Angeblicher Dropbox-Hack: 7 Millionen Account-Daten gestohlen
von caschy | 33 Kommentare
Das ist harter Tobak, wenn es denn stimmen sollte. Bei Reddit sind Links zu Listen gepostet worden, die Auszüge einer Datenbank enthalten sollen. Die Datenbank umfasst nach Angaben der Listen-Ersteller fast 7.000.000 Einträge. 7.000.000 Zugangsdaten zum Cloudspeicher Dropbox.
Einige Mitglieder von Reddit überprüften diese Listen und fanden heraus, dass es tatsächlich einige Zugänge gibt, die funktionieren. In den Listen bittet der Listen-Ersteller um Spenden via Bitcoin, dann wolle er weitere Listen ins Netz stellen. Dropbox selber hat mittlerweile ein Statement abgegeben, dass sie nicht gehackt worden seien.
Stattdessen sollen die Daten aus erfolgreichen Angriffen bei anderen Diensten stammen. Diese Daten seien genommen worden, um Zugriff auf Dropbox-Konten zu erhalten. Nach Aussagen von Dropbox habe man diese Aktivitäten wahrgenommen und ist dem nachgegangen. So soll Dropbox der große Teil der Passwörter nicht mehr funktionieren.
Was dies bedeutet: Wie häufig haben Menschen bei verschiedenen Diensten die gleiche Kombination aus Nutzernamen und Passwort verwendet, man ist ja ein Gewohnheitstier und auch zu faul, alles zu ändern. Kann man verstehen. Wird allerdings bei einem der Dienste erfolgreich eingebrochen, dann werden diese Daten auch genutzt, um andere Dienste zu überprüfen. Hat man die Daten aus XYZ, dann überprüft man die ja vielleicht auch gerne bei Amazon, eBay, PayPal, Gmail, Facebook und Co.
Vorsorge treffen
Deswegen: versucht möglichst unterschiedliche Passwörter bei den Diensten zu nutzen, diverse Passwort Manager bieten einen Generator dafür an, alternativ gibt es noch die SS64-Methode. Nutzt diese Passwort Manager auch, von kostenlos bis kostenpflichtig ist alles dabei. Aktiviert auch die Zwei-Faktor-Authentifizierung, sofern machbar.
Eine weitere Alternative ist Have i been pwned? Die Seite schaut, ob eure Mail-Adresse irgendwo in einem Datenleck auftauchte und verrät wo, zudem kann man sich eine Alarmmail schicken lassen, wenn die eigene Adresse bei Diensten wie Pastebin auftaucht. Welche Dienste die Zwei-Faktor-Authentifizierung unterstützen, ist hier zu lesen.
Wird geladen ...
Also diese Variante mit X!blaDIENSTNAME#irgendwas und das für alle Dienste die man verwendet ist ja das Cleverste, was ich je gelesen habe. NICHT. Dann probiert man alle großen Dienste damit einfach mal durch und f*ckt den jenigen so richtig. Denkt doch mal nach bevor ihr was für intelligent haltet.
Dropbox war noch nie zu wirklich sicher. Zudem der bekannteste Cloudspeicher und damit Ziel Nr. 1 für Angreifer. Nutze es zwar aus Gründen der weitreichenden Kompatibilität auch, aber für 98% der Daten nur mit Boxcryptor und zusätzlich 2-Step-Auth. Das bringt nämlich wirklich was.
Für jeden Login gibt’s bei mir ein anderes Passwort. Ok, mit System – kommt einer dran, könnte er ableiten. Meine Daten habe ich in zwei Textdateien. In der ersten sind die Daten zu Shops, bei denen ich meine Zahlungsbedingungen habe. Die Datei liegt lokal auf einem Server in nem Boxcryptor Container. Die Daten habe ich zwar im Kopf, könnte aber per Teamviewer drauf und den Container per Passwort öffnen. In der zweiten Datei sind die Daten von Shops ohne hinterlegte Zahlungsbedingungen. Die Datei ist auch in einem Boxcryptor Container und wird per Dropbox auf mein Telefon synchronisiert. Die Schwachstelle bei mir sehe ich im System wie ich die Passwörter generiere. Die hier genannten Tools zur Passwortvergabe schaue ich mir mal an, da bin ich aus Unwissenheit noch sehr skeptisch.
was nützt das sicherste Passwort wenn man es „dritten“ freiwillig gibt und diese es unverschlüsselt weiter verwenden. als promi-beispiel facebook, da gibt es doch auch so eine tolle funktion wo man seine ganzen zugangsdaten seiner emailpostfächer eingeben kann und facebook „klaut“ sich dann damit die ganzen kontaktdaten weil der User ja zu faul ist alles selbst per hand zu machen. gleiches prinzip gibts auch bei vielen apps mit ihren sharing und backup funktionen wo man schön seine zugangsdaten hinterlegen kann.
