Hallo,
wieder einmal liest man Horrormeldungen über gehackte Email-Passwörter. Leider sind die in der Regel so unkonkret, dass man damit nur wenig anfangen kann, wie ich finde.
Wenn jemand mein Passwort für meinen Mail-Zugang knacken will, hat er doch nur max. 4 Versuche, oder? Wenn ich da ein kompliziertes Passwort habe, dürfte man durch nur per Zufall da rein kommen. Oder wird das Passwort bei jedem Mail irgendwo versteckt mitgesendet? Oder haben die Hacker die Datenbank eines Servers geknackt, wo die Passwörter ja wohl auch drin sind? Wenn ja, warum wird dann nicht verraten, welcher Server geknackt wurde (gmx, web, googlemail, t-online usw.)?
Also: Wie muss ich mir diese Hackerei technisch vorstellen?
Es heißt, dass die Betroffenen benachrichtigt werden. Aber wie, auch wieder über das geschundene Email-Konto? Und woher soll ich dann sicher sein, dass diese Nachricht nicht auch eine vom Hacker fingierte ist?
Letzte Frage: Wenn das Konto geknackt ist, kann der Hacker dann auch bei amazon o.ä. auf meine Kosten einkaufen, obwohl ich dort ein völlig anderes Passwort habe?
Gruß,
lynndinn
Wenn jemand mein Passwort für meinen Mail-Zugang knacken will,
hat er doch nur max. 4 Versuche, oder?
Nein. Es mag Provider geben, die das Konto nach n Fehlversuchen sperren, das ist aber nicht zwingend. Das ist aber auch nicht der Weg, auf dem Kriminelle an die Passwörter kommen. Die werden vielmehr auf infizierten Geräten von Trojanern oder Keyloggern ausgespäht und an einen Kommando-Server weitergereicht.
Oder wird das Passwort bei jedem Mail irgendwo
versteckt mitgesendet?
Nein
Oder haben die Hacker die Datenbank
eines Servers geknackt, wo die Passwörter ja wohl auch drin sind?
Da werden keine Passwörter gespeichert, sondern Hashes, die aus dem Passwort errechnet werden, aus denen sich aber nicht umgekehrt das Passwort wieder errechnen lässt. Für einfache Passwörter kann ein Krimineller aber selbst Hashes errechnen und die dann gegebenenfalls mit einer gehackten Hashtabelle vergleichen. Ist der Hash identisch, kennt er auch das Passwort.
Es heißt, dass die Betroffenen benachrichtigt werden. Aber
wie, auch wieder über das geschundene Email-Konto?
Das werden die Behörden demnächst entscheiden. Abwarten.
Letzte Frage: Wenn das Konto geknackt ist, kann der Hacker
dann auch bei amazon o.ä. auf meine Kosten einkaufen, obwohl
ich dort ein völlig anderes Passwort habe?
Ja. Er meldet bei Amazon, dass er sein - dein - Passwort vergessen habe und fängt dann auf deinem Konto die Rücksetznachricht von Amazon ab. Und schon ist er Herr über dein Amazonkonto und kann sogar verhindern, dass du die Herrschaft über dein eigenes Konto wiedererlangt.
Gruß
P.S.
Ja. Er meldet bei Amazon, dass er sein - dein - Passwort
vergessen habe und fängt dann auf deinem Konto die
Rücksetznachricht von Amazon ab. Und schon ist er Herr über
dein Amazonkonto und kann sogar verhindern, dass du die
Herrschaft über dein eigenes Konto wiedererlangt.
Amazon hat noch ein paar Hürden eingebaut, die ein Angreifer nicht ganz so leicht überwinden kann. Die dafür benötigten Informationen findet er aber u. U. in deiner Korrespondenz.
danke, Herrmann, für die aufschlussreiche Antwort. Gleich eine Anschlussfrage: Unbekannte Mails und Spams lösche ich ohnehin ohne sie zu öffnen, und mein Rechner ist mit einem Virenschutz ziemlich gut up-to-date. Wie ist das aber, wenn ein Freund einen infizierten Rechner hat (ohne es zu wissen) und mich anmailt. Kann ich mir schon dadurch einen Trojaner etc. einfangen, wenn ich das Mail empfange und den Fließtext lese, oder gilt das „nur“, wenn ich einen Anhang öffne, also irgendetwas aktiv anklicke?
Zusatzfrage
Hallo,
welches Passwort kann betroffen sein? Das mit dem die E-Mails auf der Webseite des Providers von jedem vernetzten Rechner aus abgerufen werden können? Oder das, mit dem man die E-Mails vom eigenen Rechner aus über ein Mailprogramm abruft?
Freundliche Grüße
Martin
Kann ich mir schon dadurch einen Trojaner etc.
einfangen, wenn ich das Mail empfange und den Fließtext lese,
oder gilt das „nur“, wenn ich einen Anhang öffne, also
irgendetwas aktiv anklicke?
