Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Millionen Kennwörter von LinkedIn bekannt

Nachdem einige Stunden zuvor erst bekannt wurde, dass die iOS-App von LinkedIn unberechtigt Kalendereinträge an LinkedIn überträgt, hat nun auch noch ein Hacker mehr als 6 Millionen Kennwörter im Web veröffentlicht. Diese als Hash-Wert codierten Kennwörter sollen sich relativ einfach mittels Brute-Force- und Dictionary-Angriff ermitteln lassen, sodass auch viele LinkedIn-Nutzer bereits selbst bestätigen konnten, dass ihr Kennwort sich in der veröffentlichten Liste befindet. Die öffentliche Liste beinhaltet allerdings noch nicht die Nutzernamen, welche in einschlägigen Kreisen voraussichtlich gewinnbringend verkauft werden. LinkedIn selbst hat die Berichte bislang nicht bestätigt, will aber nun nach einem Einbruch im System forschen. Unterdessen empfehlen Sicherheitsexperten allen Nutzern von LinkedIn die schnellstmögliche Änderung des Kennwortes mit einem neuen bislang nicht verwendeten Kennwort. Die Kritik am Umgang mit Kalenderdaten bleibt davon unberührt. Zwar betont LinkedIn, dass die Daten nur verschlüsselt übertragen werden und zur Suche nach Name oder E-Mail-Adresse dienen, um eine Verknüpfung herzustellen. In der kommenden App-Version will LinkedIn auf den Abgleich mit Kalenderdaten verzichten.

Weiterführende Links:
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps
Apple aktualisiert Zubehör: Magic Mouse, Magic Keyboard, Magic Trackpad
Apple aktualisiert Zubehör: Magic Mouse, Magic ...
Das MacBook Pro M4
Das MacBook Pro M4
Vor 10 Jahren: 3 Milliarden für Beats
Vor 10 Jahren: 3 Milliarden für Beats
10 Jahre Yosemite-Design
10 Jahre Yosemite-Design
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
Leak: Der neue Mac mini M4 ist bei Amazon durchgesickert – samt Bildern und Spezifikation
Leak: Der neue Mac mini M4 ist bei Amazon durch...
Woche der Mac-Ankündigungen
Woche der Mac-Ankündigungen

Kommentare

meloen
meloen06.06.12 17:18
Als Hersteller sollte man da als erste Reaktion den Login sperren und anschließend alle Passwörter zurücksetzen. Nichts tun ist der falsche Weg.
0
o.wunder
o.wunder06.06.12 17:23
Neues Kennwort anlegen und gut ist.
0
Blofeld
Blofeld06.06.12 17:55
abc123
passwort
0
afgh06.06.12 18:04
Konto gelöscht und gut ist.
0
MacUser260606.06.12 18:16
... Kennt jemand denn die Website auf der man nachgucken kann, ob das eigene Passwort auch gestohlen wurde?
0
chill
chill06.06.12 18:44
... Kennt jemand denn die Website auf der man nachgucken kann, ob das eigene Passwort auch gestohlen wurde?

nach 5 sekunden klicken hab ich es gefunden. zu faul selber zu suchen? (oder nein: sogar nur zu klicken um es dann zu finden)

generell: mach dir ein neues passwort und fertig.
MBP M1 256/16 Monterey 12.1 . iPhone 11 128 GB, iOs 15.2
0
MacDev06.06.12 19:23
Ich finde die Liste auch nicht
0
globalls
globalls06.06.12 20:49
Done!
Muss ich denn alles selber machen?
0
Embrace06.06.12 21:23
Diese als Hash-Wert codierten Kennwörter sollen sich relativ einfach mittels Brute-Force- und Dictionary-Angriff ermitteln lassen, sodass auch viele LinkedIn-Nutzer bereits selbst bestätigen konnten, dass ihr Kennwort sich in der veröffentlichten Liste befindet.

