Passwort gehackt?

Hi @matThiaS ,
mein Mailprovider hat mir gerade die Nachricht zukommen lassen, mein (bei ihm gespeichertes) Passwort vom Saxophonforum sei gehackt worden. Ich hab's schnell geändert. Kannst Du das irgendwie nachvollziehen?

 

Hä, woher weiß Dein Mailprovider welches Passwort Du hier verwendest?
Und wieso speicherst Du irgendwelche Passworte beim Mailprovider?

Fragen über Fragen. Ich denke Du solltest zuerst den Mailprovider genauer Befragen...

 

Nee, anders. Mailprovider ist falsch. Ich hab' mein Passwort in meinem Google-Konto hinterlegt, damit ich es auf meinem Android-Smartphone nicht immer eingeben muss. Und jetzt hat Google Alarm geschlagen. Es heißt aber nicht, dass mein Google-Konto gehackt sei.

 

Es gibt zig Password-Frauds, die dort geknackten Passwörter sind alle öffentlich und können überprüft werden. Wenn Dein hier benutztes Passwort von Dir schon mal an anderer Stelle benutzt wurde ist es öffentlich.
Ich habe neulich auch so eine Nachricht bekommen, eine lange Liste, bei genauerer Prüfung waren das alles Passwörter die ich schon lange aus dem Verkehr gezogen habe.

Allerdings sollte Google, bei sich, kein Passwort abspeichern. Du hast sie villt im Browser (Chrome??) abgespeichert? Wäre mir ganz neu das Google auf seinen Servern Passworte speichert die nicht für den Aufruf von Google-Diensten benötigt werden. Und macht man es richtig werden auch nicht die Passwörter im Orginal abgespeichert sondern nur Hash-Codes, also eine Art Verschlüsselung, die zwar eindeutig ist, aber nicht reversible (bzw. nur mit sehr großem Aufwand reversibel).
Im Speicher Deines Browsers, auf Deiner Festplatte oder auf dem Smartphone, liegen die Dinger allerdings quasi im Klartext...

 

Gestern erhielt ich noch eine Mail, dass meine Apple-ID stillgelegt worden sei (samt "Anleitung", wie ich das Problem beheben könne).

Wenn Du Dein Passwort hier geändert hast, sollte es erst einmal gut sein. Aber schau Dir trotzdem die Absender solcher Mails immer mal genauer an....

 

Hm, wie macht man es denn richtig? Sorry, ich bin auch nicht gerade der Crack- wäre also interessant das zu erfahren. Das mit den Hash-Dingern höre ich so zum ersten mal.

Danke dir für eine Aufklärung...
antonio

 

Das erscheint mir als der entscheidende Hinweis.

Ich habe schon Spam-Mails bekommen „...ihr Konto wurde gehackt / weist Unregelmäßigkeiten auf / Enkel braucht Geld.....klicken Sie hier um Ihre Identität zu bestätigen...“ Manche sind echt gut gemacht. Ein Bekannter hat sich auf diese Weise den Emotet eingefangen.

Abgesehen davon gilt für mich: Jeder Account ein eigenes Passwort, nicht im Browser speichern, sondern im eigenen Kopf (die wichtigen, zB Saxophonforum ), der Rest in einem schlichten Text, den ich mir ausdrucke. Mich nervt auch zunehmend, daß man ständig irgendwelche Accounts einrichten soll, ich versuche, das zu minimieren.

 

Also so sollte es der Anbieter eines Dienstes bei sich machen, der hat ja Kunden die alle ein Passwort haben, richtigerweise kennt so der Betreiber eines Dienstes die Passwörter seiner Kunden gar nicht, sondern erkennt beim Anmelden nur daß das richtige Passwort benutzt wurde...
Bei den mir bekannten Frauds hat der Betreiber immer in irgendeiner Art und Weise fahrlässig gehandelt, Passwörter im Klartext oder nur unzureichend oder fehlerhaft oder mit veralteten Verschlüsselungsmethoden verschlüsselt abgespeichert usw.

