| |
| Autor |
 Meine Stellungnahme zu Passwort-Leaks von 2016 |
|
matroid
Senior 
Dabei seit: 12.03.2001
Mitteilungen: 14628
Wohnort: Solingen
 |  Themenstart: 2019-01-26
|
\(\begingroup\)\(\newcommand{\IX}{\mathbb{X}}
\newcommand{\IW}{\mathbb{W}}
\)
Liebe Mitglieder,
da aufgrund von aktuellen Berichten über ein gigantisches Datenleck das Thema jetzt sehr viel Aufmerksamkeit erregt, möchte ich meine Stellungnahme zu einem Vorkommnis auf dem Matheplanet mit meinem gegenwärtigen Erkenntnisstand zusammenfassen.
Aus Anlass des gemeldeten Datenlecks "Collection1" prüfen nun viel Menschen bei dem Dienst https://sec.hpi.de/ilc/ des Hasso-Plattner-Instituts (HPI), ob sie betroffen sind.
Viele Mitglieder des Matheplaneten finden dort zu ihrer Mail-Adresse eine Information über ein Datenleck auf dem Matheplaneten.
Ich hatte bereits im Dezember dazu informiert, siehe https://matheplanet.de/matheplanet/nuke/html/viewtopic.php?topic=239465&post_id=1742350
Ich konnte in der Zwischenzeit eingrenzen, dass zwischen dem 20. und 28. Februar 2016 der Datendiebstahl stattgefunden haben muss, denn es sind anscheinend alle Mitglieder betroffen, die vor dem 20.2.2016 Mitglied geworden sind, aber es sind keine Mitglieder betroffen, die ab dem 28.2.2016 Mitglied geworden sind.
Das HPI gibt als Datum des Vorkommnisses den Mail 2017 an. Ich nehme an, dass dies der Zeitpunkt ist, an dem HPI Daten aus dem Datenleak identifiziert hat. Es ist aber nicht das Datum der tatsächlichen Datenschutzverletzung. Diese war, so meine Recherche, im Februar 2016.
Bei diesem Datendiebstahl sind die Mail-Adressen und dazu die Passwörter, diese aber in verschlüsselter Form, gestohlen worden.
In der Zwischenzeit, nämlich am 20.3.2016, wurden Vorkehrungen getroffen, die Daten der Accounts besser zu schützen.
Diese zusätzlichen Maßnahmen sind offenbar wirksam, können aber das frühere Ereignis nicht wieder gutmachen.
Ich bedaure das Vorkommnis sehr.
Da ich häufig gefragt werden, was denn "verschlüsselte Form" beim Passwort bedeutet, möchte ich es so erklären:
Die Mail-Adresse hat man im Klartext in der Datenbank gefunden.
Das Passwort ist aber in der Datenbank nicht im Klartext sondern nur verschlüsselt gespeichert gewesen.
Ein solches verschlüsseltes Passwort sieht vielleicht so aus: $1$PutQ6.Ef$8ltlkgtMdk1OFgULgc5Ug/
Die Verschlüsselung ist eine one-way-Verschlüsselung. Kennt man den Key, so kann man das Passwort, das der Benutzer bei einer Anmeldung eingibt, damit ebenfalls verschlüsseln und wenn das Ergebnis mit dem früher gespeicherten Passwort-String übereinstimmt, erhält der Benutzer Zugang.
Wer die one-way-Verschlüsselung kennt, weiß aber nicht, welches Klartext-Passwort er eingeben müsste, um diesen one-way-String zu erhalten.
Man könnte natürlich anfangen zu raten, etwa indem man sehr einfache und dennoch oft verwendete Passwörter nutzt. So soll z.B. 123456 das häufigste Passwort sein.
(Darum empfiehlt man heute ja stärkere Passwörter zu verwenden.)
Aber selbst das hat nur sehr geringe Aussichten, denn die Verschlüsselung zum one-way wird außerdem noch je Account mit einem geheimen, zweiten Key verschlüsselt. Diesen zweiten Bestandteil der Verschlüsselung nennt man „Salt“.
