Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Nutzen von haveibeenpwned.com?
35 views
Skip to first unread message
Wendelin Uez
Jun 19, 2021, 10:23:53 AM6/19/21
to
Die melden zwar, meine Mailadresse sei "pwned", aber was besagt das
eigentlich? Die Adresse ist ja öffentlich und daher kein Geheimnis, ich weiß
somit nur, daß meine Adresse in einer Liste angeblich geknackter Accounts
steht, aber diese Liste kann ja auch mit einem beliebig erfundenen Passwort
nur zwecks Volumenerweiterung angereichert worden sein.
haveibeenpwned.com bietet mir zwar an, ein Passwort einzugeben, damit
geprüft werden könne, ob auch dieses Passwort verknüpft sei, aber erstens
nutze ich meine Adresse an jedem Account mit einem anderen Passwort und
müsste Dutzende Abfragen machen, um den kompromitierten Account zu finden,
zweitens erscheint es mir nicht sehr schlau zu sein, meine sämtlichen jemals
verwendeten Passwörter Dritten zu senden, und drittens kommt ja noch hinzu,
dass Passwörter fast nur gehasht vorliegen, das Hashing-Verfahren aber bei
jedem Account doch wohl unterschiedlich sein dürfte und somit das Passwort
ja überhaupt nicht verglichen werden kann, sondern nur ein Hashwert mit
unbekannter Berechnungsgrundlage. Selbst wenn ich alle jemals verwendeten
Passwörter testen würde muß daher das Ergebnis mit größter
Wahrscheinlichkeit immer negativ ausfallen.nd wird mir also nie einen
Treffer liefern.
Was also bleibt dann von haveibeenpwned.com mehr an Nutzen übrig als die
Gewissheit, dass meine Mailadresse auch Gaunern bekannt ist? Das ist die
Nummer meines Bankkontos auch.
eigentlich? Die Adresse ist ja öffentlich und daher kein Geheimnis, ich weiß
somit nur, daß meine Adresse in einer Liste angeblich geknackter Accounts
steht, aber diese Liste kann ja auch mit einem beliebig erfundenen Passwort
nur zwecks Volumenerweiterung angereichert worden sein.
haveibeenpwned.com bietet mir zwar an, ein Passwort einzugeben, damit
geprüft werden könne, ob auch dieses Passwort verknüpft sei, aber erstens
nutze ich meine Adresse an jedem Account mit einem anderen Passwort und
müsste Dutzende Abfragen machen, um den kompromitierten Account zu finden,
zweitens erscheint es mir nicht sehr schlau zu sein, meine sämtlichen jemals
verwendeten Passwörter Dritten zu senden, und drittens kommt ja noch hinzu,
dass Passwörter fast nur gehasht vorliegen, das Hashing-Verfahren aber bei
jedem Account doch wohl unterschiedlich sein dürfte und somit das Passwort
ja überhaupt nicht verglichen werden kann, sondern nur ein Hashwert mit
unbekannter Berechnungsgrundlage. Selbst wenn ich alle jemals verwendeten
Passwörter testen würde muß daher das Ergebnis mit größter
Wahrscheinlichkeit immer negativ ausfallen.nd wird mir also nie einen
Treffer liefern.
Was also bleibt dann von haveibeenpwned.com mehr an Nutzen übrig als die
Gewissheit, dass meine Mailadresse auch Gaunern bekannt ist? Das ist die
Nummer meines Bankkontos auch.
Thomas Hochstein
Jun 19, 2021, 12:00:02 PM6/19/21
to
Wendelin Uez schrieb:
> Die melden zwar, meine Mailadresse sei "pwned", aber was besagt das
> eigentlich?
Dass die Adresse - und andere damit verknüpfte Daten - aufgrund
mindestens eines Vorfalls ungewollt veröffentlicht wurden oder
sonstwie an Dritte gelangt sind.
> Die Adresse ist ja öffentlich und daher kein Geheimnis, ich weiß
> somit nur, daß meine Adresse in einer Liste angeblich geknackter Accounts
> steht, aber diese Liste kann ja auch mit einem beliebig erfundenen Passwort
> nur zwecks Volumenerweiterung angereichert worden sein.
Erstes ist das wenig wahrscheinlich, zweitens wird Dir ja gezeigt, in
welchen Datensammlungen Deine Mailadresse enthalten war.
