liste sind...
-
Natürlich steht es jedem frei Komfort und Sicherheitslevel frei zu wählen. Wenn ich die Sicherheits Leitfäden für Computer richtig verstanden habe, dann sollten Passwörter die eventuell geknackt worden sind aber erneuert werden.
Als ich noch kein Computer hatte fand ich es sehr eingängig das Computer den Menschen von immer wiederkehrenden Routineaufgaben entlasten. Seit ich einen Computer habe merke ich immer wieder das mich der Computer quasi systemimmanent immer mal wieder zu langwieriger DepperlArbeit anhält. Das austauschen der Passwörter ist so eine Arbeit die man ohne Computer nicht hätte.
Von einem Hanni Pott habe ich noch nichts gelesen erzähl mir davon.
P S das ist der erste Beitrag bei dem mir der Computer die Tipp Arbeit abgenommen hat
-
Wenn ich die Sicherheits Leitfäden für Computer richtig verstanden habe, dann sollten Passwörter die eventuell geknackt worden sind aber erneuert werden.
Da gehe ich mit Dir ja einer Meinung und würde ich auch sofort machen.
Aber für das prinzipielle Ändern von allen möglichen Kennwörtern finde ich die Datenlage etwas, naja, dünn. Vergleichbar vielleicht mit der Aufforderung, an alle Einwohner eines Stadtteiles oder Straßenzuges alle Schlösser zu tauschen, weil bei einem Hehler ein Schlüssel mit dem Stadtteil/der Straße als Etikett gefunden wurde.
Die Infos sind leider völlig schwammig, vage und ungenau. Warum weiß ich nicht. Warum sagen die nicht, wo die her sind? Warum testen die nicht, ob die Schlüssel überhaupt funktionieren, und wenn ja, wo? Oder geben den Mail-Besitzern die Möglichkeit das Kennwort zu erfahren und damit gezielt den kompromittierten Dienst zu ändern?
Ansonsten können wir in Zukunft alle paar Wochen/Monate alle Kennwörter ändern, weil wieder eine neue Liste auftaucht.
Seit ich einen Computer habe merke ich immer wieder das mich der Computer quasi systemimmanent immer mal wieder zu langwieriger DepperlArbeit anhält.
Das stimmt, das passiert mit manchmal auch. :)
Von einem Hanni Pott habe ich noch nichts gelesen erzähl mir davon.
siehe Wikipedia: Honeypot (http://de.wikipedia.org/wiki/Honeypot)
heise betreibt einige Mail-Adressen rein passiv als Spam-Falle (Honeypot). Das sind Adressen, die nirgendwo benutzt oder verzeichnet sind. Trotzdem sind diese Adressen auch mit in der großen Adressliste. Komisch, oder?
Aus "Datenklau": GMX und Web.de sperren betroffene Mailkonten (http://www.heise.de/newsticker/meldung/Datenklau-GMX-und-Web-de-sperren-betroffene-Mailkonten-2165338.html):
Unter den als gefährdet angesehenen Adressen befinden sich wie beim letzten derartigen Vorfall auch diverse Spam-Fallen der iX-Redaktion. Diese ausgedachten, rein passiv genutzten Adressen lassen darauf schließen, dass sich auch diesmal wieder eine Menge belangloser Daten in der Sammlung befindet, deren Herkunft weiterhin im Dunkeln liegt.
Daher ist es echt die Frage, wie viele echte kompromittierte Einträge die Liste hat.
-
Laut BSI war es aber bei mir die Mac Adresse ...
-
Oha, interessant, ein Betroffener. Vielleicht kann man nun allmählich beginnen, sich die Dinge zusammen zu reimen. :)
Nutzt Du diese Adresse denn als Anmeldenamen/-objekt/Login auf Web Seiten und/oder Stores?
-
»Ist das ein Verhör?« ;D
-
Nach meiner Erfahrung handelt es sich bei den meisten betroffenen Mac-Usern um Adressen aus dem Adobe-Hack (http://www.apfelinsel.de/forum/index.php/topic,6246.0.html) vom letzten Jahr, mit der man sich irgendwann "schnell mal" (typischerweise mit einem unsicheren Kennwort) angemeldet hat, um die Demoversion eines Adobe-Programms herunterzuladen.
-
N Adobe Account habe ich glaube ich nicht.
@warlord: Ja
Hab jetzt überall wo es mir eingefallen ist das Passwort geändert.
Trotz allem sind die Informationen ungenügend ...
Edit: Ha! Ich glaub ich weiß woher die Daten Stammen. Damals vom großen PS3 Hack. Mein Account lief glaub lange Zeit mit dieser Mail. Hab dann aber die Adresse irgendwann geändert.
Mal ne andere Frage: nach welchem System generiert ihr eure Passwörter? Ich habe sicher an die 50 Passwörter.
-
Mal ne andere Frage: nach welchem System generiert ihr eure Passwörter? Ich habe sicher an die 50 Passwörter.
Das macht 1Password für mich.
-
Mal ne andere Frage: nach welchem System generiert ihr eure Passwörter? Ich habe sicher an die 50 Passwörter.
Zufallskombinationen aus Zahlen, Buchstaben und Sonderzeichen. Je nach Anwendung meist 12, 20,30 oder 64 Zeichen lang.
-
Und die lässt du dir selbst einfallen?
Passwort-Generatoren sind mir zu unsicher. Ist ja auch nur n Algorithmus.
Wenn, dann würde ich zwei Generatoren laufen lassen, dann wird die Sache schon schwerer
-
Selber ausdenken ist bzgl. Brute-Force-Angriffen halt i.d.R. die schwächste Lösung.
Insbesondere, wenn vorher Infos über das Opfer eingeholt wurden - man tendiert automatisch dazu Wörter oder Namen oder Daten einzubauen.
In meiner Firma ist das mittlerweile verboten. Traue dem Algo! :)
-
Ja, Zufallsgenerator.
-
Ne, nicht selbst ausdenken. Wie gesagt, ich Passwort mit einem Generator erzeugen und das Passwort am besten nochmals durch einen zweiten Generator laufen lassen, wenn das möglich ist.