• Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2025
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien und Schutzgläser der Eigenmarken
    "Upscreen", "Screenleaf", BROTECT" und "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Mitmachen beim DSLR-Forum Fotowettbewerb Mai 2025.
    Thema: "Grün"
    Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
    Alle Infos zum Mai-Wettbewerb hier!

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • Nicht erreichbare Adressen im Benutzerkonto
    Wir bekommen zurzeit eine große Anzahl an E-Mails, die das System zum Beispiel als Benachrichtigungen an Nutzer verschickt,
    als unzustellbar zurück, weil z.B. die Adressen nicht erreichbar sind oder das Postfach gar nicht existiert.
    Stellt doch bitte sicher, dass die Benachrichtigungen, die ihr vom System erwartet, auch zugestellt werden können.
    Nicht erreichbare E-Mail-Adressen sind dazu wenig hilfreich.
    Danke!

  • Unlauterer Verkäufer wieder unterwegs!

    Liebe Mitglieder,
    Florian Franzek, der seit Jahren mit verschiedensten Usernamen in allen möglichen Foren und auf etlichen Verkaufsplattformen auftritt,
    ist wieder hier im Forum und versucht, ehrliche Käufer zu betrügen.
    Wir können wenig tun, außer bei Bekanntwerden einer weiteren Registrierung eines Accounts für seine Machenschaften, diese umgehend zu sperren.
    Ich empfehle, bei Kontakt umgehend die Polizei einzuschalten.

WERBUNG

Forum-Datenleck: Auch Passwörter gehackt

Michael54431 schrieb:
Wenn das Passwort nur hier genutzt wurde, dann wird das wohl kaum wo anders gewesen sein.
Es gab ja mit der alten Version auch Probleme - ist aber eben schon relativ lange her und wurde mit der neuen Forensoftware ja behoben.
Zum Vergrößern anklicken....

Soweit, so klar - wie gesagt nur schade, dass keine Info erfolgt, weder per Mail an die Mitglieder noch auf der Startseite des Forums (wo von Mailadressen, aber explizit nicht Passwörtern die Rede ist).

ernst.w schrieb:
Die Frage ist nur „Wo?“ Dazu genügt ein simpler Keylogger, den die jedes Skript-Kiddy setzen kann. Es gibt noch zig andere Möglichkeiten, wie das passiert sein kann; kann, muss aber nicht durch ein Forumsleck passiert sein.
Zum Vergrößern anklicken....

Muss nicht, ist aber die wahrscheinlichste Variante, gerade wenn auch andere Dinge auf Forenseite schiefgelaufen sind. Einen Keylogger o. ä. auf einem meiner Systeme kann ich jedenfalls ausschließen.

ernst.w schrieb:
Nein, finde ich nicht. Aber: Passwörter sollten, insofern hat der Absender „deiner“ Mail schon recht, in kürzeren Abständen getauscht werden. Auch Zwei-Faktor-Authentifizierung hilft, die Sicherheit zu erhöhen.
Zum Vergrößern anklicken....

Der Mythos „Ändere dein Passwort möglichst häufig“ hält sich hartnäckig, aber warum das hier nichts gebracht hätte, habe ich ja schon erklärt. Lesestoff ansonsten auch hier



ernst.w schrieb:
Und dann finde ich es auch etwas seltsam, wenn du dich heute dermaßen über ein solches Problem aufregst, das vor langer Zeit schon durch eine völlig neue Forensoftware gelöst wurde.
Zum Vergrößern anklicken....

Weißt du doch gar nicht. Das Passwort könnte genauso gut vor zwei Wochen vom Server geklaut worden sein. Es geht in jedem Fall um die Informationspolitik, siehe oben.

Aber ich bin jetzt ehrlich gesagt hier raus… Finde diese ganzen Relativierungen ehrlich gesagt etwas seltsam. Aber das unterscheidet womöglich ein Foto-Forum von einem für IT-Sicherheit.
 
Ende 2022 wurden hier im Forum E-Mail-Adressen ausgespäht. Siehe hier *klick*, insbesondere Post #6. Da gibt es auch noch weitere Themen zu, du musst im Support-Forum nur bis September / Oktober 2022 zurückblättern.
 
PM500X schrieb:
Ende 2022 wurden hier im Forum E-Mail-Adressen ausgespäht. Siehe hier *klick*, insbesondere Post #6. Da gibt es auch noch weitere Themen zu, du musst im Support-Forum nur bis September / Oktober 2022 zurückblättern.
Zum Vergrößern anklicken....

