Vor vielen Monaten hab ich mir einen Account auf pwnedlist.com erstellt. Ich hab die Seite dann schnell vergessen und nie wieder etwas von ihr gehört (ein gutes Zeichen, immerhin verschicken sie also keine unnötigen Emails).
Aber heute war es so weit: ich habe eine Email bekommen. Und diese war direkt auch wichtig, hat sie mich doch darüber informiert, dass auf einer Chinesischen Seite meine Emailadresse zusammen mit meinem alten Standard-Passwort veröffentlicht worden ist.
Zum Glück benutze ich dieses Passwort so schon länger nicht mehr und allgemein benutze ich kaum noch Standard-Passwörter. Bei wichtigeren Seiten kommt sowieso ein einmaliges, zufällig generiertes Passwort zum Einsatz.
Warum schreibe ich das hier? Weil es sicher viele Leute gibt, die einerseits Standard-Passwörter nutzen und denen andererseits nicht bewusst ist, wie schnell sowas im Internet landen kann.
Also: nutzt keine Standard-Passwörter und überlegt euch, ob ihr einen Dienst wie pwnedlist.com nicht auch nutzen wollt.
-
-
Da schliesse ich mich gleich an mit einem Plädyer für Passwort-Manager!
Die meisten Menschen verwenden immer wieder dieselben Passwörter, weil es einfach saumässig mühsam ist, sich X Passwörter zu merken. Die alternative dazu ist, einen Passwortmanager zu verwenden. Damit ist aber nicht gemeint, im Browser auf "Passwort speichern" zu klicken (ausser im Chrome), weil da landen die Passwörter unverschlüsselt in einer Liste, jeder der an den PC kommt kann sie problemlos anschauen... oder jeder der den Computer heimlich infiziert.
Ich verwende seit etwa zwei Jahren KeePass und lege darin ALLE meine Passwörter ab. Ich muss mir einzig das Master-Passwort merken, welches dafür umso länger und komplizierter gewählt ist. Passwörter, für Webseiten lasse ich automatisch generieren (UtONF9fmoQCaçgs+DpzvWE ist doch nett, oder
) und tippe sie nie mehr selbst ein. Das übernimmt das Browser-Plugin für mich.
Die Passwörter werden in verschlüsselten Datei abgelegt ... 2 Millionen transformiert, da beisst sich auch die NSA die Zähne daran aus.
Ich synchronisiere die Passwortdatei auf einen Webserver (nein nicht Dropbox in Amerika, MyDrive in der Schweiz ) und kann darum von überall darauf zugreifen. Es gibt auch eine SmartPhone App, ich hab's also sogar in den Ferien mit dabei
Ausnahme: Passwörter, die ich selber tippen muss, bleiben meistens dämlich. Beispielsweise das TSW Login muss ich leider selber eintippen. KeePass hat zwar eine Such und eine Copy-Passwort funktion, aber das ist mir trotzdem zu blöd. Die meisten MMORPGs unterscheiden aber heutzutage zwischen Spiel- und Accountpasswort, demnach sollte nur das Spielpasswort "tippfähig" sein. -
Bei mir wird jedes Passwort sehr kompliziert gestaltet, dass ich mir eigentlich keines davon merken kann.
Hab deswegen einen eigenen Ordner angeschafft, in denen ich meine Daten aufschreibe. Ich hoffe mal, das es ausreicht. -
Danke Enaijo,
hab es getestet.
Geht blitzschnell.
Und wenn nix ist, wie bei mir gottseidank, dann kommt folgender Text:"Nope, looks like you're one of the lucky ones."
-
Zitat
Bei mir wird jedes Passwort sehr kompliziert gestaltet, dass ich mir eigentlich keines davon merken kann.
Hab deswegen einen eigenen Ordner angeschafft, in denen ich meine Daten aufschreibe. Ich hoffe mal, das es ausreicht.
Der Fehler an dem System ist doch, dass dein Rechner eben auch geknackt werden kann, was leider keine wilde Theorie ist sondern andauernd passiert.
