@@saschariess5791 tja man sollte passwörter tatsächlich öfter mal wechseln, was aber viele nur selten tun, mich einbegriffen. Wenn man es prüft, weiss man, ob das Passwort irgendwie geleakt wurde und sollte wenn ja, in Zukunft besser aufpassen, wo man es eingibt... und wo man welches eingibt. Viele Menschen benutzen überall das selbe Passwort, was absolut böse enden kann.
Der verdient 500k Abos aber rassistentube lässt sowas nicht zu der sollte lieber tiktok und Chinesen unterstützen dann kann man den neuen WO beschleunigen. 😂🎉
Bin auch Informatiker, und so etwas wurde uns überhaupt nicht erklärt. Informatik ist schließlich weit mehr als ein bisschen IT oder Kryptographie. Hashfunktionen hatten wir in keinem Fach (aber ich wusste natürlich trotzdem was sie sind und wie sie funktionieren, u.a. weil man sich so simples Zeugs üblicherweise am Rande selbst beibringt).
@@psy237 meine Intention war es ihm ein Kompliment zu zusprechen. Einige unserer Professoren haben extremes geleistet, das bedeutet, aber nicht, dass sie es auch gut lehren können.
Vor 30 Jahren, als ich mit dem Computer angefangen habe, da waren die meisten Passwörter ganz leicht zu erraten, wenn man etwas über die betreffende Person wußte. Damals haben sich die Leute nicht einmal die Mühe gemacht, zb vor oder hinter dem Namen des Haustieres ein paar Sonderzeichen zu setzen. 😀
Respekt. Mal ein Video, dem ich unabhängig Folgen und nachprüfen konnte. Mehr davor. Auch die Erklärungen zur Kryptographie waren in diesem Rahmen gut gewählt. Ehre wo Ehre gebührt.
Hallo Huseyin, einen wirklichen Mehrwert für uns Zuschauer hättest Du jetzt doch auch schaffen können: erklären, wie man an diese Datei kommt und wie man diese auf seinem eigenen Rechner dann nach seinen eigenen Passwörtern durchsuchen kann. Oder sehe ich das falsch? viele Grüße
Verzeihung für den verrauschten Ton ganz zum Schluss. Da wollte jemand offenbar mein Mikro hacken :) Korrektur von Versprecher bei 2:35: Der kleine Ausschnitt hat natürlich 200 Megabyte, nicht Gigabyte.
@@_legend_5594 Nö, ich mache das pausenlos, auch über Check-Funktionen bei Password-Managern, aber auch über Dateien. Gibt's also den Link als Nachschlag? 🤗
15:45 Wenn mir ein Dienst einen Passwort-Reminder mit dem Klartextpasswort schickt, dann weiß ich mit Sicherheit, dass das Passwort nicht verschlüsselt gespeichert ist. Oder auch: Ein Freund berichtete mir, dass er bei einer Plattform angemeldet war und sein Passwort nach einer Softwareumstellung bei der Plattform von 10 auf 8 Zeichen gekürzt wurde. Wenn die Plattform das kann, dann kann muss sie das Passwort ebenfalls im Klartext gespeichert haben. Ein Positiv-Beweis, dass eine Plattform Hashes einsetzt - oder eigentlich Stand der Technik, Hashes mit Salz oder Pfeffer - ist wahrscheinlich nicht möglich.
oder einfach "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" als passwort nehmen und warten, ob sich wer meldet, dass man sein passwort ändern soll.
In dem Fall übrigens direkt Anzeige erstatten, weil das Fahrlässigkeit ist und auch überhaupt nicht erlaubt ist. Es ist klare Vorgabe, dass Passwörter nicht im Klartext gespeichert werden dürfen. Datenschutzgesetz und so.
Mein Passwort wird doch in der Datei eh niemand finden 🤷♂️ Übrigens: Meinen Kindern wurde in der Schule geraten, einfach ein Ausrufezeichen voranzustellen 🤦. Und auf ein Zettel schreiben besser nicht - falls jemand einbricht. Lieber aufm Handy speichern 🎉.
Ich würde einfach dein Geburtsjahr dranhängen. Und mit Punkt dazwischen. Das können dann nur noch Geheimdienste und russische Profihacker knacken. Hat Patrick mir verraten 😂
Klar, nur warum willst du deine aktuell verwendeten Passwörter unverschlüsselt einer Seite schicken, wo du dessen Absichten nicht kennst? Ich könnte auch so eine Seite ins Netz stellen und all die Eingaben darauf abspeichern und später als Passwortliste verkaufen. Das kombiniere ich parallel noch mit einem weiteren verlinkten Dienst, wo du deine Mail-Adresse eingibst, ob diese Adresse irgendwann mal geleakt wurde Füge ich beides (per IP-Adressenzuordnung) zusammen hast mir Passwort und Mail-Adresse direkt frei Haus geliefert.
