Passwörter gehackt, was tun?

Hallo, heute bekam ich 2 emails von verschiedenen Hackern, die behaupten ein bestimmtes, gespeichertes Passwort von mir, das ich an ca. 20 Stellen benütze gehackt zu haben. Sie beiden nennen das (richtige) Passwort von mir und fordern natürlich Bezahlungen mit Bitcoin (was sonst!)
Wie kann ich mein gespeichertes Passwort ändern? Bei den Settings habe ich die Liste der gespeicherten Passwörter angeschaut und mir die entsprechenden Seiten herauskopiert. Muß ich jetzt jede Seite anrufen und dort das Passwort ändern? Oder genügt es die Änderung auf der Liste zu machen?
Danke im Voraus für die Hilfe
T.S.

Ja

MfG
duck313

2 Like

Und bitte den Rechner neu aufsetzen, denn ich befürchte, hier hat sich ganz was Böses eingenistet.

Und bevor man überall auf Buttons, Links, usw. draufklickt, vorher überlegen, warum man jetzt gerade da draufklicken soll oder ob es eine andere Möglichkeit gibt, bei meinem Bankkonto nachzusehen, als in dem in schlechtem (in letzter Zeit immer besseren) Deutsch verfassten Mail, das angeblich von meiner Bank kam.

Nein. Aufrufen. Und in den jeweiligen kontoeinstellungen das Passwort ändern. Und diesmal benutzt du für jede Seite ein anderes Passwort. Wenn du Firefox verwendest, wirst du vermutlich sogar automatisch danach gefragt, ob du das geänderte Passwort übernehmen willst. Ansonsten musst du es dir natürlich merken (Zettel, Groß-und Kleinschreibung beachten, nochmal kontrollieren) und bei der nächsten Anmeldung auf der Seite und der Eingabe des neuen Passwortes solltest du dann von deinem Browser gefragt werden, ob du das neue Passwort speichern willst.

Und wenn du damit fertig bist, löscht du die Mails der beiden angeblichen Hacker, die von dir exakt gar nichts wissen (und schon gar nicht dein Passwort). Das ist betrügerischer Spam, weiter nichts. Das Passwort wird nämlich beim Betreiber der Seiten gar nicht gespeichert, wenn der sich an die bestehenden Gesetze hält. Es gibt dort nur eine verschlüsselte Version davon, aus der sich das ursprüngliche Passwort nur mit unglaublichem Aufwand wieder finden lässt.

Wie kommst du darauf?

Also ein lokal gespeichertes Password, ergo: System komprimiert.

Oder eine veraltete Software.

Ich glaube nicht, das hier jemand gezielt auf diese eine Person, also dem UT, einen Angriff gestartet hat.

Passt das zusammen?

Grüße
Dirk

2 Like

Hallo,
falls jemand das richtige Passwort fuer eine Seite haben sollte (zB fuer den Zugang zu wer weiss was de) dann kann er das Passwort eigenstaendig aendern. Danach hat nur der Hacker das richtige Passwort, der eigentliche User nicht mehr. Voraussetzung zur Passwort-Aenderung ist meist eine Mail, die ans Email-Postfach geht, und (von) dort bestaetigt werden muss. Deshalb:
zuerst das Email-Postfach- Passwort aendern. In ein anderes, am besten in ein sicheres.
Gruss Helmut

Es könnte auch sein, dass eine der 20 Seiten, auf denen dieses eine Passwort benutzt wurde, gehackt wurde.

1 Like

Nein. Beim nächsten Versuch lese ich vielleicht wieder genauer.

2 Like

@anon43214967:
Das Passwort wird nämlich beim Betreiber der Seiten gar nicht gespeichert, wenn der sich an die bestehenden Gesetze hält.

In welchem Gesetz steht bitte diese Anforderung?

@anon43214967:
Es gibt dort nur eine verschlüsselte Version davon, aus der sich das ursprüngliche Passwort nur mit unglaublichem Aufwand wieder finden lässt.

Die Hoffnung sollte man haben (spiegelt aber definitiv nicht die Realität wieder.
Ferner sollte das Passwort nicht verschlüsselt sein, denn dann könnte es entschlüsselt werden, sondern gehasht werden. Und da sind auch diverse Algorithmen angreifbar.

