Schrift:
Ansicht Home:
Forum
Netzwelt

"Collection #1" und Co.: Was tun, wenn die eigenen Daten Teil eines großen Leaks sind

Getty Images/ Untitled X-Ray Wenn Anbieter gehackt werden oder versehentlich Daten öffentlich machen, nutzt oft auch das beste Passwort nichts: Jedem Internetnutzer kann es passieren, dass seine Daten in einem großen Leak landen. Was dann?
zum Artikel
Im mobilen Forum können sie die Beiträge nur lesen.
Um zu kommentieren, verwenden Sie bitte die Kommentarfunktion im Artikel.
    Seite 1/2    
#1 - 18.01.2019, 17:04 von helling

Passwort nicht auf fremden Webseiten eingeben

Kein Passwort, dass man bei HIBP eingegeben hat, sollte man mehr verwenden, egal ob es Treffer gab oder nicht, denn damit hat man es der Webseite mitgeteilt (und vielleicht hat man praktischer Weise vorher auch schon nach seiner Emailadresse gesucht, dann hat man beides zusammen aus der Hand gegeben). Besser ist, man ueberprüft die Passwörter bei sich lokal auf dem eigenen Rechner, dann gibt man keine Geheimnisse frei. Das geht zB mit einem einfachen Perl-Script: https://github.com/atdotde/HIBPPasswort Dieses ist so kurz, dass man sich selbst davon überzeugen kann, dass dass Passwort nirgendwo hin gerät.

#2 - 18.01.2019, 17:19 von Actionscript

Unklar

Zitat "Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. "

Normalerweise gibt man die Email Adresse bei anderen Diensten nur als User Name ein, und dies ist die Kontakt Adresse. Das Passwort hat aber mit der Email Adresse nichts zu tun. Der obige Satz ist daher ziemlich konfus. Wenn ich bei Firma A einen Account mit der Email Adresse als User Name und bei Firma B ebenfalls, aber nur bei Firma B wurde gehackt, brauche ich bei Firma A nichts zu ändern und ebenfalls nicht bei dem Email Provider.

Wenn der Email Provider gehackt wurde, brauche ich bei den Firmen nur das Passwort zu ändern, wenn mir über Email von den Firmen ein temporäres Passwort geschickt wurde, und ich diese Passwörter immer noch benutze. In vielen Fällen kann man solche Passwörter jedoch nur einmal benutzen und muss sofort sein Passwort ändern. Man sollte sowieso bei Email Providern so wenig Daten wie möglich hinterlassen und von Zeit zu Zeit Emails löschen.

#3 - 18.01.2019, 17:47 von der_unbekannte

Keine gute Empfehlung

Zitat von helling
Kein Passwort, dass man bei HIBP eingegeben hat, sollte man mehr verwenden, egal ob es Treffer gab oder nicht, denn damit hat man es der Webseite mitgeteilt (und vielleicht hat man praktischer Weise vorher auch schon nach seiner Emailadresse gesucht, dann hat man beides zusammen aus der Hand gegeben). Besser ist, man ueberprüft die Passwörter bei sich lokal auf dem eigenen Rechner, dann gibt man keine Geheimnisse frei. Das geht zB mit einem einfachen Perl-Script: https://github.com/atdotde/HIBPPasswort Dieses ist so kurz, dass man sich selbst davon überzeugen kann, dass dass Passwort nirgendwo hin gerät.
Ein Laie kann gar nicht beurteilen was dieses Skript mit seinem Passwort macht. Das Skript ruft übrigens die Web-API https://api.pwnedpasswords.com auf. Ist somit nicht nur "lokal". Außerdem kann dieses Skript nur in einer Linux-Umgebung aufgerufen werden, haben aber die wenigsten Nutzer. Für Laien ist das Angebot vom Hasso-Plattner-Institut der Uni Potsdam noch am einfachsten und vertrauenswürdigsten.