Für Dich selbst gilt:

- kein Passwort mehrfach für unterschiedliche Dienste nutzen
- da sich die vielen Passwörter niemand merken kann, einen Passwortmanager lokal (also auf der eigenen Festplatte) benutzen.
Im Passwortmanager werden die Einträge jeweils wieder verschlüsselt abgelegt, im Allgemeinen benötigt man zum Öffnen des Passwortmanagers wiederum ein Passwort, dieses sollte man sich merken und ausschließlich hierfür benutzen!
Der Passwortmanager kann auch neue Passworte generieren, dann muss man sich nicht selbst immer was neues Ausdenken.

Ich selbst benutze KeePass, das ist ein freier PasswortManager, die Datenbank dazu habe ich auf meiner Dropbox liegen und somit auf allen meinen Geräten zugänglich.
Es gibt Implementierungen des Programms für alle Plattformen (auch die Mobiltelefone), so das ich ein benötigtes Passwort von überall nachschlagen kann.
Für viele PasswortManager gibt es auch für die diversen Browser PlugIns, die einem das Nachschlagen des Passworts für eine bestimmte Webseite abnehmen, das ist natürlich bequem, aber auch unsicher, denn PlugIns können auch gekapert und missbraucht werden. Jeder muss für sich selbst entscheiden was ihm ein bisschen Bequemlichkeit wert ist...

 

In fast allen Fällen (mit sagrotanmäßigen Prozenten) wollen solche Nachrichten nur Dein Bestes, also Geld oder Daten.
Bezgl der Adressen beachte bitte :
info@google.com.blablaba.ru
ist mitnichten etwas von google. Das kommt von oder geht an .....blablabla.ru

 

Hallo Sebastian,
oft kann man bei solchen Warnungen herausfinden, wer sich Zugriff auf dein Passwort verschaffen wollte. Eine solche Warnung und das sofortige Ändern des Passwortes ist hilfreich und mit Sicherheit die richtige Reaktion. Solltest du das Passwort nicht nur für dieses Forum nutzen, empfehle ich dir einen generellen Wechsel, man kann ja nie vorsichtig genug sein.

 

Hallo nochmal,

1. Die Warnung war definitiv authentisch, weil ich Sie in dem Kontrollzentrum meines Google-Accounts wieder gefunden habe.
2. Es scheint aber bisher keine Versuche gegeben zu haben, dieses Passwort zu nutzen. Zumindest für meinen Google-Account und andere "Major Services" bekomme ich Warnmeldungen, wenn sich neue Geräte anmelden wollen. Ich nutze auch 2-Faktor-Authent, wo möglich.
3. Ich nutzte dieses Passworts (sowie das Neue) in der Tat nur für dieses Forum.
4. Die Frage, ob PWs vom Forum geleakt worden sein könnten, scheint eher von untergeordneter Bedeutung zu sein?
5. HaveIBeenPwnd und der HPI-Service geben mir keinen Aufschluss darüber, aber wahrscheinlich haben die nur Leaks höhrerer Größenordnung registriert.

 

[QUOTE="Sebastian, post: 622493, member: 12412"Die Frage, ob PWs vom Forum geleakt worden sein könnten, scheint eher von untergeordneter Bedeutung zu sein?[/QUOTE]

Die ist natürlich schon von Bedeutung.
Interessant wäre schon wo und wie die hier gespeichert werden. Vermutlich ist es eine eingebaute Funktion der Forumssoftware.
Andererseits, die paar hundert User hier, das lohnt ja kaum den Aufwand, es sei denn es würde sich so nebenbei ergeben, durch einen anderen Hack gegen die gleiche Technologie.

Die üblichen Frauds rentieren sich ja nur durch die Masse, 0,1 Promille Dumme von 10 Millionen sind halt immer noch ne Menge...

Oder es ist ein gezielter Angriff gegen eine Gruppe oder Einzelperson, z. B. wegen (Industrie-) Spionage.

Was es auch gibt sind sogenannte "Wörterbuch" Attacken. Also das Ausprobieren aller Möglichen aus den Worten und deren Kombinationen eines Wörterbuches. Genauso ist evtl denkbar das jemand anderes das selbe Passwort genutzt hat und dieses dann geknackt wurde.