Woher kriege ich diese liste ich möchte nachschauen ob meine passwörter dort drin sind? Ich nutze zwar seit geraumer Zeit bitwarden als Passwort Menager aber ich habe natürlich nie und nimmer alle accounts das passwort gewechselt. Nur bei den wichtigsten. Es wäre mir also ein anliegen nachzuschlagen ob gewisse passwörter von mir dabei sind.
Er sagt, es sind 10 Mrd Einträge. Wenn du Pi mal Daumen annimmst, dass die Passwörter im Schnitt eine Länge von 9 Zeichen haben und nur aus ASCII Zeichen bestehen und mit einem line feed als Zeilenabschluss enden, dann sind das entpackt allein schon ca. (10*10^9*(9+1)+1)/1024^3 = 93,13 GiB an reinen Textdaten. Sollten die PW länger sein oder noch Unicodezeichen enthalten, dann werden es natürlich noch mehr Daten. Also nein, 200 MiB ist zu wenig und kann daher nicht stimmen.
@@Kriegstreiber Ich hab es euch doch oben vorgerechnet, dass 200 MiB grundfalsch sind. Es sind GiB. Bedankt euch bei den Altparteien und ihrem NetzDG, wenn ihr das obige Kommentar nicht lesen dürft.
Aber ist es nicht egal wie stark mein Passwort ist wenn es durch schlechte Implementierung im Klartext verschickt oder gespeichert wird und dadurch am Ende in der Liste auftaucht? Die Schwachstelle ist ja bei dieser Liste nicht mein Passwort.
Such mal nach: "Hinweise zum Umgang mit Passwörtern" Nein, es ist nicht egal, denn das "wenn" darf nicht sein. Ist es trotzdem, ist es strafbar für jene. Aus diesem, ähnlichen und/oder anderen Gründen kann und konnten ja so viele Menschen gegen Facebook und Co Schadensersatzansprüche geltend machen.
Doch ist es, wenn du das Passwort immer wieder benutzt. State-of-the-art wäre, IMMER komplexe VERSCHIEDENE Passwörter, welche ZUFALLSGENERIERT sind, für jeden Dienst zu benutzen. Wenn dann einer gehackt wird ist es zwar blöd, aber mitigiert jeglichen weiteren schaden.
@@Blob-qo5iq Da geb ich dir recht. Immer das gleiche zu verwenden ist dann halt der Knackpunkt. Aber die Komplexität spielt hierbei keine Rolle, wenn sie geleakt werden. Das siehst du ja auch gut im Video mit dem "admin" Beispiel. Da stehen auch lange kryptische Zeichenketten drinne. Wäre das mein Passwort, dann wäre das super komplex, aber trotzdem nicht mehr sicher.
@@kaimildner2153 Da kommst aber wieder Du ins Spiel - wenn Du alle Monat Deine Passworte änderst, können Diese zwar immer noch geleekt werden, sind aber nach einem Monat Kartei-Leichen. Die 'menschlichen' Passworte in dieser Liste werden hundertfach benutzt - die Kreativität vor und nach 'admin' noch 123 anzuhängen, ist weiter verbreitet ;)
Auf der Webseite wie bspw. die von Troy Hunt wird dir durch die Hashs nicht gesagt, wo die Passwörter gestohlen wurden. Deswegen macht es Sinn ein möglichst langes und komplexes Passwort zu verwenden. Die Wahrscheinlichkeit, dass jemand anderes auch so ein Passwort generiert und verwendet ist dann sehr gering. Dadurch kannst du dann allein durch die Hashs darauf zurückschließen, wo dein Passwort gestohlen wurde. Das setzt aber natürlich voraus, dass du überall ein anderes Passwort verwendest.
2:28 Doch das geht mit den richtigen Editors, z.B. mit EmEditor oder BssEditor. Als Informatiker mit Bezug zum High-Performance Computing arbeite ich von Berufs wegen öfters mit noch größeren (automatisch generierten) Textdateien.
