Passwortklau, Sicherheit: mehr als 1Milliarde Datensätze betroffen

Wie sicher viele schon in den Medien gelesen haben oder auch im Fernsehen gesehen haben, hat die US-Firma Hold Security, eine Datenbank mit mehr als einer Milliarde Zugangsdaten mit Profildaten von russischen Hackern erbeutet.
420.000 Webseiten sollen betroffen sein, darunter bekannte Firmennamen ebenso wie kleine Seiten, wobei die meisten der Seiten noch immer angreifbar sein sollen.
Obwohl ich der Sache kritisch gegenüber stehe, da keiner weiß ob es die Daten wirklich gibt, oder besser gesagt nur gegen ein Abonnement von monatlich 10 US-Dollar(120 US-Dollar im Jahr) es erfährt ob seine Daten dabei sind, ist es doch erschreckend das in diesem Jahr schon zum dritten mal eine große Sicherheitslücke uns alle zwingt die Passwörter auf allen unseren Onlinekonten zu wechseln.

Wer einfach mal selbst kostenfrei überprüfen will, ob auch Deutschen Unternehmen und staatlichen Stellen Daten zum Passwortklau aus den anderen zwei großen Attacken bekannt sind, kann beim Hasso Plattner Institut sowie das Bundesamt für Sicherheit in der Informationstechnik seine Mailadressen überprüfen.
Aber auch wenn ihr dort eure Mailadresse nicht findet, heißt es nicht das eure Mailadresse in den Datensätzen von Oben oder in irgendeiner Datenbank schlummern und eure Adresse für Spam, Online Einkäufe etc. bald benutzt wird.

Passwörter wechseln ist der einzige Weg sich für die nächsten Tage sicher zu fühlen, aber auch nur, wenn der Webseitenbetreiber seine Seite sicher macht und keinen Datenklau ermöglicht.

Zum Hasso-Plattner-Institut Klick
Zum Bundesamt für Sicherheit in der Informationstechnik (BSI) Klick

Was macht ihr wenn ihr von solchen Datenklau hört? Steckt ihr den Kopf in den Sand oder werdet ihr aktiv?
Hat es schon einen von euch erwischt und wurde seine Onlinedaten schon irgendwie verwendet? Nutzt ihr Passwortmanager, denkt ihr euch viele Passwörter selbst aus, oder lasst ihr diese von Tools generieren?
Wie viele Passwörter müsst ihr denn durchschnittlich ändern(Mails, Webseiten, Onlinebanking etc.)? Habt ihr euch bei einem der Tools oben gefunden?

na super, eine meiner Adressen taucht beim Hasso-Plattner-Institut auf mit dem Hinweis NOV 2013... das ist auch die Adresse, auf der ich seit einiger Zeit mit viel Datenmüll (Spam, 'ich will Dich kennenlernen', Mahnungen etc) bedacht werde. Das Passwort habe ich zum Glück seit damals bereits mehrfach geändert. Diese Adresse taucht komischerweise beim BSI nicht auf...

Dann werde ich mal wieder alle Passwörter ändern. Irgendwann muss ich mir die Dinger mal aufschreiben, sonst verwechsle ich die dauernd... sind ja nur etwa 15 Stück (inkl. FM etc.) :wacko: Vielleicht sollte ich doch mal über eine 'Vereinfachung' nachdenken, zumal ich bestimmt wieder irgendwas vergesse zu ändern...

Zitat (Binefant @ 09.08.2014 12:23:53)

... Irgendwann muss ich mir die Dinger mal aufschreiben, sonst verwechsle ich die dauernd... sind ja nur etwa 15 Stück (inkl. FM etc.)  :wacko:

Also, alles was Recht ist, ich habe fast das doppelte an Paßwörter und habe die fein säuberlich auf ein Blatt Papier aufgeschrieben - dort abgelegt, wovon nur ich und Männe (und ein Vertrauter, für den Fall dass :ph34r: ) Bescheid wissen. Bin doch nicht blöööd ....
Spaß beiseite, auch wenn man einen einfachen Satz mit Zahlen und Zeichen ummodelt, es ist für eine nicht-Mathematikerin :rolleyes: ein Unding, sich alle Paßwörter zu merken. Zudem sollte man doch für den Ernstfall vorsorgen, dass jemand an das Ganze rankommt.
Danke Nachi, dass du es hier auch nochmals bekannt gegeben hast - machen wir uns zum xten Mal besser wieder ran ans Paßwort ändern. :(

jup ich hab auch nen Heftchen wo ich die fein säuberlich aufschreib, kann man sich ja nicht alles merken, schon garnicht wenn man mal das eine mal das andere mal alle wechselt......

Ach ich guck garnicht ob von mir was auftaucht, wer weiß obs überhaupt stimmt usw......

Nachi,danke für Deine Warnung. :blumen:
Beim Hasso-Plattner-Institut,bin ich nicht betroffen.
Bei BSI habe ich noch keine Nachricht.

Wenn Du innerhalb der nächsten 24h nix vom BSI hörst, bist Du nicht betroffen.

Zitat (Binefant @ 10.08.2014 16:38:48)

Wenn Du innerhalb der nächsten 24h nix vom BSI hörst, bist Du nicht betroffen.

