Opera Sync: Server kompromittiert, Nutzer sollen Passwörter ändern
Solltet ihr die Synchronisation von Opera nutzen, dann könnte es sein, dass ihr eine E-Mail des Anbieters bekommt, dass ihr doch euer Passwort ändern sollt. Grund hierfür ist ein Anfang der Woche festgestellter Angriff auf die Opera Server in Bezug auf das Synchronisations-System. Man werte gerade den Angriff aus und forscht nach, man geht aber davon aus, dass manche Daten – Passwörter und Account-Informationen – kompromittiert wurden. Die Passwörter, sofern synchronisiert, werden laut Opera nur verschlüsselt (hashed & salted) gespeichert, dennoch habe man alle Passwörter der Nutzer für das Opera Sync-System zurückgesetzt. Doch nicht nur das, man fordert die Nutzer auf, eventuell auch andere Passwörter bei anderen Diensten zu ändern.
[color-box color=“red“ rounded=“1″]We have also sent emails to all Opera sync users to inform them about the incident and ask them to change the password for their Opera sync accounts. In an abundance of caution, we have encouraged users to also reset any passwords to third party sites they may have synchronized with the service.
[/color-box]Laut Opera nutzen 1,7 Millionen Nutzer Opera Sync. Ein neues Passwort für Opera Sync kann hier angefordert werden.
Mein Opera Konto hab ich letztens erst gelöscht 🙂 Glück gehabt!
Wie sicher sind eigentlich die synchronisierten Passwörter in anderen Browsern (z. B. Chrome oder Firefox)?
Habe mein Opera Konto jetzt auch erst mal gelöscht, besser spät als nie.. 😉 bin schon länger auf Chrome umgestiegen, Passwort-sync funktioniert um einiges besser und zuverlässiger, gerade mobil am iPhone.
Spannenderdweise bereits 20 fehlgeschlagene Logins mit meiner E-Mailadresse, welche ich für Opera verwende.
Bei Chrome kann man ja eine eigene Passphrase für den die verschüsselung der synchronisierten Daten benutzen. Dementsprechend denke ich das die Sicherheit dadurch höher ist.
Ich bekam so ne Mail, nutze nur noch unter Marshmallow ‚Opera beta‘ und seh dort keine Sync Funktion. Weiß jemand dazu was?
@bat: Wer keine Sync-Funktion nutzt, ist nicht betroffen.
Die einzige Aufforderung die ich die letzten 2 Tage bekam war mein Passwort bei Dropbox zu ändern wenn nicht schon seit 2012 geschehen. Offensichtlich ist da auch was verschwunden worden.
@holgi: http://stadt-bremerhaven.de/dropbox-setzt-passwoerter-zurueck-die-seit-2012-nicht-geaendert-wurden/
@cashy: Danke!!! War wohl noch nicht ganz wach. Inzwischen habe ich schon 4 Kaffee getrunken. Jetzt gehts wieder (lol) 😉
@caschy:
Danke!
Hab mich aber falsch ausgedrückt: Auf dem PC und den Notebooks hab ich jeweils auch Opera portable.
Sync wende ich aber auch dort ‚wohl‘ nicht an.
Ich denke deshalb, ich könnte doch betroffen sein – denn schließlich bekam ich ne Mail und hab einen alten Opera Account. Ziemlich alte Mailadresse, die ich aber für Logins durchaus nutze und sehr altes 7-stelliges Pw, das ‚wohl‘ auf keinen sicherheitsrelevanten Seiten eingesetzt wird.
Dieses ‚wohl‘ werde ich nächste Woche prüfen und ggf Pws und Logins anderer Seiten ändern.
Die bei Opera seit 6 Jahren verwendete MAILADRESSE ist nach meinem Pw-Tresor bei 18 Webseiten hinterlegt (darunter nur PayPal + ebayKleinanzeigen sicherheitsrelevant – falls überhaupt), das Pw bei 56 (NICHT sicherheitsrelevanten) Seiten.
