Haveibeenpwned - E-Mail Adresse

[Efdegerobu]

https://haveibeenpwned.com/

 

Meine E-Mail adresse ist dort gelistet.

Hat das etwas mit den geklauten Daten vom Ledger zu tun? Hatte mir im Sommer einen bestellt.

Angeblich sollen die Kundendaten ja im Darknet zum Verkauf angeboten worden sein...

 

-> Pwned in 11 data breaches and found 1 paste (subscribe to search sensitive breaches

 

Ist diese Seite überhaupt seriös? Kann mir jemand weiterhelfen - was muss ich tun?

[battlecore]

vor 27 Minuten schrieb Efdegerobu:

https://haveibeenpwned.com/

 

Meine E-Mail adresse ist dort gelistet.

Hat das etwas mit den geklauten Daten vom Ledger zu tun? Hatte mir im Sommer einen bestellt.

Angeblich sollen die Kundendaten ja im Darknet zum Verkauf angeboten worden sein...

 

-> Pwned in 11 data breaches and found 1 paste (subscribe to search sensitive breaches

 

Ist diese Seite überhaupt seriös? Kann mir jemand weiterhelfen - was muss ich tun?

Meine emailadresse ist da auch seit Jahren drin. Das passiert aber schnell, überleg mal wo du dich damit schon überall registriert hast, egal wo, deine emailadresse hast du selbst schon ganz bewusst Hunderte Male für irgendwas benutzt. Ist keine Kunst das die da drinsteht.

Benutz einfach brauchbare Passwörter und dann is schon gut. Und da wo es geht auch 2FA benutzen.

[Morama]

vor 33 Minuten schrieb Efdegerobu:

https://haveibeenpwned.com/

 

Meine E-Mail adresse ist dort gelistet.

Hat das etwas mit den geklauten Daten vom Ledger zu tun? Hatte mir im Sommer einen bestellt.

Angeblich sollen die Kundendaten ja im Darknet zum Verkauf angeboten worden sein...

 

-> Pwned in 11 data breaches and found 1 paste (subscribe to search sensitive breaches

 

Ist diese Seite überhaupt seriös? Kann mir jemand weiterhelfen - was muss ich tun?

Wenn du runterscrollst nach dem Suchen, siehst du welche Databreaches das waren. Taucht der Ledger 2020 Leak bei dir mit auf?

[Efdegerobu]

vor 11 Minuten schrieb Morama:

Wenn du runterscrollst nach dem Suchen, siehst du welche Databreaches das waren. Taucht der Ledger 2020 Leak bei dir mit auf?

Nein, das steht nicht dabei.

Unter anderem aber Dropbox, Adobe und last.fm

Ganz toll - wusste garnicht, dass die ähnliche Probleme hatten.

Ist schon Jahre her.

[Morama]

Ja das sind große Maildatenbanken, die die Runde gemacht haben. Teilweise mit Millionen von Mailadressen ... ist ansich nicht ungewöhnlich.

Es schadet nie, ab und zu seine PWs mal zu ändern.

[battlecore]

vor 1 Stunde schrieb bjew:

gucksz du, Adobe isz jahrealsz und bisz sicher von Adobe informiert worden. Dropbox ist auch ein alter Hut

Undz? Schmeckz das Bier szchon zum Mizzagessenzzzz?

[skunk]

vor 3 Stunden schrieb Efdegerobu:

Ist diese Seite überhaupt seriös?

Ja ist sie. Die Seite soll jedem vor Augen halten welche der eigenen Passwörter potentiell schon bekannt sind.

vor 3 Stunden schrieb Efdegerobu:

was muss ich tun?

Als erstes einen ordentlichen Passwort Manager installieren. Ich empfehle KeePass. Das speichert die Passwort Datenbank lokal auf deinem Rechner. Die Datenbank solltest du natürlich regelmäßig sichern. Ich nutze dafür Syncthing um die Datenbank über 3 Rechner hinweg immer aktuell zu halten. Die Datenbank mit einem Master Passwort versehen damit nur du sie öffnen kannst. Difficulty hochsetzen damit ein Angreifer dein Masterpasswort nicht per Brute Force erraten kann. Ich bin faul und habe ein nicht gerade sicheres Masterpasswort. Dank hoher Difficulty dauert jede Eingabe 10 Sekunden womit selber ein unsicheres Masterpasswort mehr als ausreichend ist.

Setup fertig. Jetzt kommt der aufwändige Teil. Logge dich in alle Accounts ein, die dir wichtig sind und vergebe ein neues Passwort. Dazu erstellst du im Passwort Manager einen neuen Eintrag, lässt den Passwort Manager ein sehr sicheres Passwort generieren was du dir nie im Leben merken kannst und speicherst das ab.

Für ein Login brauchst du so zwangsläufig immer deinen Passwort Manager. Wird ein Passwort geleakt, interessiert dich das kein Stück weil dein Passwort Manager kein Passwort zweimal genutzt hat.

Bonus Punkte wenn du auch ein Offline Backup der Passwort Datenbank machst. Ich habe dafür einen Pi der alle paar Monate mal ebenfalls ein Sync durch führt und dann wird er vom Strom getrennt. Fange ich mir ein Schädling ein, der alle meine Daten verschlüsselt und Lösegeld verlangt, mach ich einfach alles Platt um den Schädling los zu werden und reaktiviere das Backup vom Pi. Wäre zwar nervig aber billiger als das Lösegeld zu zahlen.

[Efdegerobu]

Ich muss das Thema noch einmal aufgreifen:

Habe mir jetzt die Mühe gemacht und alle Passwörter - sofern ich mich auch noch an weitere erinnern konnte - geändert.

 

Dabei ist mir aufgefallen, dass der Zugang zu meiner Electrum Wallet "ähnlich" war mit einem der Passwörter, das gehackt wurde.

Reicht es nun aus, wenn ich das Passwort bei Electrum auch ändere? Oder soll ich den Seed auch ändern?

 

[Christoph Bergmann]

Das Passwort der Electrum-Wallet bezieht sich auf die Datei, die auf deiner Festplatte liegt. Sofern du sicher bist, dass deine Festplatte nicht von dem gehackt wurde, der möglicherweise dein E-Mail-Passwort kennt, dürfte es unproblamtisch sein.

[fox42]

Sind da überhaupt Passwörter abhandengekommen? Passwörter sollten in einer vernünftigen IT niemals abgelegt werden. Nur als salted Hashes..

Aber genau, so lange die Wallet Datei nicht bekanntgeworden ist und auch keine Datei mit dem alten Passwort dann mehr existiert...

Bearbeitet 26. Januar 2021 von fox42