Am Beispiel einer meiner Mailadressen:
| Breaches you were pwned in
|
| Adobe: In October 2013, 153 million Adobe accounts were breached with
| each containing an internal ID, username, email, encrypted password
| and a password hint in plain text. [...]
|
| Compromised data: Email addresses, Password hints, Passwords,
| Usernames
|
| Data Enrichment Exposure From PDL Customer: In October 2019, security
| researchers Vinny Troia and Bob Diachenko identified an unprotected
| Elasticsearch server holding 1.2 billion records of personal data.
| [...]
|
| Compromised data: Email addresses, Employers, Geographic locations,
| Job titles, Names, Phone numbers, Social media profiles
|
| GeekedIn: In August 2016, the technology recruitment site GeekedIn
| left a MongoDB database exposed and over 8M records were extracted by
| an unknown third party. [...]
|
| Compromised data: Email addresses, Geographic locations, Names,
| Professional skills, Usernames, Years of professional experience
|
| Kickstarter: In February 2014, the crowdfunding platform Kickstarter
| announced they'd suffered a data breach. [...]
|
| Compromised data: Email addresses, Passwords
|
| NemoWeb: In September 2016, almost 21GB of data from the French
| website used for "standardised and decentralized means of exchange
| for publishing newsgroup articles" NemoWeb was leaked from what
| appears to have been an unprotected Mongo DB. [...]
|
| Compromised data: Email addresses, Names
|
| Verifications.io: In February 2019, the email address validation
| service verifications.io suffered a data breach. [...]
|
| Compromised data: Dates of birth, Email addresses, Employers,
| Genders, Geographic locations, IP addresses, Job titles, Names, Phone
| numbers, Physical addresses
> haveibeenpwned.com bietet mir zwar an, ein Passwort einzugeben, damit
> geprüft werden könne, ob auch dieses Passwort verknüpft sei, aber erstens
> nutze ich meine Adresse an jedem Account mit einem anderen Passwort und
> müsste Dutzende Abfragen machen, um den kompromitierten Account zu finden,
Diese Information wird Dir bei Eingabe der Mailadresse mitgeliefert.
> zweitens erscheint es mir nicht sehr schlau zu sein, meine sämtlichen jemals
> verwendeten Passwörter Dritten zu senden,
Freilich. Du kannst aber ja die Datenbank der betroffenen Passworte
herunterladen. Die sind zwar gehasht (weil die Passworte selbst
teilweise persönliche Daten offenbaren), aber das ermöglicht Dir ja
dennoch einen Vergleich.
> und drittens kommt ja noch hinzu,
> dass Passwörter fast nur gehasht vorliegen,
Die Passworte, die in der Sammlung enthalten sind, liegen im Klartext
vor. Sie wurden nur für das Download-Angebot gehasht, und zwar in zwei
definierten Formaten.
All das ist aber auf der Webseite ausführlich dokumentiert.
> Was also bleibt dann von haveibeenpwned.com mehr an Nutzen übrig als die
> Gewissheit, dass meine Mailadresse auch Gaunern bekannt ist?
Du erhältst die Information, dass Deine Mailadresse und ggf. weitere
Daten (nicht notwendig Passwörter, sondern auch Namen, Geburtsdaten,
Social-Media-Profile, Adressen uws.) publik geworden sind, und wo
diese Daten aufgetaucht sind, bzw. aus welcher Quelle.
Wenn Dich das interessiert, dann kannst Du diese Information nutzen;
interessiert es Dich nicht, dann lässt Du es.
-thh
> Die melden zwar, meine Mailadresse sei "pwned", aber was besagt das
> eigentlich?
mindestens eines Vorfalls ungewollt veröffentlicht wurden oder
sonstwie an Dritte gelangt sind.
> Die Adresse ist ja öffentlich und daher kein Geheimnis, ich weiß
> somit nur, daß meine Adresse in einer Liste angeblich geknackter Accounts
> steht, aber diese Liste kann ja auch mit einem beliebig erfundenen Passwort
> nur zwecks Volumenerweiterung angereichert worden sein.
welchen Datensammlungen Deine Mailadresse enthalten war.
Am Beispiel einer meiner Mailadressen:
| Breaches you were pwned in
|
| Adobe: In October 2013, 153 million Adobe accounts were breached with
| each containing an internal ID, username, email, encrypted password
| and a password hint in plain text. [...]
|
| Compromised data: Email addresses, Password hints, Passwords,
| Usernames
|
| Data Enrichment Exposure From PDL Customer: In October 2019, security
| researchers Vinny Troia and Bob Diachenko identified an unprotected
| Elasticsearch server holding 1.2 billion records of personal data.
| [...]
|
| Compromised data: Email addresses, Employers, Geographic locations,
| Job titles, Names, Phone numbers, Social media profiles
|
| GeekedIn: In August 2016, the technology recruitment site GeekedIn
| left a MongoDB database exposed and over 8M records were extracted by
| an unknown third party. [...]
|
| Compromised data: Email addresses, Geographic locations, Names,
| Professional skills, Usernames, Years of professional experience
|
| Kickstarter: In February 2014, the crowdfunding platform Kickstarter
| announced they'd suffered a data breach. [...]