#4 - 18.01.2019, 17:56 von Actionscript

Zu meinem Kommentar, verstehe jetzt.

Zitat "Zunächst sollten Sie umgehend Ihr Passwort bei allen Diensten ändern, bei denen Sie sich mit der erwähnten E-Mail-Adresse angemeldet haben. "

Gemeint ist vermutlich, dass man sich neu bei einem Dienst zB mit seiner Email oder Facebook einloggt. Das ist zwar bequem aber eben auch gefährlich. Das sollte man auf alle Fälle vermeiden, da man dann auch noch mehr Daten an Andere verteilt bzw seine Passwörter abgibt.

#5 - 18.01.2019, 23:57 von Little_Nemo

Angeschlagene Schiffe versenken, anstatt die Löcher zu stopfen

Eine Anregung für mehr Sicherheit könnte ich auch noch beitragen. SPON könnte es ermöglichen, dass man in seinem Nutzerkonto eine andere E-Mail-Adresse eingibt, damit man den geleakten Mail-Account einfach löschen kann. Die meisten Nutzerkonten erlauben das. Bei SPON hingegen geht das offenbar nicht. Oder habe ich da was übersehen?

#6 - 19.01.2019, 04:46 von laughingbear

Plattner=No, Hunt=yes

Bei Hunt kommt die Rückmeldung meine Adresse sei betroffen. Bei Plattner ist sie das nicht.

#7 - 19.01.2019, 09:36 von Little_Nemo

Jemand hat mich leak

Zitat von laughingbear
Bei Hunt kommt die Rückmeldung meine Adresse sei betroffen. Bei Plattner ist sie das nicht.
Wenn Sie auf den Seiten weiterlesen, können Sie dort aber auch erfahren, dass es nicht unbedingt heißt, dass Sie ungeleakt sind, wenn Sie dort nicht als geleakt aufgeführt werden. Diese Dienste können nur verifizieren, wenn sie Sie in einer diesen Diensten bekannten Datenbank finden. Wenn Sie dort nicht auftauchen heißt das nicht, dass Sie nicht wohlmöglich in einer anderen doch enthalten sind. Eines meiner E-Mail-Konten taucht sowohl bei Plattner, als auch bei Hunt auf, wie ich gerade über Firefox Monitor erfahren habe. Ein E-Mail-Konto, dem ich übrigens schon länger misstraue, weil dort im Gegensatz zu anderen Konten auffällig viel Spam eingeht. Sehr oft Benachrichtigungen über angeblich unzustellbare Sendungen von FedEx beispielsweise, oder über verstorbene reiche Verwandte in Nigeria, einsame Chantals aus dem Kaukasus, die mich unbedingt kennenlernen wollen... Das übliche Zeug. Dementsprechend behandele ich es auch schon länger mit Vorsicht. Ich werde es jetzt löschen.

Vielleicht wäre es mal eine schöne, lehrreiche und unterhaltsame Leser-Aktion für SPON, Spam-Maschen zu sammeln und zu veröffentlichen. Ich glaube, ich könnte da einiges beitragen. Von ein paar habe ich mir glaube ich sogar Screenshots gemacht, die ich noch irgendwo habe.

#8 - 19.01.2019, 11:58 von angst+money

Für keepass gibt es übrigens ein Plugin, das die Einträge überprüft. Man muss dazu allerdings die komplette Liste mit den Leaks herunterladen (9 gb gezipt) und kann dann jeden Eintrag einzeln per Doppelklick checken lassen.

#9 - 19.01.2019, 19:36 von damianschnelle

Der letzte Knall

ist noch gar nicht so lange her. Da gab es in den Medien und der Politik einen riesigen Aufschrei. Diesmal gibt es diesen oder jenen kleinen Artikel. Das war's? Dabei geht es jetzt um 700 Millionen email Adressen, z.T. einschließlich Passwörtern. Ist nicht so medienwirksam wie mit den betroffenen Promis beim letzten Mal.

    Seite 1/2