Hallo Ich habe eine meiner EmailAdressen, die ich hauptsächlich für OnlineKäufe verwende, auf https://haveibeenpwned.com/ kontrolliert, und sie wurde leider gefunden. Anscheinend gibt es 2 data braches wo sie enthalten ist. Ich möchte nun herausfinden, um welche Databreaches es sich handelt (um zu wissen, wann sie gehackt wurde), bzw. die Webseite von wo die Daten stammen. Dies wird mir auf der genannten Seite nicht angezeigt. Weiß jemand einen anderen Weg dies heruaszufinden?
Zum Glück geht das zumindest bei Sammlungen (z.B. aktuell Collection 1) icht so einfach, das würde den Leuten, die diese Daten sammeln und missbrauchen wollen ja grandios in die Hände spielen. Ansonsten werden die Seiten unten aufgelistet, bei mir z.B. Dropbox und 000webhost
hast du individuelle Passworte pro Dienst? Dann kannst du über die Funktion von https://haveibeenpwned.com/Passwords genauer herausfinden worum es geht. Dabei musst du natürlich SEHR genau darüber nachdenken, ob du dem Dienst vertrauen willst und dort dein Passwort eingibst. Alternativ kannst du auch selbst die dortige API bedienen. Das dort beschriebene System erscheint mir relativ sicher. https://haveibeenpwned.com/API/v2#PwnedPasswords
Ein Problem mit haveibeenpwned ist, dass es im Einzelfall schwer sein kann, richtige Handlungsanleitungen abzuleiten (1) Wenn es um eine einzelne Mail-Adresse geht, würde ich vorschlagen: * Prüfen, ob der Betreiber soweit vertrauenswürdig ist, dass man von einem Einbruch bei ihm selbst informiert worden wäre. Wenn nein --> Provider wechseln. * Gewissenserforschung, ob das Passwort für diese Mailadresse (was immer für eine Infrastruktur dranhängen mag) auch anderswo (andere Betriebsverantwortung) benutzt wurde. Wenn ja --> Passwort sofort ändern und zukünftig getrennte Passwörter für getrennte Services nehmen. Keepass is your friend. * Im Zweifel sicherheitshalber Passwort ändern, das sollte ansich routinemäßig leicht möglich sein. (1) Das ist kein Fehler von haveibeenpwned. Dieses Service ist mit sehr viel Hirn und Sorgfalt gebaut. Genau deswegen allerdings erhält man nur eingeschränkte Informationen, sodass sie nicht missbraucht werden können.
JJ schrieb: Zwei Anmerkungen zu: > Funktion von https://haveibeenpwned.com/Passwords genauer herausfinden 1. Wenn das Passwort nicht bekannt ist, garantiert das allerdings nicht, dass es nicht gehackt wurde. 2. Das Passwort bei Webseiten anderer Betriebsverantwortung einzugeben, wird in vielen Fällen der jeweiligen Policy widersprechen. Auf jeden Fall widerspricht es dem Sinn der allgemeinen drinenden Empfehlung, getrennte Passwörter für getrennte Dienste zu verwenden. Die Art und Weise, wie die Webseite implementiert ist, zwar sehr schlau und gibt technisch gesehen das Passwort nicht an haveibeenpwned weiter. Das kann man als Anwender aber normalerweise nicht beurteilen. Daher unterminiert eine Empfehlung für Anwender, dieses Service zu nutzen, gute Security-Practices.