Was heißt das praktisch: Sollten 2 Accounts beide das gleiche Passwort 123456 haben, so sehen die one-way-Strings, die aus dem Passwort generiert werden und später zum Passwortvergleich verwendet werden, verschieden aus. Der Hacker müsste also nicht nur das (mehr oder weniger gängige) Passwort raten, er muss zudem auch noch einen weiteren unbekannten Bestandteil, den zweiten Key, raten.
Was meine ich mit "raten"? Professionelle Angreifer würde das mit Hilfe von Computer-Programmen tun, mit denen sie in sehr kurzer Zeit Millionen von Kombinationen versuchen können. Die Sicherheit einer Verschlüsselung bemisst sich in der Anzahl der Jahre, die ein Angreifer benötigte, den Code durch Computerprogramme zu knacken.
Es müsste schon ein besonderes Interesse sein, das einen Angreifer dazu bringen könnte, diese Mühe für eine Passwortinformation, die er auf dem Matheplaneten gefunden hat, aufzuwenden. Übrigens: Der Matheplanet ist in guter, besser gesagt schlechter Gesellschaft. Dropbox oder Facebook haben Datenlecks, von denen jeweils viele Millionen Benutzer betroffen sind. Ich will hier nicht relativieren. Ich will damit sagen: Hacker haben so viel Auswahl.
Ärgerlicher und relevanter finde ich, dass Email-Adressen im Umlauf geraten sind.
Das kann zu unerwünschtem Spam führen. Spam wiederum ist mindestens lästig und manchmal sogar gefährlich, wenn sich darin Viren verstecken und man diese ungewollt aktiviert.
<<
Ich hoffe, die Informationen und Erklärungen, die ich hier mitteile, helfen den Mitgliedern, die Betroffenenheit bzw. das Risiko einzuschätzen.
Wer noch Fragen hat, kann sich gern an mich wenden, hier im Forum oder mit einer privaten Nachricht oder per Mail.
Viele Grüße
Matroid
\(\endgroup\)
|
 Profil
|
Triceratops
Aktiv 
Dabei seit: 28.04.2016
Mitteilungen: 6472
Wohnort: Berlin
 |  Beitrag No.1, eingetragen 2019-01-27
|
@matroid: Danke für die ausführlichen Informationen.
Tipp @alle: Nutzt Multi-Faktor-Authentifizierung bei den Diensten, die es anbieten (Authenticator Apps oder Security Tokens).
PS: Bin nur kurz eingeloggt, um das PW zu ändern.
|
Profil
|
emmi82
Senior 
Dabei seit: 06.05.2013
Mitteilungen: 459
 | Beitrag No.2, eingetragen 2019-03-14
|
Hi,
Multi-Faktor-Authentifizierung wird demnächst auch bei Banken vorgeschrieben. Man hat z. B. ein Gerät zusätzlich zum PC, wie ein TAN-Generator.
emmi
|
Profil
|
Bernhard
Senior 
Dabei seit: 01.10.2005
Mitteilungen: 6961
Wohnort: Merzhausen, Deutschland
 | Beitrag No.3, eingetragen 2019-07-29
|
Hallo Matroid!
Inwieweit ist die Gefahr, die von den Passwort-Leaks ausging, nocht aktuell?
Gerade jetzt mit dem Serverumzug wirst Du ja wohl auch hinsichtlich solcher Risiken die Sicherheit überprüft haben.
Viele Grüße, Bernhard
|
Profil
|
Slash
Aktiv
Dabei seit: 23.03.2005
Mitteilungen: 9222
Wohnort: Pferdehof
 | Beitrag No.4, eingetragen 2019-08-19
|
Mann, dieser Thread klebt aber wirklich mit Superkleber am schwarzen Brett. Was ist denn aus den guten alten Pinnwandsteckern geworden?
Gruß, Zwinker und Grins...
Slash 8-)
|
Profil
|
matroid
Senior
Dabei seit: 12.03.2001
Mitteilungen: 14628
Wohnort: Solingen
| Beitrag No.5, vom Themenstarter, eingetragen 2020-01-05
|
Hi Alle,
ich sehe mich verpflichtet, zu erklären, warum es ein PW-Leak gegeben hat und was dagegen unternommen wurde.
Ich verweise auch immer wieder Email-Sender auf diesen Thread. Bis jedermann bei mir wegen der Sicherheit seiner Daten nachgefragt hat, wird noch viel Zeit vergehen.