Wenn die Hauptdienste schon nicht fähig sind alle daten zu verschlüsseln wird es solch eine 0815 Hinterhof-App Entwickler Firma erst recht nicht manchen.
@gugelugu:
Du hältst dein „System“ für „unknackbar“ – selbst nach Lesens des Artikels? OooKay.
aus dem Grund setzt sich dieses Internet nicht durch
@gugelugu
Bevor ich so ein System übernehme verwende ich wirklich lieber einen PW-Manager, der die Dateien lokal ablegt. Es liegen ja nicht überall die Passwörter bei irgendwelchen Diensten in der Cloud.
Mit einem ordentlichen Master-Passwort (und damit meine ich nicht popelige 10 Zahlen und 1 Buchstaben) muss man schon sehr viel Zeit und Energie aufwenden um das zu entschlüsseln.
Und nach deinem System reicht 1 Sicherheitslücke bei einem Online-Dienst aus um Zugriff auf viele Dienste zu erhalten.
Ein Paradebeispiel wie mans nicht machen soll und weshalb Artikel wie dieser nötig sind.
Leider betrachten viele nur den Text und lesen ihn nicht.
„Wie häufig haben Menschen bei verschiedenen Diensten die gleiche Kombination aus Nutzernamen und Passwort verwendet, man ist ja ein Gewohnheitstier und auch zu faul, alles zu ändern. Kann man verstehen.“
Also ich kann das absolut nicht verstehen, das ist einfach sowas von selbst verschuldet, wenn einem dadurch ein Schaden entsteht, womöglich sogar ein finanzieller Schaden. Ich meine, ich weiß, dass viele das so handhaben und verständlich ist, dass man sich nicht unbedingt für jede Webseite ein anderes Passwort merken kann, welches zudem ein gewisses Sicherheits-Niveau mitbringt, aber Browser bieten das Merken der Passwörter an und damit gibt es keine Ausrede. Es ist einfach unglaublich naiv, überall das gleiche Passwort zu verwenden. Und wie andere ja schon angedeutet haben, kann man sich auch einfach ein Schema merken und aus diesem Passwörter für verschiedene Dienste konstruieren. Dann muss man sich nicht viel mehr als dieses Schema merken, was nicht nennenswert schwieriger sein dürfte als sich ein einzelnes Passwort zu merken, das geht dann auch ohne Passwort-Manager, der meistens wahrscheinlich sowieso mehr als Komfort-Feature dient als wirklich als Merkhilfe, vermute ich. Das Schema sollte man dann natürlich nicht weitersagen. Hundertprozentige Sicherheit gibt es eh nicht, aber man kan die Sicherheit doch schon mit sehr einfachen Mitteln sehr stark erhöhen.
ein großes danke an alle für den tipp mit der catch all domain. ich komme mir so blöd vor, nicht selber darauf gekommen zu sein -_- jetzt nochmal mein senf zur sicherheitsnummer:
Die Sicherheit die ein jeder im Netz haben möchte steht immer in Balance mit dem Aufwand der damit verbunden ist. Damit meine ich vor allem den regelmäßigen Aufwand. Jeder muss für sich selber wissen wie viel Aufwand ihm seine Sicherheit bei verschiedenen Seiten wert ist. Ich denke unterschiedliche Passwörter zu nehmen, die man nach Prinzipien aufbaut, die hier in den Kommentaren bereits beschrieben wurden, sind ein Mehraufwand den jeder gehen sollte.
Alles darüber hinaus macht bedingt Sinn, aber wie gesagt: Geschmäcker sind verschieden. Ich habe eine 2-Faktor-Authentifizierung bei Google, weil dort relativ viele Sachen zusammenlaufen: Mail, Kalendar, Kontakte, Drive… aber ob ich nun wirklich jedes mal auf mein Handy gucken will wenn ich mich bei facebook einlogge? Ich denke nicht. Dann sollen die Hacker meinen Account nehmen, blaue Gummidildos liken und dort mit meiner Freundin Schluss machen. Das lässt sich alles verkraften oder erklären, denke ich.