Selbst das Öffnen des Anhangs ist i. d. R noch ungefährlich, da die Schädlinge, um einfache automatisierte Prüfungen auszutricksen, fast immer nochmals verpackt sind. Auch kenne ich keine derzeit aktiven Schädlinge, die sich an andere Mails ‚anhängen‘. Wenn dein Freund dir eine Mail schreibt, wird also nicht automatisch ein Trojaner angehängt - aber der Trojaner kann im Namen deines Freundes verschickt werden, und das ist nicht immer gleich transparent.
Es ist grundsätzlich unproblematisch, eine Mail zu öffnen und den Text zu lesen, bevor du entscheidest, ob sie echt ist oder ob du sie besser verwirfst. Das ist sogar empfehlenswert, wenn du in irgendeiner Weise im geschäftlichen Verkehr deine Mailadresse nutzt. Wenn du sie z. B. deinem Vermieter gegeben hast o. ä.
Wenn du dann feststellst, dass die Mail offenkundig nicht legitim ist, ist es allerdings höchst sinnvoll, Anhänge nicht zu öffnen und Links in der Mail nicht zu folgen, solange du nicht genau weisst, was du tust. Und auch bei (vordergründig) legitimen Mails sollte man darauf acht haben, um was für Anhänge es sich handelt oder wo die Links hinzeigen.
Ein Anhang ‚urlaubsfoto.jpg‘ z. B. ist sicher unkritisch, wenn du weisst, dass der Absender gerade im Urlaub istnd du mit seiner Mail rechnen kannst. Bei einem Anhang ‚urlaubsfoto.zip‘ ist hingegen schon Vorsicht geboten - warum wird das Foto zusätzlich in ein zip-Archiv verpackt? Bei ‚urlaubsfoto.jpg.zip‘ (derzeit sehr beliebt: Rechnung.pdf.zip) sollten die Alarmglocken schrill klingeln, und kommt die Datei gar frech als ‚urlaubsfoto.exe‘ an, sollte die Maus gleich zum Löschknopf fahren.
Auch bei Links in Mails ist Vorsicht geboten. Die sollte man eigentlich nie ohne weiteres anklicken, sondern stattdessen rechte Maustaste auf den Link, „Link-Adresse kopieren“ o. ä. und dann im Browser in der Adresszeile, wieder über die rechte Maustaste, einfügen. Nur so sieht man, wohin der Link tatsächlich führt, und wenn die Linkadresse offenkundig dubios ist, sollte man wenigstens Javascripts im Browser abschalten, bevor man ihr schließlich folgt.
Gruß
ja, Martin, eine interessante Frage, deren Antwort mich auch interessieren würde. Ich meinte das Passwort für den Provider-Zugang. Über das Passwort, mit dem man auf der Website seines Providers auf „Mein Konto“ kommt, dürfte man nicht so schnell Probleme bekommen, wenn ich das richtig sehe. Zwar sieht dann der Hacker deine persönlichen Daten, aber nicht dein Zugangspasswort. Um dort das Passwort einzugeben, müsste er ja erst das „alte“ PW angeben. Und da wären wir wieder bei meiner Ausgangsfrage.
welches Passwort kann betroffen sein? Das mit dem die E-Mails
auf der Webseite des Providers von jedem vernetzten Rechner
aus abgerufen werden können? Oder das, mit dem man die E-Mails
vom eigenen Rechner aus über ein Mailprogramm abruft?
Das liegt, bezogen auf den aktuellen Vorfall, völlig in den Wolken. Es ist eine Datenbank mit 18 Mio. Paaren von Mailadressen und Kennwörtern aufgetaucht. Ob diese Paarungen aber zu Mailkonten gehören oder zu irgendwelchen anderen Diensten - z. B. bei werweisswas meldest du dich ebenfalls mit einem solchen Paar an - ist nicht bekannt.
Gruß
Erstmal vielen Dank für die Antworten.
Martin
Hallo,
Oder haben die Hacker die Datenbank
eines Servers geknackt, wo die Passwörter ja wohl auch drin sind?
Da werden keine Passwörter gespeichert, sondern Hashes
Du Optimist!
Ich gebe zu, es ist schon etwas her, seit GMX APOP unterstützte …
Gruß,
Sebastian
Du Optimist!
Passwörter im Klartext braucht dank ssl-Debakel doch kein Mensch mehr!
Patch Day, Hooray!
Hi,
Du Optimist!
ssl-Debakel […] Patch Day, Hooray!
It’s not a bug, it’s a feature. Wurde ja mal zeit, daß die ganzen ranzigen Serverkeys mit irgenwas zwischen 512Bit und 2 Bit ausgetauscht wurden. Ohne etwas sanften Druck macht doch keiner mal wirklich aktuelle Keys mit 4096 Bier …
Gruß,
Sebastian