myGully.com Boerse.SH - BOERSE.AM - BOERSE.IO - BOERSE.IM Boerse.BZ .TO Nachfolger
Registrieren Hilfe myGully Toplist Heutige Beiträge
Zurück   myGully.com > Talk > News
Seite neu laden

[Internet] Gestohlene Dropbox-Passwörter offenbar echt

Willkommen

myGully

Links

Forum

 
Antwort
Ersten ungelesenen Beitrag anzeigen Ersten ungelesenen Beitrag anzeigen  
Themen-Optionen Ansicht
Ungelesen 31.08.16, 14:46   #1
Prince
Klaus Kinksi
 
Registriert seit: Oct 2009
Beiträge: 51.381
Bedankt: 55.393
Prince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt PunktePrince leckt gerne myGully Deckel in der Kanalisation! | 6050036 Respekt Punkte
Standard Gestohlene Dropbox-Passwörter offenbar echt
Zitat:
Die jetzt aufgetauchten Dropbox-Passwörter sind anscheinend echt; ein Test verrät, ob das eigene dabei war. Wer in den letzten Jahren sein Passwort für den Cloud-Speicherdienst nicht geändert hat, sollte das schleunigst tun.

Die kürzlich aufgetauchten Dropbox-Passwörter sind offenbar echt, wie Selbst-Tests von Betroffenen zeigen. Mitte 2012 waren Dropbox rund 68 Millionen Passwörter abhanden gekommen. Zum Glück hatte der Cloud-Dienstbetreiber die Passwörter nur als Hashes gespeichert.

Da jedoch etwa die Hälfte nur als einfacher SHA1-Hash mit Salt gesichert ist, besteht trotzdem eine realistische Gefahr, dass auch gute Passwörter geknackt werden. SHA-1-Hashes lassen sich so schnell berechnen, dass Cracker selbst gute Passwörter recht einfach knacken können (siehe dazu Die Passwortknacker; Ein Blick hinter die Kulissen der Cracker). Die andere Hälfte wurde mit bcrypt gesichert, was den State-of-the-Art markiert und das Knacken von halbwegs guten Passwörtern weitgehend aussichtslos, weil immens zeitraubend gestaltet.

Warnungen laufen ins Leere
Dropbox hat alle Kunden, die ihr Passwort seit 2012 nicht geändert haben kürzlich per E-Mail angeschrieben und zum Passwort-Wechsel aufgefordert. Es ist jedoch zu befürchten, dass diese Mail (wie beim Autor) dem antrainierten Spam-Filter zum Opfer gefallen ist und einfach ignoriert wurde. Zusätzlich fordert Dropbox zum Passwort-Wechsel auf, wenn man sich auf deren Web-Site anmeldet; da jedoch alle Apps klaglos weiter funktionieren, besteht kein Anlass, die Web-Site aufzusuchen.

Der Dienst Have I been pwned ist anscheinend ebenfalls in Besitz der kompromittierten Datensätze gelangt und bietet damit einen Selbsttest an. Wird die eingegebene E-Mail-Adresse gefunden, erhält man Warnungen, die auch jeweils angeben, in welchem Datensatz sie auftauchte. Leider kann man dieser Warnung nicht entnehmen, ob das Passwort nur durch SHA1 oder schon durch bcrypt gesichert war.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
__________________
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] | [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Prince ist offline   Mit Zitat antworten
Ungelesen 31.08.16, 19:07   #2
dieterthehaack
Anwesend
 
Registriert seit: Jan 2010
Beiträge: 667
Bedankt: 308
dieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punktedieterthehaack putzt sich die Zähne mit Knoblauch. | 1678 Respekt Punkte
Standard
Genau das ist es, was ich immer kritisiere. Was nützt mir ständiger Passwortwechsel, wenn die Dienste meine Daten immer wieder freigiebig unter das Hackervolk streuen? Es muss doch langsam mal eine andere Methode zur Absicherung von Logins auf den Markt kommen, wo das Abgreifen nicht mehr funktioniert.
dieterthehaack ist offline   Mit Zitat antworten
Ungelesen 01.09.16, 15:09   #3
ululu
Anfänger
 
Registriert seit: Oct 2008
Beiträge: 12
Bedankt: 269
ululu ist noch neu hier! | 0 Respekt Punkte
Standard
Wo kann man diese Liste denn einsehen?
ululu ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
BB code is An
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:38 Uhr.


myGully - Archiv - Nach oben
Sitemap

().