Genau so würde ich hier, unter *GNU/Linux* auch eine Datei durchsuchen, dafür ist *grep* gemacht, z.B.: grep -E '*admin*|*12345678|*password|passwort' passwortdatei.txt Das Ganze dann aber gleich noch lesbarer in der Ausgabe: grep SUCHSTRING passwortdatei | less oder gleich die Datei in mehrere, "handliche" Dateien splitten
Wenn die benutzte E-Mail Adresse unbekannt ist (und selbst eventuell kompliziert ist) und die bei einer Seite verwendet werden muss zum einloggen (anstatt des Benutzernamens), müsste man eigentlich etwas außer Gefahr sein, selbst wenn eine Passwortliste existiert mit dem richtigen Passwort. Zur Sicherheit sollte man sein Passwort aber dennoch ändern. Das war nicht als Entwarnung gemeint.^^
Man muss davon ausgehen, dass der *Ersteller* der Liste auch die zugehörigen Anmeldenamen hat. Warum sollte jemand bei einem gehackten Dienst nur die Passwörter klauen, die Anmeldenamen aber nicht mitkopieren...? Das wäre ja völlig weltfremd. Die Veröffentlichung der reinen Passwortliste ist vermutlich eine Art Marketingkampagne für den Verkauf der vollständigen Daten.
@@matthiask.6031 So funktioniert das nicht. Wenn du das Passwort für ein Konto suchst, probierst du erst mal die häufig verwendeten Passwörter durch. Jede mögliche Kombination zu probieren, dauert sonst 3.6 fantastilarden Jahre. So viel Zeit hat doch keiner!
Die miesten, gut gehosteten, Server lassen nur eine begrenzte Anzahl an Verscuhen zu, dann kommt eine Wartezeit für die zugreiffende IP-Adresse und diese verlängert sich mit jedem weiteren Fehlversuch. Also kann man nicht in kürzester Zeit "mal eben" Millionen Passwörter testen.
wenn ein Dienst wie im Video erklärt korrekte sichere Hashes verwendet, wird das Passwort im Klartext nicht den Server verlassen. Dann kann es aber immer noch gebruteforced werden, d.h. alle möglichen Kombinationen werden durchprobiert. Durch Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen steigt die mögliche Auswahl für jede Stelle im Passwort um einiges an und das rechnet sich hoch. Es sind viiiel mehr Kombinationen möglich, was Bruteforce deutlich schwerer macht. Ist auch immer ein Warnzeichen, wenn der Dienst keine Sonderzeichen im Passeort zulässt. Oder eine maximale Zeichenlänge von 12 oder so vorgibt.
Wenn du ein PW mit 10 zeichen aber nur Zahlen verwendest, sind es maximal 10 hoch 10 Möglichkeiten, also 10000000000 Möglichkeiten. Sich zu deinem Hashwert alle Möglichen Hashwerte von 1 bis 10000000000 zu erstellen ist mit Computern ein Klacks, nach 1 Sekunde hat man dein Passwort aus einem Hashwert gebruteforced. Nimmst Du noch Buchstaben dazu sind wir bei 36 hoch 10 Möglichkeiten = 2,6E15 Möglichen Kombinationen, schon besser. Nimmt man alle Möglichen Zeichen bekommt man 256 hoch 10 Möglichkeiten = 1,2E24 Nimmt man ein doppelt so langes PW 256 hoch 20 Möglichkeiten = 1,4E48 Eine Liste für einen Brute Force Angriff benötigt dafür ca 2,9E34 Petabyte Speicherplatz, was technisch die Möglichkeiten sprengt. In der Kryptographie ist Mathematik dein bester Kumpan. Maximale Basis (Verwendete Zeichen) hoch Passwortlänge = Möglichkeiten, und irgendwann , s.o. gibt es dann so viele PW Möglichkeiten, da ist eine 150GB Passwortliste ein Witz dagegen.
Wenn die Datenbank eines Anbieters das unverschlüsselt speichert, dann kann dein Passwort bis zum Mond gehen und zurück - es steht später trotzdem in so einer Liste.
Hashcodes können durch aus knackbar sein. Angeifer nutzen sogenannte Rainbow Tables dazu. Wichtig ist das ein kryptografischer Zusatz mit gehasht wird das sogenannte Salt und Pepper
Hashcodes werden nicht geknackt, sondern es wird in der Rainbowtabelle gesucht, ob dieser Hashcode zu einem der daneben stehendem Passwörter passt. Findet man diesen nicht, kann man noch durch probieren das Passwort versuchen zu erraten, das dauert jedoch je nach Hashverfahren extrem lange. Aus einem Hashwert wieder das ursprüngliche Passwort herzustellen, ist nicht möglich.
@@PainGain12 Hä - irre ich mich oder hatte man durch Hashstretching nicht die Sicherheit erhöht und nicht gesenkt? Ich verstehe deinen Satz so, als sagtest du man könne damit Hashcodes knacken.
Wie lange würde es denn dauern um diese ganze Liste, bei einem gezielten Account, einmal komplett durchzuprüfen, ob zufällig das Account-Passwort enthalten ist?
Subhan Allah 🌷 Dankeschön für das hilfreiche Video . Es ist war , wo ein neues Sicherheitssystem erfunden wird , stehen die " Gauner " schon bereit um den passenden " Schlüssel" nachzumachen . Ja , das Böse schläft nie!