Ja - KEINE Antwort ist manchmal auch eine GUTE Antwort :D

Ich habs auch bei beiden überprüfen lassen - und warten nun also aufs BSI. 24 Stunden? na ja, bis dahin dauert es noch...

Ja, Nachi, auch von mir: Vielen Dank! Bisher habe ich von dieser Überprüfungsmöglichkeit nur hier, von dir, erfahren. :blumen:

Zitat (orchi @ 10.08.2014 16:29:06)

Nachi,danke für Deine Warnung. :blumen: Beim Hasso-Plattner-Institut,bin ich nicht betroffen. Bei BSI habe ich noch keine Nachricht.

Bei mir ist es genau so.

Hinweis zum BSI:

Zitat

Bitte geben Sie in der Eingabemaske die E-Mail-Adresse ein, die Sie überprüfen möchten, und klicken Sie auf „Überprüfung starten“. Falls Ihre Adresse betroffen ist, erhalten Sie per E-Mail eine entsprechende Information sowie die Empfehlungen zu den erforderlichen Schutzmaßnahmen. Ist die eingegebene Adresse nicht betroffen, erhalten Sie keine Benachrichtigung!

by BSI

Danke Nachi für Deinen Service :)

Ich hatte es auch schon vor ca. 3 Tagen gehört, hätte aber die beiden TestAddressen nicht gewusst.

Allerdings hatte ich auch nicht danach gesucht, da ich nur an ganz wenigen Internet-Stellen überhaupt registriert bin.

Auch gebe ich meine mail-addressen kaum weiter und verwende zeitlich begrenzte Addressen, die dadurch regelmäßig gewechselt werden.
Ebenso verlasse ich mich auf keine Software, die mit Paßwörtern zu tun hat, sondern überlege mir jeweils speziell irgendwas unkonventionelles, nicht nachvollziehbar oder Merkbares aus. Sprich - auch ich habe von Anfang an meine PWörter notiert.
Auch AutoLogin kommt nicht in Frage (BrowserGedächnis ist ein offenes Buch), kein paraleles LogIn und nur eingeschränkte Cookie-Erlaubnis mit kurzer Halbwertzeit.

Das hilft mir natürlich nicht, wenn die Datenbanken auf Hosterseite geklaut werden. Ich fühl mich nicht wirklich gefährdet und werde aber auf keinen Fall den Datenbanken von Hasso oder BSI meine mail-Addressen anvertrauen.

gruß ~ Vava

Moin liebe Gemeinde,

weil die Überschrift so schön passt, hänge ich mich hier mal ran: Irgendwann in dieser Woche hatte Chip Online den Steganos Passwortmanager im Adventskalender.

Ich habe das Dingens mal runtergeladen, traue dem Frieden aber (noch) nicht so recht: Warum sollte denn so'n Passwortmanager sicherer sein als andere, einzelne Passwörter?

Frage an die Sachkundigen: Wird man, wenn man so etwas nutzt, als himmelschreiend blauäugig und treudoof angesehen oder sind solche Programme wirklich der Knaller am Computerhimmel?

Vielen Dank im Voraus und adventliche Grüße aus Berlin

vom baertel

Bearbeitet von baertel am 07.12.2014 12:31:37

Würde ich niemals nutzen. -_-

Zitat (viertelvorsieben @ 07.12.2014 12:45:11)

Würde ich niemals nutzen. -_-

War das die Aussage eines / einer Sachkundigen? Wirkt auf den ersten Blick nicht so, sorry.

Wie ich schon schrieb, bin ich unsicher, deshalb die Frage...

Wenn es für Dich bequem ist - nimm es ruhig, aber fühl Dich nicht sicher :D
Einen absoluten Schutz gibt es leider nicht. Ein guter Virenscanner ist Pflicht; ich würde auch ruhig etwas zahlen dafür. Was nützen Dir 100 ganz geheime, sichere Passworte, verwaltet mit einem alles ganz doll verschlüsselnden Passwortmanager, wenn ein Virus (Trojaner oder sonstwas) alle Deine Tastatureingaben mitliest? Betrachte den PC einfach immer etwas mit Misstrauen - was machst Du, das niemand sehen darf? Vorsicht beim Online-Banking halt, sowieso keine ganz geheimen Sachen per EMail usw.

In diesem Fall bin ich unsicher - aber nicht völlig verrückt...

Natürlich habe ich seit Jahren ein kasperliches (Bezahl-) Sicherheitsprogramm auf der Maschine, dass es keinen absoluten Schutz gibt, ist mir auch klar, die Frage ist halt, warum ein Passwortmanager sicherer sein soll als einzelne Passwörter...

Zitat (baertel @ 07.12.2014 13:14:16)

die Frage ist halt, warum ein Passwortmanager sicherer sein soll als einzelne Passwörter...

Weil man mit so einem PW-Manager sich vernünftige Passwörter "merken" kann.
20 Stellen, Klein- + Großbuchstaben, Zahlen und Sonderzeichen.

Sowas hier: h#x@Hf?8QVCL#mG9Q5F*
Anstatt einfach "passwort23" zu nehmen, weil man es sich merken kann - den Job übernimmt der Passwortmanager für einen.

Sowas hat aber auch Chrome und Firefox eingebaut, brauchen tut man es also nicht unbedingt.