tip schrieb: > 1. Wenn das Passwort nicht bekannt ist, garantiert das allerdings nicht, > dass es nicht gehackt wurde. Stimmt, weitere Unschärfen gibt es wenn das Passwort mittlerweile ohnehin geändert wurde (Collection#1 ist ja mitunter auch steinalt) oder wenn zwar ein Breach vorliegt, das Passwort aber nicht im Klartext oder anders als erwartet gehasht wurde. > 2. Das Passwort bei Webseiten anderer Betriebsverantwortung einzugeben, > wird in vielen Fällen der jeweiligen Policy widersprechen. Auf jeden > Fall widerspricht es dem Sinn der allgemeinen drinenden Empfehlung, > getrennte Passwörter für getrennte Dienste zu verwenden. > > Die Art und Weise, wie die Webseite implementiert ist, zwar sehr schlau > und gibt technisch gesehen das Passwort nicht an haveibeenpwned weiter. > Das kann man als Anwender aber normalerweise nicht beurteilen. Daher > unterminiert eine Empfehlung für Anwender, dieses Service zu nutzen, > gute Security-Practices. Vollkommen richtig, daher der Hinweis im nächsten Absatz. Für mich selbst habe ich einen API Client als Shellscript implementiert. Wer mag kann ihn gern nutzen: https://github.com/elfrinjo/my-haveibeenpwned
Ralf schrieb: > Hallo > > Ich habe eine meiner EmailAdressen, die ich hauptsächlich für > OnlineKäufe verwende, auf https://haveibeenpwned.com/ kontrolliert, und > sie wurde leider gefunden. Anscheinend gibt es 2 data braches wo sie > enthalten ist. > > Ich möchte nun herausfinden, um welche Databreaches es sich handelt (um > zu wissen, wann sie gehackt wurde), bzw. die Webseite von wo die Daten > stammen. > > Dies wird mir auf der genannten Seite nicht angezeigt. Weiß jemand einen > anderen Weg dies heruaszufinden? Wenn du für jede Webseite ein anderes Passwort verwendet hast, dann ist das ganz einfach. Eine Lösung wie man das unter Linux mit der downgeladenen gehashten Passwortliste von haveibeenpwnd machen kann, habe ich hier angegeben: Beitrag "Re: ICQ verlangt Angabe einer Handynummer zur Passwortänderung" Mit dieser Lösung geht es. Wenn du mit dieser Lösung eines deiner Passwörter in der Liste findest, dann solltest du das Passwort für den jeweiligen Webdienst auf jeden Fall ändern. Falls du ein Passwort für mehrere Webseiten verwendest, dann solltest du alle Passwörter ändern und jeder Webseite ein individuelles Passwort zuweisen, so kannst du beim nächsten mal leicht herausfinden, welche Webseite das war, bei welcher die Zugangsdaten geleaked wurden. JJ schrieb: > Alternativ kannst du > auch selbst die dortige API bedienen. Das dort beschriebene System > erscheint mir relativ sicher. > https://haveibeenpwned.com/API/v2#PwnedPasswords Die API Lösung ist leider mit Vorsicht zu genießen, das Problem wird hier beschrieben: https://www.heise.de/forum/heise-Security/News-Kommentare/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht/Re-HIBP-Passwortueberpruefung-ist-nicht-sicher/posting-33782079/show/ Und der Mann hat recht und es gut erklärt. Wer seine Passwörter absolut sicher testen will, der sollte die Passwortliste downloaden und die besser oben von mir verlinkte Lösung verwenden.
tip schrieb: > JJ schrieb: > > Zwei Anmerkungen zu: > >> Funktion von https://haveibeenpwned.com/Passwords genauer herausfinden > > 1. Wenn das Passwort nicht bekannt ist, garantiert das allerdings nicht, > dass es nicht gehackt wurde. Wenn das PW nicht bekannt ist und es nicht in der Liste gefunden wird, dann wurde es zumindest nicht über diese Liste geleaked. Und darum geht es doch. festzustellen ob die eigenen Zugangsdaten Teil dieses Leaks sind.
Etwas mehr Info bekommst du beim Hasso Platner Institut. Von denen bekommst du eine Mail zurück mit Infos, aus welchen Quellen das Passwort stammt, und ob damit möglicherweise noch weitere Daten verknüpft waren. (z.B. Kreditkarte) https://sec.hpi.de/ilc/search?lang=de
tip schrieb: > Ein Problem mit haveibeenpwned ist, dass es im Einzelfall schwer sein > kann, richtige Handlungsanleitungen abzuleiten (1) > > Wenn es um eine einzelne Mail-Adresse geht, würde ich vorschlagen: > > * Prüfen, ob der Betreiber soweit vertrauenswürdig ist, dass man von > einem Einbruch bei ihm selbst informiert worden wäre. Wenn nein --> > Provider wechseln. > > * Gewissenserforschung, ob das Passwort für diese Mailadresse (was > immer für eine Infrastruktur dranhängen mag) auch anderswo (andere > Betriebsverantwortung) benutzt wurde. Wenn ja --> Passwort sofort ändern > und zukünftig getrennte Passwörter für getrennte Services nehmen. > Keepass is your friend. > > * Im Zweifel sicherheitshalber Passwort ändern, das sollte ansich > routinemäßig leicht möglich sein. > > (1) Das ist kein Fehler von haveibeenpwned. Dieses Service ist mit sehr > viel Hirn und Sorgfalt gebaut. Genau deswegen allerdings erhält man nur > eingeschränkte Informationen, sodass sie nicht missbraucht werden > können. Danke. Sinnvollster Beitrag zu dem Thema. Was man hier sonst für Müll liest in dieser Hinsicht z.B. "Schwachsinniges Tool, habe Passwort vor Jahren geändert und trotzdem scheint Adobe und Dropbox bei mir kompromittiert zu sein" Im zweiten Schritt wird dann auf keepas gemeckert, weil "jedes Tool knackbar", "die NSA alle meine Daten sowieso schon hat", und "ich keinem Tool vertraue"....
