Ergebnis 1 bis 14 von 14

Thema: Datenleck?

  1. #1
    Power+ User
    Registriert seit
    18.09.2013
    Beiträge
    2.208
    Renommee-Modifikator
    224397

    Standard Datenleck?

    Gerade erhielt ich beim Login den Hinweis vom Browser, daß mein Passwort bei einem Datenleck gefunden wurde.
    Da ich diese login-Kombination ausschließlich hier verwende, muß das genannte Leck - sofern es keinen Fehlalarm darstellt - seinen Ausgang auf dem Server dieses Forums genommen haben.

    Was für Informationen gibt es dazu?

  2. #2
    Power User
    Registriert seit
    21.06.2016
    Ort
    aachen
    Beiträge
    387
    Renommee-Modifikator
    230083

    Standard

    Zitat Zitat von aJoker Beitrag anzeigen
    Gerade erhielt ich beim Login den Hinweis vom Browser, daß mein Passwort bei einem Datenleck gefunden wurde.
    Da ich diese login-Kombination ausschließlich hier verwende, muß das genannte Leck - sofern es keinen Fehlalarm darstellt - seinen Ausgang auf dem Server dieses Forums genommen haben.

    Was für Informationen gibt es dazu?
    Woher stammt die Info? Bezieht sich das auf die eMail mit der Du hier angemeldet bist oder auf Deinen Nick "aJoker"?

  3. #3
    Power+ User
    Registriert seit
    18.09.2013
    Beiträge
    2.208
    Renommee-Modifikator
    224397

    Standard

    Zitat Zitat von Wenn_dann_ohne Beitrag anzeigen
    Woher stammt die Info? Bezieht sich das auf die eMail mit der Du hier angemeldet bist oder auf Deinen Nick "aJoker"?
    Es war nur vom Passwort die Rede; ob es in Kombination mit dem Nick oder der email kompromittiert sein soll, hängt davon ab, was hier in der Passwortdatenbank gespeichert wird.
    Ich nehme an, daß es der nick ist, da wir den ja auch zum login verwenden.

  4. #4
    Power+ User
    Registriert seit
    30.04.2011
    Beiträge
    1.425
    Renommee-Modifikator
    82834

    Standard

    nachdem was du schreibst, heisst es doch "nur" das das von DIR gerade benutzte Passwort sozusagen bekannt ist.
    Das hat nix hier mit einem Leck zu tun. Also irgendjemand hat genau dein Passwort auch schon mal woanders benutzt und es ist sozusagen "bekannt". Man könnte also jetzt probieren wenn man deinen loginnamen kennt mit einer passwortdatei es alle darin enthaltenen passworte ausprobieren nacheinander und würde dann irgendwann mal reinkommen (wenn man dich nicht eh nach dem 100. Fehlversuch sperren würde)
    Würde also mal sagen dein Passwort ist eben allgemein nicht besonders sicher. Ändere mal das Passwort und das war es denn!
    Wobei mal angemerkt das dein Browser oder wer auch immer deine Passworte abgleicht würde ich persönlich nicht erlauben.

  5. #5
    Power+ User
    Registriert seit
    18.09.2013
    Beiträge
    2.208
    Renommee-Modifikator
    224397

    Standard

    Es nützt jetzt gar nichts, das alles zu diskutieren, weil wir sowieso nur spekulieren können.
    Insofern war meine Frage auch weniger an die allgemeine Benutzerschaft gerichtet, sondern an den Kreis der Admins.
    Entweder als Frage, falls etwas bekannt ist. Sonst als Hinweis zum Nachschauen.

  6. #6
    Power+ User
    Registriert seit
    21.04.2012
    Ort
    Her mit MEGA langen Schamlappen
    Alter
    41
    Beiträge
    1.794
    Renommee-Modifikator
    1236791

    Standard

    Ist eine Funktion z.B in Google Chrome
    @kai bzw LL: Suche Frau mit MEGA MEGA langen Schamlappen ;-)

  7. #7
    Erfahrener Benutzer Avatar von Lindwyrm
    Registriert seit
    24.04.2017
    Ort
    Rhein-Main-Neckar
    Alter
    40
    Beiträge
    489
    Renommee-Modifikator
    152030

    Standard

    Zitat Zitat von aJoker Beitrag anzeigen
    Da ich diese login-Kombination ausschließlich hier verwende, muß das genannte Leck - sofern es keinen Fehlalarm darstellt - seinen Ausgang auf dem Server dieses Forums genommen haben.
    Da hast du schon mal alles richtig gemacht, ich habe auch für jede Plattform ein eigenes Passwort damit sind die anderen Konten vor einem leak geschützt. Wichtig ist es auch starke Passwörter zu verwenden. Ich nutze hier zur Verwaltung KeePass 2. Die Passwörter generiere ich darüber auch (Zufallsgenerator mit 16 Zeichen) und ich merke mir nur noch das Master-Passwort für KeePass.

    Die Browsererweiterung in Chrome prüft soviel ich weiß nur das Passwort und nicht die Kombination aus Passwort und Benutzername. Wenn du dann ein Passwort verwendest, welches nicht ganz so zufällig ist und jemand anderes verwendet für einen ganz anderen Account, dann wirst du dann auch schon gewarnt.

    Ich habe hier keine Warnung zu meinen Passwort, daher gehe ich davon aus, dass die User-Datenbank hier nicht oder nicht vollständig geleakt wurde.