|
| Compromised data: Email addresses, Passwords
|
| NemoWeb: In September 2016, almost 21GB of data from the French
| website used for "standardised and decentralized means of exchange
| for publishing newsgroup articles" NemoWeb was leaked from what
| appears to have been an unprotected Mongo DB. [...]
|
| Compromised data: Email addresses, Names
|
| Verifications.io: In February 2019, the email address validation
| service verifications.io suffered a data breach. [...]
|
| Compromised data: Dates of birth, Email addresses, Employers,
| Genders, Geographic locations, IP addresses, Job titles, Names, Phone
| numbers, Physical addresses
> haveibeenpwned.com bietet mir zwar an, ein Passwort einzugeben, damit
> geprüft werden könne, ob auch dieses Passwort verknüpft sei, aber erstens
> nutze ich meine Adresse an jedem Account mit einem anderen Passwort und
> müsste Dutzende Abfragen machen, um den kompromitierten Account zu finden,
> zweitens erscheint es mir nicht sehr schlau zu sein, meine sämtlichen jemals
> verwendeten Passwörter Dritten zu senden,
herunterladen. Die sind zwar gehasht (weil die Passworte selbst
teilweise persönliche Daten offenbaren), aber das ermöglicht Dir ja
dennoch einen Vergleich.
> und drittens kommt ja noch hinzu,
> dass Passwörter fast nur gehasht vorliegen,
vor. Sie wurden nur für das Download-Angebot gehasht, und zwar in zwei
definierten Formaten.
All das ist aber auf der Webseite ausführlich dokumentiert.
> Was also bleibt dann von haveibeenpwned.com mehr an Nutzen übrig als die
> Gewissheit, dass meine Mailadresse auch Gaunern bekannt ist?
Daten (nicht notwendig Passwörter, sondern auch Namen, Geburtsdaten,
Social-Media-Profile, Adressen uws.) publik geworden sind, und wo
diese Daten aufgetaucht sind, bzw. aus welcher Quelle.
Wenn Dich das interessiert, dann kannst Du diese Information nutzen;
interessiert es Dich nicht, dann lässt Du es.
-thh
Arno Welzel
Jun 20, 2021, 1:22:57 PM6/20/21
to
Wendelin Uez:
> Die melden zwar, meine Mailadresse sei "pwned", aber was besagt das
> eigentlich? Die Adresse ist ja öffentlich und daher kein Geheimnis, ich weiß
[...]
Ja, *deine* Adresse ist öffentlich. Das gilt aber nicht für *jede*
Adresse. Wenn Adressen dort auftauchen, wurden sie auf öffentlichen
Listen gefunden, meist auch zusammen mit Passwörtern und weiteren Daten,
die vermutlich nicht für die Öffentlichkeit gedacht sind.
Ich habe z.B. auch etliche Adressen, die nur für Online-Shops erstellt
wurden und daher nur den jeweiligen Shops und mir bekannt sein sollten.
Wenn jemals so eine Adresse bei haveibeenpwned.com auftaucht, weiß ich,
dass der Online-Shop offenbar Mist gebaut hat.
--
Arno Welzel
https://arnowelzel.de
> Die melden zwar, meine Mailadresse sei "pwned", aber was besagt das
> eigentlich? Die Adresse ist ja öffentlich und daher kein Geheimnis, ich weiß
Ja, *deine* Adresse ist öffentlich. Das gilt aber nicht für *jede*
Adresse. Wenn Adressen dort auftauchen, wurden sie auf öffentlichen
Listen gefunden, meist auch zusammen mit Passwörtern und weiteren Daten,
die vermutlich nicht für die Öffentlichkeit gedacht sind.
Ich habe z.B. auch etliche Adressen, die nur für Online-Shops erstellt
wurden und daher nur den jeweiligen Shops und mir bekannt sein sollten.
Wenn jemals so eine Adresse bei haveibeenpwned.com auftaucht, weiß ich,
dass der Online-Shop offenbar Mist gebaut hat.
--
Arno Welzel
https://arnowelzel.de
Wendelin Uez
Jun 23, 2021, 10:57:54 AM6/23/21
to
> Ich habe z.B. auch etliche Adressen, die nur für Online-Shops erstellt
> wurden und daher nur den jeweiligen Shops und mir bekannt sein sollten.
> Wenn jemals so eine Adresse bei haveibeenpwned.com auftaucht, weiß ich,
> dass der Online-Shop offenbar Mist gebaut hat.
Hatte ich anfangs auch so, leider wurden es im Lauf der Zeit immer mehr
> wurden und daher nur den jeweiligen Shops und mir bekannt sein sollten.
> Wenn jemals so eine Adresse bei haveibeenpwned.com auftaucht, weiß ich,
> dass der Online-Shop offenbar Mist gebaut hat.
Shops aund 1&1 hat irgendwann noch die Maximalzahl meiner Mailadressen
klammheimlich reduziert, so daß ich es aufgegeben habe :-(
0 new messages