Krass habs mur auch mal runtergeladen und nach meinen Passwörtern durchsucht. Ein älteres Passwort von mir mit einem Wort aus einer sogut wie ausgestorben Sprache (Tscherkessisch) wort+zahlen war auch enthalten 😅
Wenn man den Hash hat, kann man, theoretisch, das Passwort lokal ermitteln. Mit Passwortdateien, brute force. Wie lange das dauert sei dahingestellt. Man muss natürlich auch wissen womit der Hash erstellt wurde. Btw. Gut erklärt. PS: unter linux geht das durchsuchen mit Boardmitteln, cat, grep etc.
@@paulstraszewski736 nicht ganz. Vor fast 25 Jahren hatte ich mal ne Paysite, die Begehrlichkeiten geweckt hat. Skriptkiddieattacke auf den Memberbereich. Hat mir leider den Doppel 350Mhz PII runtergezogen. Lösung war das Skriptkiddie zu erkennen, immer schön Access Denied zu retournieren, und anstatt die Mysql Datenbank zu erwürgen einfach alle Requeste auf Platte zu loggen. Hat 20 min gedauert, danach hat mir der Kiddie seine ganze Datenbank rübergeschickt, und ich konnte entspannt prüfen, ob er damit Accounts aufgemacht hätte. In der Tat, drei Stück hätte er geöffnet. Ich liebe es, wenn mir die Kiddies ihre Datenbank rüberschicken. Alle zukünftigen Neu Accounts wurden dagegen gecheckt ;)
Ein Künstler Namens Jan Olaf Scholz? In Leipzig gibt's nen Uhrenladen der Oliver Pocher heißt. Nee nee. Nicht der da. Der in Leipzig heißt nur so. Der is ne Spur seriöser.
Mich interessiert, ob es sich einfach nur um 10 Mrd Worte handelt, die da aufgelistet sind oder ob sie auch einzigartig und sortiert sind. Hat das jemand überprüft ?
Wenn ich das richtig sehe, ist die Datei nicht um Doubletten bereinigt. In den von dir gezeigten Beispielen spielt das keine große Rolle, aber es dürfte einige Passwörter geben, die viele Millionen Doubletten haben. Wie viele Passwörter sind es denn um Doubletten bereinigt?
Wenn so n Server aber geknackt wird, ist es dann nicht egal, wie kompliziert ein Passwort ist, wenn dem Hacker eh alles aufm Silvertablet vorliegt...??
8:00 man kann sie nicht zurückrechnen das heißt aber trotzdem nicht das man sie nicht knacken kann. Deshalb Passwörter zusätzlich zum hashen, mit einem salt versehen...
Nein, das muss nicht unrealistisch sein. Weiter oben habe ich folgende einfache Überschlagsrechnung gemacht. Wenn du annimmst, dass die Passwörter im Schnitt eine Länge von 9 Zeichen haben und nur aus ASCII Zeichen bestehen und mit einem line feed als Zeilenabschluss enden, dann sind das bei 10 Mrd Einträgen entpackt allein schon ca. (10*10^9*(9+1)+1)/1024^3 = 93,13 GiB an reinen Textdaten. Sollten die PW länger sein oder noch Unicodezeichen enthalten, dann werden es natürlich noch mehr Daten. Es reicht also schon, wenn das Passwort 15 Zeichen lang ist um an diese 150 GiB heranzukommen. Die UTF-8 Kodierung erlaubt bis zu 6 Byte pro Zeichen, Zeichen die häufiger vorkommen, etwas weniger. Wenn du nur zwei solcher häufigeren Unicodezeichen, die bspw. jeweils 2 Byte benötigen, bist du schon bei 4 Byte für diese zwei Zeichen.
Habe ein sehr langes und auch meiner Meinung nach sicheres Passwort für meinen E-Mail Account. Als das rauskam mit der 10 Milliarden Leakliste habe ich mein Passwort checken lassen OHNE es dort einzugeben. Was soll ich sagen: Mein Passwort erscheint auch in der Liste:-(((, also war für mich klar das der Server des Anbieters gehackt wurde....!?!?! da ist doch eigentlich eine Anzeige wegen Datenschutzverletzung angebracht oder etwa NICHT?
"Tippen Sie ihr Passwort ein um zu prüfen, ob es irgendwo verwendet wird" - tolle Idee :D
wenn man es vorher bereits geändert hat, kein Problem :)
@@djtongi wer ändert das denn vorher? Dann bräuchte ich es doch garnicht prüfen
@@saschariess5791 tja man sollte passwörter tatsächlich öfter mal wechseln, was aber viele nur selten tun, mich einbegriffen. Wenn man es prüft, weiss man, ob das Passwort irgendwie geleakt wurde und sollte wenn ja, in Zukunft besser aufpassen, wo man es eingibt... und wo man welches eingibt. Viele Menschen benutzen überall das selbe Passwort, was absolut böse enden kann.
du hast die Datei lokal... also hat da Keiner einen Einfluss wenn du suchst. Kannst auch "Find" unter Windows oder "grep" unter Unix/Linux nehmen.
