Erneuter gigantischer Passwortklau
-
Was willst du schon groß machen? Bis jetzt ist ja nicht mal bekannt, welche Konten betroffen sein könnten. Einfach im Blick behalten und 'n Auge drauf haben, was so mit den wichtigen eigenen Accounts bei Online-Shops, Online-Banking usw. passiert.
-
Nach dem Artikel da...
...geht diese Meldung wohl ausschliesslich von einer spezielle Sicherheitsfirma aus, die das wohl zu einem kostenpflichtigen Geschaeftsmodell entwickeln moechte. Gibt es bezueglich dieses Passwortdiebstahls auch serioesere Quellen? Irgendwie verliert die Meldung mit diesem Hintergrund etwas an Glaubwuerdigkeit.
Erhard Henkes schrieb:
Wie soll man sich hier verhalten? Erneut alle Passworte ändern?
Ich frage mich in so einem Zusammenhang immer, ob das Aendern der Passwoerter nicht selbst ein groesseres Sicherheitsrisiko darstellt. Ich meine, es ist ja in keinster Weise sicher, dass man selbst von diesem Passwortklau betroffen ist. Kann man bezueglich so einer Risikoabwaegung eine eindeutige Aussage treffen?
-
Lasst uns doch mal annehmen, daß diese Angriffe im Prinzip nur Wörterbuchangriffe sind und sie uns überhaupt nicht betreffen.
-
Wie kann man mehr als 1 Milliarden Passwörter stehlen? Ich hätte gedacht, dass es Standard ist, dass man nicht das Passwort, sondern einen Hash speichert und dann noch mit Salt. Gibt es soviele Server die Passwörter noch als Klartext speichern?
-
Ich geh mal davon aus, dass mit "Passwörter" eigentlich Hashes (+ Salts) gemeint sind. Kaum einer würde verstehen was Hashes sind, deshalb "Passwörter".
-
malso schrieb:
Wie kann man mehr als 1 Milliarden Passwörter stehlen? Ich hätte gedacht, dass es Standard ist, dass man nicht das Passwort, sondern einen Hash speichert und dann noch mit Salt. Gibt es soviele Server die Passwörter noch als Klartext speichern?
Lol, klar gibt es die. Haufenweise. Wenn du viel Glück hast, ist bei den großen Anbietern vielleicht ein kleines bisschen Sicherheitsbewusstsein vorhanden. Bei allem mit < 1000 Mitarbeitern hat doch der Neffe vom Chef (der kann was mit Computern!) die Webpräsenz programmiert. Derselbe Neffe der hier im Forum so oft sein schönes Passwortsystem (mit Klartextspeicherung) präsentiert und dessen größtes Problem dabei ist, wie er die Eingabe zu Sternchen macht (und ihm gar nicht bewusst ist, dass das andere ein Problem sein könnte). Ich will gar nicht mehr zählen, wie oft ich selbst im letzten Jahr noch eine Bestätigung meines Passworts im Klartext per Email zugeschickt bekommen habe. Ich setze bei Erstregistrierung nur noch Wegwerfpasswörter, bis ich mir ganz sicher bin, dass ein Dienst wenigstens minimales Sicherheitsbewusstsein hat.
P.S.: Und als ich neulich bei der Bank meine PIN selber wählen durfte (für mich gut, aber ich will nicht wissen, wie viele Leute 1234 wählen), musste ich mich doch arg zusammenreißen, als mir gesagt wurde, sie dürfe nicht mit 0 anfangen. Da hat doch garantiert ein Heini die PIN als Integer gespeichert! Und so etwas bei einem großen Institut!
Fazit: Sicherheitsbewusstsein gibt es nicht. Nur "Experten", wie wir hier, denken, dass so etwas Allgemeinwissen wäre. Nicht einmal Leute, denen man die Sicherheit anvertraut wissen so etwas, da sie nach dem billigsten Preis ausgewählt werden.
P.P.S.: Ganz zu schweigen, dass es momentan in Mode kommt, einen mindestens 3 Passwort-Recovery Fragen zwangsbeantworten lassen zu müssen. Natürlich jedes Mal aus einem Katalog der gleichen 10 Fragen, bei jedem Anbieter. Und natürlich die Art Fragen, deren Antwort trivial ratbar oder recherchierbar ist, wenn man sie wahrheitsgemäß beantwortet. Wie viele Leute machen da wohl wahrheitsgemäße Angaben? Sicherlich die Mehrheit.