Hä? Ich verstehe die Schlussfolgerung nicht.
0
tifonex06.06.12 22:05
Embrace

Hash-Wert vom Passwort berechnen lassen und nachsehen, ob der in der Liste auftaucht.
0
Embrace06.06.12 22:10
Dass man überprüfen kann, ob das Passwort in der Liste steht, hat doch aber nichts damit zu tun, dass man mittels Brute-Force vom Hash auf das Kennwort kommen kann, oder?
0
eiPätt06.06.12 23:20
Konto gelöscht... Wichser
0
Andi Schenk
Andi Schenk06.06.12 23:42
1Password FTW. Ein guter Kennwort-Manager ist eine Möglichkeit, von vorneherein für jedes login ein starkes, nur einmal verwendetes Kennwort zu benutzen. Gleiches gilt für die Antworten auf "Sicherheitsfragen" - die müssen nicht richtig, sondern nur konsistent sein.
0
ts
ts07.06.12 04:51
Embrace

Richtig, wenn man das Passwort schon kennt benötigt man keinen Brute-Force- oder Dictionary-Angriff , da die Modulo-Operation(en) für den Weg vom Hash zum Passwort dann kein Hindernis darstellen.

Man kann mit Passwort extrem schnell den Hash-Algorithmus durchlaufen und hat sofort das gewünschte Ergebnis.
0
One Two
One Two07.06.12 10:29
Andi Schenk
und wenn einer das Masterpasswort herausfindet kennt er alle deine Zugangsdaten...
0
Chiplet
Chiplet07.06.12 11:34
One Two
Eben. Ich verstehe auch nicht, wie man freiwillig alle Passwörter zur Synchronisierung in der Cloud ablegen kann. Absolut kranke Idee, IMHO. Ich benutze SplashID Safe, das synchronisiert lokal, wie es sich gehört...
0
roca12307.06.12 12:55
Eben. Ich verstehe auch nicht, wie man freiwillig alle Passwörter zur Synchronisierung in der Cloud ablegen kann. Absolut kranke Idee, IMHO. Ich benutze SplashID Safe, das synchronisiert lokal, wie es sich gehört...

Sehe ich auch so, ich habe mir mein eigenes System ausgedacht…
Bestehend aus einem abgeänderten Dienstnamen und einer langen immer gleichen Zahlenfolge.
Nach kurzer Übung sind die Passwörter schnell getippt

z.b.

Mactechnews =

11333WsctechnemA55666

Amazon=

11333OnazaM55666
0
Andi Schenk
Andi Schenk07.06.12 16:14
@One Two: Nicht ganz. Man braucht das Master Password UND die Datenbank.

In meinem Fall liegt die in einem FileVault 2 gesicherten Dateisystem.

@Chiplet: 1Password muss nicht in die Cloud speichern. Und wenn, dann ist dort ein stark verschlüsselter Keystore abgelegt, nicht die Kennwörter direkt. Und Cloud ist nicht gleich Cloud. Und normal kommt man auch daran nicht so einfach dran.

@roca123: Und genau mit so einem System bist Du deutlich angreifbarer. Die Erklärung warum, wäre sehr lang, das spare ich mir, aber im Endeffekt ist es das "kennt man ein Kennwort, kennt man alle" Problem, d.h. das, was mir One-Two vorwirft, aber eben OHNE dass man auch den Keystore bräuchte. Sondern einfach so. Da kannst Du auch jedesmal das gleiche Kennwort nehmen.
0
roca12307.06.12 16:24
da muss es aber jemand gezielt auf meine Passwörter absehen.
Ich denke mal so ist es auf jeden fall sicherer als:
Email + immer das selbe Kennwort.
0
duende07.06.12 23:04
Ebenfalls Konto gelöscht.
0
Chiplet
Chiplet08.06.12 01:38
last.fm hats nun auch erwischt!
0
eddierodriguez
eddierodriguez08.06.12 02:32
da werden wohl noch einige folgen
0
Andi Schenk
Andi Schenk08.06.12 17:02
@roca: Sicherer als immer das gleiche Kennwort: Ja.

Es ist immer die Frage, gegen wen oder was man sich schützen will und wie "heiss" die entsprechenden Daten sind. Und wer es wissen will.

Wenn der CIA, der KGB oder der Mossad sich für meine Daten interessieren würde, würde vermutlich einmal nett fragen dieser Herren genügen, dass ich mir sehr gut überlegen würde, ob ich nicht doch kooperieren wollte.
Auch bei Oleg und Ivan, die mit dem Baseballschläger mein Kennwort erfragen, wäre mein Widerstand sicher nicht härter als meine Kniescheibe.
Und mir erzählt hier keiner, dass er das anders machen würde.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.