Datenpanne?

[littledaisy]

Hallo, ich habe die Nachricht erhalten, dass mein Passwort in einer Datenpanne gefunden wurde und mir wurde geraten, dies daher zu ändern.

Was für eine Datenpanne? 

Habt ihr auch die Meldung bekommen?

 

[Lehrling]

bist du ganz sicher daß das kein Fake ist um an dein Paßwort zu kommen? Derzeit muß man supervorsichtig sein.

 

[Gundel Gaukeley]

Wenn du unsicher bist, ändere dein Passwort, allerdings besser nicht über irgendwelche Links, die in der Datenpannen-Meldung vorhanden sind, sondern direkt über die HS24-Seite. 

[Scrunchy]

Verwendest du einen Passwortmanager, wenn ja welchen? Die Meldung kam von diesem Passwortmanager?

 

Manche PWManager prüfen automatisiert gegen HIBP ob Username/Passwort in Leaks drinne ist. Wie die Auswirkungen sind, kommt auf das Passwortpattern an: 

A) Du hast als Username "meineemailadresse@provider.de" und als Passwort "meingeheimespasswort" und das verwendest du sowohl bei dem Emailprovider als auch hier als auch bei Amazon etc. 

B) Du hast als Username "meineemailadresse@provider.de" und als Passwort bei HS24 "meingeheimespasswortbeiHS24" während du bei Email "meingeheimespasswortbeiEmailprovider" und bei Amazon "meingeheimespasswortbeiAmazon" verwendest. Ein Passwortmanager regelt das für dich und generiert überall verschiedene Passwörter, 

 

Steht die Email bei HIBP, weißt du also nicht immer *, welche Usernamen/Passwort Kombination geleaked wurde. Wurde irgendwo dein "meingeheimespasswortbeiEmailprovider" abgezogen, kann man sich damit nicht bei HS24 einloggen. 

 

* immer: Passwörter werden, wenn man es anständig macht, salted hashed. Pfuscht der Provider, wird nur gehashed und dann kan man natürlich prüfen, ob DIESES Passwort öffentlich ist. Das macht es gefährlich. 

 

Also ja, Passwort ändern macht Sinn - nur sollte es in Option B der Passwortmanager sein in dem man das ändert. 

[littledaisy]

  Am 27.2.2025 um 08:36 schrieb Lehrling:

bist du ganz sicher daß das kein Fake ist um an dein Paßwort zu kommen? Derzeit muß man supervorsichtig sein.

 

Aufklappen  

Das war diese Einstellungenfunktion "Passwortmanager", ich denke die ist von Google, ich habe gerade gesehen, dass da aktiviert war, dass man sich automatisch anmelden kann und dazu die Speicherung von Passwörtern angeboten wird. Hab ich nie gemacht und in dieser App jetzt auch deaktiviert. 

[littledaisy]

  Am 27.2.2025 um 08:37 schrieb Gundel Gaukeley:

Wenn du unsicher bist, ändere dein Passwort, allerdings besser nicht über irgendwelche Links, die in der Datenpannen-Meldung vorhanden sind, sondern direkt über die HS24-Seite. 

Aufklappen  

Hab ich als Erstes direkt hier in meinen Einstellungen geändert. 

[Scrunchy]

Wichtig ist, dass man überall unterschiedliche Passwörter hat. Wer das nicht aus dem Kopf kann, für den ist ein Passwortmanager sehr sinnvoll. Bitwarden, 1password, Dashlane, Nordpass und Keeper Security testen automatisch gegen HIBP. 

[littledaisy]

@Scrunchy 

Danke für deine Mühe. 

Ich versteh nicht so ganz alles von dem, was du geschrieben hast, aber ich bin altmodisch und halte meine Passwörter nicht in Apps fest.

Eigentlich kennt dieser  Passwortmanager meine Passwörter also überhaupt nicht. In den letzten Tagen hat er mich aber immer gefragt, ob mein Passwort gespeichert werden soll, penetrant, ich habe nie zugestimmt, aber es gab keine "Nein, nicht speichern." -Auswahl, was ich ziemlich doof finde. 

Das Passwort hier für diese Seite habe ich nur hier für diese Seite gehabt, nirgendwo anders. 

