> > > > Online-Tool verrät, ob private Daten im Internet kursieren

Online-Tool verrät, ob private Daten im Internet kursieren

DruckenE-Mail
Erstellt am: von

hardwareluxx news newIn der jüngsten Zeit wurden zahlreiche Fälle von geklauten Internet-Konten inklusive der dazugehörigen Passwörter publik. So ging das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Januar dieses Jahres an die Öffentlichkeit und ließ die Bundesbürger wissen, dass sich Unbefugte Zugriff auf etwa 16 Millionen E-Mail-Adressen verschafft hätten und forderte die Nutzer auf, die Sicherheit ihrer E-Mail-Adresse auf einer eigens dafür eingerichteten Webseite zu überprüfen und vorsorglich die Passwörter zu ändern. Nur drei Monate später sollen sich Cyber-Kriminelle erneut im großen Stil Zugang zu E-Mail-Konten verschafft haben. Ermittler stellten im April rund 18 Millionen E-Mail-Adressen samt der Passwörter sicher.

Ob die eigenen Daten in der Vergangenheit in die Hände von Hackern gelangt sind, kann nun mit einem Tool überprüft werden, welches das Hasso-Plattner-Institut zur Verfügung gestellt hat. Die privat finanzierte Universitätsabteilung in Potsdam hat zahlreiche Datensätze mit E-Mail-Adressen und persönlichen Daten gesammelt, die in den letzten Wochen und Monaten im Netz aufgetaucht sind. Die Sammlung soll mehr als 170 Millionen Datensätze aus Hackerforen, sozialen Netzwerken und Ähnlichem umfassen.

Über das Tool müssen Anwender lediglich ihre E-Mail-Adresse eingeben. Sofern diese in der Datenbank des Instituts auftaucht, wird automatisch eine E-Mail an die abgefragte Adresse verschickt – genau wie beim Prüft-Tool des BSI. Ist die Adresse hingegen nicht in der Datenbank zu finden, gibt es keine E-Mail mit weiteren Informationen. Das Institut versichert dabei, dass die E-Mail-Adressen, die in das Prüf-Tool eingegeben werden, „verschleiert“ werden, um eventuelle Cyber-Attacken auf die Datenbank zu erschweren.

Internet-Nutzer sollten allerdings ohnehin schon aufgrund des Heartbleed-Bugs ihre Online-Zugänge mit einem neuen Passwort versehen haben. Noch immer sind die häufigsten Kennwörter solche, die leicht zu erraten oder zumindest leicht zu knacken sind. Zu den meist genutzten Kennwörtern zählen Passwörter wie „123456“, „password“ oder „qwerty“ und „abc123“, wie eine Studie im Januar bewies.

Der Sicherheitsexperte Lance James will mit seinem Pavlovian Password Management deswegen die Nutzer zu sicheren Passwörtern erziehen. Der Plan: Setzt ein Anwender auf ein unsicheres Passwort, soll er bereits nach drei Tagen aufgefordert werden, dieses zu ändern. Bei mittelschwachen Passwörtern soll der Nutzer erst nach zwei Wochen dazu aufgefordert werden, bei starken Kennwörtern sogar erst nach 60 Tagen. Verwendet er eine Passphrase, müsste er sein Zugangskennwort erst nach 90 Tagen austauschen.

Social Links

Kommentare (4)

#1
customavatars/avatar35008_1.gif
Registriert seit: 08.02.2006
Neuland
Provokateur
Beiträge: 2011
Ohne Hashwerte des Passworts bzw. die Info auf welcher Plattform die Daten entwendet wurden, ist das genauso sinnlos wie das BSI Tool.... :wall:
#2
Registriert seit: 05.03.2007

Kapitän zur See
Beiträge: 3313
Klingt gut, nach ein mal nachdenken sinnfrei.
#3
customavatars/avatar125171_1.gif
Registriert seit: 14.12.2009
BaWü
Stabsgefreiter
Beiträge: 382
Mein "Passwort" ist wohl betroffen. Und was fang ich mit der Info jetzt an ?
Auf die E-Mail sind >50 Accounts registriert (wichtige mit gescheitem Passwort per Passwortmanager, unwichtige mit Passwörtern á la 123456).

Soll ich jetzt alle ändern, weil das 123456-Passwort beim Adobe Hack oder bei einem sonst unwichtigen Portal erbeutet wurde ?
Oder ist vllt. doch ein "wichtiges" PW betroffen ? (Ich vermute das es nur das Adobe-PW ist, und sehe also kein wirkliches Problem).

Der Test bringt leider garnichts, außer Ungewissheit und Angst zu schüren.
Gut gemeint, schlecht gemacht.
#4
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Bootsmann
Beiträge: 750
Kommt schon, so schwer ist es nicht, 160 Millionen Mails zu verschicken. Man hat ja einiges an Zeit, da geht das. Und ernsthaft, "verschleiern"? Ihr Idioten sollt nix verschleiern, sondern die Daten nach Nutzung sofort löschen und während der Übertragung ordentlich verschlüsseln!!!

An den Redakteur: Man hätte sich eben die Zeit nehmen können, das "häufige" 'qwerty' durch das in Deutschland wirklich häufige 'qwertz' zu ersetzten. ;)

Dieser "Sicherheitsexperte" Lance James hat keine Ahnung, was er da erzählt. Wieso bietet man so jemandem die Fläche, seinen Stuss zu verbreiten? Das Zeugs ist auf so viele Ebenen falsch und gefährlich, ich weiß gar nicht wo ich anfangen soll...
1. Wer dauernd sein Passwort ändern muss, der nimmt irgendwann so einfache, dass ein Computer die innerhalb von wenigen Sekunden erraten kann, auch wenn er diese dann öfter wechseln muss.
2. Regelmäßiger Passwort-Wechsel bringt nur wenig, außer mehr Arbeit für den Nutzer und die in 1. beschriebene Gefahr. Ein sicheres Password wird nicht in akzeptabler Zeit geknackt, da bringt auch ein Wechsel nach 90 Tagen nichts. Wirklich sinnvoll ist ein Wechsel nur nach einem bekannten Angriff, weil es dann tatsächlich einen Nutzen hat, und die Arbeit für den Nutzer unausweichlich ist.
3. Es werden Daten über das Passwort außerhalb des gehashten Passworts gespeichert - ein Angreifer hat somit zusätzliche Daten über das Passwort, was immer eine Gefahr ist. Wenn das Passwort in 2 Wochen geändert werden muss, weiß der Angreifer, dass das Passwort mittelschwer ist und vergeudet seine Zeit gar nicht erst mit schwachen Passwörtern - oder greift direkt nur Leute an, deren Passwort in 3 Tagen fällig ist.


Wirklich was bringen tun nur sinnvolle Speicherung der Passwörter per bcrypt oder scrypt und außerdem die Nicht-Akzeptanz von zu schwachen Passwörtern. Dabei müssen die Regeln aber sinnvoll sein - "Mindestens 1 Zahl, 1 Buchstabe, 1 Sonderzeichen und 8 Zeichen gesamt." ist dabei nicht sinnvoll, weil "love123!" immer noch unsicher ist und "ianulfhqtslgfuhdpokl" zwar sicher ist, aber nicht akzeptiert wird. Wichtig dabei also: Dynamische Änderung der Regeln (Wenn das Passwort kürzer ist, braucht es zusätzlich Sonderzeichen und Zahlen, wenn es länger ist, reichen Buchstaben) und die Filterung von ganzen Wörtern aus dem Wörterbuch und häufigen Passwörtern.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!