Die Mathe-Redaktion - 26.05.2019 05:45 - Registrieren/Login
Auswahl
ListenpunktHome
ListenpunktAktuell und Interessant ai
ListenpunktArtikelübersicht/-suche
ListenpunktAlle Links / Mathe-Links
ListenpunktFach- & Sachbücher
ListenpunktMitglieder / Karte / Top 15
ListenpunktRegistrieren/Login
ListenpunktArbeitsgruppen
ListenpunktSchwätz
ListenpunktWerde Mathe-Millionär!
ListenpunktAnmeldung MPCT Sept.
ListenpunktFormeleditor fedgeo
Schwarzes Brett
Aktion im Forum
Suche
Stichwortsuche in Artikeln und Links von Matheplanet
Suchen im Forum
Suchtipps

Bücher
Englische Bücher
Software
Suchbegriffe:
Mathematik bei amazon
Naturwissenschaft & Technik
In Partnerschaft mit Amazon.de
Kontakt
Mail an Matroid
[Keine Übungsaufgaben!]
Impressum

Bitte beachten Sie unsere Nutzungsbedingungen, die Distanzierung, unsere Datenschutzerklärung und
die Forumregeln.

Sie können Mitglied werden. Mitglieder können den Matheplanet-Newsletter bestellen, der etwa alle 2 Monate erscheint.

Der Newsletter Okt. 2017

Für Mitglieder
Mathematisch für Anfänger
Wer ist Online
Aktuell sind 364 Gäste und 1 Mitglieder online.

Sie können Mitglied werden:
Klick hier.

Über Matheplanet
 
Zum letzten Themenfilter: Themenfilter:
Matroids Matheplanet Forum Index
Moderiert von matroid
Matroids Matheplanet Forum Index » Matheplanet » Meldung eines Datenleaks auf dem MP
Druckversion
Druckversion
Antworten
Antworten
Autor
Kein bestimmter Bereich Meldung eines Datenleaks auf dem MP
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Themenstart: 2018-12-29


Ich habe Hinweise erhalten, dass Mail-Adressen der Mitglieder des Matheplaneten "gestohlen" worden sind.

Das erschreckt mich. Ich hatte die Informationen sicherer geglaubt. So werden seit März 2016 die Email-Adressen auf dem MP nicht im Klartext sondern nur verschüsselt aufbewahrt.
Ich weiß, dass Anfang 2016 sich mindestens ein Mitglied über Spam an seine Mail-Adresse beklagt hat. Die Einführung der Verschlüsselung war eine Reaktion darauf. Siehe LinkE-Mail-Adressen vom Matheplanet entwendet?

In der letzten Zeit habe ich drei konkrete Meldungen erhalten, dass Mitglieder ihre Mail-Adressse als gestohlen erkannten.

Ein Leak von Mai 2017 würde bedeuteten, dass auch die Verschlüsselung geknackt worden ist. Aber die HPI-Website schließt (aus meiner Sicht) nicht aus, dass es sich auch um ältere Daten handeln könnte.

Ich sehe mich nicht in der Lage, Informationen über das Geschehen vor anderthalb Jahren zu finden (in den Server-Logs).


Was ist nun zu tun?

1) Es gibt dazu einen Service vom Hasso-Plattner-Institut (HPI), hier zu finden: sec.hpi.de/ilc/
Man kann über die Site HPI testen, ob man "dabei" ist.

2) Ist man betroffen, empfiehlt das HPI das Kennwort zu ändern, wenn es seitdem noch das Gleiche ist.
Anmerkung dazu: Die Passwörter werden auf dem MP nicht im Klartext gespeichert, sondern als one-way-hash.

3) Ich überlege, wie ich die Mail-Adressen sicherer verwahren kann und wie der unberechtigte Zugriff auf solche Daten verhindert werden kann.

