Matroids Matheplanet Forum Index
Moderiert von matroid
Matroids Matheplanet Forum Index » Matheplanet » Meine Stellungnahme zu Passwort-Leaks
Druckversion
Druckversion
Antworten
Antworten
Autor
Kein bestimmter Bereich Meine Stellungnahme zu Passwort-Leaks
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 14234
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Themenstart: 2019-01-26

\(\begingroup\)\(\newcommand{\IX}{\mathbb{X}} \newcommand{\IW}{\mathbb{W}} \)
Liebe Mitglieder,

da aufgrund von aktuellen Berichten über ein gigantisches Datenleck das Thema jetzt sehr viel Aufmerksamkeit erregt, möchte ich meine Stellungnahme zu einem Vorkommnis auf dem Matheplanet mit meinem gegenwärtigen Erkenntnisstand zusammenfassen.

Aus Anlass des gemeldeten Datenlecks "Collection1" prüfen nun viel Menschen bei dem Dienst des Hasso-Plattner-Instituts (HPI), ob sie betroffen sind.

Viele Mitglieder des Matheplaneten finden dort zu ihrer Mail-Adresse eine Information über ein Datenleck auf dem Matheplaneten.

Ich hatte bereits im Dezember dazu informiert, siehe LinkMeldung eines Datenleaks auf dem MP

Ich konnte in der Zwischenzeit eingrenzen, dass zwischen dem 20. und 28. Februar 2016 der Datendiebstahl stattgefunden haben muss, denn es sind anscheinend alle Mitglieder betroffen, die vor dem 20.2.2016 Mitglied geworden sind, aber es sind keine Mitglieder betroffen, die ab dem 28.2.2016 Mitglied geworden sind.

Das HPI gibt als Datum des Vorkommnisses den Mail 2017 an. Ich nehme an, dass dies der Zeitpunkt ist, an dem HPI Daten aus dem Datenleak identifiziert hat. Es ist aber nicht das Datum der tatsächlichen Datenschutzverletzung. Diese war, so meine Recherche, im Februar 2016.

Bei diesem Datendiebstahl sind die Mail-Adressen und dazu die Passwörter, diese aber in verschlüsselter Form, gestohlen worden.

In der Zwischenzeit, nämlich am 20.3.2016, wurden Vorkehrungen getroffen, die Daten der Accounts besser zu schützen.
Diese zusätzlichen Maßnahmen sind offenbar wirksam, können aber das frühere Ereignis nicht wieder gutmachen.

Ich bedaure das Vorkommnis sehr.

<Hier beginnt eine etwas detailliertere Erläuterung>
Da ich häufig gefragt werden, was denn "verschlüsselte Form" beim Passwort bedeutet, möchte ich es so erklären:

Die Mail-Adresse hat man im Klartext in der Datenbank gefunden.

Das Passwort ist aber in der Datenbank nicht im Klartext sondern nur verschlüsselt gespeichert gewesen.

Ein solches verschlüsseltes Passwort sieht vielleicht so aus: $1$PutQ6.Ef$8ltlkgtMdk1OFgULgc5Ug/

Die Verschlüsselung ist eine one-way-Verschlüsselung. Kennt man den Key, so kann man das Passwort, das der Benutzer bei einer Anmeldung eingibt, damit ebenfalls verschlüsseln und wenn das Ergebnis mit dem früher gespeicherten Passwort-String übereinstimmt, erhält der Benutzer Zugang.

Wer die one-way-Verschlüsselung kennt, weiß aber nicht, welches Klartext-Passwort er eingeben müsste, um diesen one-way-String zu erhalten.

Man könnte natürlich anfangen zu raten, etwa indem  man sehr einfache und dennoch oft verwendete Passwörter nutzt. So soll z.B. 123456 das häufigste Passwort sein.
(Darum empfiehlt man heute ja stärkere Passwörter zu verwenden.)
Aber selbst das hat nur sehr geringe Aussichten, denn die Verschlüsselung zum one-way wird außerdem noch je Account mit einem geheimen, zweiten Key verschlüsselt. Diesen zweiten Bestandteil der Verschlüsselung nennt man „Salt“.

