Smalltalk Thread der SGS1er

[Skyhigh]

Also bei mir sollen alle 3 Mail-Adressen betroffen sein.

Ich weiß das 2 das letzte Mal schon betroffen waren und ich die Passwörter damals geändert habe.
Interresant wäre nun, ob das in der aktuellen Leak-Collection auch der Fall war oder ob das die alten Daten sind?

Meine passwörter einzugeben ist mir irgendwie unangenehm

 

[Sultan Karakan]

Sags mir und ich gebe es ein.

Muss man jetzt das Passwort unbedingt ändern ?

Ist dieser Test aussagekräftig ?

 

[Skyhigh]

Sags mir und ich gebe es ein.

Aber sicher

Muss man jetzt das Passwort unbedingt ändern ?

Ist dieser Test aussagekräftig ?

Eben da bin ich mir nicht sicher.
Wie gesagt das letzte Mal als GMX Daten Geklaut wurden, musste ich von Seiten GMX das Passwort ändern und hab das gemacht.
Die Aussagekraft jetzt ist, vorallem bei diesen damals schon betroffenen Adressen, fragwürdig

 

[Alesto007]

@wolder kann verstehen, dass du das nicht eingeben willst. Unter Punkt 7 steht, ob man dem Dienst "Troy Hunt" vertrauen kann. Wenn du nicht gerade ne angezapfte Leitung oder ein befallenes Gerät hast, ist das schon safe. Sonst ziert man sich ja auch nicht bei einem Verkäufer, der einen auf die vermeintliche PayPal-Seite weiterleitet, sein Passwort einzugeben.
Auf jeden Fall weiß ich lieber, wenn mein PW da auftaucht, dass ich das nicht mehr verwende und überall änder. Glaube nicht, dass pcwelt so einen unseriösen/unsicheren Dienst bewerben würde.
Aber muss jeder für sich selber wissen.

Hab letztens schon so eine Erpresser-Mail erhalten, wo ein ur-altes Passwort angegeben war... Klar, bei den ganzen Seiten, wo man sich überall mal anmeldet, wundert es nicht, wenn iwo was durchsickert. Könnte sicher genauso gut auch bei AH passieren.

Die Daten bei dem Dienst sind ja unabhängig gelistet, die Listen kann man dort sogar herunterladen. Wenn dein PW betroffen ist, steht es da sowieso öffentlich drin.

Um sicher zu gehen, kannst du deine Passwörter ja auch einem anderen Gerät mit einem anderen Internetzugang prüfen
[doublepost=1547838514,1547838296][/doublepost]die Datenbank umfasst alle Leaks, die jemals gesammelt wurden. Genauso ist es auch nicht unmöglich, dass ein anderer zufällig iwo mal mal dasselbe PW hatte, wenn es unsicher war.

Lest euch den Artikel einfach mal gegenau durch, da steht das alles

Und ich hab mich gewundert, warum mein EA-Account neulich von einem Russen besetzt war... soviel dazu also
[doublepost=1547838718][/doublepost]es empfiehlt sich auf jeden Fall so ein PW nicht mehr zu nutzen, da ein Bot letztendlich so einen Datensatz blos mal durchrattern brauch und evtl. auf Gold stößt.
Außer es ist der Prono-Account der einem eh egal ist

 

[wolder]

Prono-Account

Da ist wohl der Fehlerteufel "gekommen"

Ach und @RoliGlitzer , welcome back!!!!

 

[Alesto007]

ich weiß gar nicht was du meinst, wir sind doch eine jungdfreier Thread

 

[Skyhigh]

Habe nun mal den Download der Liste angestoßen. Da überprüfe ich lieber Manuell als die Passwörter einzugeben. Danke für den Hinweis @Alesto007 (Sind ja nur 11GB )

 

[Alesto007]

ist vermutlich die sicherste Variante

wahnsinn... 11GB Text
[doublepost=1547840171,1547840030][/doublepost]sag bescheid, wenn du "Hasi123" findest, dann muss ich handeln.