4) Mich interessiert sehr, ob es sein kann, dass die Mail-Adressen tatsächlich erst im Mai 2017 oder doch schon bis/vor März 2016 "gestohlen" wurden. Ich kann beim HPI nicht für andere Mail-Adressen den Test machen. Aber falls jemand unter euch ist, der zwischen April 2016 und April 2017 Mitglied geworden ist, würde mich die Auskunft, die er/sie/divers vom HPI erhält sehr interessieren.
Ebenso kann aber auch wichtig sein zu erkennen, ob auch von neueren Mitglieder die Mail-Adressen in der HPI-Datenbank erscheinen.
Wer mich beim Nachdenken unterstützen will, soll mir bitte sein Testergebnis gern mitteilen.

Gruß
Matroid







  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.1, vom Themenstarter, eingetragen 2018-12-29


Zur Ergänzung: Bei den HPI-Informationen ist für Datenleak Matheplanet als "Betroffener Dienst" matheplanet.com eingetragen.
Wenn man sich in dieser HPI-Datei mit einem anderen Dienstnamen findet, ist die Ursache ein Leak in einem anderen Dienst (Internet-Angebot).

So sieht das i.Zshg. mit MP aus:


Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
pzktupel
Aktiv Letzter Besuch: in der letzten Woche
Dabei seit: 02.09.2017
Mitteilungen: 928
Aus: Thüringen,Erfurter Raum
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.2, eingetragen 2018-12-29


Ich bin sauber, Einstieg Sep. 2017

Gruß


-----------------
Pech in der Liebe , Glück im Verlieren !!!



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.3, vom Themenstarter, eingetragen 2018-12-29


Danke @pzktupel
Aktueller Zwischenstand:
2 Mitglieder mit Eintritt ab 2018 sind nicht betroffen.
5 Mitglieder mit Eintritt vor 2016 sind betroffen.

Jetzt fehlen mir noch Erkenntnisse zu Mitgliedern mit Eintrittsdatum April 2016 bis April 2017 oder Mail 2017 und Dezember 2017.
Hier beim Hasso-Plattner-Institut (HPI) kann man den Test machen: sec.hpi.de/ilc/

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
xiao_shi_tou_
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.08.2014
Mitteilungen: 752
Aus: Bonn
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.4, eingetragen 2018-12-29


Hallo Matroid.

Vielen Dank für den Hinweis.

Meine E-Mail Adresse ist betroffen:


Zum Glück ist diese Adresse absolut unwichtig.
Dennoch ärgert es mich, dass es Menschen gibt die so etwas machen.

Bin dabei seit 2014.

Grüße


-----------------
"Jedes Gehirn kann Fragen beantworten. Es geht darum die richtigen Fragen zu finden."



  Profil  Quote  Link auf diesen Beitrag Link
PrinzessinEinhorn
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 23.01.2017
Mitteilungen: 2139
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.5, eingetragen 2018-12-29



Jetzt fehlen mir noch Erkenntnisse zu Mitgliedern mit Eintrittsdatum April 2016 bis April 2017

Ich sollte nicht betroffen (laut HPI) sein und bin im Januar 2017 beigetreten.
Falls es dir hilft.

Edit: Habe eine falsche Email überprüft...



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.6, vom Themenstarter, eingetragen 2018-12-29


Danke euch beiden.
@PE: Hast Du mittlerweile auch die richtige Email geprüft und bezieht sich das "nicht betroffen" auf die richtige Email?

Gruß
Matroid




  Profil  Quote  Link auf diesen Beitrag Link
hyperG
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 03.02.2017
Mitteilungen: 687
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.7, eingetragen 2018-12-29


Mitglied seit 03.02.2017

So, 3 hier verwendete E-Mail-Adressen antworten mit
"Glückwunsch, ..nicht in Datenbank"

(die restlichen 14 werde ich nicht alle durchprobieren)

Grüße Gerd



  Profil  Quote  Link auf diesen Beitrag Link
Maddy
Aktiv Letzter Besuch: im letzten Monat
Dabei seit: 18.12.2012
Mitteilungen: 607
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.8, eingetragen 2018-12-29


Datum: Mai 2017
Laut HPI betroffen



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.9, vom Themenstarter, eingetragen 2018-12-29


Vielen Dank für die mehreren Rückmeldungen.

