Passwortklau - bin ich betroffen ?
Verfasst: 18:29 ,Fr 18. Jan 2019,
Hallo zusammen,
mal wieder gehen Meldungen durch die Medien, dass millionen eMailadressen und/oder sonstige Accounts von Passwortklau betroffen sind.
Es existieren Listen, wo man im schlimmsten Fall die Kombination aus eMailadresse und Passwort im Klartext raus lesen kann und damit viele Schweinereien anstellen kann. (SPAM, Betrug, einkaufen, erpressen, ... )
Prüfen, ob man betroffen ist, kann man hier:
https://sec.hpi.uni-potsdam.de/ilc/search?
Einfach die eMailadresse eingeben und man bekommt paar Minuten oder sogar Sekunden eine Mail mit Hinweisen, bei welchem Leak/Hack man dabei war.
Diese Seite ist recht bekannt, dort kann man auch seine Adresse eingeben zum Checken...
https://haveibeenpwned.com/
Dort bekommt man aber keine eMail geschickt, sondern sieht das Ergebnis direkt auf der Website.
Auf der gleichen Seite gibt es noch: https://haveibeenpwned.com/Passwords
Dort könnte man sein Passwort direkt eingeben, um zu prüfen, wie oft es in den Passwortlisten vorkommt (naja... fühlt sich doof ein, sein Passwort auf einer Website einzugeben
soll aber angeblich sicher sein)
Man kann auch die Passwortliste - natürlich passwörter nicht im Klartext, sondern als Hashes - runterladen und dann offline auf dem eigenen PC schauen, ob sein Passwort in der Liste ist.
Da purzelt dann eine 23GB große Textdatei, randvoll mit SHA1-Hashes raus. Download war knapp 10 GB groß
Die Kombination zwischen Passwort und Emailadresse kann man leider nicht prüfen.
Wenn man also zu den glücklichen gehört, die betroffen sind, muss das noch lang nicht heißen, dass man komplett gehackt ist...
Aber generell sollte man Passwörter jeweils nur für einen einzigen Account verwenden, also jeder Account anderes Passwort.
Und nach Möglichkeit keines aus der Liste, weil die ganz gern für Wörterbuchattacke genommen werden.
Was ich recht bequem finde:
Google hat eine "passwörter speichern" Funktion, wo man dann über Chrome alle passwörter online bei Google speichern kann und die dann auch automatisch beim Browsen eingetragen werden.
Werden bei Bedarf sogar automatisch erzeugt und abgespeichert.
Für Google selber möglichst sicheres Passwort nehmen, weil dahinter dann alle Passwörter verfügbar wären.
Ist natürlich Vertrauenssache.... gäbe auch andere Möglichkeiten, aber der Google hat eh alles, was ich auf dem Handy habe und kann mich Tag und Nacht abhören/überwachen, also ist's eh schon egal
Viele Grüße,
Fabian
mal wieder gehen Meldungen durch die Medien, dass millionen eMailadressen und/oder sonstige Accounts von Passwortklau betroffen sind.
Es existieren Listen, wo man im schlimmsten Fall die Kombination aus eMailadresse und Passwort im Klartext raus lesen kann und damit viele Schweinereien anstellen kann. (SPAM, Betrug, einkaufen, erpressen, ... )
Prüfen, ob man betroffen ist, kann man hier:
https://sec.hpi.uni-potsdam.de/ilc/search?
Einfach die eMailadresse eingeben und man bekommt paar Minuten oder sogar Sekunden eine Mail mit Hinweisen, bei welchem Leak/Hack man dabei war.
Diese Seite ist recht bekannt, dort kann man auch seine Adresse eingeben zum Checken...
https://haveibeenpwned.com/
Dort bekommt man aber keine eMail geschickt, sondern sieht das Ergebnis direkt auf der Website.
Auf der gleichen Seite gibt es noch: https://haveibeenpwned.com/Passwords
Dort könnte man sein Passwort direkt eingeben, um zu prüfen, wie oft es in den Passwortlisten vorkommt (naja... fühlt sich doof ein, sein Passwort auf einer Website einzugeben
soll aber angeblich sicher sein)Man kann auch die Passwortliste - natürlich passwörter nicht im Klartext, sondern als Hashes - runterladen und dann offline auf dem eigenen PC schauen, ob sein Passwort in der Liste ist.
Da purzelt dann eine 23GB große Textdatei, randvoll mit SHA1-Hashes raus. Download war knapp 10 GB groß
Die Kombination zwischen Passwort und Emailadresse kann man leider nicht prüfen.
Wenn man also zu den glücklichen gehört, die betroffen sind, muss das noch lang nicht heißen, dass man komplett gehackt ist...
Aber generell sollte man Passwörter jeweils nur für einen einzigen Account verwenden, also jeder Account anderes Passwort.
Und nach Möglichkeit keines aus der Liste, weil die ganz gern für Wörterbuchattacke genommen werden.
Was ich recht bequem finde:
Google hat eine "passwörter speichern" Funktion, wo man dann über Chrome alle passwörter online bei Google speichern kann und die dann auch automatisch beim Browsen eingetragen werden.
Werden bei Bedarf sogar automatisch erzeugt und abgespeichert.
Für Google selber möglichst sicheres Passwort nehmen, weil dahinter dann alle Passwörter verfügbar wären.
Ist natürlich Vertrauenssache.... gäbe auch andere Möglichkeiten, aber der Google hat eh alles, was ich auf dem Handy habe und kann mich Tag und Nacht abhören/überwachen, also ist's eh schon egal
Viele Grüße,
Fabian