1 Like

Durch eine Glaskugel zu sagen, was in Deinem ( @Somogyi ) Fall zu tun ist, ist schwierig, da keiner weissagen kann, wie man an Dein Passwort gekommen ist. Ich nehme mal den schlimmsten Fall an, dann wäre folgendes zu tun:

  • Rechner neu installieren (Betriebssystem etc.), dabei vorher die Festplatte sauber löschen (private Daten sichern bitte nicht vergessen); wenn Du die Daten sicherst, dann lokal und dabei den Rechner nicht am Internet hängen lassen.
  • Bei allen Seiten, bei denen Du das Passwort verwendest, das Passwort zu einem eindeutigen Passwort ändern, das nur für die Seite verwendet wird. Hierzu ein komplexes Passwort verwenden, das aus Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen besteht und mindestens 12 Zeichen lang ist. Eine Eselsbrücke ist z.B. ein Satz von dem man nur die Anfangsbuchstaben nimmt (z.B. „Passwort? Warum brauche ich ein Passwort für diese 1 Webseite?“ = P?WbiePfd1W?)
  • Sollte Dir das mit dem merken zu schwierig sein, dann gibt es Passwort Safes (z.B. Keepass2). Diese speichern Dir Deine Passwörter und generieren Dir auch sichere Passwörter. Einzig und alleine das Zugangspasswort musst Du Dir merken. Das sollte komplex und sicher sein. Die Datei kann man sich z.B. auch aufs Handy synchronisieren.
  • Bei den Webseiten, bei denen Du das Passwort änderst, solltest Du bitte alle anderen Profilangaben auch prüfen, insbesondere: Handynummer, E-Mailadresse, da diese beiden für Passwort-Recovery etc. verwendet werden.
  • Du solltest bei der Polizei eine Anzeige gegen Unbekannt aufgeben.
1 Like

Einmal laut gelacht…

Ungenügend sicher gespeicherte Passwörter sind ein Verstoß gegen Artikel 32 DS-GVO und können auch mit Bußgeldern geahndet[8] werden.

sagt zum Beispiel: https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/

Da kannst du einen drauf lassen, dass das die Realität ist, wenn sich die jeweiligen Admins an die Gesetze halten. Ja, nicht alle tun das. Es gibt halt immer wieder mal Idioten.

Übrigens hält sich dein PC auch dran. Kannst ja mal nach deinem Windows- oder Linux- oder sonstigen Passwort (Browser) auf der Platte suchen. Du wirst nichts finden.

Hallo @anon43214967,
wenn Du schon zitierst, dann sollte bitte der Kontext passen. In §32 DSGVO steht zwar das von Dir zitierte Zitat, jedoch handelt der §32 von der „Sicherheit der Verarbeitung“. Und am Ende geht es in der DSGVO um personenbezogene Daten. Ein Passwort ist sicherlich ein schützenswertes Datum, jedoch kein personenbezogenes Datum. Erst in Kombination mit anderen Daten kann es einen gewissen Personenbezug bekommen. Die Strafe bezieht sich immer auf den Zugriff von personenbezogenen Daten und nicht auf das Passwort.

Und selbst in den Anmerkungen des baden-württembergischen Datenschutzes steht nicht, was sicher ist. Sicher kann vieles sein. Es wird weder darauf eingegangen, ob ein Hashing des Passwortes sicher ist oder eine moderne Verschlüsselung. Beides können Verfahren sein, um ein Passwort sicher für den Servicedienstleister zu speichern. Sicher ist es am Ende aber nur, wenn die komplette Kette von Eingabe bis Speicherung / Datentransport etc. sicher ist.

Übrigens hält sich dein PC auch dran. Kannst ja mal nach deinem Windows- oder Linux- oder sonstigen Passwort (Browser) auf der Platte suchen. Du wirst nichts finden.