Klar, das ist doch auch völlig unstrittig. Den Thread kenne ich, Scorpio schreibt dort in #32 übrigens „Es sind offensichtlich nur Email-Adressen ausgespäht worden. Die Passwörter liegen verschlüsselt in der DB.“

Sieht so aus, als sei genau das falsch. Darum geht’s hier.
 
Suppenelse schrieb:
Die Passwörter liegen verschlüsselt in der DB.“

Sieht so aus, als sei genau das falsch.
Zum Vergrößern anklicken....
Das mit dem 'verschlüsselt' in dem Sinne, dass sich das entschlüsseln ließe, ist wahrscheinlich wirklich falsch.
Es werden üblicherweise nur Hash-Signaturen gespeichert, aus denen das Passwort nicht zurückgewonnen werden kann.
 
Jetzt kommt mir langsam die Galle hoch! Ich habe nun Jahrzehnte IT-Support gemacht und, ja, ich kenne auch Kunden, die sich wie du präsentieren: Fehler machen nur andere, es muss der andere sein, den man sich halt eben auserkoren hat, etc.

Gut, kein Problem, du lieferst uns hier auch gleich den Beweis deiner Unfehlbarkeit. Ich danke dafür:
Suppenelse schrieb:
Der Mythos „Ändere dein Passwort möglichst häufig“ hält sich hartnäckig, aber warum das hier nichts gebracht hätte, habe ich ja schon erklärt. Lesestoff ansonsten auch hier
Zum Vergrößern anklicken....
Super, habe ich mir sofort durchgelesen - man weiß nie, wo man noch zulernen kann. Und, siehe da, hier finden sich essentielle Aussagen:
Hunt schränkt ein, dass es einige doppelte Einträge gibt. Aber dennoch deute es darauf hin, dass viele Menschen immer noch dasselbe Passwort für unterschiedliche Angebote nutzen. Und es viele Menschen gibt, die dieselben Passwörter wie andere einsetzen.
Zum Vergrößern anklicken....
und auch
Für Zugänge, die lediglich mit Passwörtern geschützt werden, sind Passwort-Manager sinnvoll. Sie bringen in der Regel einen Passwortgenerator mit, der einstellbar komplexe Passwörter auswirft. Diese speichern die Passwortverwalter dann auch gleich passend etwa zu der Webseite ab. In der Regel erlauben sie sogar einen geräteübergreifenden Zugriff – der Zugang ist dann auf dem Smartphone, Laptop und Desktop-PC gleichermaßen hinterlegt und lässt sich einfach öffnen. Dadurch wird es viel einfacher, "gute" Passworthygiene zu leben und für jedes Angebot eigene Zugangsdaten zu verwenden.
Zum Vergrößern anklicken....
Diese Passagen hast du möglicherweise überlesen. Macht nichts, sie hier nochmal hervorzuheben. Also, woran liegt es? Dass Menschen Passwörter wechseln? Nein. Dass sie zu nachlässig, zu faul oder zu dumm sind, halbwegs sichere Passwörter zu verwenden oder für verschiedene Zugänge verschiedene (sichere) Passwörter zu verwenden? Schon eher. Sagt dein Link zumindest, ich stimme dem im Wesentlichen zu.

Zum Passwortmanager: Wer heute noch immer keinen verwendet, braucht entweder ein unfehlbares Gedächtnis oder lebt eben mit unsicheren Umgebungen; dann braucht er sich aber auch nicht zu wundern.

Was mir am meisten auf den Geist geht, ist aber, dass du hier an Bäume pinkelst, die schon lange gefällt wurden. Das hat man dir auch schon mehrfach mitgeteilt. Und dass nicht jeder Website-Betreiber von Hackern verständigt wird, wann wer was genau und warum geklaut hat, scheint in deiner Welt auch keine Rolle zu spielen. Dass Mails auch schon mal lange vor deinem Account vom Provider-Spamschutz gekillt werden, auch nicht. Kann bei dir nicht passiert sein. Passt schon.
Suppenelse schrieb:
Das Passwort könnte genauso gut vor zwei Wochen vom Server geklaut worden sein.
Zum Vergrößern anklicken....
Nein, kann es nicht. Definitiv nicht. Nicht bei der hier verwendeten Software. Und übrigens: Heute liegen Passwörter generell - selbstgebastelte Software-Lösungen muss ich außen vor lassen - nicht zugänglich irgendwo auf Servern rum.
 
ernst.w schrieb:
Dass sie zu nachlässig, zu faul oder zu dumm sind, halbwegs sichere Passwörter zu verwenden oder für verschiedene Zugänge verschiedene (sichere) Passwörter zu verwenden?
Zum Vergrößern anklicken....

