Das kann nicht nur per Bruteforce oder einen verseuchten PC passiert sein, sondern auch durch Leaks von Passwortdatenbanken.
Da du aber selbst sagst, das du das Passwort nirgends anders verwendet hast, könnte es somit nur noch durch einen Passwortleak von EKA selbst rausgekommen sein.
Deswegen sollte man seine Passwörter regelmäßig ändern und pro Account ein separates und 2FA nutzen. Aber wer macht das schon?
Passwörter regelmäßig ändern hilft
praktisch nicht wirklich. Das führt bei den meisten Leuten dazu, das am Ende des Passworts einfach nur eine Zahl steht die bei jeder erzwungenen Passwortänderung eins hochgezählt wird.
Und wenn die Passwortpolicy Zahlen am Ende verbietet, stellt man sie halt an den Anfang. Und wenn auch das unterbunden wird, dann "zähle" ich halt das Alphabet hoch. Und wenn selbst das wie auch immer unterbunden wird, dann zähle ich weiter Zahlen hoch, aber geb sie halt mit gedrückter Shift-Taste ein.
Ich hatte auch mal so blöde Firmenpolicy, das man alle 3 Monate sein Passwort ändern musste. Ich war am Ende bei 32 als der Mist abgeschafft wurde.
Das Problem liegt schon viel tiefer, nämlich diese vermalledeite Accountseuche ansich. Für jeden Hasenfurz braucht man irgendwo einen Account. Natürlich soll jeder Account ein komplett eigenes Passwort haben. Aber je mehr Accounts man über die ganze Welt verteilt hat, desto wahrscheinlicher ist es auch, das irgendwas davon mal gehakt und geleakt wird.
Und wer soll sich die ganzen Passwörter überhaupt merken können? Jaja, Passwortmanager. Die dann nicht auf allen Platformen verfügbar sind, wenn ich mich mal schnell irgendwo einloggen will, ist der Passwortmanager nicht da. Oder der Passwortmanager ist selbst "online/cloud". JUHU!!!
Ich kann mir ja kaum mehr merken, wo ich überhaupt in den letzten 20 Jahren überall Accounts erstellt habe.
Vor ein paar Monaten habe ich mehrere Kaufbestätigungen aus dem Apple Store via E-Mail bekommen. Ich hätte sie schon beinahe gelöscht, weil ich mir dachte WTF, ich hab nichtmal einen Appleaccount.
Habe mir dann die E-Mail warum auch immer doch mal genauer angeguckt und die wirkte dann doch irgendwie verdammt "echt". Und dann ist es mir gedämmert: Vor ~12 Jahren hatte ich mal für 3 Monate mal ein Firmen-iPhone...
Also auf die Applewebseite (nichts in der E-Mail angeklickt), versucht mich einzuloggen... Passwort... Hmm, von vor 12 Jahren? KEINE AHNUNG!! Passwortrecovery hat aber funktioniert. Und was steht da in der Kaufhistorie? Es wurde tatsächlich Zeug gekauft.
Ok, Loginhistory:
Oktober 2012 from Germany
November 2012 from Germany
August 2024 from China
AHJA! Die 12€ Guthaben die noch auf dem Account draufwaren, waren weg... Aber nachdem ich die Käufe und den ganzen Account als "war ich nicht" gemeldet hatte, hab ich die 12€ Guthaben sogar wieder zurückgekriegt.
In der Zwischenzeit kam dann auch noch eine E-Mail, das Apple "verdächtige" Logins auf meinem Account bemerkt hat.
Es hilft 2FA und Tokengeneratoren. Am besten beides zusammen. Aber da geht die nächste Seuche schon wieder los. Ich hab jetzt mittlerweile schon wieder 5 Tokengenerator-Apps auf meinem Handy, weil irgendwie "Standard verwenden" is nicht. Der eine bietet nur Goole-Token an, der nächste nur Microsoft-Token, der nächste irgendwas ganz anderes, die wenigsten können was generisches wie FreeOTP oder ähnliches.
Und dann hab ich in letzter Zeit sogar mehrere Fälle aus dem Freundeskreis gehört, das deren Steam-Accounts benutzt wurden. Trotz 2FA... wo mir nachwievor schleierhaft ist, wie das denn überhaupt funktionieren kann.
Und an Leser die sich eventuell wieder beschweren, das ich ja "immer" Romane schreibe: Es wurde niemand gezwungen meinen Beitrag auch wirklich zu lesen.