Perfekt hab mein Passwort vergessen 🚬
😂
klares Motiv.
schön dass du dich auch für Technik interessierst. Das erklärt die sachliche Auseinandersetzung mit gesellschaftlichen Themen.
Congrats zu 50.000 Abos! Hast du verdient, machst super Arbeit 👍🏾🙏🏾
noch 50.000 dann schaltet sich der Verfassungsschutz ein 😂
nein, Judenhass und Werbung dafür ist keine gute Arbeit.
Ich freue mich riesig du hast 🎉500000 Abonnements 🎉🎉 Dankeschön für deine tollen wertvollen Videos 👍🏼
50.000 nicht 500.000 😂😂
@@marioluigi2556 Ohja 🤣
Dankeschön 🤗🤗🤗👍🏼
Der verdient 500k Abos aber rassistentube lässt sowas nicht zu der sollte lieber tiktok und Chinesen unterstützen dann kann man den neuen WO beschleunigen. 😂🎉
@@marioluigi2556 so ist es
Noch nie so einen Quatsch gehört😂🤦@@Animals.Diaries
2027: 10 Milliarden unfreiwillige Windows Recal User Screenshots geleakt.
... und die Interessanten direkt auf OF hochgeladen ...
Du bist so krass! Ich liebe intelligente Menschen. Werde jetzt mal meine Passwörter ändern... Danke❣
Informatiker hier, besser erklärt als meine Dozenten
Ohne Witz xD
War aber doch etwas ungenau
@@psy237 Er ist Informatiker und du?
Bin auch Informatiker, und so etwas wurde uns überhaupt nicht erklärt. Informatik ist schließlich weit mehr als ein bisschen IT oder Kryptographie. Hashfunktionen hatten wir in keinem Fach (aber ich wusste natürlich trotzdem was sie sind und wie sie funktionieren, u.a. weil man sich so simples Zeugs üblicherweise am Rande selbst beibringt).
@@psy237 meine Intention war es ihm ein Kompliment zu zusprechen. Einige unserer Professoren haben extremes geleistet, das bedeutet, aber nicht, dass sie es auch gut lehren können.
deine Arbeit ist hoch geschätzt. Vielen vielen Dank.
Vor 30 Jahren, als ich mit dem Computer angefangen habe, da waren die meisten Passwörter ganz leicht zu erraten, wenn man etwas über die betreffende Person wußte. Damals haben sich die Leute nicht einmal die Mühe gemacht, zb vor oder hinter dem Namen des Haustieres ein paar Sonderzeichen zu setzen. 😀
Machen doch heute auch noch viele recht ähnlich
Respekt. Mal ein Video, dem ich unabhängig Folgen und nachprüfen konnte. Mehr davor. Auch die Erklärungen zur Kryptographie waren in diesem Rahmen gut gewählt. Ehre wo Ehre gebührt.
Immerwieder ein Genuss. Super Video 👍 (wie immer)
Hallo Huseyin,
einen wirklichen Mehrwert für uns Zuschauer hättest Du jetzt doch auch schaffen können:
erklären, wie man an diese Datei kommt und wie man diese auf seinem eigenen Rechner dann nach seinen eigenen Passwörtern durchsuchen kann.
Oder sehe ich das falsch?
viele Grüße
Achja, so wünscht man sich Videos! Danke
Der Leak ist locker 4 Tage alt. 😆
Verzeihung für den verrauschten Ton ganz zum Schluss. Da wollte jemand offenbar mein Mikro hacken :)
Korrektur von Versprecher bei 2:35: Der kleine Ausschnitt hat natürlich 200 Megabyte, nicht Gigabyte.
Kein Video zu den Wahlen im İran ???
50000❤
WIESO gibt es keine Link?
Ich bin der einzige der regelmäßig versucht meine Passwörter zu knacken 👀
@@_legend_5594 Nö, ich mache das pausenlos, auch über Check-Funktionen bei Password-Managern, aber auch über Dateien. Gibt's also den Link als Nachschlag? 🤗
15:45 Wenn mir ein Dienst einen Passwort-Reminder mit dem Klartextpasswort schickt, dann weiß ich mit Sicherheit, dass das Passwort nicht verschlüsselt gespeichert ist. Oder auch: Ein Freund berichtete mir, dass er bei einer Plattform angemeldet war und sein Passwort nach einer Softwareumstellung bei der Plattform von 10 auf 8 Zeichen gekürzt wurde. Wenn die Plattform das kann, dann kann muss sie das Passwort ebenfalls im Klartext gespeichert haben.
Ein Positiv-Beweis, dass eine Plattform Hashes einsetzt - oder eigentlich Stand der Technik, Hashes mit Salz oder Pfeffer - ist wahrscheinlich nicht möglich.
oder einfach "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" als passwort nehmen und warten, ob sich wer meldet, dass man sein passwort ändern soll.
Welcher Dienst schickt den ein Passwort-Reminder im Klartext?
@@Ecovictorianwahrscheinlich so ein spezial Service den du nur in China von staatlich geprüften unternehmen bekommst ^^
@@Ecovictorian verschiedene Mailinglisten
In dem Fall übrigens direkt Anzeige erstatten, weil das Fahrlässigkeit ist und auch überhaupt nicht erlaubt ist. Es ist klare Vorgabe, dass Passwörter nicht im Klartext gespeichert werden dürfen. Datenschutzgesetz und so.
Danke für die Arbeit/Mühe! Sehr interessant.
Danke ❤ für den nützlichen Beitrag 👍
VERTRAUEN KÖNNEN IST SEHR RAR GEWORDEN
DANKE DIR
Danke für diesen informativen und verständlichen Vortrag für Laien, wie mich! 👍
top...danke für die Aufklärung. hat mich auf jeden Fall aufmerksamer gemacht
Wieder ein super Video. Danke für die Aufklärung mein Lieber 👍
Das beste, wenn das Master Passwort vom Passwort Manager in dieser Liste ist
Danke für die Info
Auch immer wieder spooky, wenn Dienstanbieter bei der Funktion "Passwort vergessen" einem das gesetzte Passwort in plain text zusenden... 😱
Danke für die Infos. Und das alle ohne Junpcuts! 👍
Danke für Ihre Video Arbeit.
Mein Passwort wird doch in der Datei eh niemand finden 🤷♂️
Übrigens:
Meinen Kindern wurde in der Schule geraten, einfach ein Ausrufezeichen voranzustellen 🤦.
Und auf ein Zettel schreiben besser nicht - falls jemand einbricht. Lieber aufm Handy speichern 🎉.
Lauter Duplikate selbst in diesem kleinen Abschnitt, würde ein echter Hacker das so hochladen?
ja, ist mir auch aufgefallen. fast auf jedem gezeigten Abschnitt doppelte Einträge. nicht sehr professionell
Was!?! Mein super komplexes Passwort "passwort1" ist auch auf der Liste? Sollte ich jetzt auf passwort2 wechseln?
am besten paar überspringen ab 5 würd ich starten das kann man länger verwenden
Ich würde einfach dein Geburtsjahr dranhängen. Und mit Punkt dazwischen. Das können dann nur noch Geheimdienste und russische Profihacker knacken.
Hat Patrick mir verraten
😂
Ganz gefunkelt nochmal Passwort1 verwenden, damit rechnet nicht mal ein Quantum computer
Definition Schlüsselbund: "Ein Schlüsselbund ist eine technische Einrichtung die es einem ermöglicht, mehrere Schlüssel zusammen zu verlieren"
Guter Hinweis am Schluss !!! 👍
Datei bitte Uploaden, brauche das für ein Schild Projekt, danke
Kannst du mal bitte das Script zum durchsuchen teilen? Das wäre recht hilfreich um zu verifizieren ob man betroffen ist oder nicht.
Webseite Have I been Pwned macht das viel einfacher. Die haben alle Leaks.
Gibt es nicht irgendwo ne seite wo man die 10Milliarden einmal checken kann ? Ohne das man die etlichen GB runterladen muss ?
Klar, nur warum willst du deine aktuell verwendeten Passwörter unverschlüsselt einer Seite schicken, wo du dessen Absichten nicht kennst?
Ich könnte auch so eine Seite ins Netz stellen und all die Eingaben darauf abspeichern und später als Passwortliste verkaufen. Das kombiniere ich parallel noch mit einem weiteren verlinkten Dienst, wo du deine Mail-Adresse eingibst, ob diese Adresse irgendwann mal geleakt wurde
Füge ich beides (per IP-Adressenzuordnung) zusammen hast mir Passwort und Mail-Adresse direkt frei Haus geliefert.
Danke für deine Arbeit
Nettes Video und auch richtig das so zu zeigen.
Aber sag mal: hattest du gegen ende des Videos irgendwie eine Sturmfront in der Wohnung?
Danke Actuarium. Wie immer top Level.
Wie gut du bist zeigen die neidischen Kommentare.