Was heißt das praktisch: Sollten 2 Accounts beide das gleiche Passwort 123456 haben, so sehen die one-way-Strings, die aus dem Passwort generiert werden und später zum Passwortvergleich verwendet werden,  verschieden aus. Der Hacker müsste also nicht nur das (mehr oder weniger gängige) Passwort raten, er muss zudem auch noch einen weiteren unbekannten Bestandteil, den zweiten Key, raten.

Was meine ich mit "raten"? Professionelle Angreifer würde das mit Hilfe von Computer-Programmen tun, mit denen sie in sehr kurzer Zeit Millionen von Kombinationen versuchen können. Die Sicherheit einer Verschlüsselung bemisst sich in der Anzahl der Jahre, die ein Angreifer benötigte, den Code durch Computerprogramme zu knacken.

Es müsste schon ein besonderes Interesse sein, das einen Angreifer dazu bringen könnte, diese Mühe für eine Passwortinformation, die er auf dem Matheplaneten gefunden hat, aufzuwenden. Übrigens: Der Matheplanet ist in guter, besser gesagt schlechter Gesellschaft. Dropbox oder Facebook haben Datenlecks, von denen jeweils viele Millionen Benutzer betroffen sind. Ich will hier nicht relativieren. Ich will damit sagen: Hacker haben so viel Auswahl.

Ärgerlicher und relevanter finde ich, dass Email-Adressen im Umlauf geraten sind.
Das kann zu unerwünschtem Spam führen. Spam wiederum ist mindestens lästig und manchmal sogar gefährlich, wenn sich darin Viren verstecken und man diese ungewollt aktiviert.
<<<Hier endet die etwas detailliertere Erläuterung>


Ich hoffe, die Informationen und Erklärungen, die ich hier mitteile, helfen den Mitgliedern, die Betroffenenheit bzw. das Risiko einzuschätzen.

Wer noch Fragen hat, kann sich gern an mich wenden, hier im Forum oder mit einer privaten Nachricht oder per Mail.

Viele Grüße
Matroid

\(\endgroup\)


Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
Triceratops
Wenig Aktiv Letzter Besuch: vor mehr als 3 Monaten
Dabei seit: 28.04.2016
Mitteilungen: 4319
Aus: Berlin
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.1, eingetragen 2019-01-27


@matroid: Danke für die ausführlichen Informationen.

Tipp @alle: Nutzt Multi-Faktor-Authentifizierung bei den Diensten, die es anbieten (Authenticator Apps oder Security Tokens).

PS: Bin nur kurz eingeloggt, um das PW zu ändern.



Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
emmi82
Senior Letzter Besuch: im letzten Monat
Dabei seit: 06.05.2013
Mitteilungen: 410
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.2, eingetragen 2019-03-14


Hi,

Multi-Faktor-Authentifizierung wird demnächst auch bei Banken vorgeschrieben. Man hat z. B. ein Gerät zusätzlich zum PC, wie ein TAN-Generator.

emmi



Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
Bernhard
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 01.10.2005
Mitteilungen: 6255
Aus: Merzhausen, Deutschland
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.3, eingetragen 2019-07-29


Hallo Matroid!

Inwieweit ist die Gefahr, die von den Passwort-Leaks ausging, nocht aktuell?
Gerade jetzt mit dem Serverumzug wirst Du ja wohl auch hinsichtlich solcher Risiken die Sicherheit überprüft haben.

Viele Grüße, Bernhard


-----------------
"Wichtig ist, daß man nie aufhört zu fragen"
"Weisheit ist nicht das Ergebnis der Schulbildung, sondern des lebenslangen Versuches, sie zu erwerben"
Albert Einstein



Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
Slash
Aktiv Letzter Besuch: in der letzten Woche
Dabei seit: 23.03.2005
Mitteilungen: 7928
Aus: Cuxhaven-Sahlenburg
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.4, eingetragen 2019-08-19


Mann, dieser Thread klebt aber wirklich mit Superkleber am schwarzen Brett. Was ist denn aus den guten alten Pinnwandsteckern geworden?

Gruß, Zwinker und Grins...

