Online-Tool verrät, ob private Daten im Internet kursieren

[Stegan]

<p><img style="margin: 10px; float: left;" alt="hardwareluxx news new" src="/images/stories/logos/hardwareluxx_news_new.jpg" height="100" width="100" />In der jüngsten Zeit wurden zahlreiche Fälle von geklauten Internet-Konten inklusive der dazugehörigen Passwörter publik. So ging das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Januar dieses Jahres an die Öffentlichkeit und ließ die Bundesbürger wissen, dass sich Unbefugte <a href="index.php/news/allgemein/wirtschaft/29523-kritik-am-bsi-aufgrund-spaeter-warnung-vor-mail-adressen-diebstahl.html">Zugriff auf etwa 16 Millionen E-Mail-Adressen verschafft</a> hätten und forderte die Nutzer auf, die Sicherheit ihrer E-Mail-Adresse auf einer eigens dafür eingerichteten Webseite zu überprüfen und vorsorglich die...<br /><br /><a href="/index.php/news/allgemein/netzpolitik/31181-online-tool-verraet-ob-private-daten-im-internet-kursieren.html" style="font-weight:bold;">... weiterlesen</a></p>

 

[Ringkeeper]

Ohne Hashwerte des Passworts bzw. die Info auf welcher Plattform die Daten entwendet wurden, ist das genauso sinnlos wie das BSI Tool....

 

[Snake7]

Klingt gut, nach ein mal nachdenken sinnfrei.

 

[pointX]

Mein "Passwort" ist wohl betroffen. Und was fang ich mit der Info jetzt an ?
Auf die E-Mail sind >50 Accounts registriert (wichtige mit gescheitem Passwort per Passwortmanager, unwichtige mit Passwörtern á la 123456).

Soll ich jetzt alle ändern, weil das 123456-Passwort beim Adobe Hack oder bei einem sonst unwichtigen Portal erbeutet wurde ?
Oder ist vllt. doch ein "wichtiges" PW betroffen ? (Ich vermute das es nur das Adobe-PW ist, und sehe also kein wirkliches Problem).

Der Test bringt leider garnichts, außer Ungewissheit und Angst zu schüren.
Gut gemeint, schlecht gemacht.

 

[Novastar]

Kommt schon, so schwer ist es nicht, 160 Millionen Mails zu verschicken. Man hat ja einiges an Zeit, da geht das. Und ernsthaft, "verschleiern"? Ihr Idioten sollt nix verschleiern, sondern die Daten nach Nutzung sofort löschen und während der Übertragung ordentlich verschlüsseln!!!

An den Redakteur: Man hätte sich eben die Zeit nehmen können, das "häufige" 'qwerty' durch das in Deutschland wirklich häufige 'qwertz' zu ersetzten.

Dieser "Sicherheitsexperte" Lance James hat keine Ahnung, was er da erzählt. Wieso bietet man so jemandem die Fläche, seinen Stuss zu verbreiten? Das Zeugs ist auf so viele Ebenen falsch und gefährlich, ich weiß gar nicht wo ich anfangen soll...
1. Wer dauernd sein Passwort ändern muss, der nimmt irgendwann so einfache, dass ein Computer die innerhalb von wenigen Sekunden erraten kann, auch wenn er diese dann öfter wechseln muss.
2. Regelmäßiger Passwort-Wechsel bringt nur wenig, außer mehr Arbeit für den Nutzer und die in 1. beschriebene Gefahr. Ein sicheres Password wird nicht in akzeptabler Zeit geknackt, da bringt auch ein Wechsel nach 90 Tagen nichts. Wirklich sinnvoll ist ein Wechsel nur nach einem bekannten Angriff, weil es dann tatsächlich einen Nutzen hat, und die Arbeit für den Nutzer unausweichlich ist.
3. Es werden Daten über das Passwort außerhalb des gehashten Passworts gespeichert - ein Angreifer hat somit zusätzliche Daten über das Passwort, was immer eine Gefahr ist. Wenn das Passwort in 2 Wochen geändert werden muss, weiß der Angreifer, dass das Passwort mittelschwer ist und vergeudet seine Zeit gar nicht erst mit schwachen Passwörtern - oder greift direkt nur Leute an, deren Passwort in 3 Tagen fällig ist.


Wirklich was bringen tun nur sinnvolle Speicherung der Passwörter per bcrypt oder scrypt und außerdem die Nicht-Akzeptanz von zu schwachen Passwörtern. Dabei müssen die Regeln aber sinnvoll sein - "Mindestens 1 Zahl, 1 Buchstabe, 1 Sonderzeichen und 8 Zeichen gesamt." ist dabei nicht sinnvoll, weil "love123!" immer noch unsicher ist und "ianulfhqtslgfuhdpokl" zwar sicher ist, aber nicht akzeptiert wird. Wichtig dabei also: Dynamische Änderung der Regeln (Wenn das Passwort kürzer ist, braucht es zusätzlich Sonderzeichen und Zahlen, wenn es länger ist, reichen Buchstaben) und die Filterung von ganzen Wörtern aus dem Wörterbuch und häufigen Passwörtern.