Mach weiter so👏👍🙏
So eine Liste kann ich auch mit ein Passwort Generator erstellen da brauch ich kein Hacker sein
Er hat ja im Video mehrere Hinweise dazu gezeigt, dass diese eben nicht generiert wurde
Danke fürs aufklären
Woher kriege ich diese liste ich möchte nachschauen ob meine passwörter dort drin sind? Ich nutze zwar seit geraumer Zeit bitwarden als Passwort Menager aber ich habe natürlich nie und nimmer alle accounts das passwort gewechselt. Nur bei den wichtigsten. Es wäre mir also ein anliegen nachzuschlagen ob gewisse passwörter von mir dabei sind.
2:30 Du meinst "nur 200 MB" oder? 200 GB wäre ja mehr als die entpackte Gesamtdatei.
Er sagt, es sind 10 Mrd Einträge. Wenn du Pi mal Daumen annimmst, dass die Passwörter im Schnitt eine Länge von 9 Zeichen haben und nur aus ASCII Zeichen bestehen und mit einem line feed als Zeilenabschluss enden, dann sind das entpackt allein schon ca. (10*10^9*(9+1)+1)/1024^3 = 93,13 GiB an reinen Textdaten. Sollten die PW länger sein oder noch Unicodezeichen enthalten, dann werden es natürlich noch mehr Daten. Also nein, 200 MiB ist zu wenig und kann daher nicht stimmen.
Die Datei ist 50gb groß im gezipten Zustand
Vermutlich meint er 200 MB. Ich habe mich genauso gewundert.
@@Kriegstreiber Ich hab es euch doch oben vorgerechnet, dass 200 MiB grundfalsch sind. Es sind GiB. Bedankt euch bei den Altparteien und ihrem NetzDG, wenn ihr das obige Kommentar nicht lesen dürft.
145.25 GB ach du scheiße
Aber ist es nicht egal wie stark mein Passwort ist wenn es durch schlechte Implementierung im Klartext verschickt oder gespeichert wird und dadurch am Ende in der Liste auftaucht? Die Schwachstelle ist ja bei dieser Liste nicht mein Passwort.
Such mal nach: "Hinweise zum Umgang mit Passwörtern"
Nein, es ist nicht egal, denn das "wenn" darf nicht sein. Ist es trotzdem, ist es strafbar für jene. Aus diesem, ähnlichen und/oder anderen Gründen kann und konnten ja so viele Menschen gegen Facebook und Co Schadensersatzansprüche geltend machen.
Doch ist es, wenn du das Passwort immer wieder benutzt.
State-of-the-art wäre, IMMER komplexe VERSCHIEDENE Passwörter, welche ZUFALLSGENERIERT sind, für jeden Dienst zu benutzen. Wenn dann einer gehackt wird ist es zwar blöd, aber mitigiert jeglichen weiteren schaden.
@@Blob-qo5iq Da geb ich dir recht. Immer das gleiche zu verwenden ist dann halt der Knackpunkt. Aber die Komplexität spielt hierbei keine Rolle, wenn sie geleakt werden. Das siehst du ja auch gut im Video mit dem "admin" Beispiel. Da stehen auch lange kryptische Zeichenketten drinne. Wäre das mein Passwort, dann wäre das super komplex, aber trotzdem nicht mehr sicher.
@@kaimildner2153 Da kommst aber wieder Du ins Spiel - wenn Du alle Monat Deine Passworte änderst, können Diese zwar immer noch geleekt werden, sind aber nach einem Monat Kartei-Leichen.
Die 'menschlichen' Passworte in dieser Liste werden hundertfach benutzt - die Kreativität vor und nach 'admin' noch 123 anzuhängen, ist weiter verbreitet ;)
Auf der Webseite wie bspw. die von Troy Hunt wird dir durch die Hashs nicht gesagt, wo die Passwörter gestohlen wurden. Deswegen macht es Sinn ein möglichst langes und komplexes Passwort zu verwenden. Die Wahrscheinlichkeit, dass jemand anderes auch so ein Passwort generiert und verwendet ist dann sehr gering. Dadurch kannst du dann allein durch die Hashs darauf zurückschließen, wo dein Passwort gestohlen wurde. Das setzt aber natürlich voraus, dass du überall ein anderes Passwort verwendest.
2:28 Doch das geht mit den richtigen Editors, z.B. mit EmEditor oder BssEditor. Als Informatiker mit Bezug zum High-Performance Computing arbeite ich von Berufs wegen öfters mit noch größeren (automatisch generierten) Textdateien.
Och, wieder haben die mich ausgeschlossen und mein Passwort da vergessen. Hab mich aber jetzt selbst eingetragen. 😁👍
Nices Video 😊
Ich wusste das du einen mathematischen Hintergrund hast, aber hast du auch was in der Informatik gemacht?
barakallahu feekum
Sehr informativ. Was mich am Video extrem stört, das ist das Rauschen und Knacken, da es sehr laut ist und teilweise über der Stimme liegt.