 

[Scrunchy]

Stell dir vor, du möchtest ein Geheimrezept aufschreiben, aber niemand soll es lesen können – nicht einmal du selbst. Statt das Rezept einfach aufzuschreiben, verschlüsselst du es mit einer speziellen Methode. Genau das passiert mit Passwörtern in Computersystemen: Sie werden nicht direkt gespeichert, sondern in eine Art "Geheimsprache" umgewandelt.

 

Wie funktioniert das mit Salt und Hash?

Wenn du ein Passwort erstellst, wird es mit einer sogenannten Hash-Funktion umgewandelt.

Diese Funktion erzeugt aus deinem Passwort eine lange Zeichenkette – den Hash.

Beispiel: Aus "MeinSicheresPasswort123" wird vielleicht "a7f8d9e2c4b6…"

Wichtig: Ein Hash ist nicht umkehrbar – man kann daraus nicht wieder das ursprüngliche Passwort ableiten.

Salt – Einzigartiges Gewürz für mehr Sicherheit

Wenn viele Leute das gleiche Passwort haben, hätten sie auch denselben Hash. Das wäre ein Problem, weil Angreifer dann leicht erkennen könnten, welche Benutzer dasselbe Passwort verwenden.

Deshalb wird ein Salt (engl. "Salz") hinzugefügt – eine zufällige, individuelle Zusatzinformation für jedes Passwort.

Beispiel: Statt nur "MeinSicheresPasswort123" zu hashen, wird "Xy9@MeinSicheresPasswort123" genommen.

Das sorgt dafür, dass zwei Personen mit demselben Passwort trotzdem unterschiedliche Hash-Werte bekommen.

 

Was bedeutet das bei einem Datenleck?

Falls eine Hacker-Gruppe eine Datenbank mit gehashten Passwörtern stiehlt, kann sie die Passwörter nicht einfach lesen.

Ohne Salt könnten Angreifer eine Liste mit Millionen von Hashes vorbereiten (sogenannte Rainbow Tables) und damit bekannte Passwörter leicht knacken.

Dank Salt müsste ein Angreifer aber für jedes einzelne Passwort den Hash einzeln berechnen, was das Knacken extrem verlangsamt.

Moderne Systeme nutzen zusätzlich langsame Hash-Methoden (wie bcrypt oder Argon2), die das Knacken noch schwieriger machen.

 

Salt und Hash sorgen dafür, dass gestohlene Passwort-Datenbanken für Angreifer nicht sofort nutzbar sind. Trotzdem sollte man ein kompromittiertes Passwort sofort ändern, denn mit genug Rechenleistung könnten Hacker es irgendwann entschlüsseln – besonders wenn es schwach ist.

[littledaisy]

@Scrunchy Aha. Danke für den interessanten Exkurs in Passwortverschlüsselungssysteme. 👩‍🎓

Wie gesagt, geändert is'. 🙂

[Scrunchy]

Elementar ist eben, überall verschiedene Passwörter zu nutzen. Angenommen, du meldest dich bei "TanteTrudesSchnittmuster" an und nutzt dafür ein überall genutztes Standardpasswort "meingeheimespasswort". Geht Tante Trude schlampig vor und es wird die Datenbank geklaut, kann man sich damit auch bei deinem Emailprovider einloggen. Legst du bei Tante Trude "meingeheimespasswortbeiTanteTrude" an, kann man sich dann eben NICHT bei Email einloggen denn dort ist das Passwort "meingeheimespasswortbeiEmailprovider"

 

Das alles macht ein Passwortmanager automatisch. 

[lea]

 

Leider wissen die Identity Leak Checker normalerweise nicht, bei welcher Webseite die Daten geklaut wurden; man erfährt nur, dass

"meineemailadresse" dabei ist.

Deshalb ist es die Pest, dass die meisten Plattformen als User-Id eine Emailadresse verlangen - theoretisch müsste man im Alarmfall bei jeder einzelnen  das Passwort ändern, weil man ja nicht weiss, welche es ist.

[littledaisy]

  Am 27.2.2025 um 09:45 schrieb lea:

 

theoretisch müsste man im Alarmfall bei jeder einzelnen  das Passwort ändern, weil man ja nicht weiss, welche es ist

Aufklappen  

Ok, aber das in meinem Fall wohl nicht, denn es wurde mir ja zurückgemeldet, als ich mich hier einloggen wollte, dass das eingegebene Passwort, welches ich ja nur hier bei hobbyschneiderin24.net verwendet hatte, in einer Datenpanne gefunden wurde. Also habe ich hier das Passwort geändert.

