Online-Tool verrät, ob private Daten im Internet kursieren

Stegan

Redakteur
Hardwareluxx Team
Thread Starter
Mitglied seit
16.12.2005
Beiträge
16.288
Ort
Augsburg
<p><img style="margin: 10px; float: left;" alt="hardwareluxx news new" src="/images/stories/logos/hardwareluxx_news_new.jpg" height="100" width="100" />In der jüngsten Zeit wurden zahlreiche Fälle von geklauten Internet-Konten inklusive der dazugehörigen Passwörter publik. So ging das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Januar dieses Jahres an die Öffentlichkeit und ließ die Bundesbürger wissen, dass sich Unbefugte <a href="index.php/news/allgemein/wirtschaft/29523-kritik-am-bsi-aufgrund-spaeter-warnung-vor-mail-adressen-diebstahl.html">Zugriff auf etwa 16 Millionen E-Mail-Adressen verschafft</a> hätten und forderte die Nutzer auf, die Sicherheit ihrer E-Mail-Adresse auf einer eigens dafür eingerichteten Webseite zu überprüfen und vorsorglich die...<br /><br /><a href="/index.php/news/allgemein/netzpolitik/31181-online-tool-verraet-ob-private-daten-im-internet-kursieren.html" style="font-weight:bold;">... weiterlesen</a></p>
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ohne Hashwerte des Passworts bzw. die Info auf welcher Plattform die Daten entwendet wurden, ist das genauso sinnlos wie das BSI Tool.... :wall:
 
Klingt gut, nach ein mal nachdenken sinnfrei.
 
Mein "Passwort" ist wohl betroffen. Und was fang ich mit der Info jetzt an ?
Auf die E-Mail sind >50 Accounts registriert (wichtige mit gescheitem Passwort per Passwortmanager, unwichtige mit Passwörtern á la 123456).

Soll ich jetzt alle ändern, weil das 123456-Passwort beim Adobe Hack oder bei einem sonst unwichtigen Portal erbeutet wurde ?
Oder ist vllt. doch ein "wichtiges" PW betroffen ? (Ich vermute das es nur das Adobe-PW ist, und sehe also kein wirkliches Problem).

Der Test bringt leider garnichts, außer Ungewissheit und Angst zu schüren.
Gut gemeint, schlecht gemacht.
 
Kommt schon, so schwer ist es nicht, 160 Millionen Mails zu verschicken. Man hat ja einiges an Zeit, da geht das. Und ernsthaft, "verschleiern"? Ihr Idioten sollt nix verschleiern, sondern die Daten nach Nutzung sofort löschen und während der Übertragung ordentlich verschlüsseln!!!

An den Redakteur: Man hätte sich eben die Zeit nehmen können, das "häufige" 'qwerty' durch das in Deutschland wirklich häufige 'qwertz' zu ersetzten. ;)

Dieser "Sicherheitsexperte" Lance James hat keine Ahnung, was er da erzählt. Wieso bietet man so jemandem die Fläche, seinen Stuss zu verbreiten? Das Zeugs ist auf so viele Ebenen falsch und gefährlich, ich weiß gar nicht wo ich anfangen soll...
1. Wer dauernd sein Passwort ändern muss, der nimmt irgendwann so einfache, dass ein Computer die innerhalb von wenigen Sekunden erraten kann, auch wenn er diese dann öfter wechseln muss.
2. Regelmäßiger Passwort-Wechsel bringt nur wenig, außer mehr Arbeit für den Nutzer und die in 1. beschriebene Gefahr. Ein sicheres Password wird nicht in akzeptabler Zeit geknackt, da bringt auch ein Wechsel nach 90 Tagen nichts. Wirklich sinnvoll ist ein Wechsel nur nach einem bekannten Angriff, weil es dann tatsächlich einen Nutzen hat, und die Arbeit für den Nutzer unausweichlich ist.
3. Es werden Daten über das Passwort außerhalb des gehashten Passworts gespeichert - ein Angreifer hat somit zusätzliche Daten über das Passwort, was immer eine Gefahr ist. Wenn das Passwort in 2 Wochen geändert werden muss, weiß der Angreifer, dass das Passwort mittelschwer ist und vergeudet seine Zeit gar nicht erst mit schwachen Passwörtern - oder greift direkt nur Leute an, deren Passwort in 3 Tagen fällig ist.


Wirklich was bringen tun nur sinnvolle Speicherung der Passwörter per bcrypt oder scrypt und außerdem die Nicht-Akzeptanz von zu schwachen Passwörtern. Dabei müssen die Regeln aber sinnvoll sein - "Mindestens 1 Zahl, 1 Buchstabe, 1 Sonderzeichen und 8 Zeichen gesamt." ist dabei nicht sinnvoll, weil "love123!" immer noch unsicher ist und "ianulfhqtslgfuhdpokl" zwar sicher ist, aber nicht akzeptiert wird. Wichtig dabei also: Dynamische Änderung der Regeln (Wenn das Passwort kürzer ist, braucht es zusätzlich Sonderzeichen und Zahlen, wenn es länger ist, reichen Buchstaben) und die Filterung von ganzen Wörtern aus dem Wörterbuch und häufigen Passwörtern.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh