News Große Gefahr durch RockYou2024: 10 Mrd. Passwörter soll neuer Leak-Rekord sein

PCGH-Redaktion

Kommentar-System
Teammitglied
Der Passwort-Leak "RockYou2024" umfasst knapp zehn Milliarden Einträge und dürfte damit der bislang größte seiner Art sein. Damit erhöhte er das Risiko für Einbrüche in Online-Accounts deutlich.

Was sagt die PCGH-X-Community zu Große Gefahr durch RockYou2024: 10 Mrd. Passwörter soll neuer Leak-Rekord sein

Bitte beachten: Thema dieses Kommentar-Threads ist der Inhalt der Meldung. Kritik und allgemeine Fragen zu Online-Artikeln von PC Games Hardware werden hier gemäß der Forenregeln ohne Nachfrage entfernt, sie sind im Feedback-Unterforum besser aufgehoben.
 
Alles was wirklich wichtig ist hat bei mir mittlerweile Zwei-Faktor-Authentifizierung und ansonsten lasse ich die Passwörter sowieso immer einzigartig und komplett kryptisch per Passwort-Manager erstellen mit mind. 25 Zeichen. Wenn da trotzdem irgendwo er reinkommt, okay. Viel Interessantes gibt es bei mir auch nicht zu finden. :lol:
 
Benutze auch schon seit längerem Passwort Manager und bei wichtigen Sachen 2 Faktor Auth.
Am sorgfältigsten sollte man glaube ich sein email Passwort wählen.
Denn mit der email Adresse kann man die meisten Accounts wieder unter Kontrolle bringen.
Wird das gehackt wird es richtig hässlich.
 
Ich lasse mir von Firefox sichere Passwörter vorschlagen...habe aber kein Firefox Konto...
Und halt 2 Auth für alles wenns geht.
 
Ich bin mal neugierig, wie sicher ist z.b. Keepass 2 und das kopieren von passwörtern?

Sicherer wäre vermutlich das manuelle abtippen via Bildschirmtastatur, aber das dauert bei 30 Zeichen langen passwörtern halt schon...sehr lang.
 
Ich bin gegenüber Keypass und Passwortmanagern auch ehr skeptisch. Wie mein Vorredner denke ich, Zwischenablagen sind immer scheiße.

Das gleiche gilt für zu öfter Passwort Wechsel, je öfter solche Passwörter gewechselt werden müssen desto öfter werden Zwischenspeicherlösungen oder gar der gute alte Zettel benutzt. Das sorgt dann am Ende nicht für mehr Sicherheit sondern für immer mehr Sicherheitslücken!

Passwörter sollten meiner Meinung nach immer und überall durch einen Zweitfaktor abgesichert sein. Ist zwar dann immer noch nicht perfekt aber doch wesentlich umständlicher zu umgehen.
 
Ich bin gegenüber Keypass und Passwortmanagern auch ehr skeptisch. Wie mein Vorredner denke ich, Zwischenablagen sind immer scheiße.

Das gleiche gilt für zu öfter Passwort Wechsel, je öfter solche Passwörter gewechselt werden müssen desto öfter werden Zwischenspeicherlösungen oder gar der gute alte Zettel benutzt. Das sorgt dann am Ende nicht für mehr Sicherheit sondern für immer mehr Sicherheitslücken!

Passwörter sollten meiner Meinung nach immer und überall durch einen Zweitfaktor abgesichert sein. Ist zwar dann immer noch nicht perfekt aber doch wesentlich umständlicher zu umgehen.
Gute Passwortmanager haben einen eingebauten Zwischenablagenleerer.
Mein PWM leert meine Zwischenablage nach dem Einfügen oder nach 15 Sekunden wenn ich das Passwort nicht verwende.
 
Man kann selber so viel machen wie man will aber wenn die andere Seite nur Mist macht hat man eben verloren.
Wenn man etwas mit Bruteforce-Attacken knacken kann ist das eben Mist.
Auch "toll" wenn man keine Infos kriegt.
Wenn man nur alle 10 Sekunden eine neuen Versuch bei der Eingabe machen kann würde da schon viel helfen ohne den Nutzer zu gängeln.
 
Ich nutze kaum Passwörter. Wie soll man sich denn so viele merken können?:-P
Bei mir gibt es eh nichts zu holen...:D
 
Man kann selber so viel machen wie man will aber wenn die andere Seite nur Mist macht hat man eben verloren.
Sehe ich auch so, leider genießt Sicherheit bei vielen keine hohe Priorität, bei einer kommerziellen Seite die Gewinn machen will ist das ein belastender Faktor wo gerne gespart wird, auch wenn deren Werbung was ganz anderes behauptet.
Ist auch ein Grund weshalb ich nichts auf die Cloud auslagere, eine gewinnorientierte Firma die so massentauglich wie nur irgend möglich sein will, verwendet zwangsläufig nicht die bestmögliche Sicherheitsstufe.
Alles muss so einfach und schnell gehen, jeder Depp soll es nutzen... ;)

Gute Passwortmanager haben einen eingebauten Zwischenablagenleerer.
Mein PWM leert meine Zwischenablage nach dem Einfügen oder nach 15 Sekunden wenn ich das Passwort nicht verwende.
Das hilft gegen Schädlinge die bereits auf dem Rechner sind, die alles mitlesen bzw sofort protokollieren?
 
Ich bin gegenüber Keypass und Passwortmanagern auch ehr skeptisch. Wie mein Vorredner denke ich, Zwischenablagen sind immer scheiße.

Das gleiche gilt für zu öfter Passwort Wechsel, je öfter solche Passwörter gewechselt werden müssen desto öfter werden Zwischenspeicherlösungen oder gar der gute alte Zettel benutzt. Das sorgt dann am Ende nicht für mehr Sicherheit sondern für immer mehr Sicherheitslücken!

Passwörter sollten meiner Meinung nach immer und überall durch einen Zweitfaktor abgesichert sein. Ist zwar dann immer noch nicht perfekt aber doch wesentlich umständlicher zu umgehen.
Zweifaktor authentifizierung hat mich bereits aus einigen Accounts komplett ausgesperrt.

Handy kaputt und schon ist die 2FA dein Albtraum. Meinen Ubisoft Account z.b. hab ich dadurch verloren. Denn der Ubisoft Support besteht darauf das ich ihnen CD Keys von gekauften Spielen als beweis gebe..


Und was den Passwort Manager angeht, bleibt halt doch nichts anderes übrig als ewig langsam über die Bildschirm Tastatur einzugeben.
 
Ich bin gegenüber Keypass und Passwortmanagern auch ehr skeptisch. Wie mein Vorredner denke ich, Zwischenablagen sind immer scheiße.
meh, wie @saphira33 richtig sagt, wenn du dir was eingetreten hast, dass die Zwischenablage auslesen kann, hast du wahrscheinlich auch einen Keylogger (und mehr) dabei
Zudem die meisten Passwortmanager mit Browseraddon daherkommen, da geht die Dateneingabe direkt an der Zwischenablage vorbei.
In KeepassDX in Android bspw. warnt explizit davor die Zwischenablage zu verwenden und stellt ein eigenes "keyboard" zur Verfügung dass die Daten eingibt.
Die größte Gefahr in naher Zukunft hier ist zweifellos aber Recall, weil man dann auch potentiell alte Eingaben auslesen kann, egal ob jetzt physisch oder mittels Malware.

Na dann kannst du dir doch gleich den ganzen Aufwand sparen wenn's da nix gibt ... :D
Selbst wenn man glaubt, keine wertvollen Daten zu haben. Wie bei der Musterklage gegen eventim der ich mich für heiße 2.63€ oder so angeschlossen habe:
Da geht's ums Prinzip :devil:

Sehe ich auch so, leider genießt Sicherheit bei vielen keine hohe Priorität, bei einer kommerziellen Seite die Gewinn machen will ist das ein belastender Faktor wo gerne gespart wird, auch wenn deren Werbung was ganz anderes behauptet.
Ist auch ein Grund weshalb ich nichts auf die Cloud auslagere, eine gewinnorientierte Firma die so massentauglich wie nur irgend möglich sein will, verwendet zwangsläufig nicht die bestmögliche Sicherheitsstufe.
Alles muss so einfach und schnell gehen, jeder Depp soll es nutzen... ;)
Es ist insgesamt eine Abwägung. Sicherheit selbst ist für (private) Unternehmen nur ein Faktor, um den reibungslosen Betrieb zu gewährleisten, nicht das eigentliche Geschäft. Wenn durch "übertriebene" Sicherheitsmaßnahmen der Betrieb nicht gewinnbringend läuft ist das für die Firma genauso schlecht wie ein Vorfall.

Das Problem ist halt, dass die meisten CEOs usw. extrem sch***e in der Risikobewertung sind :ugly:
Frei nach dem Motto "The risk I took was calculated, but boy, am I bad at math"

Cloud kann dabei ein Faktor sein, aber man sollte sich definitiv nicht blind darauf verlassen. Sonst geht's einem wie den Kunden von diesem Anbieter: https://techcrunch.com/2023/08/23/cloudnordic-azero-cloud-host-ransomware/?guccounter=1

Privat hab ich auch alles auf meinen eigenen Geräten mit off-site Backup das täglich läuft. Neben dem Kostenfaktor da ich ein paar TB an Daten habe.
Das hilft gegen Schädlinge die bereits auf dem Rechner sind, die alles mitlesen bzw sofort protokollieren?
Nein, aber es verhindert, das Webseiten oder andere Programme potentiell die Zwischenablage abfragen können.
Insgesamt aber mehr nice-to-have.

Zweifaktor authentifizierung hat mich bereits aus einigen Accounts komplett ausgesperrt.
Zweifaktor IMMER nur mit Backup, sowohl Physisch als auch per App.
Handy kaputt und schon ist die 2FA dein Albtraum. Meinen Ubisoft Account z.b. hab ich dadurch verloren. Denn der Ubisoft Support besteht darauf das ich ihnen CD Keys von gekauften Spielen als beweis gebe..
Wenn du Spiele mittels einer GPU Aktion oder ähnlichem bekommen hast geht das in der Regel auch.
Und was den Passwort Manager angeht, bleibt halt doch nichts anderes übrig als ewig langsam über die Bildschirm Tastatur einzugeben.
OSK hilft zwar gegen normale Keylogger, ist aber auch nicht zwangsweise sicher. Grundsätzlich: Sobald du ein RAT am Rechner hast hilft dir höchstens nur mehr MFA (sofern nicht auch am Gerät), idealerweise Hardware-basiert.
 
Die Frage ist doch mittlerweile auch ob das wirklich für den "kleinen Mann auf der Strasse" wie lange noch wirklich die Gefahr Nr. 1 sein kann.
Wenn man (bald?) alles auf dem Handy hat ist es doch einfacher sich darauf zu spezialisieren.
Also Handy klauen und nun hat man neben der EMail, SMS, Massenger auch die App fürs Konto & Co.
Wieviele Leute haben ein Handy was alle Sicherheitsupdates bereitstellt, diese ggf. auch installiert sind und oder das Handy auch "gut" abgesichert ist (das man also genug Zeit alles zu sperren bzw. PW ändern).
Wenn man (bald?) nur noch einen EPerso hat kann es auch schnell gehen mit nem Kredit, Versicherung oder was weiß ich als zusätzliches Problem hat.
Ich hoffe echt das mein Alu-Hut nur einen Defekt hat und es nicht bald zu sehr interessante Zeiten kommt. ...
 
Das hilft gegen Schädlinge die bereits auf dem Rechner sind, die alles mitlesen bzw sofort protokollieren?
Na da hilft alles nichts mehr.
Aber viele Leute realisieren nicht, dass wenn man jemandem hilft per Teamviewer (und es nicht deaktiviert hat) die Zwischenablage auch übertragen wird. Da hilft das z.b.
 
Das Fachblatt Postillion-IT hat unlängst das sicherste PW der Welt vorgestellt - seitdem ich das nutze, fühle ich mich sicher!

Auf Arbeit müssen wir (gezwungen von der Software) alle 6 Monate das PW wechseln ... was dazu führt, dass an nahezu jedem PC irgendwo ein Zettel hängt oder liegt auf dem es steht.
Dazu kommen alle halbe Jahre tagelange Arbeitsausfälle, weil sich die Leute ausgesperrt haben, weil das neue PW vergessen wurde oder ihr Benutzer-ACC gesperrt wurde, weil sie aus Gewohnheit das alte PW 3-Mal eingaben.

Es wäre billiger und schneller alle 6 Monate "Hacker" die Platten verschlüsseln zu lassen ...
 
Ich bin gegenüber Keypass und Passwortmanagern auch ehr skeptisch. Wie mein Vorredner denke ich, Zwischenablagen sind immer scheiße.
Zwischenablagen sind nicht sicherer wie das abtippen. Wenn etwas deine Zwischenablage auslesen kann, kann es auch deine Tastatureingaben lesen. Zudem muss einem klar sein dass ein PW Manager die Sicherheit in vielen Fällen fördern.
Ich habe bspw. rund 70 Accounts bei denen ich überall individuelle PW vergebe. Wenn ich keinen Manager nutze, kann ich das nicht, da ist keine Chance dass ich mir 70 möglichst kryptische PW merken kann. Also mache ich dass was man nie tun sollte und verwende PW dutzende male. Das ist wesentlich unsicherer wie der Manager.
Außerdem werden die PW meistens so einfach bleiben wie möglich, man muss sie sich merken. Mein Manager generiert mir hingegen ein bspw. 20 Zeichen langes PW mit Sonderzeichen.
Das gleiche gilt für zu öfter Passwort Wechsel, je öfter solche Passwörter gewechselt werden müssen desto öfter werden Zwischenspeicherlösungen oder gar der gute alte Zettel benutzt. Das sorgt dann am Ende nicht für mehr Sicherheit sondern für immer mehr Sicherheitslücken!
Auch hier ist ein PW Manager einfach besser. Viele sind Faul und werden nach der Zeit das PW einfach um eine Zahl inkrementieren oder wechseln zwischen verschiedenen PW und inkrementieren ab einen gewissen punkt. Der PW Manager hingegen haut dir ein komplett neues PW raus. Auch hier wird die Sicherheit gefördert!
 
Und es dauert weitere 753 Monate bis es mal einen sicheren, einfach zu benutzenden und universellen Passwortersatz gibt oder sich einer durchgesetzt hat.:kotz:

Ich bin gegenüber Keypass und Passwortmanagern auch ehr skeptisch. Wie mein Vorredner denke ich, Zwischenablagen sind immer scheiße.


Verrückt ist es doch anzunehmen, dass diese obskuren selbsterdachten Lösungen sicherer sind.
passwort.txt im Passwortgeschützten Archiv auf dem Desktop?
Passwortbuch im Tresor? Eingegeben werden müssen die Passwörter trotzdem und bei Wiw7iEpjBhqWDBFT5rmz macht das ja auch keinen Spaß.

Das hilft gegen Schädlinge die bereits auf dem Rechner sind, die alles mitlesen bzw sofort protokollieren?
Dann ist es eh schon zu spät.

Trotzdem ist bestimmt alles besser als Passwörter auf dem Silbertablett zu servieren (Keylogger oder screenshot der passwort.txt).

Wenn man (bald?) nur noch einen EPerso hat kann es auch schnell gehen mit nem Kredit, Versicherung oder was weiß ich als zusätzliches Problem hat.
Wenn man so etwas nur mittels PIN o. ä. absichern könnte.
 
Zurück