Bisher sieht es so aus:

- Maximales Anmeldedatum von mir bekannten, betroffenen Mitglieder:
    18.2.2016
- Minimales Anmeldedatum von mir bekannten, nicht betroffenen Mitgliedern:
    28.2.2016

Das stützt meine Hypothese, dass es sich hier nicht um ein neues Datenleck handelt. Vielmehr scheinen die Mail-Adressen, die mutmaßlich zwischen dem 18. und 28.2.2016 gestohlen worden sind, neuerdings verwendet zu werden.

Ich bedaure die Unannehmlichkeiten für alle Betroffenen.
Bitte richtet euch nach den Ratschlägen des HPI (Passwort ändern).

Ich nehme gern noch weitere Rückmeldungen entgegen.

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
Bernhard
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 01.10.2005
Mitteilungen: 6086
Aus: Merzhausen, Deutschland
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.10, eingetragen 2018-12-29


Hallo Matroid!

Bei mir sieht es ganz genauso aus wie bei xiao_shi_tou_. Ebenfalls Mai/2017, ebenfalls das Passwort.

Das scheint sich aber nicht mit Deiner Theorie aus #9 zu decken?
Ich hatte zwar früher mal eine andere Adresse benutzt, aber das ist länger her.

Vielen Dank für Deine Mühe!

Bernhard

[Die Antwort wurde nach Beitrag No.8 begonnen.]


-----------------
"Wichtig ist, daß man nie aufhört zu fragen"
"Weisheit ist nicht das Ergebnis der Schulbildung, sondern des lebenslangen Versuches, sie zu erwerben"
Albert Einstein



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.11, vom Themenstarter, eingetragen 2018-12-29


Bernhard, du bist Mitglied seit 2005. Meine Hypothese ist, dass alle, die bis zum 18.2.2016 Mitglied geworden sind, betroffen sind.
Oder tut sich da für dich ein Widerspruch auf?

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
Bernhard
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 01.10.2005
Mitteilungen: 6086
Aus: Merzhausen, Deutschland
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.12, eingetragen 2018-12-29


Hallo Matroid!

Entschuldigung! Ich sehe gerade, ich habe im Post oberhalb das maximale und das minimale Anmeldedatum verwechselt. Sozusagen den Zeitstrahl invertiert... frown

Bernhard


-----------------
"Wichtig ist, daß man nie aufhört zu fragen"
"Weisheit ist nicht das Ergebnis der Schulbildung, sondern des lebenslangen Versuches, sie zu erwerben"
Albert Einstein



  Profil  Quote  Link auf diesen Beitrag Link
Kornkreis
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 02.01.2012
Mitteilungen: 696
Aus: Chemnitz
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.13, eingetragen 2018-12-29


Dass das MP-Passwort für das Einloggen auf dem MP verwendet wird, ist eher unwahrscheinlich, oder? Ich würde annehmen, dass es stattdessen für andere Webseiten (zusammen mit der Emailadresse) ausprobiert werden soll.



  Profil  Quote  Link auf diesen Beitrag Link
PrinzessinEinhorn
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 23.01.2017
Mitteilungen: 2139
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.14, eingetragen 2018-12-30


2018-12-29 20:19 - matroid in Beitrag No. 6 schreibt:
Danke euch beiden.
@PE: Hast Du mittlerweile auch die richtige Email geprüft und bezieht sich das "nicht betroffen" auf die richtige Email?

Gruß
Matroid



Leider habe ich das Passwort von der verwendeten Email vergessen.
Wenn ich es herausfinde gebe ich bescheid.



  Profil  Quote  Link auf diesen Beitrag Link
Wally
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 02.11.2004
Mitteilungen: 8490
Aus: Dortmund, Old Europe
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.15, eingetragen 2018-12-30


Ich bin auch betroffen.

Wally



  Profil  Quote  Link auf diesen Beitrag Link
MontyPythagoras
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 13.05.2014
Mitteilungen: 1680
Aus: Hattingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.16, eingetragen 2018-12-30


Ich bin auch betroffen. Ich kann nicht sagen, wann ich das letzte Mal das Passwort geändert habe, aber vermutlich vor Mai 2017. Bzw. vor 5 Minuten.