 

@Rubax

Vielen Dank für deine Ausführungen- dann bin ich gar nicht mal so weit neben der Spur Aber einen PW Manager muss ich mir wirklich mal einrichten, eigentlich wollte ich das schon lange machen, die vielen PW's sind wirklich obermühsam.

Gruss
antonio

 

Muss es ein externer Passwortmanager sein, oder reicht die bordeigene „Schlüsselbundverwaltung“ von meinem Mac?
Der schlägt mir immer herrlich komplizierte Passwörter höchster Sicherheitsstufe vor, die ich mir dann allerdings ohne Hilfe beim besten Wiölen nicht merken kann ...

 

Unsere Sicherheitsleute empfehlen Passwortverwaltungsprogramme* und Passwörter, die man sich nicht merken kann und eben in solchen Programmen verwaltet. Und das Passwort, mit dem man dieses Programm (oder den Rechner an sich) sichert, sollte auch elendig lang sein. Zum Beispiel ein vollständiger Satz, wie "Ichessegerne1Schnitzel!"

*Das kann wohl auch der Schlüsselbund vom Mac sein, nehme ich an.

 

Denke ich auch. Die Frage ist wie es mit mobilen Geräten aussieht. Bleibt man in der apple-Welt, dann nehme ich an, kann man das auch irgendwie mit den mobilen Geräten synchronisieren.

Das wäre evtl schon wieder gegen eine Wörterbuchattacke empfänglich, ich habe mal gelernt besser ist es von so einem Satz die jeweils 1. Buchstaben zu wählen, also bei diesem Beispiel Ieg1Sch! (mit großem I), ist allerdings etwas kurz, vielleicht willst du noch ein oder 2 Knödel dazu?

 

Ne Frage zum Verständnis: kann google überhaupt wissen und wenn ja woher, ob das passwort des TE zum login dieses forums gehackt wurde?

 

ja synchronisieren ist da auch möglich über die (i)cloud von apple z. B.

 

Nach meinem Verständnis nach nicht.
Denn dann das Passwort in Klarschrift bei sich irgendwo bei google abgespeichert sein. Ich traue google ja allerhand schlechtes zu, aber so einen Leichtsinn auch wieder nicht.
Ich habe auch noch nicht verstanden wo und wie @Sebastian das Passwort in seinem google-Konto hinterlegt hat, allein auf die Idee wäre ich gar nicht gekommen da etwas anderes als Google-Passworte anzugeben.
Aber vllt habe ich deswegen auch noch nie nach so einer Funktion gesucht.

 

Edit/Nachtrag: Es scheint tatsächlich einen Google-eigenen Passwortmanager zu geben, der wohl auch Passworte unverschlüsselt bzw. entschlüsselbar abspeichert. Man kann die eigenen Passwörter dort schützen indem man eine Passphrase angibt.

Google schreibt dazu:

1. "Wenn Sie eine Passphrase festlegen, können Sie Ihre Chrome-Daten in der Google-Cloud speichern und darüber synchronisieren, ohne dass Google sie lesen kann. Ihre Zahlungsmethoden und Adressen aus Google Pay werden durch eine Passphrase nicht verschlüsselt.

Passphrasen sind optional. Ihre synchronisierten Daten werden bei der Übertragung immer verschlüsselt."

2. "Wenn Sie eine Passphrase für die Synchronisierung haben:

• Sie benötigen Ihre Passphrase, wenn Sie sich irgendwo neu anmelden.
• Sie müssen Ihre neue Passphrase auf jedem Gerät, auf dem Sie bereits angemeldet sind, eingeben.
• In Ihrem Feed werden keine Vorschläge auf der Grundlage Ihrer in Chrome besuchten Websites angezeigt.
• Sie können weder Ihre gespeicherten Passwörter unter passwords.google.com einsehen noch Smart Lock für Passwörter verwenden.
• Ihr Verlauf wird nicht geräteübergreifend synchronisiert. Nur Webadressen, die Sie in die Adressleiste von Chrome eingeben, werden weiterhin synchronisiert."