Nano schrieb: > Wenn das PW nicht bekannt ist und es nicht in der Liste gefunden wird, > dann wurde es zumindest nicht über diese Liste geleaked. > Und darum geht es doch. festzustellen ob die eigenen Zugangsdaten Teil > dieses Leaks sind. Jein, in der Liste kommen auch nicht gebrochene Hashes vor. D.h. es kann vorkommen, dass die Adresse einen Treffer hat und mit einem Dienst verbunden werden kann, das Passwort aber (noch) nicht geknackt wurde. Ich halte das auch nicht für tragisch aber der Vollständigkeit halber sollte es dazugesagt werden. Nano schrieb: > Wer seine Passwörter absolut sicher testen will, der sollte die > Passwortliste downloaden und die besser oben von mir verlinkte Lösung > verwenden. Ja diese Option für größtmögliche Sicherheit muss natürlich genannt werden.
JJ schrieb: > Jein, in der Liste kommen auch nicht gebrochene Hashes vor. D.h. es kann > vorkommen, dass die Adresse einen Treffer hat und mit einem Dienst > verbunden werden kann, das Passwort aber (noch) nicht geknackt wurde. > Ich halte das auch nicht für tragisch aber der Vollständigkeit halber > sollte es dazugesagt werden. Okay, ich bin jetzt davon ausgegangen, dass man das PW einfach ersetzt, sobald man den Hash davon in der Liste findet. Du hast natürlich Recht, dass der Hash selbst auch noch nicht gebrochen sein könnte, aber darauf würde ich mich nicht verlassen, deswegen rate ich dazu das PW zu ändern, sobald man den Hash davon in der Liste vorfindet.
JJ schrieb: > Dabei musst du natürlich SEHR genau darüber nachdenken, ob du dem Dienst > vertrauen willst und dort dein Passwort eingibst. Alternativ kannst du > auch selbst die dortige API bedienen. Man kann das ganz einfach lösen: Man ändert das Passwort, und gibt es erst danach bei diesem Dienst ein.
Ralf schrieb: Hallo > Ich habe eine meiner EmailAdressen, die ich hauptsächlich für > OnlineKäufe verwende, auf https://haveibeenpwned.com/ kontrolliert, und > sie wurde leider gefunden. Anscheinend gibt es 2 data braches wo sie > enthalten ist. > > Ich möchte nun herausfinden, um welche Databreaches es sich handelt (um > zu wissen, wann sie gehackt wurde), bzw. die Webseite von wo die Daten > stammen. Was nutzt Dir das? Du kannst ja nicht mal wissen, ob sie "gehackt" (dämliches Wort) wurde. Nur weil die Emailadresse in der Liste ist, heißt grade mal gar nix (s.u.). JJ schrieb: > Nano schrieb: >> Wenn das PW nicht bekannt ist und es nicht in der Liste gefunden wird, >> dann wurde es zumindest nicht über diese Liste geleaked. >> Und darum geht es doch. festzustellen ob die eigenen Zugangsdaten Teil >> dieses Leaks sind. > > Jein, in der Liste kommen auch nicht gebrochene Hashes vor. D.h. es kann > vorkommen, dass die Adresse einen Treffer hat und mit einem Dienst > verbunden werden kann, das Passwort aber (noch) nicht geknackt wurde. > Ich halte das auch nicht für tragisch aber der Vollständigkeit halber > sollte es dazugesagt werden. Dann sollte man auch zur Vollständigkeit dazuschreiben, daß in der Liste scheinbar auch abgeerntete Emailadresse vorkommen, die irgendwo mal veröffentlich waren. In meinem Fall z.B. eine Adresse, die dann intern weitergeleitet wird und zu der es gar kein irgendwo verwendetes Paßwort gibt. Vermutlich zu Spamzwecken vor langer Zeit mal im Usenet abgefischt. Ach ja, steht ja auch u.a. da unter "largest breaches": |River City Media Spam List .. |Compromised accounts: 393,430,309 |Compromised data: Email addresses, IP addresses, Names, Physical addresses Also ne Spamliste. Fast 400 Millionen abgefischt Adresse, kein Paßwort. Damit hat für mich die Abfrage über die Startseite nur eingeschränkt Aussagekraft. MfG
Beitrag #5705838 wurde von einem Moderator gelöscht.