Ciao,

Thomas



  Profil  Quote  Link auf diesen Beitrag Link
helmetzer
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 14.10.2013
Mitteilungen: 1303
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.17, eingetragen 2018-12-30


Moin, ich schreibe jetzt auch mal so:

Ich stehe gerade auf dem Schlauch. Denn meine Email-Adresse ist beim MP gespeichert, klaro!

Aber doch nicht mein Email-Passwort (das beim Provider, hier web.de)!

Mein Zugangs-Passwort beim MP ist ein ganz anderes und wird ausschließlich beim MP benutzt.

Was sollte ich jetzt ändern?

PS: ich habe die Mail vom HPI an matroid weitergeleitet.




  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.18, vom Themenstarter, eingetragen 2018-12-30


2018-12-30 14:25 - helmetzer in Beitrag No. 17 schreibt:
Aber doch nicht mein Email-Passwort (das beim Provider, hier web.de)!
Mein Zugangs-Passwort beim MP ist ein ganz anderes und wird ausschließlich beim MP benutzt.
Was sollte ich jetzt ändern?

Ich interpretiere die Hinweise derart, dass es angeraten wird, das Passwort auf dem MP zu ändern.

Weiter kann ich dazu noch aus eigener Einsicht hinzufügen, dass ich es nicht für ratsam hielte, wenn jemand bei seinem Email-Postfach und seinen Foren-Zugängen das gleiche Passwort verwendete.

Zwar wird das Klartext-Passwort hier nicht abgespeichert, sondern gespeichert ist ein one-way-hash-string, der aus dem Passwort erzeugt wird.

Wie das funktioniert, das erkläre ich an einem Beispiel.

Nehmen wir an, mein Passwort auf dem MP lautete 123456.
Der hash-string, der daraus erzeugt wird, lautete j3jfd99m4m0ds523bd.
Dann ist in der Datenbank j3jfd99m4m0ds523bd abgespeichert.
Wenn sich ein Mitglied hier einloggt, gibt es das Passwort 123456 im Anmeldeformular ein. Der MP-Server wendet auf das angegebene Passwort die one-way-hash-Methode an und (da es immer die gleiche Methode ist) kommt j3jfd99m4m0ds523bd heraus. Der Vergleich von j3jfd99m4m0ds523bd mit dem gespeicherten j3jfd99m4m0ds523bd ergibt Übereinstimmung und die Anmeldung wird akzeptiert.

Das Passwort 123456 muss vom Endgerät des Mitglieds auf den MP-Server über ein Internet-Protokoll verteilt werden. Diese Übertragung erfolgt mittlerweile verschlüsselt. Die Verschlüsselung auf der Strecke Client-Server ist aber eine andere, sie muss ja two-way sein. Es werden hier nicht nur Passwörter sondern alle Benutzereingaben verschüsselt, auch Deine Postings z.B.

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.19, vom Themenstarter, eingetragen 2018-12-30


Wie könnte es nun schädigend verwendet werden, wenn jemand zu einer Email-Adresse den hier hinterlegten one-way-hash-String kennt?

Man kann zwar nicht direkt wieder in den Klartext übersetzen, aber eine einfache Möglichkeit ist die, dass die Hacker sich längst ein Wörterbuch genommen haben und alles was darin steht in one-way-hash-strings verwandelt haben. Dann haben sie sich selbst ein umfangreiches Verzeichnis geschaffen, das sie nun nur noch rückwärts lesen müssen.
Die Chance eines Treffers (und damit das Risiko, dass ein Passwort ermittelt werden kann) ist um so größer, je gängiger das gewählte Passwort ist - kurz gesagt: Was im Wörterbuch steht, ist eher zu ermitteln als ein kompliziertes Passwort. Doch beim Stand der heutigen Informatik-Systemleistung, könnte man sich auch leicht vorstellen, dass jemand alle 8-stelligen Zeichenkombinationen schon mit ihrer one-way-Entsprechung katalogisiert hat.

