it-swarm.com.de

Wie kann ich feststellen, ob mein Passwort online veröffentlicht wurde?

Ich habe gerade diese E-Mail von AbeBooks.com erhalten:

Hallo AbeBooks-Kunde,

Dies ist eine wichtige Nachricht von AbeBooks.com.

Im Rahmen unserer routinemäßigen Sicherheitsüberwachung haben wir erfahren, dass diese Woche eine Liste mit E-Mail-Adressen und Kennwörtern online gestellt wurde.

Obwohl die Liste nicht mit AbeBooks zu tun hatte, wissen wir, dass viele Benutzer ihre Passwörter auf mehreren Websites wiederverwenden. Wir glauben, dass Ihre E-Mail-Adresse und Ihr Passwort auf der online veröffentlichten Liste stehen.

Aus diesem Grund haben wir vorsichtshalber Ihr Passwort in Ihrem Konto deaktiviert. Wir entschuldigen uns für die dadurch verursachten Unannehmlichkeiten, waren jedoch der Ansicht, dass es notwendig war, Sie und Ihr AbeBooks-Konto zu schützen.

Mein AbeBooks.com-Konto ist mir nicht so wichtig, da ich es kaum benutze. Ich bin jedoch sehr besorgt darüber, dass meine E-Mail-Adresse und mein Passwort online veröffentlicht werden. Obwohl ich versucht habe, meine E-Mail bei Google zu suchen und nichts gefunden habe.

Was sollte ich jetzt tun? Sollte ich die Passwörter in allen meinen über 50 Konten ändern?

16

Die wahrscheinlich umfassendste Datenbank durchsuchbarer gefährdeter Konten ist haveibeenpwned.com .

Wenn Sie das Passwort an mehreren Stellen wiederverwendet haben, sollten Sie davon ausgehen, dass das Passwort kompromittiert wurde. Ich empfehle außerdem, die Zwei-Faktor-Authentifizierung nach Möglichkeit zu aktivieren, da dies das Risiko verringert, dass ein Konto kompromittiert wird und andere Konten kompromittiert werden.

23
thexacre

Die gute Nachricht ist, dass Sie mit https://api.pwnedpasswords.com/range/ABCDE das Ziel erreichen können, Ihr Passwort zu überprüfen, ohne es auszusetzen. -jeder.

Wie funktioniert es?

https://haveibeenpwned.com/Passwords Links zu https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity =, was beschreibt, wie sie "k-Anonymität" bieten.

Anstatt Ihr eigentliches Passwort zu senden, generieren Sie zunächst einen sha1-Hash Ihres Passworts und senden dann nur die ersten 5 Zeichen von that. Der pwnedpasswords-Dienst antwortet dann mit einer Liste von Hunderten möglicher Übereinstimmungen und Sie sucht dann unter diesen Ergebnissen (unter Verwendung des restlichen sha1-Hashs Ihres Passworts), um festzustellen, ob eines dieser Ergebnisse vorliegt sind wirklich eine Übereinstimmung mit dem vollständigen Hash Ihres Passworts.

Bei diesem Ansatz werden weder Ihr Passwort noch der vollständige sha1-Hash Ihres Passworts jemals über das Internet an pwnedpasswords gesendet.

P.S. Der sha1-Hash von "P @ ssw0rd" lautet beispielsweise 21BD1 2DC183F740EE76F27B78EB39C8AD972A757 und https://api.pwnedpasswords.com/). range/ 21bd1 zeigt derzeit (wenn Sie unter den Ergebnissen nach dem Rest des Hash suchen), dass er 52579 Mal durchgesickert ist.

P.P.S. In Windows und Mac sind auch Tools integriert, mit denen der sha1-Hash eines Kennworts generiert werden kann.

2
Ryan

Haben Sie auf allen über 50 Konten dasselbe Passwort? Wenn nicht, sollten Sie sich keine Sorgen machen. Ändern Sie das Passwort in Ihrem AbeBooks-Konto und möglicherweise die E-Mail-Adressen, die Sie gegoogelt haben, und es wird Ihnen gut gehen.

1
Christos