 

[Skyhigh]

Habe auch nicht schlecht gestaunt. Aber ich weiß auch noch nicht in welchem Dateiformat die Liste vorliegt.
ausserdem steht ja auch dabei das die Collections riesig sind. man muss sich nur mal überlegen wie viele Datensätze betroffen sind

 

[Lopan]

Ich jedenfalls würde niemals meine Passwörter zum Abgleich irgendwo eingeben. Keine meiner zahlreichen Accounts ist jemals kompromittiert gewesen. Banking läuft nur über einen Chipkartenleser (Reiner SCT) am PC, nie über ein Smartphone. Und Mailadressen kann man bekanntermassen wie Sand am Meer generieren ....

Wenn ich bei einem meiner beruflichen Termine durch die Etagen "wandere", sehe ich überall Zettel kleben. Viele schreiben ja sogar ihre PIN auf die EC Karte. Da muss sich niemand wundern.

sag bescheid, wenn du "Hasi123" findest, dann muss ich handeln.

lol

 

[Alesto007]

ist ja auch schwierig sich 4 Zahlen zu merken

 

[Lopan]

In meinem Heimatland Korea kann man schon immer selbst die PIN bestimmen. Hier geht das erst seit einiger Zeit (am Automaten Änderung der zugeteilten PIN möglich).

 

[Skyhigh]

Das herunterladen hat geklappt, das öffnen der entpackten 23GB erweist sich als schwierig, da die 16GB Ram nicht ausreichen xD

Werde nun einfach die Passwörter der betroffenen Mail-Adressen ändern und gut ist.

 

[Alesto007]

ganz ehrlich, irgendwie hab ich sowas erwartet... ich hätte gedacht, dass die wenigstens so schlau gewesen wären die Datei aufzusplitten.

Aber was will man vom Microsoft-Sicherheitsheini erwarten, die haben sicher alle 64 GB Ram in ihren Workstations.
[doublepost=1547849064,1547847938][/doublepost]tatsächlich hättest du die Passwörter eh nicht einsehen können, seh ich gerade.
Die sind alle in SHA1 oder NTSL-Hashcodes dargestellt, um die persönliche Daten zu schützen.

Du kannst daraus also nicht die Passwörter auslesen, du hättest lediglich aus deinem Passwort den Hashcode ermitteln können und dann danach suchen. Das funktioniert aber nicht anders herum.
Aus der Prüfsumme einer Datei kann man ja auch nicht die Datei erzeugen.

So werden die das wohl auch auf der Seite machen, die Seite erstellt wohl im Browser den hashcode und dann wird dieser verglichen.
Mit dieser Datei können Anbieter/Webbetreiber auf abgesicherte Weise prüfen, ob dein gewünschtes Passwort (bei einer Neuregistrierung oder Passwortänderung) sicher verwendbar ist und dich ggf. warnen.


Interessant.

 

[Skyhigh]

Habe es geschafft die Datei zu öffnen. und die SHA-1 auszurechnen ist ja einfach, gibt diverse Tools dazu.
Bin gerade dabei die Datei nach meinen Passwörtern zu durchsuchen. ist mir so definitiv lieber als diese im Netz eingeben zu müssen

Mein Uraltes Mail-Passwort ist z.B in der Liste enthalten, das wurde aber schon 2016 geändert. Das neue ist nicht dabei. Somit bin ich wohl richtig mit der annahme das auch die Alten Leaks noch in der Datei vorhanden sind.
[doublepost=1547852090,1547850681][/doublepost]So, Habe nun alle durch. Betroffen sind die Passwörter folgender Dienste:

GMX Account 1
GMX Account 2
GMX Account 3 ( Habe ich wegen Nichtbenutzung gerade gelöscht)

In den 3 Fällen sind die Passwörter schon vor langer zeit geändert worden. zwischenzeitlich sogar 2-3 mal neu.
Diese fälle führe ich auf den Hack 2015/2016 zurück, in welchen GMX gut gehandelt und die betroffenen User zur Passwortänderung gezwungen hatte.