Nun kommt es beim one-way-hash noch auf den Algorthmus an. Typischerweise ist hier noch ein Zufallsbestandteil dabei, den man salt nennt.
Das Ergebnis der one-way-Verschlüsselung ist für ein und dasselbe Wort verschieden, wenn man verschiedene salts angibt. Den salt wählt ihr nicht und kennt ihn nicht. Der salt ist in der Programmierung (also von mir) irgendwann einmal "gestreut" worden und seitdem immer gleich. Das muss auch so sein, damit auf dem Server beim Login eines Mitglieds ein Vergleich zwischen gespeichertem one-way-hash und aus der aktuellen Passwort-Eingabe ermitteltem one-way-hash möglich ist.

Kurz gesagt:
 - 123456 ist ein denkbar schlechtes Passwort - egal für was.

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.20, vom Themenstarter, eingetragen 2018-12-30


Aus meiner Sicht ist, bei angemessener Passwort-Stärke, die Gefahr des Passwort-Diebstahls nicht groß. (Sofern man nicht auch noch sein Online-Bankkonto mit dem gleichen Passwort zu sichern pflegt.)

Ärgerlicher finde ich, dass Email-Adressen im Umlauf geraten sind.
Das kann zu unerwünschtem Spam führen. Spam wiederum ist mindestens lästig und manchmal sogar gefährlich, wenn sich darin Viren verstecken, und man diese ungewollt aktiviert.

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
pzktupel
Aktiv Letzter Besuch: in der letzten Woche
Dabei seit: 02.09.2017
Mitteilungen: 928
Aus: Thüringen,Erfurter Raum
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.21, eingetragen 2018-12-30


Ja gut, wenn ich aber eine Kombination aus Email und PW bei MP benutze,die nur hier gilt, kann es ja egal sein, ob geklaut oder nicht. Schlecht wäre es, wenn das PW immer mit der eMail in Verbindung genutzt wird. Wörter oder nur Zahlen verwende ich ja nicht, eher ein Satz+Zahlen zusammen.



-----------------
Pech in der Liebe , Glück im Verlieren !!!



  Profil  Quote  Link auf diesen Beitrag Link
StrgAltEntf
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 19.01.2013
Mitteilungen: 4972
Aus: Milchstraße
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.22, eingetragen 2018-12-30


2018-12-30 14:58 - matroid in Beitrag No. 19 schreibt:
Der salt ist in der Programmierung (also von mir) irgendwann einmal "gestreut" worden und seitdem immer gleich.

Hallo Matroid,

wenn der Datendieb den Salt nicht kennt und dieser hinreichend viel Entropie aufweist, kann er mit den gehashen Passwörtern rein gar nichts anfangen. Die Hashfunktion ist dann sozusagen geheim.

Ansonsten nimmt man für jeden Account üblicherweise einen individuellen Salt und speichert den zusammmen mit dem Hashwet ab. Dies erschwert den von dir bereits erwähnten Wörterbuchangriff, da für jeden Account vom Anreifer das komplette Wörterbuch durchgenudelt werden müsste. Außerdem wird dadurch ein Angriff über sog. Rainbowtables unmöglich gemacht.



  Profil  Quote  Link auf diesen Beitrag Link
Zwerg_Allwissend
Aktiv Letzter Besuch: im letzten Monat
Dabei seit: 02.12.2013
Mitteilungen: 171
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.23, eingetragen 2018-12-30


Mein Passwort ist auch betroffen. Wie kann man das ändern?



  Profil  Quote  Link auf diesen Beitrag Link
ochen
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 09.03.2015
Mitteilungen: 2173
Aus: der Nähe von Schwerin
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.24, eingetragen 2018-12-30


Hallo,
meins ist auch betroffen.
Liebe Grüße
ochen



  Profil  Quote  Link auf diesen Beitrag Link
cyrix
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 31.07.2004
Mitteilungen: 3056
Aus: Flensburg
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.25, eingetragen 2018-12-30


Kurze Frage: Welchen Mehrwert zieht man daraus, dass alle 33.835 betroffenen Nutzer dies jetzt in diesem Thread per persönlicher Meldung kundtun?

Matroid wollte eingrenzen, um welche Benutzergruppe (Anmeldedatum vor oder nach Verschlüsselung der e-Mail-Adressen) es geht. Dies hat er recht schnell (durch Meldungen, die ihm wohl per PN zugegangen sind, damit dieser Thread nicht aus dem Ufer läuft) klären können. Darüber hinaus ging es um Fragen, was nun zu tun sei bzw. welche Konsequenzen aus dem Datendiebstahl zu erwarten sind.