KeePass ist dein Freund, der verwaltet nicht nur deine Passwörter bombensicher, er erleichtert dir auch gleich die Eingabe von User/Passwort in diversen Programmen. Es gibt echt keinen Grund, um keinen Passwort-Manager zu verwenden. -
Ich glaube ich muss mir mal dieses KeePass genauer anschauen. Danke für den Hinweis! Bin da eigentlich schon für mehr Sicherheit, aber altersbedingt
dürfen die Passwörter auch nicht soo kompliziert sein. -
ZitatAlles anzeigen
Vor vielen Monaten hab ich mir einen Account auf pwnedlist.com erstellt. Ich hab die Seite dann schnell vergessen und nie wieder etwas von ihr gehört (ein gutes Zeichen, immerhin verschicken sie also keine unnötigen Emails).
Aber heute war es so weit: ich habe eine Email bekommen. Und diese war direkt auch wichtig, hat sie mich doch darüber informiert, dass auf einer Chinesischen Seite meine Emailadresse zusammen mit meinem alten Standard-Passwort veröffentlicht worden ist.
Zum Glück benutze ich dieses Passwort so schon länger nicht mehr und allgemein benutze ich kaum noch Standard-Passwörter. Bei wichtigeren Seiten kommt sowieso ein einmaliges, zufällig generiertes Passwort zum Einsatz.
Warum schreibe ich das hier? Weil es sicher viele Leute gibt, die einerseits Standard-Passwörter nutzen und denen andererseits nicht bewusst ist, wie schnell sowas im Internet landen kann.
Also: nutzt keine Standard-Passwörter und überlegt euch, ob ihr einen Dienst wie pwnedlist.com nicht auch nutzen wollt.
Hab mir dort nun auch einmal einen Account gemacht und meine Adressen eingegeben. Wenn ich allerdings von der Startseite aus meine eine Adresse checke sagt er das dieser wohl 2011 einmal kompromitiert wurde aber in meiner Watchlist zeigt er dazu keine Daten an. Werden dort nur neue Daten ab Registrierung angezeigt und keine alten Bestände wann zu dem Account einmal etwas gefunden wurde?
Hat mich etwas verwundert. Aber danke für den Tip. -
Danke für den Tipp! Pwnedlist findet bei mir glücklicherweise auch nichts. Ich werde mir aber KeePass daheim anschauen und ggf. mal meine ganzen Passwörter damit neu machen.
-
Zitat
Der Fehler an dem System ist doch, dass dein Rechner eben auch geknackt werden kann, was leider keine wilde Theorie ist sondern andauernd passiert.
KeePass ist dein Freund, der verwaltet nicht nur deine Passwörter bombensicher, er erleichtert dir auch gleich die Eingabe von User/Passwort in diversen Programmen. Es gibt echt keinen Grund, um keinen Passwort-Manager zu verwenden.
Warum das nun ein Fehler sein soll seine Passwörter in einem Ordner aufzuheben musst du mir aber erklären? Das kommt mir fast sicherer vor, als eine KeePass Datenbank auf dem Rechner, die von jeglicher Schadsoftware gelöscht werden könnte -- muss ja für Schaden garnicht ausgelesen werden.
Ich bilde meine Passwörter seit Jahren nach einem bestimmten Schema, zb spielt die URL der Seite für die ich ein Passwort erstell dabei eine Rolle (enthalten natürlich Groß/Kleinschrift, Sonderzeichen, Zahlen...) - da komm ich dann im Normalfall auch noch auf das Passwort wenn ichs eigentlich vergessen hab. Ich notier allerdings auch alles brav auf good old paper, und ab in Ordner damit. Alles gut sortiert, in sekunden gefunden im Zweifel.
ps: pwnedlist.com sagt zumindest zum SHA-512 Hash meiner Haupt-Mail (bin sehr vorsichtig wo ich diese Mailadresse eingeb - eigentlich nur bei Accounts wo es auch um Geld geht), sie wär sauber -
Denke Enaijo ist von einem Ordner auf dem Rechner ausgegangen und nicht von Hardware ausserhalb des Compis.
-
Ich nutze bislang recht verschachtelte Passwörter nach einem bestimmten System, das nur in meinem Kopf ist. Extern abgelegt werden sie ganz oldschool. Auf einem sogenannten Zettel. Den könnte also allenfalls ein Einbrecher oder unsere Putzhilfe einsehen.
-
guter Tip, danke Basti :wub:
mir gehts genauso wie Garrador, ahtte auch angeblich 2011 eine hit, aber im Report wird nix angezeigt...
kann man sich eigentlich auch MMO Accounts oder Paypal Account und Co eintragen? -
Zitat
Warum das nun ein Fehler sein soll seine Passwörter in einem Ordner aufzuheben musst du mir aber erklären? Das kommt mir fast sicherer vor, als eine KeePass Datenbank auf dem Rechner, die von jeglicher Schadsoftware gelöscht werden könnte -- muss ja für Schaden garnicht ausgelesen werden.
Einen physischer Ordner... ich bin sprachlos! Ich dachte nur Accounting-Angestellte haben noch Zugriff auf eine solch alte Technologie
Es wird übrigens im Internetzeitalter von diversen Leuten empfohlen, die eigene Passwortliste als Papierdokument im Tresor oder beim Testament aufzubewahren, damit Hinterbliebene ggf. Accounts (Facebook, Twitter, etc) schliessen können
Der Haken beim täglichen gebrauch ist halt, dass man ihn wohl kaum immer mitschleppt. Mit einer via internet synchronisierten Datei kann ich mich überall und immer mit den unmöglichsten Passwörter einloggen... wie zB jetzt gerade im Büro :rolleyes:
Wenn einem aber eine KeePass Datenbank gelöscht wird und kein Backup davon existiert, dann hat man es auch verdient alle Passwörter zu verlieren
-
Ein Ordner am PC kam mir nun zu absurd vor - da konnte es doch nur ein physischer sein
-
Zitat
guter Tip, danke Basti :wub:
mir gehts genauso wie Garrador, ahtte auch angeblich 2011 eine hit, aber im Report wird nix angezeigt...
kann man sich eigentlich auch MMO Accounts oder Paypal Account und Co eintragen?
Jetzt wird mir in der Watchlist die Meldung auch angezeigt zu der Adresse. Hat wohl nur etwas gedauert. Und ich weiss nun wo der Leak herkam. :o
Edit:
Ich sehe dort nun auch mein geleaktes Passwort von dem Account damals. Weiß jemand in welchem Format das vorliegt? Sieht auf den ersten Blick aus wie ein MD5 Hash.
Konnte aber bisher nicht mein altes Passwort daraus ableiten. Somit scheint es kein MD5 zu sein oder ich hatte damals ein mir mittlerweile völlig entfallenes Passwort. =) -
Ich würde mal auf SHA-512 tippen? Probiers mal aus, da ist ein SHA Calculator.
-
Ich nutze Password Depot, hiermit kann man für jeden Account ein extra PW erstellen aber auch Dateien Verschlüssen.
Vorteil man muss sich nur 1 Password merken. In mein Fall sind diese sehr Kryptisch also aus allen Zeichen die die Tastertur hergibt.
Führer hatte ich nur 5 PW... für Emails, Games und Forum Accounts nur eins, EVE Online, Paypal et. alles extra sowie Router und Inet Daten.
Ich habe für dieses Programm entschieden weil es in 1 Jahr DREI mal vorgekommen ist das Anbieter wegen Angriffe auch Ihre Server, alle gebeten haben ihre PW zu ändern.
Was in mein Fall aus Sicherheit immer bedeutet hat das ich 5 Stunden Arbeit hatte alle zu ändern. Was nicht gerade lustig ist.
Zudem auch um alle Account auch Alte in einer Datenbank zu haben.
Man kann das Programm auch auf USB-Stick Installieren und auch auf dem Handy eine App.
So bin ich auch sicher das Festplatten defekt usw. alles weg Wäre.
Ich für mein teil kann es nur weiterempfehlen.
Gruß
Elodrin