HPI Identity Leak Checker: 2,2 Milliarden E-Mail-Adressen mit Passwörtern aus jüngsten Collection-Datenleaks eingepflegt

Wir berichteten hier neulich über eine riesige Sammlung von Nutzernamen und Passwörtern, die gefunden wurde. Die Sammlung soll schon etwas älter sein, sie eignet sich aber immer noch wunderbar für Angreifer, den automatisierten Versuch zu unternehmen, Nutzerkonten zu kapern. Während Collection #1 zuerst bei Troy Hunt und Have i been pwnd zu finden war, gesellt sich nun auch das deutsche Hasso-Plattner-Institut hinzu. Da kann man bekanntlich auch einen Online-Sicherheitscheck durchführen.

„2,2 Milliarden E-Mail-Adressen und die dazugehörigen Passwörter sind allein durch die unter dem Namen „Collection #1-#5″ bekannt gewordenen Datensammlungen veröffentlicht worden“, so Professor Christoph Meinel vomHasso-Plattner-Institut. Bei den Sammlungen handele es sich um eine neue Zusammenstellung teils bereits bekannter Leaks. „All diese Daten wurden in den Identity Leak Checker inzwischen vollständig eingepflegt“, so Meinel.

Grundsätzliche Empfehlung unsererseits? Eigentlich die gleiche wie immer: Sofern ihr einen Passwort-Manager mit Integration von Have I Been Pwned nutzt, dann schaut rein. Sorgt dafür, dass ihr einzigartige Passwörter nutzt, die ihr eben nicht bei x Diensten einsetzt. Fast jeder Passwort-Manager generiert euch sichere Passwörter und sichert diese auch – selbst der Browser. Nutzt, wo immer möglich, die Zwei-Faktor-Authentisierung (2FA). Da gibt es zahlreiche Apps, die euch das Leben leichter machen, bzw. können Passwort-Manager schon selber damit umgehen und kopieren euch die Zahlencodes automatisiert in die Zwischenablage.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

28 Kommentare

  1. Keepass plugin für Have I Been pwned vorgestellt.
    https://inventorfaq.blogspot.com/2019/01/sichere-einmalige-passworter-verwenden.html
    Nützlich um seine Usernamen und Passwörter gegen die HIBP DB zu prüfen.

    • Und hast du schon in den Quellcode von diesem Plugin reingeschaut?
      Und dann wundern sie sich, warum ihre Email-Adressen mit Passwörtern später im Netz auftauchen.

      • Ja, es werden gekürzte Hashwerte der Passwörter abgeglichen und keine Klartextkennwörter. Aber ich nehme an, du hast dir nicht mal die Mühe gemacht, überhaupt mal die Githubseite zu öffnen. Das Problem ist, daß Leute ohne Ahnung ihre unqualifizierte Meinung kund tun ohne auch nur mal 20 Minuten investieren, bevor sie ihre Weisheiten unters Volk bringen.

        • Ja, ich habe keine Ahnung vom Programmieren. Und deswegen installiere ich auch solche Plugins nicht. Es geht doch um sehr sensiblen Daten.

          KeePass sollte es offiziell in sein Programm integrieren. So schwer dürfte es nicht sein, wenn es schon mehrere inoffizielle Plugins dafür gibt.

          • Woher kommt dein Vertrauen zu KeePass?

            • Im Gegensatz zu diesem Plugin wird KeePass von deutlich mehr Leuten, die eine Ahnung haben, verwendet. KeePass ist sehr bekannt. Der Aufschrei würde ziemlich groß sein, wenn da was nicht stimmen würde. Und ich glaube, es wird sogar Audit durchgeführt.

              Die Chance, dass einer etwas falsches bei diesem Plugin findet, ist deutlich geringer. Und wenn schon, dann wird keine einzige bekannte Internetseite etwas darüber schreiben. Also bekommt das nicht mal mit …

          • Wenn du keine Ahnung von Programmieren hast, stelle doch nicht einfach so eine haltlose Behauptung auf. Relevant ist HaveIBeenPwned/BreachCheckers/HaveIBeenPwnedPassword/HaveIBeenPwnedPasswordChecker.cs Zeile 91 und 92. Die verstehst du sicher auch ohne Programmierkenntnisse. Im übrigen werden zu keinem Zeitpunkt E-Mail und Passwort zusammen übertragen.

            Keepass ist nicht grundsätzlich vertrauenswürdiger als ein bekanntes Plugin. Wenn dir das Plugin mit diesem Argument nicht zusagt, trifft das für Keepass genau so zu.

  2. Sind jetzt alle 5 Collections raus oder nur noch die erste?

  3. Bei dem Screenshot fragt man sich, was sich wohl in den anderen Ordnern verbirgt…

  4. Ich traue gerade diesen Seiten nicht. Für mich sind das die größten Schwachstellen. Jeder trägt seine Emailadresse ein um gerade ne schöne Sammlung an Emailadressen zu haben um sie weiterzuverkaufen.

    • Bestimmt, zumal eine Emailadresse ja Geheimwissen ist. Es geht darum, zu prüfen, ob ein Account geleakt wurde, zu dem eine bestimmte Emailadresse gehört,damit du ggf. darauf reagieren kannst.

      • In der Tat betrachte ich die ein oder andere Emailadresse, welche aus Gründen der Risikominimierung außer dem Mailanbieter, dem Unternehmen, dessen Angebot ich exklusiv mit dieser Emailadresse nutze, und selbstverständlich mir niemanden bekannt ist, als Geheimwissen.
        Einigen wir uns drauf, dass du deine und Menschen wie Steffen und ich unsere Sichtweisen jeweils behalten dürfen?

        • Solange man nicht haltlose lügen verbreitet ist das halt auch okay. Das hat Steffen halt gemacht.

        • Du darfst denken was du willst, das interessiert mich nicht. Aber Aussagen wie „Für mich sind das die größten Schwachstellen“ ist schlicht dummes Zeug und verunsichert Leute, die vielleicht über Seiten wie https://sec.hpi.de/ilc/search?lang=de oder https://haveibeenpwned.com/ überhaupt mal mit bekommen würden, da sie ein Problem haben und dann lieber Blödsinn wie „ne schöne Sammlung an Emailadressen zu haben um sie weiterzuverkaufen“ eher für bare Münze nehmen, als die Dienste zu nutzen. Du kannst peterC+Facebook@gmail.com gerne weiter geheim halten, wenn dir das ein Gefühl der Sicherheit gibt nur ist das nicht mehr relevant, wenn diese Emailadresse geleakt wird und so als „einmaliges Identifizierungsinstrument“ komplett wertlos ist.

        • GooglePayFan says:

          Dann nutzt du aber hoffentlich auch PGP mit den Mailadressen? Ansonsten finde ich es recht merkwürdig, dass man sich um die Vertraulichkeit des Headers einer Mail mehr Gedanken macht, als über den Inhalt…

    • Sehe ich auch so. Würde dort nix eingeben.

    • Angesichts der Vielzahl an Hacks, die Troy Hunt inzwischen gesammelt hat, ist die Wahrscheinlichkeit groß, dass er deine Mailadresse schon hat. Bei mir wars Dropbox und LinkedIn

  5. Weiss jemand wie es um die Sicherheit der gespeicherten Zugangsdaten innerhalb eines Browsers z.B. bestellt ist?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.