Will sagen: Es muss nicht noch jeder einzelne der übrigen über 30.000 noch zusätzlich "ich auch" sagen. Ja, das ist schon bekannt...


Cyrix



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.26, vom Themenstarter, eingetragen 2018-12-30


Das Passwort ändert man auf dieser Seite des eigenen Profils: user.php?op=edituser

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
haerter
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 07.11.2008
Mitteilungen: 1535
Aus: Bochum
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.27, eingetragen 2018-12-30


Hallo,

ich bin auch betroffen (und nicht nur mit dem Matheplaneten, sondern auch mit einem Adobe-Leak).
Vorsatz für 2019: alle meine Passwörter durch neue ersetzen...

Viele Grüße,
haerter



  Profil  Quote  Link auf diesen Beitrag Link
Yggdrasil
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 01.07.2004
Mitteilungen: 834
Aus: Berlin
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.28, eingetragen 2018-12-31


@Matroid: Mich würde noch interessieren ob der Salt für jeden User ein anderer ist. In dem Fall wäre ich recht erleichtert, da ich dann nicht mehr davon ausgehen würde, dass mit dem gestohlenen Hash-Wert etwas angefangen werden kann.



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.29, vom Themenstarter, eingetragen 2018-12-31


Hallo Yggdrasil,

der salt ist für jedes Passwort ein anderer. Nur bei Mitgliedern, die vor dem 25.2.2002 Mitglied geworden sind und die ihr Passwort bisher noch nie geändert haben, ist der salt für alle gleich. Derzeit bestehen noch 23 Mitgliedschaften, die so alt sind und deren Passwort noch das allererste ist.

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
traveller
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 08.04.2008
Mitteilungen: 2309
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.30, eingetragen 2018-12-31


2018-12-30 14:44 - matroid in Beitrag No. 18 schreibt:
Das Passwort 123456 muss vom Endgerät des Mitglieds auf den MP-Server über ein Internet-Protokoll verteilt werden. Diese Übertragung erfolgt mittlerweile verschlüsselt. Die Verschlüsselung auf der Strecke Client-Server ist aber eine andere, sie muss ja two-way sein. Es werden hier nicht nur Passwörter sondern alle Benutzereingaben verschüsselt, auch Deine Postings z.B.

Ist das wirklich so, dass das Passwort von meinem Computer im Klartext an den Server gesendet wird? Auch wenn die Kommunikation Client-Server verschlüsselt ist, könnte dann doch ein Hacker des Servers einfach abwarten und bei jedem Login eines Mitglieds ein weiteres Passwort abgreifen. Oder wenn der Betreiber des Servers zur dunklen Seite wechselt könnte er mit Leichtigkeit eine grosse Zahl von Passwörtern im Klartext sammeln, von welchen sicher einige auch bei anderen Diensten verwendet werden.

Ich kenn mich damit herzlich wenig aus, aber ich bin eigentlich immer davon ausgegangen, dass Hashes jeweils bereits auf meinem eigenen Computer berechnet werden (mittels einer vom Server erhaltenen Hashfunktion) und dann diese über die verschlüsselte Verbindung übertragen, sodass nicht mal der Server mein Passwort im Klartext je zu Gesicht bekommt.
Ist diese Vorstellung falsch?

P.S.: Bin übrigens ebenfalls betroffen.



  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.31, vom Themenstarter, eingetragen 2018-12-31


Hallo traveller,

das Passwort wird verschlüsselt zwischen Client und Server gesendet. Alle Daten, die ausgetauscht werden, gehen veschlüsselt über die Leitung.
Ich wollte mit meiner zitierten Erklärung aber darauf hinweisen, dass die Client-Server-Kommunikation und die Generierung eines one-way-hash zwei separate Schritte sind.

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
Ehemaliges_Mitglied
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.32, eingetragen 2019-01-02


eek  
ich bekomme besorgnierregendes nicht mit MP zusammemnhängendes.
ich habe nich max mustermann sonder diese die ich hier nutze angegeben.