Was ist das denn für ein Stuss? Natürlich werde ich mein Passwort finden, nur nicht sofort im Klartext. Aber je nach Verfahren besteht durchaus die Möglichkeit, wenn man Ort und Verfahren kennt, das Passwort im Klartext zu bekommen. Schon mal was von „John *** ***er“ gehört?
Eine absolute Sicherheit gibt es nicht. Und grundsätzlich gibt es keine Sicherheit im Internet. Aus diesem Grund sollte ein Passwort nur an einer Stelle verwendet werden. Benötige ich an anderer Stelle ein Passwort, so muss dies ein Neues sein. Wenn das Passwort nun genügend komplex ist, dann sollte es (bei den korrekt verwendeten Verfahren - im Falle von Passwörter immer Hashing-Verfahren) ausreichend lange nicht knackbar sein. Und was noch entscheidender ist, Passwörter sollten immer mal wieder gewechselt werden. Und zwar ohne Ausnahme.
Aus zwei Gründen …
1.) damit für den Falle des Ausspähens eines Passworts ein Dritter nach der Änderung keinen Zugriff mehr auf die Ressource (Webseite, Dienst etc.) hat
2.) wenn Passwörter bei Dienstanbietern sicher gespeichert werden (Hashing-Verfahren) und der Dienstanbieter das Verfahren ändert, die Passwörter durch die Neueingabe mit dem neuen Verfahren sicher gespeichert werden. Denn mit Hashing-Verfahren gespeicherte Verfahren kann man nicht auf ein anderes Verfahren „transformieren“. Und im Normalfall stellen gute Anbieter immer eine Rückwärtskompatibilität bereit.

Ein Passwort ist nicht personenbezogen? Das halte ich für eine mutige Interpretation. Mit dem Passwort wird aber in der Regel der Schutz von personenbezogenen Daten (Mails, Bestellungen im Onlineverkauf, Zugang zu sozialen Netzwerken) gesichert und diese Sicherung muss dem Stand der Technik entsprechen.

Ich denke, Du wirst niemanden ernstzunehmenden finden, der im Klartext gespeicherte Passwörter als den Stand der Technik ansieht (und nebenbei: das BSI sollte in Deutschland eine Referenz sein, die man nicht ohne ein Wimpernzucken wegwischen sollte).

Das wird Dir auch niemand im Format eines längeren Twitter-Posts sagen können und absolute Sicherheit gibt es nicht. Aber wo Du gerade dabei bist genau zu lesen: auf eben der Seite ist der Fall von einer Firma verlinkt, die eben genau das getan hat: Passwörter im Klartext gespeichert. Extra für Dich das Zitat:

„Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.“

Auf einem vernünfig aufgesetzten System: Kein Stuss.

Klar, kann man sicher. Unter Linux wirst Du nur ein wenig den Source patchen müssen, also ganz trivial. Unter Windows? Da kann man bestimmt auch irgendwie eine ranzige Verschlüsselungsversion hineinkonfigurieren.

Du meinst John the Ripper? Auf welchen Modus beziehst Du Dich? Brute-force mit Wordlist?

Amen.

Das ist schon länger … umstritten. Mittlerweile hat sich das sogar bis nach Deutschland herumgesprochen

Ui, ganz steile These. Passwörter sollen immer gewechselt werden, damit die Diensteanbieter ihre Backends umbauen können?

Verstehe ich gerade nicht.

1 Like

@Sebastian:Ein Passwort ist nicht personenbezogen? […] Mit dem Passwort wird aber in der Regel der Schutz von personenbezogenen Daten (Mails, Bestellungen im Onlineverkauf, Zugang zu sozialen Netzwerken) gesichert und diese Sicherung muss dem Stand der Technik entsprechen.

Ich habe nie behauptet, dass ein Passwort kein schützenswertes Datum ist. Es ist jedoch imho kein personenbezogenes Datum.

@Sebastian:
Ich denke, Du wirst niemanden ernstzunehmenden finden, der im Klartext gespeicherte Passwörter als den Stand der Technik ansieht (und nebenbei: das BSI sollte in Deutschland eine Referenz sein, die man nicht ohne ein Wimpernzucken wegwischen sollte).

Befasse Dich bitte mal mit AD und lokalen Administratorkonten. Im AD sind die Passwörter im Klartext lesbar. Ist das jetzt sicher, nur weil am Ende die Passwörter auf der Platte verschlüsselt sind?

@Sebastian:
[…] von einer Firma verlinkt, die eben genau das getan hat: Passwörter im Klartext gespeichert. […]

Ja, aber das Speichern der Passwörter ist imho noch nicht die Straftat, sondern dass nach dem Login personenbezogene Daten abgegriffen werden konnten. Demnach ist der Zugriff auf die personenbezogenen Daten das Problem und nicht das Passwort. Und genau das habe ich oben immer behauptet.

@Sebastian:
Du meinst John the Ripper? Auf welchen Modus beziehst Du Dich? Brute-force mit Wordlist?

Zum Beispiel, aber auch Themen wie Pseudokollisionen.