[Bineffm]

Ähm nein - da wird NICHT kontrolliert, ob Dein verwendetes Passwort irgendwo in einer Datenbank mit "geklauten Daten " drinsteht - in diesen Datenbanken finden sich Benutzer-IDs, die bei irgendeinem Datenklau entwendet wurden (Netzseiten-Betreiber sind gesetzlich verpflichtet, solche Vorfälle zu melden....). Und dagegen wird geprüft und gewarnt - und wenn Du die gleiche Benutzer-ID (also zum Beispiel Deine Email-Adresse) in 25 Webseiten benutzt hast - dann wurde mindestens eine davon irgendwann mal gehackt und dabei potentiell Dein Benutzer plus Kennwort entwendet. Das muss eben NICHT zwangsläufig die Seite hier gewesen sein...... Und weil Du nicht wissen kannst, welche Seite es war - müßtest Du eigentlich auf allen 25 Seiten Dein Kennwort ändern (und natürlich auf allen 25 Seiten unterschiedliche Kennwörter verwenden - weshalb man dann einen PasswortManager verwendet).

 

Sabine

[littledaisy]

  Am 27.2.2025 um 12:05 schrieb Bineffm:

Ähm nein - da wird NICHT kontrolliert, ob Dein verwendetes Passwort irgendwo in einer Datenbank mit "geklauten Daten " drinsteht - in diesen Datenbanken finden sich Benutzer-IDs, die bei irgendeinem Datenklau entwendet wurden

Aufklappen  

Ok, wenn du das so genau weißt, ist das ja super, danke, aber könntest du mir erklären, weshalb dann zurückgemeldet wird, als ich mich hier einloggen wollte, dass das eingegebene Passwort, welches ich ja nur hier bei hobbyschneiderin24.net verwendet hatte, und nicht die verwendete Email-Adresse, in einer Datenpanne gefunden wurde?

Und weshalb sagt mir dann haveibeenpwned.com dass meine verwendete Email-Adresse nicht von einer Datenpanne betroffen ist?

Ich habe gelesen: "Haveibeenpwned.com sammelt alle E-Mail Adressen, die bei Datenpannen in der Vergangenheit öffentlich geworden sind." Oder ist das nicht geeignet, um herauszufinden, ob tatsächlich die eigene Email-Adresse von einem Datenleck betroffen war? (Gibt es eine Möglichkeit, das herauszufinden? Da ja gemeldet werden muss?)

Ich habe diese Meldung ausschließlich bekommen, als ich mich hier eingeloggt habe. Auf anderen Systemen und anderen Seiten, wo ich die gleiche Email-Adresse benutzt habe, habe ich keine solche Meldung bekommen.

Bearbeitet 27. Februar von littledaisy

[Scrunchy]

Der Abgleich auf Leaks kann auf zwei Arten erfolgen:

 

Nach der E-Mail-Adresse oder dem Benutzernamen

Viele Passwortmanager (wie 1Password, Bitwarden, Dashlane) prüfen, ob die E-Mail-Adresse oder der Benutzername in bekannten Datenlecks aufgetaucht ist.

Dabei werden Dienste wie "Have I Been Pwned" (HIBP) genutzt, die große Sammlungen von gestohlenen Daten enthalten.

Wenn deine E-Mail-Adresse in einem Leak auftaucht, bedeutet das aber nicht unbedingt, dass dein Passwort kompromittiert ist – nur, dass deine Anmeldedaten irgendwo erfasst wurden.

 

Nach dem Passwort-Hash (k-Anonymitäts-Prinzip)

Einige Dienste prüfen direkt die Passwörter, indem sie eine gehashte Version des Passworts an eine Datenbank senden.

Hier wird oft das k-Anonymitäts-Prinzip genutzt:

Dein Passwort wird zuerst gehasht (z. B. mit SHA-1).

Nur die ersten 5 Zeichen des Hashs werden an die Datenbank gesendet.

Die Datenbank gibt dann eine Liste mit allen Hashes zurück, die mit diesen 5 Zeichen beginnen.

Dein Passwortmanager überprüft lokal, ob dein vollständiger Hash dabei ist.

So wird sichergestellt, dass dein Passwort selbst niemals vollständig übertragen wird.