P.P.P.S: Fazit 2: Ich denke, die mittlere Sicherheit von Diensten nimmt sogar eher ab. Immer mehr Dienste für immer mehr Leute, die alle (Anbieter und Nutzer) keinen Sinn für Sicherheit haben, es dafür aber billig und bequem haben wollen. Eine gefährliche Mischung in Sicherheitsfragen.
-
SeppJ schrieb:
malso schrieb:
Wie kann man mehr als 1 Milliarden Passwörter stehlen? Ich hätte gedacht, dass es Standard ist, dass man nicht das Passwort, sondern einen Hash speichert und dann noch mit Salt. Gibt es soviele Server die Passwörter noch als Klartext speichern?
Lol, klar gibt es die. Haufenweise. Wenn du viel Glück hast, ist bei den großen Anbietern vielleicht ein kleines bisschen Sicherheitsbewusstsein vorhanden. Bei allem mit < 1000 Mitarbeitern hat doch der Neffe vom Chef (der kann was mit Computern!) die Webpräsenz programmiert. Derselbe Neffe der hier im Forum so oft sein schönes Passwortsystem (mit Klartextspeicherung) präsentiert und dessen größtes Problem dabei ist, wie er die Eingabe zu Sternchen macht (und ihm gar nicht bewusst ist, dass das andere ein Problem sein könnte). Ich will gar nicht mehr zählen, wie oft ich selbst im letzten Jahr noch eine Bestätigung meines Passworts im Klartext per Email zugeschickt bekommen habe. Ich setze bei Erstregistrierung nur noch Wegwerfpasswörter, bis ich mir ganz sicher bin, dass ein Dienst wenigstens minimales Sicherheitsbewusstsein hat.
P.S.: Und als ich neulich bei der Bank meine PIN selber wählen durfte (für mich gut, aber ich will nicht wissen, wie viele Leute 1234 wählen), musste ich mich doch arg zusammenreißen, als mir gesagt wurde, sie dürfe nicht mit 0 anfangen. Da hat doch garantiert ein Heini die PIN als Integer gespeichert! Und so etwas bei einem großen Institut!
Fazit: Sicherheitsbewusstsein gibt es nicht. Nur "Experten", wie wir hier, denken, dass so etwas Allgemeinwissen wäre. Nicht einmal Leute, denen man die Sicherheit anvertraut wissen so etwas, da sie nach dem billigsten Preis ausgewählt werden.
P.P.S.: Ganz zu schweigen, dass es momentan in Mode kommt, einen mindestens 3 Passwort-Recovery Fragen zwangsbeantworten lassen zu müssen. Natürlich jedes Mal aus einem Katalog der gleichen 10 Fragen, bei jedem Anbieter. Und natürlich die Art Fragen, deren Antwort trivial ratbar oder recherchierbar ist, wenn man sie wahrheitsgemäß beantwortet. Wie viele Leute machen da wohl wahrheitsgemäße Angaben? Sicherlich die Mehrheit.
P.P.P.S: Fazit 2: Ich denke, die mittlere Sicherheit von Diensten nimmt sogar eher ab. Immer mehr Dienste für immer mehr Leute, die alle (Anbieter und Nutzer) keinen Sinn für Sicherheit haben, es dafür aber billig und bequem haben wollen. Eine gefährliche Mischung in Sicherheitsfragen.
hmm...
P¹.S: ahaaa
P².S: ach
P³.S: sooo!
-
Wenn Du auch von Deiner wohlwollenden Mutter angerufen wirst, um Dich zu warnen, weil sie in der Tagesschau davon gehört hat, daß die Computer gerade massiv angegriffen werden, sag bescheid.
-
Ich tippe auf %i statt %d in scanf.
-
volkard schrieb:
Wenn Du auch von Deiner wohlwollenden Mutter angerufen wirst, um Dich zu warnen, weil sie in der Tagesschau davon gehört hat, daß die Computer gerade massiv angegriffen werden, sag bescheid.
War beim letzten Mal wirklich so.
-