Muss ich was tun?
@bat: Ja. Ich würde zumendiest bei den sicherheitsrelevanten Seiten das PW ändern. Sollte man sowieso öfter, doch leider ist man dazu immer zu faul, bis einen irgendwelche Alarm-Infos erreichen.
Was wichtig ist mindesten einmal im Jahr ändern, auch wenns gerade nervt.
@David
Die Passwörter bei Chrome und Firefox sind sicher, jedenfalls bis jemandem dort der Datendiebstahl gelingt. Es wird endlich Zeit, dass vorhandene Anmeldelösungen, wo das Passwort auf dem Fremdserver liegt, ausgemustert werden.
@Wolfgang Denda:
Sie die Daten bei FF + Chrome sicherer als bei LastPass?
@Holgi: Abgesehen von der Logik, Passworte jährlich zu ändern, versteh ich deinen Rat nicht wirklich, da mein eventuell erhacktes Pw bei sicherheitsrelevanten Seiten NICHT eingesetzt ist.
Was die Mailadressen angeht, kann man sie ja schlecht ändern. Vielleicht sollte ich überall eine nehmen, die ich AUSSCHLIEßLICH für Logins nehme – dann würde mir auffallen, wenn sie von jemandem missbraucht wird. Ebenso könnte ich’s mit Usernamen machen. Was sagen die Sicherheitsexperten (Caschy?)?
Ganz praktisch für Logins sind meiner Meinung nach die Wegwerfadressen von Yahoo. Du hast für jede Seite eine extra Email Adresse, da können Sie ewig probieren sich damit woanders einzuloggen.
@Me:
Sind die permanent gültig? Werden automatisch weitergeleitet (zB zur Standard Mailadresse zB gmail)?
Ich überlege, eine gesonderte gmail-Adresse anzulegen, die ich im Handy neben der hauptsächlichen empfange. Dann wirkt auch Googles SPAM Filter.
Ja, du hast ein Kürzel und die Emails kannst du entweder im Posteingang, Spam oder sonstwo einsortieren lassen.
Die sind dann immer nach dem Schema: kürzel-@yahoo.de
Also einfach zu merken, bspw kürzel-netflix@yahoo.de.
Solange alles in Ordnung ist, lasse ich sie ins Postfach, alte Adresse die Spam bekommen gehen direkt in den Spamordner, habe da mittlerweile einige Hundert.
Hat auch den angenehmen Effekt, das man genau weiß wer die Adressen weitergegeben oder verloren hat.
Zum E-Mail-Trick: http://stadt-bremerhaven.de/google-mail-unendliche-adressen/
@Me:
Dann müsste ich mir eine Yahoo Mailadresse zulegen https://de.hilfe.yahoo.com/kb/SLN16026.html und alles auf mein Gmail Konto weiterleiten, um nicht ne weitere App starten zu müssen.
@Caschy:
Deinen Trick kannte ich – vermutlich durch dich – aber ich erkenne nicht, wie mir das bei 75 Login-Seiten (LastPass: 250 Einträge) hilft, FALLS es ein sinnvolles/notwendiges Anliegen ist, für Logins regelmäßig die Mailadresse bzw/und den Benutzernamen zu verschleiern. kkanzler schrieb im von dir zitierten Beitrag: „Um seine eigentliche Emailadresse zu verschleiern (aus welchen Gründen auch immer), taugt das allerdings gar nicht. Das +-Zeichen und alles was danach kommt rauszufiltern und so die originale Adresse zu erhalten, dürfte für Adressensammler wohl mittlerweile zu den gängigen Vorgehensweisen gehören. Bei Yahoo ist diese Geschichte um einiges besser gelöst, da die zusätzlichen Adressen nur aus einem Teil der Originaladresse plus einem Zusatz bestehen.“ http://stadt-bremerhaven.de/google-mail-unendliche-adressen/#comment-170678