Facebook Passwort (habe den Account schon seit nem jahr nicht mehr, Somit Irrelevant )
Twitter Account (auch seit mehreren jahren gelöscht)
Online Blog ( Habe ich wegen Nichtbenutzung gerade gelöscht)
Homepage Baukausten (2 Websites, seit DSGVO aber auch Gelöscht somit ebenfalls Irrelevant)

Von meinen Aktuellen Passwörtern ist Keines in der liste zu finden. das beruhigt ungemein.
Die Mail Passwörter von Account 1&2 habe ich dennoch geändert.



@Alesto007 Zu deiner Frage vorhin, falls ernst gemeint, deins taucht in der Liste auf



________________________________________________________

Fazit: Steht man einmal in der Liste, kann man auch bei zukunftigen Leaks nicht sicher sein ob man erneut betroffen ist.

 

[Alesto007]

Na Toll, jetzt muss ich mein Jamba-Konto löschen

ist ja doch ne Menge.
Bei mir stehen nur 2 alte PWs drin, ebenfalls einmal gmx (selbiges in dieser dubiosen Mail benannt) und das alte vom EA account.
Aber da war ich echt sauer, weil die keinen Mucks gesagt haben. Erst nachdem ich dem Support 3 mal auf den Sack gegangen bin, haben die gesagt, dass mein account gehackt wurde.

 

[wolder]

Moin.
Mensch Skyhigh, da hast ja richtig aufgeräumt!

Ich glaub ich muss auch mal alle Passwörter ändern, nicht weil ich betroffen bin, sondern weil ich sie schon lange habe und es irgendwann mal Zeit wird zu wechseln.
Das Problem ist immer, dass mir keine einfallen....

 

[Alesto007]

gumo!

hab mir gestern überlegt zukünftig irgendwas einfach zu merkendes zu nehmen, davon dann den Hashcode zu bilden und dann davon wiederum die ersten 8 Zeichen oder so. Dann kann man es sich einfacher merken

 

[Skyhigh]

Naja ich hab mir für Passwörter auch ein Muster ausgedacht.

Somit muss ich mir nur das Muster merken und kann mich spätestens nach dem zweiten Versuch anmelden.
Allerdings keins das so kompliziert ist wie Hashwerte oder so.

Wichtig dabei ist eben eine Komponente, die nur man selbst weiß und auf die man nicht einfach durch raten kommen kann. Dazu Sonderzeichen Und Groß und Kleinschreibung.

 

[Bödi]

Mahlzeit.

Krass mit dem Daten-Leak. Ich sollte dann evtl. auch nochmal ein neues Passwort kreieren...

Ich habe mal einen ganz guten Tipp von einem IT-Sicherheitsexperten in einem Vortrag gehört:

1. Man überlege sich irgendein Wort, das aus zwei Wörtern zusammengesetzt wird, z.B. Dosenbier (Dose + Bier)
2. hier baut man noch ein paar Großbuchstaben ein, z.B. DoseNBiEr
3. In die Mitte der beiden Wörter setzt man ein Sonderzeichen, z.B. DoseN$BiEr
4. Ans Ende setzt man noch eine min. zweistellige Zahl, z.B. DoseN$BiEr38
5. Das Ganze setzt man jetzt noch in Klammern, also z.B. (DoseN$BiEr38)
6. Das sollte jetzt schon relativ sicher sein. Aber der Beste Tipp war, dass man bei jeder Website, für die man es benutzt, noch die ersten drei Stellen der URL (natürlich ohne 'www') + Bindestrich davor setzt, also für GMail z.B. (gma-DoseN$BiEr38)

So hat man ein ziemlich sicheres Passwort und nutzt quasi für jede Website trotzdem nie dasselbe.