Wer noch auf der Suche nach einem weiteren System ist, dem kann sich Folgendes anschauen und es nach eigenen Wünschen ausbauen oder die Reihenfolge ändern:
###ddddddeeeeE000
Erklärung:
### = drei festdefinierte Sonderzeichen hintereinander (da einige Anbieter danach verlangen).
dddddd = Dienstname (z.B. ebay oder amazon oder gmail)
eeeeE = Eigenes festdefiniertes Wort. Den letzten Buchstaben oder einen beliebigen innerhalb dieses Wortes schreibt ihr immer gross (Da einige Anbieter nach Grossbuchstaben verlangen).
000 = scheinbar zufällige Zahl. Dahinter steckt folgende Logik: Ihr zählt nun die Anzahl der Buchstaben aus Dienstname+festdefiniertes Wort zusammen und multipliziert zum Beispiel mit einem festdefinierten Multiplikator z.b. „2“ und setzt noch eine weitere festdefinierte Zusatzzahl vor der zuvor errechneten Zahl dazu.
Wenn wir uns nun alle festdefinierten Parameter merken: Wort (z.B. tigeR), Multiplikator (z.b 2), Zusatzzahl 4 und die Sonderzeichen (z.B. #&#) und in der richtigen Reihenfolge zusammensetzen, dann ergibt sich folgendes individuelle Passwort für beispielsweise amazon und ebay:
#&#amazontigeR422
bei ebay:
#&#ebaytigeR418
Da der Multiplikator zunächst einmal keinem Bekannt ist und auch nicht unbedingt aus dem Passwort klar ersichtlich ist, ist dieses Passwort ein relativ sicheres Passwort, dazu noch individuell für jede Seite/Internetdienst und dazu noch aus dem Kopf jederzeit und überall abrufbar. Ihr könnt natürlich auch andere Multiplikatoren und/oder Parameter festlegen.
@Florian
Solche Systeme haben aber auch den Nachteil, dass sie nicht bei allen Diensten funktionieren.
Manche mögen keine Sonderzeichen, bei manchen ist die Maximallänge so kurz, dass es sich nicht ausgeht, wieder andere verlangen eine regelmäßige Änderung des Kennworts.
Weitere haben ein 2-stufiges Anmeldesystem oder schreiben das Kennwort vor.
Wenn man es verwendet kann man für den Dienstnamen auch nur jeden 2. Buchstaben nehmen. Bei Amazon zB mzn
Thalon, da magst Du sicherlich Recht haben. Aber, das System funktioniert derzeit sehr gut mit allen grossen Anbietern (gmail, amazon, microsoft, apple, evernote, Facebook, gmx, web.de, usw.). Wenn Passwörter geändert werden sollen, dann kann in einem Zug gleich alle Anbieter erneuern. Hierzu einfach den Multiplikator und/oder die Sonderzeichen abändern und ab dann nur noch die neuen Parameter merken.
@Florian
Gut, für eine überschaubare Anzahl an Passwörtern (wie sie wohl die meisten haben) ist das das beste System das ich bisher gelesen habe.
Ab einer gewissen Anzahl kommt man IMHO aber nicht mehr um einen PW-Manager herum (ich habe aktuell 197 Einträge für mich privat, beruflich kommen auch noch eine Menge hinzu).
Da fällt mir auf, ich könnte wieder mal etwas ausmisten 🙂
@Thalon: Für die Arbeit einfach anderen Multiplikator und/oder Parameter auswählen. Der Multiplikator kann beispielsweise auch x2-1 oder +3*2.
Die Sonderzeichen kann man von 3 auf 2 oder 1 reduzieren. Das definierte Wort kann auch auf 2 oder 3 Buchstaben reduziert werden. So wäre das Passwort nochmals kürzer und durch einen raffinierten Multiplikator dennoch sehr sicher und für alle Anforderungen passend.
Meine Empfehlung: Schaut auf Eure Handytastatur was ihr mit wenigen Klicks und wenigem Umschalten schnell eintippen könnt. Ändert dazu evtl. die Reihenfolge der Parameter. Dann könnt ihr auch mobil die Passwörter schnell eintippen.