Ich bin selbst mein ganzes Berufsleben in der IT tätig, und tu mir dennoch schwer, diesen Voraussetzungen nachzukommen.
Für jede Registrierung ein anderes Passwort - und sich diese merken zu können ...
Verlässt man sich völlig auf einen Passwort-Manager, ist man im Prinzip auch auf diesen ausgeliefert.
Ist nicht einfach ...
 
ernst.w schrieb:
Jetzt kommt mir langsam die Galle hoch! Ich habe nun Jahrzehnte IT-Support gemacht und, ja, ich kenne auch Kunden, die sich wie du präsentieren: …….
Zum Vergrößern anklicken....

Du kommst leider von der sachlichen Ebene immer mehr auf die persönliche - hast du zu deiner Zeit als IT-Supporter (wie lang issn das her, soll ich anhand deiner fachlichen Aussagen mal raten?) hoffentlich anders gehandhabt.

Zur Sache ist ansonsten alles gesagt, ich lese hier nicht mehr weiter mit. Danke an alle, die sich sachlich beteiligt haben.
 
Hawelka schrieb:
Verlässt man sich völlig auf einen Passwort-Manager, ist man im Prinzip auch auf diesen ausgeliefert.
Zum Vergrößern anklicken....
Ja. Aber den habe ich auf Handy, iPad, Notebook, PC - und auf allen Geräten meiner liebsten Ehefrau. Notfalls auch noch Sicherungen auf einem externen Laufwerk. Und natürlich haben wir für jeden Zugang ein eigenes Passwort (in der Regel 18-32 Zeichen lang). Hat aber gedauert, bis wir alles mal so weit hatten. Am Anfang waren da doch einfachere Passwörter (die sich auch niemand bis zum nächsten Login gemerkt hat) und/oder ein komplexeres Passwort für mehrere Zugänge.
 
Suppenelse schrieb:
Pardon, hatte ich vergessen zu beantworten. Absender ist irgendeine anonyme Hotmail-Adresse, Text lautet



Also der übliche Inhalt, das ist nicht das Problem.
Zum Vergrößern anklicken....
Der Absender selbst bezieht sich ganz eindeutig auf ein "Postfach", dessen Passwort er gekapert haben will. Nix DSLR-Forum. Wenn er wüsste, dass dieses Passwort von einer konkreten Quelle ist, würde er das auch explizit erwähnen, um die Glaubwürdigkeit zu erhöhen.

Mithin bleiben hier leider nur zwei Optionen:
a) Dein Passwort war dermassen unsicher (und viele Menschen verwenden es), dass es Spammer auf gut Glück behaupten, so eine Grütze wie "Mall0rca#1979" (über 30 bit Entropie lacht sich nun wirklich jedes Skriptkiddie tot) und die Mail hat Null mit Dir zu tun. Dies ist die wahrscheinlichste Option.
b) Du hast Dein Passwort entgegen der Behauptungen hier sehr wohl mehrfach verwendet und da ist es halt anderswo abgefischt worden.

Solche Spam Drohungen ohne jedes Fragment persönlichen Bezugs sind eigentlich immer nur ein Beispiel, wo man nachlesen kann, was unsichere Passwörter sind, weil die Sender hoffen, dass mindestens 100 Leser das Passwort bestimmt wirklich so verwenden.
 
ernst.w schrieb:
Ja. Aber den habe ich auf Handy, iPad, Notebook, PC - und auf allen Geräten meiner liebsten Ehefrau. Notfalls auch noch Sicherungen auf einem externen Laufwerk. Und natürlich haben wir für jeden Zugang ein eigenes Passwort (in der Regel 18-32 Zeichen lang). Hat aber gedauert, bis wir alles mal so weit hatten. Am Anfang waren da doch einfachere Passwörter (die sich auch niemand bis zum nächsten Login gemerkt hat) und/oder ein komplexeres Passwort für mehrere Zugänge.
Zum Vergrößern anklicken....

Ich habe ein Excel-Sheet in dem alle Adressen mit deren Logins und Passwörtern gespeichert sind .... 😁
Just kidding!

Ist für Dich ein Password Manager eine eigenständiges Tool, oder meinst du - so wie ich - jenen im Browser verfügbaren Password Store?
Bei FireFox in Verbindung mit dem Account zum Austausch über mehrere Rechner, ist das recht praktisch.
Ist hier allerdings mal eine Lücke, wäre der Schaden gleich richtig fatal.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
WERBUNG
Zurück
Oben Unten