Ralf schrieb: > Hallo > > Ich habe eine meiner EmailAdressen, die ich hauptsächlich für > OnlineKäufe verwende, auf https://haveibeenpwned.com/ kontrolliert, und > sie wurde leider gefunden. Anscheinend gibt es 2 data braches wo sie > enthalten ist. > Ja und? Von mir sind alle Mailadressen, die ich für Adobe, Dropbox, Paypal, Ebay verwende dort auffindbar. Das möchte ich aber auch meinen, da dort in den letzten Jahren immermal wieder Mailadressen und andere Daten (nicht unbedingt Passworte) abgefischt worden. Bei ebay ist jeder Verkäufer für die eigenen Daten (nicht Passwort) ein "Sicherheitsproblem". Das ist ja noch kein Grund zur Panik - es sei denn, du verwendest für viele Denste das selbe Passwort. Aber das macht man ja eh nicht. Die Collection1 ist - so wie ich das sehe - eine bunte Sammlung von irgendwelchen abgeschöpften Daten (Mailadressen, Adressen usw.), die aber schon mindestens zwei Jahre alt sind. Wenn man seine wichtigen Accounts im Auge behält - will heißen, man erneuert mindestens jährlich die Passworte und verwendet nicht die gleichen wiederholt - hat man schon ein Stück Sicherheit mehr gewonnen... Meine These: Daten die einfach so veröffentlicht werden sind eh kaum noch etwas wert.
Beitrag #5705844 wurde von einem Moderator gelöscht.
MeierKurt schrieb: > Von mir sind alle Mailadressen, die ich für Adobe, Dropbox, Paypal, Ebay > verwende dort auffindbar. Das möchte ich aber auch meinen, da dort in > den letzten Jahren immermal wieder Mailadressen und andere Daten (nicht > unbedingt Passworte) abgefischt worden. Bei Adobe und Dropbox wurden durchaus Passwörter abgegriffen. MeierKurt schrieb: > es sei denn, du verwendest für > viele Denste das selbe Passwort. "Man" nicht, die meisten schon. Und genau deswegen ist es ja auch problematisch. Wenn du zu den wenigen gehörst, die brav getrannte Passwörter nutzen, ist es natürlich etwas anderes.
M.M.M schrieb: > Dann sollte man auch zur Vollständigkeit dazuschreiben, daß in der Liste > scheinbar auch abgeerntete Emailadresse vorkommen, die irgendwo mal > veröffentlich waren. Die PW Listen beziehen sich allein auf die PW Listen. M.M.M schrieb: > Also ne Spamliste. Fast 400 Millionen abgefischt Adresse, kein Paßwort. > Damit hat für mich die Abfrage über die Startseite nur eingeschränkt > Aussagekraft. Ich habe noch die alte PW Liste Version 1.0 und dazu noch das Update 1 und 2. -rw-rw-r-- 1 nano nano 12862899504 Aug 2 2017 pwned-passwords-1.0.txt -rw-rw-r-- 1 nano nano 574389228 Aug 4 2017 pwned-passwords-update-1.txt -rw-rw-r-- 1 nano nano 16791180 Aug 5 2017 pwned-passwords-update-2.txt 12862899504+574389228+16791180 = 13454079912 Die neue Liste ist deutlich größer: -rwxrwxrwx 1 nano nano 24303121452 Jan 15 03:17 pwned-passwords-sha1-ordered-by-hash-v4.txt 24303121452 - 13454079912 = 10849041540 Da sind also jede Menge neuer PW oder Hashes davon dazu gekommen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.