Wie ist es möglich ein 16 Stelliges neues Passwort in 8 Wochen zu hacken?
Ich bin mit meinem Latein am Ende. Ich habe vor 8 Wochen merkwürdige Aktivitäten aus Taiwan, Phillipinen und Amerika gehabt (Vermute mal es sind VPN Adressen)
Ich habe sofort alle Passworter geändert und meine Partnerin auch, PC und Laptop sowie Handys zurückgesetzt und Router gewechselt.
nach 8 Wochen hat sich versucht jemand aus Japan auf Instagram anzumelden.
Wie zum Teufel ist das möglich? Wir drücken auf keine Links, schreiben mit keinem der uns schaden könnte und haben die Passwörter noch nie aufgeschrieben irgendwo.
Wir haben auch nicht viel Geld oder so dass wir jetzt so wichtig wären um gehackt zu werden, wir sind eine stinknormale 0815 Familie die einfach ihre Ruhe möchte.
6 Antworten
Jeder kann versuchen sich bei dir einzuloggen, sofern er deine E-Mail, oder deinen Benutzernamen hat (nicht jede Plattform bietet das einloggen über den Benutzernamen an).
Zudem heißt es nicht, dass er seitdem versucht deinen Account zu Bruteforcen.
In 8 Wochen alle Kombinationen von einem 16-stelligen Passwort herauszufinden ist nahezu unmöglich, wenn deine Zeichenauswahl nur ansatzweise gut gewählt ist, wird er es wahrscheinlich nicht geschafft haben.
Heutzutage haben sowieso nahezu alle großen Plattformen einen Brute Force Schutz, was die zu häufige Eingabe von falschen Passwörtern unterbindet.
Naja wenn da steht es gab einen Versuch dann heißt das ja nicht das es geklappt hat. Hat also vermutlich nur jemand mit dem alten Passwort getesetet.
Das sind auch meistens keine Menschen da laufen irgendwelche Bots durch. Und dasPaswort haben die in den meisten Fällen nicht von dir sondern haben irgendwo enen Server gehackt und sich von da alle Loginsdaten gezogen. Mein Googel ziegt mir das zum Beispiel immer wieder das ein Server gehackt wurde auf dem ich einen Account hatte.
Niemand knackt mehr passwörter in 2022.
Meist haben sie malware oder ähnliches auf einem der geräte.
nach 8 Wochen hat sich versucht jemand aus Japan auf Instagram anzumelden.
naja, das kann jeder, auch ohne Passwort.
Es ist sehr wichtig dass ihr für jeden Dienst ein anderes Passwort verwendet. Weil falls ein Dienst eure Daten nicht richtig schützt, habt ihr dann quasi alle eure Passwörter bei einem einzelnen Datenklau verloren.
"Cyberkrminellen die Irgendwelche Dumps von Datenbanken diverser kleiner Webseiten erbeuten"'
Dann sind die passwörter ja nicht geknackt, sondern geklaut.
Passwörter klauen tun sehr viele. Wenn die passwörter halt nicht ordentlich mit salt gehasht werden, dann sind die passwörter ganz schnell bei den kriminellen.
Daher auch überall andere passwörter verwenden, wie ich geraten habe.
Du vermischt Äpfel mit Birnen!
Dann sind die passwörter ja nicht geknackt, sondern geklaut.
Ja nur sind die gehasht und müssen dann geknackt werden.
Passwörter klauen tun sehr viele. Wenn die passwörter halt nicht ordentlich mit salt gehasht werden, dann sind die passwörter ganz schnell bei den kriminellen.
Falsch. Das Hilft nicht so viel. Dann brauche ich halt keine 30 Sekunden für die ganze Datenbank sondern 30 Sekunden pro PW. Das ist auch nicht so schlimm.
Daher auch überall andere passwörter verwenden, wie ich geraten habe.
... noch besser 2FA.
Außerdem vergisst du viele andere Angriffsmöglichkeiten wie Keylogger, Trojaner, Phishing, XSS, etc.
Naja, mit salt kannst du halt keine rainbow tables nutzen. Da machen sich die kriminellen dann zumindest nicht die mühe die passwörter der normalen user zu knacken.
Aber bei einem guten algorithmus (bcrypt etc.) schwierig bis unmöglich mit salt.
Überall gleiche passwörter und 2FA ist aber auch nicht das wahre. Vorallem wäre malware auf dem 2FA gerät ja auch möglich.
Außerdem vergisst du viele andere Angriffsmöglichkeiten wie Keylogger, Trojaner, Phishing, XSS, etc.
Nein, auf die bin ich ja in meiner antwort eingegangen. "Meist haben sie malware oder ähnliches auf einem der geräte.", und über Phishing hat der Fragesteller selbst bereits gesprochen.
Aber bei einem guten algorithmus (bcrypt etc.) schwierig bis unmöglich mit salt.
Jein - aber die Performance ist nicht großartig vor allem mit nur einer Mittelklasse GPU.
Die meisten kleinen Webseiten nutzen SHA-X oder MD5. Da bremst mich der Salt zwar auch extrem aus aber zB die Rockyou arbeite ich in 30 Sek. / PW ab.
Und meist zielen diese Angriffe auf kleinere Webseiten ab. Bei Facebook oder eBay wirst du eher keine SQLi Lücke finden...
Salt oder nicht - ein ausreichend komplexes PW knackst du nicht mal wenn es mit MD5 gehasht wird. Dein Ansatz ist ja schon im Grunde Falsch weil er sich drauf verlässt, dass Betreiber von Webseiten alles richtig und sicher machen.
Aus meiner Erfahrung als Pentester kann ich dir sagen, dass wir Projekte mit unverschlüsselten Kreditkartendaten oder Passwörtern gefunden haben genau und viele nach wie vor recht "einfache" Hashes wie SHA-X oder MD5 nutzen und das oft sogar ohne Salt!
Sich darauf zu verlassen, dass andere sich um deine Sicherheit kümmern und brav bcrypt oder sowas nutzen wäre schon mal ein Fehler.
Für die PW die ich nutze braucht ein Angreifer mit einer Grafikkarte einige Jahrhunderte selbst wenn eine Seite die nur mit MD5 und ohne Salt verschlüsselt.
Überall gleiche passwörter und 2FA ist aber auch nicht das wahre. Vorallem wäre malware auf dem 2FA gerät ja auch möglich.
Klar - nur muss ich nicht nur das PW "besorgen" sondern auch noch das Opfer dazu bringen seine Geräte zu infizieren...
Es erhöht die Schwierigkeit schon sehr auch wenn es nicht wirklich zu empfehlen ist überall das gleiche PW zu nutzen.
Selbst damit müsste der Großteil der Angreifer überfordert sein oder zumindest nicht bereit den Aufwand zu betreiben.
Die meisten kleinen Webseiten nutzen SHA-X oder MD5
Würde ich so nicht unterschreiben. Die meisten nutzen Frameworks oder irgendwelche Baukästen, und die haben sinnvolle Algorithmen standardmäßig eingestellt.
Aber klar, manche tun das(vorallem diejenigen die auch andere Sicherheitslücken haben, haben sicher auch schlecht gesicherte passwörter). Daher unterschiedliche Passwörter verwenden.
Ich glaube das größte Problem ist wenn leute überall das selbe passwort verwenden, dann hat irgendein komisches forum oder so ein leak, und schon haben sie deinen paypal account, oder so. Kommt ja sogar vor dass Passwörter in Klartext gespeichert werden, weiß man als Nutzer ja nicht.
2FA ist natürlich sinnvoll, vorallem bei wichtigen Accounts, aber ich denke überall andere, komplexe Passwörter zu verwenden(entweder über ein sehr, sehr gutes Gedächnis, oder einen Passwort-Manager), ist da erstmal das wichtigste. Wobei bei nem Passwortmanager natürlich der Passwortmanager sicher sein muss, sonst hat der Angreifer halt auch wieder alle Passwörter.
Da gibt es theoretisch mehrere Möglichkeiten. Irgendein Programm auf dem Rechner welches nicht ganz koscher ist, oder vielleicht auf eine E-Mail reagiert die einem zum Login auffordert?
Wenn das Passwort 16 Sellen hat (Kleinbuchstaben, Zahlen, Sonderzeichen etc.) ist es nicht möglich, dieses innerhalb von 8 Wochen durch Probieren zu brechen.
Gegebenenfalls die E-Mail des Accounts ändern, wenn die das Passwort nicht haben und den Login nur versuchen ists nicht dramatisch.
Die haben nur deine email oder username.
bei mir kommt bei steam auch immer die Mail das jemand sich einloggen wollte.
aber selbst wenn der mein pw hat, hat er mein Handy nicht wo ich nochmal nen Code bekomme.
aber die Mail bekomm ich eben auch weil es eben jemand mit meinem User versucht hat einzuloggen.
das ist quasi nur ne Art Warnung oder Tipp. Änder mal den User oder die Mail Adresse je nachdem mit was du anmeldest.
ich wette da kommt dann erstmal nix mehr
Falsch - sehr viele tun das von IT-Forensikern bis zu diversen Cyberkrminellen die Irgendwelche Dumps von Datenbanken diverser kleiner Webseiten erbeuten...