Gruß
Matroid
|
Profil
|
liguria
Junior
Dabei seit: 15.09.2019
Mitteilungen: 10
 | Beitrag No.6, eingetragen 2020-01-22
|
Wurde der Leak eigentlich wie vorgeschrieben der zuständigen Aufsichtsbehörde gemeldet?
|
Profil
|
matroid
Senior
Dabei seit: 12.03.2001
Mitteilungen: 14628
Wohnort: Solingen
| Beitrag No.7, vom Themenstarter, eingetragen 2020-02-16
|
Hallo liguria,
es ist keine Meldung erfolgt, weil damals (2016) die DSGVO noch nicht galt. Im Hinblick auf eine Verpflichtung zur nachträgliche Meldung früherer Vorkommnisse finde ich keinen Kommentar.
Diese Meldung hier stellt meine öffentliche Benachrichtigung dar, denn es ist mir nicht möglich, alle Betroffenen individuell zu benachrichtigen.
Der Aufwand wäre unverhältnismäßige groß, darum hier die öffentliche Benachrichtigung/Bekanntmachung. Von einem solchen unverhältnismäßigen Aufwand ist etwa auszugehen, wenn keine oder nur veraltete Kontaktdaten zur individuellen Benachrichtigung vorhanden sind und aktuelle erst ermittelt werden müssten oder diese Ermittlung gar nicht mehr möglich ist.
Bei einer öffentlichen Benachrichtigung ist die „gleiche Wirksamkeit“ im Vergleich zur Individualbenachrichtigung z.B. per Brief oder E-Mail wichtig. Die öffentliche Benachrichtigung kann – je nach Möglichkeit der Kenntnisnahme der Betroffenen – auch über das Internet erfolgen.
Darum bleibt diese Bekanntmachung bis auf Weiteres am Schwarzen Brett exponiert - auch wenn das Vorkommnis schon vor (jetzt) 4 Jahren eingetreten ist. Die Betroffenen interessieren sich (möglicherweise) noch heute für dafür.
Gruß
Matroid
|
Profil
|
liguria
Junior
Dabei seit: 15.09.2019
Mitteilungen: 10
| Beitrag No.8, eingetragen 2020-04-06
|
\quoteon(2020-02-16 21:07 - matroid in Beitrag No. 7)
es ist keine Meldung erfolgt, weil damals (2016) die DSGVO noch nicht galt. Im Hinblick auf eine Verpflichtung zur nachträgliche Meldung früherer Vorkommnisse finde ich keinen Kommentar.
\quoteoff
Es ist auf den Zeitpunkt des Bekanntwerdens des Leaks abzustellen. Das war der Dezember 2018, die DSGVO war da bereits in Kraft.
Dazu bedarf es im Übrigen keines Kommentares, das ist schon dem Wortlaut des Gesetzes zu entnehmen ("nachdem ihm die Verletzung bekannt wurde").
|
Profil
|
magenta
Ehemals Aktiv 
Dabei seit: 06.05.2009
Mitteilungen: 71
 | Beitrag No.9, eingetragen 2022-01-01
|
Spammer haben die Daten leider auch entdeckt. Ich bekomme Seit 2017 Spam an die Mailadresse, die ich genau nur für Matheplanet eingerichtet habe.
|
Profil
|
Triceratops
Aktiv 
Dabei seit: 28.04.2016
Mitteilungen: 6472
Wohnort: Berlin
|  Beitrag No.10, eingetragen 2022-01-01
|
@magenta: Du kannst im Profil deine E-Mail-Adresse ändern.
|
Profil
|
| matroid hat die Antworten auf ihre/seine Frage gesehen. |
|
All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © 2001-2023 by Matroids Matheplanet
This web site was originally made with PHP-Nuke, a former web portal system written in PHP that seems no longer to be maintained nor supported. PHP-Nuke is Free Software released under the GNU/GPL license.
Ich distanziere mich von rechtswidrigen oder anstößigen Inhalten, die sich trotz aufmerksamer Prüfung hinter hier verwendeten Links verbergen mögen.
Lesen Sie die
Nutzungsbedingungen,
die Distanzierung,
die Datenschutzerklärung und das Impressum.
[Seitenanfang]
|
Home / Seite ohne Frame
Wie unterstütze ich den Matheplaneten mit Geld?