  8. #8
    Power User
    Registriert seit
    19.08.2012
    Beiträge
    356
    Renommee-Modifikator
    104215

    Standard

    Verstehe nicht ganz das Problem.
    Ich kenne diese Seite hier https://haveibeenpwned.com/
    wo man seine Email Adresse eingibt und dann sieht, ob es mal Bestandteil eines größeren Datenlecks war (meistens sind dann gleich Millionen User betroffen bei großen Webseiten).
    Hier gibt es dasselbe für Passwörter: https://haveibeenpwned.com/Passwords
    Dann kann man auch gleich checken, wie "sicher" mein Password ist.

    Auf den meisten modernen Seiten und Foren werden Passwörter nicht im Klarnamen, sondern als Hashes gespeichert.

  9. #9
    Power+ User
    Registriert seit
    13.06.2010
    Beiträge
    569
    Renommee-Modifikator
    124029

    Standard

    Mit dem Hack meines Profils hier weiss nun die hanze welt dass ich nur gummifrei ficke und weiter?

  10. #10
    Power+ User
    Registriert seit
    24.09.2010
    Beiträge
    823
    Renommee-Modifikator
    225885

    Standard

    Damit bist Du nun offiziell ein Aluhuttragenderneonazireichsbürger in Buntland!
    Herzlichen Glückwunsch - willkommen in der Gemeinde!

  11. #11
    Power+ User
    Registriert seit
    22.05.2011
    Alter
    65
    Beiträge
    1.304
    Renommee-Modifikator
    332778

    Standard

    Es kommt auch vor, dass das Passwort in einem anderen Zusammenhang auftauchte. So hatte ich es. Ein Passwort von mir, das ist nur an einer Stelle verwende, für einen Mailaccount bei Googlemail, tauchte auf und Chrome warnt mich seither immer. Da das nur für fickmails ist, ignoriere ich das.

  12. #12
    Power+ User
    Registriert seit
    18.09.2013
    Beiträge
    2.208
    Renommee-Modifikator
    224397

    Standard

    Ja, du hast Recht. Aber nochmal: Es ging mir nicht um die Frage, was ICH tun soll.
    Ich wollte die Admins anregen, mal zu überprüfen, ob es hier in der Forumssoftware eine Sicherheitslücke gab.
    Und möglichst das Ergebnis hier mal kundzutun.
    Aber mir scheint, sie möchten das nicht.

  13. #13
    Power+ User Avatar von lonewolf
    Registriert seit
    26.01.2010
    Beiträge
    6.285
    Renommee-Modifikator
    414433

    Standard

    Zitat Zitat von aJoker Beitrag anzeigen
    Ja, du hast Recht. Aber nochmal: Es ging mir nicht um die Frage, was ICH tun soll.
    Ich wollte die Admins anregen, mal zu überprüfen, ob es hier in der Forumssoftware eine Sicherheitslücke gab.
    Und möglichst das Ergebnis hier mal kundzutun.
    Aber mir scheint, sie möchten das nicht.
    Da du so ziemlich der einzigste mit dem Problem zu sein scheinst, kannst du dir die Antwort wohl selbst geben.

    Ansonsten ist es so wie @siggibein gesagt hat. Dir Meldung kommt auch, wenn dein Passwort an anderer Stelle aufgetaucht ist.

  14. #14
    Power+ User
    Registriert seit
    30.04.2011
    Beiträge
    1.425
    Renommee-Modifikator
    82834

    Standard

    Zitat Zitat von aJoker Beitrag anzeigen
    Ja, du hast Recht. Aber nochmal: Es ging mir nicht um die Frage, was ICH tun soll.
    Ich wollte die Admins anregen, mal zu überprüfen, ob es hier in der Forumssoftware eine Sicherheitslücke gab.
    Und möglichst das Ergebnis hier mal kundzutun.
    Aber mir scheint, sie möchten das nicht.
    willst DU nicht oder KANNST DU nicht verstehen das dein "problem" nichts mit einem Datenleck hier zu tun hat und dir auch KEIN ADMIN helfen kann. NUR DU hast das Problem, das das von DIR genutzte Passwort eben nicht einmalig ist, sondern eben schon "bekannt" also von anderen benutzt worden ist.
    Aber selbst das ist eigentlich kein grösseres Problem, gerade dann wenn es nur um ein "einfaches" Forum geht.
    Es bedeutet halt nur das wenn jemand versucht deinen Account zu übernehmen er theoretisch irgendwann erfolg haben wird. Zumindest wenn er deinen Benutzernamen auch kennt.

    Das ganze würde so funktionieren. Der böse Hacker lädt sich aus dem Netz eine Textdatei mit den "meistgenutzen" Passworten und dann wird eines nach dem anderen ausprobiert. Diese Datei enthält so 60-100000 Einträge, genauso oft muss probiert werden. Alternativ gibts auch die erweiterte Version mit ca. 1 Mio Einträgen.
    ABER praktisch kann man sowas jetzt nicht benutzen um eine Webseite/Forum zu hacken. Denn mal davon abgesehen das jeder Versuch genauso lange dauert wie ein normaler login eben dauert, also 100000 für 1 Minute jeweils, das geht nicht schneller. Das eigentliche Problem des Hackers ist das normalerweise der Betreiber nach dem xten Fehlversuch captchas benutzt oder immer mehr Timeout einbaut oder eben deinen account für login zeitweise sperren wird.
    Also dieses Verfahren klappt eben nur bedingt.
    Funktionieren tut es aber sehr gut wenn man den verschlüsselten passwortwert (wie er abgespeichert der Anbieter hat) und die Prüfroutine kennt um eingegebenes passwort mit diesen Wert abzugleichen.
    Dann kann man verdammt schnell arbeiten (zumindest meistens). Die professionellen Hacker (Staat, Polizei etc) haben diese Berechnung schon lange im voraus vor alle üblichen Kandidaten gemacht und suchen dann nur der verschlüsselten Wert in der Datenbank.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •