account in data breach geleaked

[Pulliuser]

Laut haveibeenpwned wurden vor Kurzem user account Daten von einem länger zurückliegenden last.fm Hack veröffentlicht. Das habe ich vor Urzeiten mal getestet und entsprechend wurden email und passwort von mir dabei veröffentlicht.

Ich kann mich allerdings nicht mehr erinnern welches Passwort ich damals verwendet habe und entsprechend weiß ich nicht ob ich es vlt noch an anderer Stelle nutze und dort ändern sollte.

Habe versucht mich bei last.fm einzuloggen und ein paar PWs getestet ohne Erfolg. Ist mir aber auch nicht klar ob die email auch als username beim login akzeptiert wird oder nicht, denn an den usernamen kann ich mich auch nicht erinnern. Evtl. haben sie nach dem leak auch das PW automatisch geändert, wobei ich aber keine info dazu bekommen habe.

Entsprechend fällt es mir schwer das PW herauszufinden. Zudem bin ich wohl zu doof um den leak im Netz zu finden und einfach dort nachzuschauen.

Deswegen alle meine Passwörter zu ändern die ich habe wäre unverhältnismäßig, zumal ich mir sicher bin das ich dort kein PW verwendet habe das ich für wichtige accounts nutzen würde.

Jemand eine Idee was ich jetzt noch tun könnte?

 

[Metal_Warrior]

Alle möglicherweise kompromittierten Passwörter ändern und in Zukunft keine Passwörter mehr recyclen, sondern für jeden noch so unwichtigen Dienst nen eigenes Zufallskennwort. Da musst du durch. Dafür gibt es Passwortmanager.

 

[sia]

Da musst du durch. Dafür gibt es Passwortmanager.

So ist es.

Hier hatte ich auch mal nen Thread dazu eröffnet:

https://ngb.to/threads/24933-Passwörter-versenden-ohne-die-Sicherheit-zu-kompromittieren/

 

[Pulliuser]

Danke für eure Antworten und ihr habt Recht, Passwörter sollte man nicht recyclen und dabei können Passwortmanager helfen. Ich stimme euch da grundsätzlich zu, wobei ich Passwortmanager aus diversen Gründen nicht mag. Allerdings war das nicht meine Frage

Letztlich bleibt es jedem selbst überlassen wie er mit seinen PWs umgeht und jemandem nicht zu helfen weil euch dessen Vorgehensweise nicht gefällt bleibt dagegen euch überlassen, kein Thema.

Jedoch zurück zum Thema: Wie ich bereits erwähnt habe möchte ich deswegen nicht alle Passwörter in allen Diensten die ich nutze ändern (für den ein oder anderen vlt nachvollziehbar?). Wenn ihr oder jemand anderes das akzeptieren kann und stattdessen ein Tipp hat wie ich herausfinden kann welches das kompromittierte PW ist wäre ich sehr dankbar. Nur dieses zu ändern wäre wesentlich einfacher und ich finde es lohnt sich dafür nach einer Lösung zu suchen.

Vlt nutzt jemand auch noch last.fm und kann mir schon mal sagen ob beim login als username auch die registrierte email akzeptiert wird, dann könnte ich dort weiterprobieren.
Wenn nicht weiß vlt jemand wie ich von email Adresse auf username komme.

Vlt hat auch jemand weiteres Wissen über den leak und kann mir z.B. per PN Tipps geben wo ich die Daten finde oder wo ich fündig werden könnte. leakedsource war eins der ersten Ergebnisse in Google und sie werben damit bei einer kostenpflichtigen subscription Zugriff auf die rohen Daten zu erlauben. Erscheint mir aber sehr zwielichtig und möchte ich auch nicht unterstützen.

Vlt gibt es auch noch ganz andere Wege um ans Ziel zu kommen, der Kreativität sind dabei sicher wenig Grenzen gesetzt. Mir erschien das Forum und die vorhandene Expertise passend dafür.

 

[Metal_Warrior]

Wenn ihr oder jemand anderes das akzeptieren kann und stattdessen ein Tipp hat wie ich herausfinden kann welches das kompromittierte PW ist wäre ich sehr dankbar.

Read my lips:

Da musst du durch.

Ich sags dir auch gern nochmal: ES GIBT KEINEN WEG, AUSSER ALLE ZU ÄNDERN, es sei denn, du hast tatsächlich Zugriff auf die Rohdaten. Und selbst wenn du ihn hast: Niemand garantiert dir, dass das a) alle sind und b) der einzige Leak deiner Daten war.

Der Kreativität sind Grenzen gesetzt, weil es ein technisches Problem und kein Gemälde ist. Nur weil dir die Antworten nicht passen, sind wir nicht gleich nicht willens, dir zu helfen. Es ist nur der einzig sinnvolle Weg. Wenn der dir nicht schmeckt, dann frag halt nicht in einem IT-Board, wo sich die User mit Sicherheit und Computern beschäftigen, sondern bei gute-frage.de, und selbst da kann es dir passieren, dass jemand mit Ahnung auftaucht und dir genau das sagt, was wir dir gesagt haben.

Aber wenn du ne kreative Antwort willst, kann ich natürlich auch:
Zünde 5 Räucherstäbchen an, meditiere über die Bedeutung von Zen in der westlichen Welt, halte dabei dein Notebook über den Rauch und dein Problem wird durch ihn vertrieben.

 

[BurnerR]

Quelle: https://techcrunch.com/2016/09/01/43-million-passwords-hacked-in-last-fm-breach/

The passwords were stored using unsalted MD5 hashing.

Das ist fahrlässig und kaum besser als plaintext.

Ich sags dir auch gern nochmal: ES GIBT KEINEN WEG, AUSSER ALLE ZU ÄNDERN, es sei denn, du hast tatsächlich Zugriff auf die Rohdaten. Und selbst wenn du ihn hast: Niemand garantiert dir, dass das a) alle sind und b) der einzige Leak deiner Daten war.

Der TE hat doch recht. Er hat ja nur teilweise mehrfach verwendet und wenn er weiß, welches passwort er bei Last.FM verwendet hat, dann muss er auch nur jene ändern, wo er das Passwort nochmals verwendet hat.
Bei https://www.leakedsource.com/ wird gesagt, dass du dich registrieren kannst um die raw daten zu sehen, kostet wohl Geld. Kenne den Service nicht.

wobei ich Passwortmanager aus diversen Gründen nicht mag.

Ich benutze seit kurzem KeePass mit KeeFox in firefox. KeeFox speichert automatisch URL+Login in KeePass und fügt die Daten automatisch in die Formulare ein wenn ich auf die Seite surfe. Außerdem generiert es auf Wunsch Passwörter. Extrem Nutzerfreundlich.

 

[Metal_Warrior]

@BurnerR: Du hast meinen Beitrag nicht vollständig gelesen, oder?

Das Problem: Er kennt jetzt einen Leak. Wie viele gibt es derzeit? Wie wahrscheinlich hältst du es, dass von seinen 10 recycleten (und wahrscheinlich auch noch musterbehafteten) Passwörtern nicht 4 kompromittiert sind?

Und was bleibt dann anderes übrig, als in den sauren Apfel zu beißen und mal alle auf Zufallskennwörter umzustellen?

 

[Pulliuser]

Nochmals danke für eure Beiträge. Folgendes zur Situation und mein Senf zu allem.

Situation:

Ich habe mein kompromittiertes Passwort in Erfahrung bringen und entsprechend ändern können.

Skopophile Zeitgenossen mögen für die ganze, unglaubliche Geschichte die Spoiler bemühen:

Spoiler

Durch die Leak-Info von https://haveibeenpwned.com/ kannte ich die email, damit waren aber alle Loginversuche gescheitert und den usernamen kannte ich nicht mehr.

Anfangs hatte ich mich nicht getraut den "Passwort vergessen" Link zu klicken da ich befürchtete das PW könnte sofort zurückgesetzt werden und ich würde das kompromittierte damit nicht mehr in Erfahrung bringen können. Dabei heißt der Link ja tatsächlich "Forgot your username or password?". Hab ich entweder übersehen oder hatte trotzdem zuviel Schiss vor direkter PW-Rücksetzung ...oder der Link wurde in den letzten Wochen umbenannt (ganz bestimmt!)

Heute bin ich über Umwege aber doch auf dem Linkziel gelandet, wo es nochmal deutlicher beschrieben wird das man auch den usernamen in Erfahrung bringen kann (https://www.last.fm/de/settings/lostpassword), wo ich mich dann letztlich getraut habe und prompt hatte ich eine mail mit dem usernamen. Und damit hat der Loginversuch geklappt und das PW ist klar.

Jetzt könnte man sagen: Du Honk, hättste ma gleich gemacht, hättste dir das hier sparen können... womit wir zum Senf kommen...

kreativer Senf:

Spoiler

Nach den letzten Antworten hier und bevor obiges passiert ist war ich schon drauf und dran eine höfliche und höchstens sehr versteckt klugscheißerische Antwort zu verfassen nach dem Motto: ich sehs anders aber gerne jedem seine Meinung... (und übrigens auch das ich zurücknehme das man mir nicht helfen will - was ich hiermit auf jeden Fall tue )

Doch während ich so am rumzitieren und voll-schlauen-Text-aus-den-Fingern-saugen bin dämmert mir bei eingehender Auseinandersetzung irgendwann das Metal_Warrior wohl doch Recht hat.

Bzw. meine anfängliche Wunschlösung, welche ich jetzt selbst umsetzen konnte, halte ich kurzfristig gesehen immer noch für schnell und recht effektiv. Aber spätestens beim nächsten Leak stünde ich wieder vor dem selben Problem, was das Ganze immer weniger schnell und effektiv macht. Vorausgesetzt ich erfahre von dem Leak überhaupt - alle Leak-Infoservices in Ehren aber 100% gibts nicht und bei dem Thema schon gar nicht.

Eigentlich von Metal_Warrior schon alles gesagt. Entsprechend huldige ich dem/der Metal_WarriorIn und allen Mitstreitern. Langfristig ist es wohl tatsächlich

der einzig sinnvolle Weg.

Genieße, du wurdest erhört. Auch wenn du dich wiederholt erbarmen musstest es zu erklären. Habt Dank edler Ritter!

Vlt weils so schwer ist geschlagenen Hauptes von Dannen zu ziehen und nur in reiner Ehrfurcht zu erblassen noch ein paar Kleinigkeiten was dem Ritter zum wahren Edelmut noch fehlen könnte:

Die Wortwahl wirkte zunehmend unhöflich, zumindest kann sich diese Wirkung beim Leser einstellen wenn schon GESCHRIEHEN und mit Seitenhieben nicht gespart wird. Aber zu verzeihen denn es mag vlt schon edel genug erscheinen dem, aus deiner Sicht vlt echtem DAU (herrliche Synonyme), wiederholt zu erklären wo der heilige Gral zu finden sei.

Der nächste user könnte sich aber vlt über das Sahnehäubchen freuen, was aus einem Metal_Warrior aber vlt unerwünschterweise ein nette_Worte macht (...mäßig kreativ, ich weiß)

Genug Geplänkel, zu den

Fakten:

• Ursprüngliches Problem kurzfristig gelöst
• Langfristig "der einzig sinnvolle Weg": alle recycelten PWs in einmalige Zufallskennwörter ändern

Bei der langfristigen Lösung haperts allerdings für mich noch an der Umsetzung und hier bitte ich um erneute Hilfestellung...

Zu Ende bringen:

Passwortmanager war der Vorschlag. Mein Problem ist:

1. wie habe ich immer und überall Zugriff auf meine Passwörter (die sich keiner merken kann)? PW Manager auf dem Handy? Toll bei verloren oder geklaut. Synchronisieren übers Netz? Wird ja immer sicherer...
   
2. ist nur so sicher wie das Master PW und die Verschlüsselung, also auch nicht 100%. Und wenn geknackt dann gleich mal alle PWs auf dem goldenen Tablet, juhu!
   
3. das Master PW verloren und damit selbst ausgeknockt, da hilft weder kurzfristig noch langfristig. PW notieren/speichern? Sicherheit olé!

Wie ich gesehen habe wurde das auch schon eingehend diskutiert und meiner Meinung nach nicht gelöst, wie z.B. in diesem Thread.

Letztlich aber vlt dennoch die "sicherste" Lösung?! Oder doch noch jemand eine kreative Idee?

Bitte hier aber keine erneute Endlosdiskussion wie in anderen Threads sondern einfach eure besten Empfehlungen, die ja von anderen nicht zwingend kommentiert werden müssen wenn sie nicht ganz blöd sind.

Eine der wenigen Stellen die ich in diesem Roman wirklich ernst meine:

Passwort Manager? Wenn ja welcher und wie am besten einsetzen?

Danke im Voraus für alle enrstgemeinten Antworten, auch wenns schwer fällt nachdem ich euch mit diesem geistigem Dünnpfiff hier so gequält habe (Hat Spaß gemacht ... )

Respekt an alle die inkl. Spoiler hier angekommen sind

Also Rüstung an und auf ins Gefecht!

PS:

Spoiler

Der Kreativität sind Grenzen gesetzt, weil es ein technisches Problem und kein Gemälde ist.

Total offtopic aber hier würde ich tatsächlich vehement wiedersprechen. Ich denke technische Probleme werden tagtäglich auf die kreativsten Weisen angegangen. In der Masse sicher auch etliche davon unvorteilhaft und auf Unwissenheit begründet, aber kreativ Denke aber auch das die besten Lösungen häufig auch sehr kreativ sind. Ob Entwickler, Hacker, Ingenieur, ... Z.B. empfinde ich verschiedenste Social Engineering Methoden als extrem kreative Lösung für im Grunde sehr technische Probleme. Nicht zu vergessen die Mutter aller edlen Ritter.

 

[BurnerR]

Passwortmanager war der Vorschlag. Mein Problem ist:

1. wie habe ich immer und überall Zugriff auf meine Passwörter (die sich keiner merken kann)? PW Manager auf dem Handy? Toll bei verloren oder geklaut. Synchronisieren übers Netz? Wird ja immer sicherer...
2. ist nur so sicher wie das Master PW und die Verschlüsselung, also auch nicht 100%. Und wenn geknackt dann gleich mal alle PWs auf dem goldenen Tablet, juhu!
3. das Master PW verloren und damit selbst ausgeknockt, da hilft weder kurzfristig noch langfristig. PW notieren/speichern? Sicherheit olé!

Zu 1. Wieso brauchst du 'immer und überall' Zugriff? Auf fremden Maschinen solltest du sowieso keine Passwörter eingeben.
Ich tippe tatsächliche das generierte Passwörter ab, wenn ich mal wirklich eins auf dem Smartphone haben will, dauert 2 Minuten.

Zu 2. Gegen einige Angriffe kann zwei-faktor-authorisierung helfen. Das Master PW kannst du ja selber wählen, einer Implementierung musst du leider vertrauen. Allerdings musst du immer irgendwem vertrauen letztendlich, egal ob es um Passwörter, surfen oder Server geht, das liegt leider in der Natur der Sache (= IT = sehr komplex = du kannst nicht alles selber sauber implementieren und bauen oder die Korrektiheit verifizieren).

Zu 3. Ich lagere die Safe Passwörter auf einem Zettel in einem Safe außerhalb meiner Räumlichkeiten.

 

[mathmos]

[*]wie habe ich immer und überall Zugriff auf meine Passwörter (die sich keiner merken kann)? PW Manager auf dem Handy? Toll bei verloren oder geklaut. Synchronisieren übers Netz? Wird ja immer sicherer...

Die Datenbanken der Passwortmanager sind in der Regel verschlüsselt. Zudem kann man z. B. bei Keepass die Anzahl der Schlüsseltransformationen (http://keepass.info/help/base/security.html#secdictprotect) auch erhöhen um es Angreifern zu erschweren das Hauptpasswort per Wörterbuchangriff bzw. durch Raten des Passworts zu knacken. Wenn das Hauptpasswort gut genug ist und auch ab und an gewechselt wird, sehe ich da weniger Probleme.

Weiterhin kann man die Passwortdatei ja auch noch einmal extra verschlüsseln. Z. B. mit Veracrypt. Als Alternative zur Cloud bietet sich ggf. auch ein (ggf. verschlüsselter) USB-Stick an.

ist nur so sicher wie das Master PW und die Verschlüsselung, also auch nicht 100%. Und wenn geknackt dann gleich mal alle PWs auf dem goldenen Tablet, juhu!

Nichts ist zu 100 Prozent sicher. Mit etwas Pech wird dein Betriebssystem kompromittiert und es werden Passwörter usw. direkt vom Rechner ausgelesen. Usw. Wenn man ein gutes Hauptpasswort nutzt und wie oben beschrieben vorgeht, dann ist die Gefahr meiner Meinung nach relativ überschaubar.

das Master PW verloren und damit selbst ausgeknockt, da hilft weder kurzfristig noch langfristig. PW notieren/speichern? Sicherheit olé!

Haustürschlüssel verloren -> Pech gehabt
Autoschlüssel verloren -> Pech gehabt
EC-Karte verloren -> Pech gehabt

Wenn man danach geht, darf man gar nichts mehr nutzen. Was spricht z. B. dagegen das Hauptpasswort ohne weiteren Hinweis auf einen Zettel zu schreiben und diesen irgendwo in der Wohnung (abseits vom Rechner) bzw. bei Familienangehörigen oder Freunden zu deponieren? Oder im Schließfach, falls man so etwas hat. Alternativ würde sich auch ein USB-Stick anbieten.

Letztlich aber vlt dennoch die "sicherste" Lösung?! Oder doch noch jemand eine kreative Idee?

Die sicherste Lösung ist, einfach keine Passwörter zu nutzen. Und somit halt auch keine Dienste im Internet. Denn egal welche Lösung du nun nimmst, es bleibt immer ein gewisses Restrisiko übrig. Absolute Sicherheit gibt es nicht. Und Kreativität führt oft dazu, dass es noch unsicherer wird.

Passwort Manager? Wenn ja welcher und wie am besten einsetzen?

Ich nutze seit Jahren Keepass mit inzwischen einigen Einträgen. Das Hauptpasswort wechsle ich regelmäßig. Genauso wie die in Keepass gespeicherten Passwörter der jeweiligen Dienste. Also selbst wenn mein Hauptpasswort in 10 Jahren geknackt werden sollte, kann mit den Passwörtern keiner mehr etwas anfangen.

 

[sia]

KeePassX mit Keyfile + KeePassDroid + Sync der DB über Syncthing. Das Keyfile nicht mitsynchronisieren, ein langes Passwort nutzen, sowohl DB als auch Smartphone selbst automatisch sperren lassen.

Sobald sich mein Smartphone von meiner Pebble entfernt, sperrt es das Display. Ich nutze die Android Vollverschlüsselung mit einem langen Passwort beim Boot und einer kurzen PIN zum Display entsperren. Dafür gibt es Tools in F-Droid, die das Passwort ändern (cryptfs password, encpasschanger).

 

[HoneyBadger]

Ich nutze die KeePassDB in der Cloud. KeePass gibt es auch für das Telefon. Insofern ist die gleiche Sicherheit auf allen Geräten gleich gut (oder schlecht). Da kann auch das Haus abbrennen oder das Telefon verloren gehen.

 

[Tomatenpfahl]

In letzter Zeit scheint wortwörliche eine Grippewelle für PC Viren zu sein. Man denke an diese Yahoo Geschichte. Manchmal frage ich mich, ob es Zufälle sind oder ob diese miteinander korrelieren.

 

[HoneyBadger]

Warum meinst Du, da ist eine Welle? Solche Meldungen gibt es doch schon seit es das www gibt immer mal wieder. Und ich glaube auch nicht, dass das jemals aufhören wird. Je komplexer die Dinge werden, umso mehr Lücken können entstehen. Selbst wenn die Meldungen in absoluten Werten gestiegen sein sollten, so muss das relativ betrachtet nicht genauso sein. Die Anzahl der Leaks korreliert wahrscheinlich schlicht mit dem Wachstum der Dienste, Anwender und Geräte.