Die Kredikarte von 2014 hab ich nicht mehr aber trotzdem...

Aber was/wer  ist mit Leak A bzw. B gemeint?




  Profil  Quote  Link auf diesen Beitrag Link
Dixon
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 07.10.2006
Mitteilungen: 5521
Aus: wir können alles, außer Flughafen, S-Bahn und Hauptbahnhof
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.33, eingetragen 2019-01-09


2018-12-31 10:20 - matroid in Beitrag No. 29 schreibt:
Derzeit bestehen noch 23 Mitgliedschaften, die so alt sind und deren Passwort noch das allererste ist.

Und wieviele davon sind noch aktiv? wink

Wenn man sich einlogt, landet man auf seiner Profilseite. Wäre es möglich, dort das Datum seines letzten Logins angezeigt zu bekommen, wie es etwa bei GMX der Fall ist? So bekäme man gleich einen Hinweis, ob sich jemand anderes eingelogt hat.

Grüße
Dixon
(auch Betroffener, nur mal so)



  Profil  Quote  Link auf diesen Beitrag Link
dlchnr
Aktiv Letzter Besuch: in der letzten Woche
Dabei seit: 20.04.2013
Mitteilungen: 154
Aus: Aalen, DE
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.34, eingetragen 2019-01-26


(2018-12-30 14:44 - matroid in <a href=viewtopic.php?topic=239465&
Nehmen wir an, mein Passwort auf dem MP lautete 123456.
Der hash-string, der daraus erzeugt wird, lautete j3jfd99m4m0ds523bd.
Dann ist in der Datenbank j3jfd99m4m0ds523bd abgespeichert.

Ich bin auch betroffen, mit der hier hinterlegten e-mail-Adresse und dem hier verwendeten (trivialen) Passwort, das Passwort für den e-Mail-Account scheint nicht betroffen zu sein. Meine Daten hier haben sich vermutlich seit meiner Anmeldung nicht mehr geändert, der Abgriff kann also gut erfolgt sein, bevor die Verschlüsselung eingesetzt wurde.

Das beschriebene Verschlüsselungsverfahren sollte, wenn es nicht nur etwas vereinfacht dargestellt wurde, verbessert werden - ihm fehlt dann eine wichtige Komponente - das "Salzen":
de.wikipedia.org/wiki/Salt_(Kryptologie)
Ohne das Salzen lassen sich aus dem Hash zumindest einfache Passwörter heute ganz schnell berechnen.

Ansonsten mein Rat - wenige Daten angeben/anfordern, für jede Seite ein eigenes, nicht triviales Passwort, Passwort-Manager verwenden.




  Profil  Quote  Link auf diesen Beitrag Link
matroid
Senior Letzter Besuch: in der letzten Woche
Dabei seit: 12.03.2001
Mitteilungen: 13950
Aus: Solingen
Zum letzten BeitragZum nächsten BeitragZum vorigen BeitragZum erstem Beitrag  Beitrag No.35, vom Themenstarter, eingetragen 2019-01-26


Hallo dlchnr,

ja, es wird gesalzt.
Dazu habe ich gerade heute eine neue, aktualisierte Zusammenfassung geschrieben: LinkMeine Stellungnahme zu Passwort-Leaks

Gruß
Matroid



  Profil  Quote  Link auf diesen Beitrag Link
matroid hat die Antworten auf ihre/seine Frage gesehen.
Neues Thema [Neues Thema] Antworten [Antworten]    Druckversion [Druckversion]

 


Wechsel in ein anderes Forum:
 Suchen    
 
All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest © 2001-2019 by Matroids Matheplanet
This web site was made with PHP-Nuke, a web portal system written in PHP. PHP-Nuke is Free Software released under the GNU/GPL license.
Ich distanziere mich von rechtswidrigen oder anstößigen Inhalten, die sich trotz aufmerksamer Prüfung hinter hier verwendeten Links verbergen mögen.
Lesen Sie die Nutzungsbedingungen, die Distanzierung, die Datenschutzerklärung und das Impressum.
[Seitenanfang]