SICHERHEITSHINWEIS - ändert euere Passwörter!

SICHERHEITSHINWEIS - ändert euere Passwörter!
​

Wer es aus der Tagespresse noch nicht mitbekommen oder bislang ignoriert hat: Die Userdaten von sehr vielen Communities sind geklaut.

Quelle: https://sec.hpi.de/leak-checker/search
Hier kann jeder seine Emailadresse checken, ob betroffen.

U.a. ist nexusmods.com betroffen. Wer also dort und hier dieselbe Emailadresse und PW benutzt, ist auch hier vor Identityklau nicht sicher.

 

ohne die Qualität der obigen Seite zu kennen: es lohnt sich, hin und wieder die eigenen Adressen hier - https://hacked-emails.com/ zu prüfen. Die wichtigsten Leaks sind in der Datenbank.
Vllt. muss ich denen vom Hasso Plattner mal schreiben. Was nützt mir eine Hacking-Info per Email, wenn mein Accout kompromittiert wurde...?

 

Der Link geht zu der Seite der vom BKA beauftragten Firma. Für Deutschland also hochoffiziell.

 

Die bekannteste und umfangreichste Seite für solche Sachen dürfte mit Sicherheit https://haveibeenpwned.com/ vom austalischen Sicherheitsspezialisten Troy Hunt sein. Die Datensätze vom Hasso-Plattner-Institut für Softwaresystemtechnik sind toll, aber letztlich viel zu wenige. "Für Deutschland hochoffiziell" ist ja schön und gut, aber Internetkriminalität macht leider nicht an der Landesgrenze halt. Und einiger der größten Leaks fehlen halt in der Tat bei HPI einfach.

Abseits davon, der Hack vom Nexus passierte ja bereits 2013. 2015 landeten die Daten das erste Mal öffentlich im Netz. Wenn ich DarkOnes Statement dazu noch richtig im Kopf habe und mich richtig erinnere, wurde doch damals eh ein genereller Passwort-Wechsel im Nexus erzwungen. Wer die Zugangsdaten noch woanders verwendet hat, hat vermutlich schon längst die Auswirkungen davon gespürt. Nichtsdestotrotz ist es natürlich immer eine gute Idee, ab und zu mal die eigenen Mailadressen in solchen Datenbanken gegenzuchecken.

Aber bitte, Leute, benutzt Passwörter nicht mehrfach. Meistens werden nach einem Leak diese Daten völlig automatisiert auch bei anderen Diensten getestet. Somit bringt schon die kleinste Änderung eures Passwort - beispielsweise das Anhängen einer fortlaufenden Nummer - einen erheblichen Sicherheitsgewinn. Natürlich ist es am besten, wenn ihr euch für jede Seite ein komplett neues Passwort mit mindestens 16 Stellen bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ausdenkt, aber da sich das kein Mensch merken kann und ein Passwortmanager eben deshalb gefährlich ist, weil es da nur einen einzigen erfolgreichen Angriff braucht, um all eure Passwörter zu haben, hab ich vollstes Verständnis dafür, wenn jemand quasi überall das gleiche, grundsätzlich recht sicher gewählte Passwort nutzt. Aber dann bitte mit Variationen! Das ist wichtig! Accountdiebstahl - oder der Versuch davon - ist heutzutage an der Tagesordnung. Und während es im Fall von Malware und Co auf unseren eigenen Systemen auch von uns abhängt, da für Sicherheit zu sorgen, haben wir diesen Luxus bei geleakten Daten von Webdiensten nicht. Hier hilft uns wirklich nur Diversität bei den Passwörtern und wenn möglich eine aktivierte Zwei-Faktor-Authentifizierung (die zwar ebenfalls Schwachstellen hat, aber weit besser ist als Nichts).

 

Danke @NewRaven für den Link, habe ich gleich genutzt. Meine ist sauber. Mal sehen, was die andere Seite findet.

 

Ich hatte das letztens, dass ich eine Mail über ein Einloggen aus Land X bei einem Dienst bekam. Das "lustige" daran war, dass ich mich nicht mal mehr erinnern konnte, dass ich mich da vor ewigen Jahren mal registriert hatte. War von irgend einem alten Spiel eine Seite. Leider mal wieder so eine typische Seite, wo man den Account dann nicht löschen oder deaktivieren konnte.

Ich mache das so, für unwichtigere Dinge wie Webforen habe ich eine Mailadresse und eine Handvoll Passwörter, die immer mal durchgewechselt werden. Für wichtige Dinge, etwa Steam, Paypal usw. wo ich also Wert hinter habe, nutze ich spezielle verschiedene andere E-Mail Adressen und je eigenständige Passwörter.

Edit: Habe gerade mal diesen Check beim Hasso Plattner institut mit verschiedenen Mailadressen gemacht. Die Hauptadresse, also für Foren etc., ist bereits stolze 6 Mal Opfer geworden, und das nur nach deren Datenbank. Die anderen Mailadressen sind jedoch alle gar nicht betroffen. Da sieht man mal wieder, wie richtig meiner Einschätzung ist, für wichtige Accounts eigenständige Mailadressen zu nutzen.

 

die Seite ist gut, aus meiner Erfahrung hatte hacked-emails.com die umfangreichere Datenbank von exploits und pastes, meistens prüfe gegen beide Seiten. Ah, pwned hat inwzischen auch eine API.
Ich kann mich der dringenden Empfehlung, bei jedem "Dienst" ein anderes Passwort zu benutzen, nur anschließen. Vor allem solltet ihr die Passwörter für eure Postfächer an keiner anderen Stelle benutzen. Passwort-Leaks sind seit Jahren eher die Regel geworden.
Da inzwischen jede/r dutzende von Passwörtern hat, empfehle ich einen Passwort-Manager, keypass oder passwordsafe. Der Safe muss mir einem guten, vor allem langen Passwort geschützt werden. Wer weniger kreativ ist, kann auf die Diceware-Methode zurückgreifen.