Slash 😎


-----------------
Bound to be disappointing so why wait?



Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 14234
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.5, vom Themenstarter, eingetragen 2020-01-05


Hi Alle,

ich sehe mich verpflichtet, zu erklären, warum es ein PW-Leak gegeben hat und was dagegen unternommen wurde.

Ich verweise auch immer wieder Email-Sender auf diesen Thread. Bis jedermann bei mir wegen der Sicherheit seiner Daten nachgefragt hat, wird noch viel Zeit vergehen.

Gruß
Matroid



Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
liguria
Junior Letzter Besuch: im letzten Quartal
Dabei seit: 15.09.2019
Mitteilungen: 10
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.6, eingetragen 2020-01-22


Wurde der Leak eigentlich wie vorgeschrieben der zuständigen Aufsichtsbehörde gemeldet?



Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 14234
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.7, vom Themenstarter, eingetragen 2020-02-16


Hallo liguria,

es ist keine Meldung erfolgt, weil damals (2016) die DSGVO noch nicht galt. Im Hinblick auf eine Verpflichtung zur nachträgliche Meldung früherer Vorkommnisse finde ich keinen Kommentar.

Diese Meldung hier stellt meine öffentliche Benachrichtigung dar, denn es ist mir nicht möglich, alle Betroffenen individuell zu benachrichtigen.
Der Aufwand wäre unverhältnismäßige groß, darum hier die öffentliche Benachrichtigung/Bekanntmachung. Von einem solchen unverhältnismäßigen Aufwand ist etwa auszugehen, wenn keine oder nur veraltete Kontaktdaten zur individuellen Benachrichtigung vorhanden sind und aktuelle erst ermittelt werden müssten oder diese Ermittlung gar nicht mehr möglich ist.
Bei einer öffentlichen Benachrichtigung ist die „gleiche Wirksamkeit“ im Vergleich zur Individualbenachrichtigung z.B. per Brief oder E-Mail wichtig. Die öffentliche Benachrichtigung kann – je nach Möglichkeit der Kenntnisnahme der Betroffenen – auch über das Internet erfolgen.

Darum bleibt diese Bekanntmachung bis auf Weiteres am Schwarzen Brett exponiert - auch wenn das Vorkommnis schon vor (jetzt) 4 Jahren eingetreten ist. Die Betroffenen interessieren sich (möglicherweise) noch heute für dafür.

Gruß
Matroid



Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
liguria
Junior Letzter Besuch: im letzten Quartal
Dabei seit: 15.09.2019
Mitteilungen: 10
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.8, eingetragen 2020-04-06


2020-02-16 21:07 - matroid in Beitrag No. 7 schreibt:
es ist keine Meldung erfolgt, weil damals (2016) die DSGVO noch nicht galt. Im Hinblick auf eine Verpflichtung zur nachträgliche Meldung früherer Vorkommnisse finde ich keinen Kommentar.

Es ist auf den Zeitpunkt des Bekanntwerdens des Leaks abzustellen. Das war der Dezember 2018, die DSGVO war da bereits in Kraft.

Dazu bedarf es im Übrigen keines Kommentares, das ist schon dem Wortlaut des Gesetzes zu entnehmen ("nachdem ihm die Verletzung bekannt wurde").



Eine Notiz zu diese Forumbeitrag schreiben Notiz   Profil  Quote  Link auf diesen Beitrag Link
matroid hat die Antworten auf ihre/seine Frage gesehen.
Neues Thema [Neues Thema] Antworten [Antworten]    Druckversion [Druckversion]

 


Wechsel in ein anderes Forum:
 Suchen    
 
All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © 2001-2020 by Matroids Matheplanet
This web site was originally made with PHP-Nuke, a former web portal system written in PHP that seems no longer to be maintained nor supported. PHP-Nuke is Free Software released under the GNU/GPL license.
Ich distanziere mich von rechtswidrigen oder anstößigen Inhalten, die sich trotz aufmerksamer Prüfung hinter hier verwendeten Links verbergen mögen.
Lesen Sie die Nutzungsbedingungen, die Distanzierung, die Datenschutzerklärung und das Impressum.
[Seitenanfang]