@Sebastian:
[…] Passwortwechsel […]
Das ist schon länger … umstritten. Mittlerweile hat sich das sogar bis nach Deutschland herumgesprochen

Es wird keine Empfehlung mehr diesbezüglich gegeben, da man festgestellt hat, dass viele Benutzer Probleme mit sicheren Passwörtern hatten.
Aber genauso sicher ist, dass der Otto-Normal-Benutzer, wenn ein Angreifer einigermaßen schlau ist, nicht mitbekommt, dass sein Passwort abgegriffen wurde. Und damit ist genau die Forderung des BSIs („ediglich für den Fall, dass ein Passwort in fremde Hände geraten sein könnte, muss man sein Passwort gemäß BSI-Richtlinien noch ändern.“) dann ein Problem.
Ich empfehle die Verwendung eines Passwort-Safes, damit sind die Passwörter nicht schwach, wie es in dem Artikel von heise angesprochen wird und damit ist auch ein Passwortwechsel in regelmäßigen Abständen kein Problem.

@Sebastian
Ui, ganz steile These. Passwörter sollen immer gewechselt werden, damit die Diensteanbieter ihre Backends umbauen können?
Verstehe ich gerade nicht.

Du zitierst doch so gerne das BSI und andere (durchwegs sinnvolle deutsche Organisationen). Wenn nun keiner mehr einen Passwortwechsel machen soll, bleiben die Passwörter auf ewig gleich. Es ändern sich aber die sicheren Algorithmen. Das Standardwerk ist Dir sicher bekannt, wird auch jedes Jahr vom BSI überarbeitet. Wie bitte soll denn ein gehashtes Passwort auf ein anderes Hashverfahren gebracht werden? Erkläre mir das bitte mal.

Dieser Logik nach ist dein Alter auch nicht personenbezogen, so lange dein Name nicht dabei steht.

Diese Arbeitsgruppe


hat das Gesetz entworfen und auch was dazu geschrieben:

Peronenbezogene Daten sind, Zitat:

“any information”
“relating to”
“an identified or indentifiable”
“natural person”

Aber das ist doch eh’ nur Erbsenzählerei. Passwörter sind zu schützen. Punkt.

In welcher Version? Die aus dem Jahr 1893?

Selbstverständlich sind sie das nicht, weil sie auch dort nur als Hash gespeichert sind. Oder was macht dein Admin beruflich?

Doch, genau das. Weil sie dann eben nicht nach dem Stand der Technik geschützt sind.

Wenn nach


sogar die personenbezogenen Daten selbst verschlüsselt gespeichert werden müssen, kannst du ja mal zu erklären versuchen, warum dann das Zugangspasswort ungeschützt sein darf.

Eine sehr genaue Beschreibung, wie das geht. Ich lese daraus, dass du es real noch nie probiert hast. Dann mach das doch mal mit einem korrekt konfigurierten AES256-Hash bei einem AKTUELLEN Win10.
Lies mal:

Die liegen deiner Behauptung nach doch im Klartext vor.

Übrigens ist das überhaupt kein Problem. Bei der nächsten Passworteingabe wird das Passwort dann eben einmal nach dem alten Hash geprüft und gleichzeitig nach dem neuen Algorithmus berechnet. Wenn die Überprüfung geklappt hat, wird die alte Version verworfen, die neue gespeichert und fürderhin nur noch die neue Version geprüft.

Alternativ kann man selbstverständlich an dieser Stelle auch zur Eingabe eines neuen Passworts auffordern. Aber das hat exakt gar nichts mit einer abgelaufenen Frist zu tun. Wie soll denn deiner Meinung nach diese individuelle Frist mit der Einführung eines neuen Algorithmus synchronisiert werden? Und warum überhaupt?

Lieber Sebastian,

scroll doch bitte mal nach ganz oben und lies Dir den ersten Beitrag durch …
Da steht nichts von Windows 10. Da steht was von Internet. Und da steht auch nichts von Deiner rosigen Welt, die Du gerne hättest.
Die übrigens auch ich gerne hätte. Und das bringe ich unseren Kunden bei. Leider spiegeln viele Deiner Annahmen nicht die Realität wieder. Und ich muss mit der Realität arbeiten.

Beim ersten Login nach der Umstellung auf das neue Verfahren wird das Passwort mit dem alten Verfahren geprüft. Wenn es ok ist, wird es mit dem neuen Verfahren gehasht und gespeichert.

1 Like