Oder Anticheat-Software?

Ich würde es wirklich in der Reihenfolge machen
1. Wichtige dokumente sichern.
2. Alle Rechner neu aufsetzten
3. Alle Passwörter ändern

Evtl. einen Passwortmanager verwenden ...aber ich persönlich mag lange und lesbare Passwörter mit etwas Leatspeak für die "muss mindestens eine Zahl und eine Sonderzeichen enthalten regel"

[OT]
Posts die Witze, Ironie, Sarkasmus, Roleplay, Devils advocate, usw. enthalten müssen immer mit einer Warnung eingeleitet werden. Beispiel:

Vorsicht: Ich tue nur so als wäre Donald Trump, zwecks humor.
#Draintheswamp

Alle unangekündigten Einsätze von Witz, Ironie, Sarkasmus, Roleplay, Devils advocate, usw. sind als trolling zu werten und wie wir alle aus ARD, ZDF und WDR wissen, sind Trolle Nazis!
[/OT]

Vielleicht ein kleiner Zwischenstand. Ich habe meine Passwörter gecheckt, ob sie in einer der vielen gehackten Datenbanken vorhanden sind. Die Antwort ist Jajn. Tatsächlich sind einige kompromittiert. Allerdings eher die Passwörter, dessen Dienste für mich nicht so ganz wichtig sind. Also Dienste wo man ein Account braucht, aber sich jederzeit einen neuen erstellen kann. Ohne Folgen.

Was mir dabei allerdings aufgefallen ist der E-Mail-Account von meinem Provider - der wurde auch gehackt, weil das Passwort kompromittiert war. Damit wurde kräftig gespamt. Allerdings nutzte ich diese Mail-Adresse nie, weshalb mir das nicht aufgefallen ist. Ich habe diese E-Mail Adresse seit mindestens sechs Jahren nicht genutzt, und es hatte immer noch das original Passwort des Providers. Keine Ahnung wieso, aber es war kompromittiert.

Was einige andere Passwörter angeht, so befinden sich diese in Datenbanken, obwohl sie eigentlich lang und nicht ganz unkompliziert waren. Also kompliziert alleine reicht nicht. Es muss anscheinend ganz kompliziert sein. Lang und absolut keinen Sinn, so dass man sich das nicht merken kann.

Was mir aber immer noch etwas Kopfzerbrechen macht, das ist das Passwort von WEB.de. Das war lang und eigentlich kompliziert.


Nur mal als Beispiel: https://www.gdata.de/passwort-check

Es kommt ja auch durchaus vor, dass die User- und Passwort-Datenbanken von irgendwelchen Diensten geklaut werden. Idealerweise sollten die Passworte dort natürlich mit einer guten Funktion gehasht worden sein, aber es gibt da leider auch schwarze Schafe, die sie weniger gut sichern (MD5 z.B.) oder teilweise sogar im Klartext speichern.

Aber selbst wenn sie nach Stand der Technik sicher gespeichert wurden, kann jemand mit genügend Zeit und Rechenkapazität oder vielleicht auch nur Glück ein Password finden, das zu einem in einer solchen Datenbank gespeicherten Hash passt. Da gibt es inzwischen ja diverse Möglichkeiten. Wenn Du z.B. ein ähnliches Passwort hattest, das geleakt wurde, landet das in einer solchen Tabelle und auf deren Basis kann dann ein Tool versuchen, andere Passworte zu erraten. Beispiel: "baTup!9856bth098534760.82-2024" -> "baTup!9856bth098534760.82-2025"

Das "Problem" ist, dass man aus einem Hash zwar nicht das Passwort zurück berechnen kann, aber es gibt inzwischen ganze Datenbanken, wo mit der Brute Force Methode für jedes Passwort der Hash berechnet wurde. Hat man den Hash, kann man so das passende Passwort ermitteln.

Solche Datenbanken soll es geben, ich weiß nur nicht bis zu wie viel Zeichen es die gibt.

Andersrum ... für jeden Hash mindestens ein Passwort (Rainbow Table),

aber bei einem ordentlichen Salt, bringt das eh nichts.

Liegt es an mir, oder warum wird mein Konto gesperrt, wenn ich drei Fehlversuche für ein Passwort probiere? Warum kann heutzutage immer noch irgendwer irgendwo "Brute force" Angriffe betreiben? Ich verstehe das nicht. Das ist simpelste "Hack" Vermeidung auf niedrigstem Niveau und extrem Effektiv, sogar bei trivialen Passwörtern.

Die meisten Brute-Force-Angriffe dürften ja offline erfolgen - über irgendwelche Leaks, Sicherheitslücken oder sonstwie kommt der Angreifer an die Hashtabelle der Passwörter und kann dann lokal solange ausprobieren, wie er mag. Anschließend braucht man am Server nur einen Versuch.

@Gausi

Ich befürchte, dass du Recht hast. Leider weiß man nicht aus welcher Datenbank. Man kann hier und da prüfen, ob das Passwort kompromittiert ist, aber ich habe bisher nichts gefunden wo angezeigt wird wessen Datenbank das ist, z. B. Facebook oder Google oder ...?

@Sherlock

Du hast Recht. Diese drei Fehlversuche wären sicher, aber auch kompliziert. Bei Onlinebanking ist es so. Drei falsche Eingaben und das Konto ist gesperrt. Es muss dann aufwendig wieder freigeschaltet werden, z. B. telefonisch. Ich denke den Stress wollen sich viele Dienste nicht antun.

Alternative wäre drei falsche Eingaben pro 1/4 Stunde, wie es einige Foren haben.

Wobei, ich habe mal mein Outlook-Konto gecheckt. Anscheinend testet sich bei dem Konto einer durch. Nur wird einmal pro Stunde gehackt. Hier ein Screenshot. Anscheinend hat es einer am Anfang des Monats auf das Konto angesehen.

Ich verwende Norton. Das beinhaltet das Dark Web Monitoring, wo mir angezeigt wird, wo welche meiner Daten geleakt wurden. Den entsprechenden Dienst von Google habe ich ja ganz oben schon erwähnt. Ich bekomme auch Warnungen, wenn ich mich auf der Seite einlogge, wenn ein Passwort kompromittiert wurde. Das ist mir bisher nur einmal passiert.

Beide Dienste zeigen auch an, wo das Passwort kompromittiert wurde. Es kann natürlich auch sein, dass dort nur etwas steht wie Passwortliste im Darkweb. Solche zusammengesetzten Listen stammen aus verschiedenen Quellen. Oft steht aber auch konkret dabei, welcher Leak verantwortlich war. Norton zeigt z.B. auch ganz konkret an, welches Passwort kompromittiert wurde. (Bei mir waren das bisher bis auf einmal nur alte und unsichere, die ich gar nicht mehr verwende.)