3:55 Ich wusste gar nicht, dass du programmieren kannst. Aber es gibt schon "grep". Oder "rg" wenn mans effizienter haben will.
Genau so würde ich hier, unter *GNU/Linux* auch eine Datei durchsuchen, dafür ist *grep* gemacht, z.B.:
grep -E '*admin*|*12345678|*password|passwort' passwortdatei.txt
Das Ganze dann aber gleich noch lesbarer in der Ausgabe:
grep SUCHSTRING passwortdatei | less
oder gleich die Datei in mehrere, "handliche" Dateien splitten
Er hat nur Windows. 😂
@@mrcvryOder er denkt etwas weiter und weiß dass die meisten Windows nutzen.
Wobei, grep müsste es auch für Windows geben...
Kannst Du uns bitte den Download-Link zur Verfügung stellen.
Und bitte nicht als Torrent oder vergleichbarem.
Wenn die benutzte E-Mail Adresse unbekannt ist (und selbst eventuell kompliziert ist) und die bei einer Seite verwendet werden muss zum einloggen (anstatt des Benutzernamens), müsste man eigentlich etwas außer Gefahr sein, selbst wenn eine Passwortliste existiert mit dem richtigen Passwort. Zur Sicherheit sollte man sein Passwort aber dennoch ändern. Das war nicht als Entwarnung gemeint.^^
Würde dringend davon abraten, die Mailadresse als Sicherheitsfaktor einfließen zu lassen.
Ich verwende seit ca. 20 Jahren überall eine einzigartige Email Adresse. Proton Pass hat das inzwischen sogar schon eingebaut.
Man muss davon ausgehen, dass der *Ersteller* der Liste auch die zugehörigen Anmeldenamen hat. Warum sollte jemand bei einem gehackten Dienst nur die Passwörter klauen, die Anmeldenamen aber nicht mitkopieren...? Das wäre ja völlig weltfremd. Die Veröffentlichung der reinen Passwortliste ist vermutlich eine Art Marketingkampagne für den Verkauf der vollständigen Daten.
@@matthiask.6031
So funktioniert das nicht. Wenn du das Passwort für ein Konto suchst, probierst du erst mal die häufig verwendeten Passwörter durch. Jede mögliche Kombination zu probieren, dauert sonst 3.6 fantastilarden Jahre. So viel Zeit hat doch keiner!
Was bringen eig. die groß klein buchstaben mit zahlen und zeichen, wenns eh gehackt wird
Die miesten, gut gehosteten, Server lassen nur eine begrenzte Anzahl an Verscuhen zu, dann kommt eine Wartezeit für die zugreiffende IP-Adresse und diese verlängert sich mit jedem weiteren Fehlversuch. Also kann man nicht in kürzester Zeit "mal eben" Millionen Passwörter testen.
wenn ein Dienst wie im Video erklärt korrekte sichere Hashes verwendet, wird das Passwort im Klartext nicht den Server verlassen. Dann kann es aber immer noch gebruteforced werden, d.h. alle möglichen Kombinationen werden durchprobiert. Durch Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen steigt die mögliche Auswahl für jede Stelle im Passwort um einiges an und das rechnet sich hoch. Es sind viiiel mehr Kombinationen möglich, was Bruteforce deutlich schwerer macht.
Ist auch immer ein Warnzeichen, wenn der Dienst keine Sonderzeichen im Passeort zulässt. Oder eine maximale Zeichenlänge von 12 oder so vorgibt.
Wenn du ein PW mit 10 zeichen aber nur Zahlen verwendest, sind es maximal 10 hoch 10 Möglichkeiten, also 10000000000 Möglichkeiten.
Sich zu deinem Hashwert alle Möglichen Hashwerte von 1 bis 10000000000 zu erstellen ist mit Computern ein Klacks, nach 1 Sekunde hat man dein Passwort aus einem Hashwert gebruteforced.
Nimmst Du noch Buchstaben dazu sind wir bei 36 hoch 10 Möglichkeiten = 2,6E15 Möglichen Kombinationen, schon besser.
Nimmt man alle Möglichen Zeichen bekommt man 256 hoch 10 Möglichkeiten = 1,2E24
Nimmt man ein doppelt so langes PW 256 hoch 20 Möglichkeiten = 1,4E48
Eine Liste für einen Brute Force Angriff benötigt dafür ca 2,9E34 Petabyte Speicherplatz, was technisch die Möglichkeiten sprengt.
In der Kryptographie ist Mathematik dein bester Kumpan.
Maximale Basis (Verwendete Zeichen) hoch Passwortlänge = Möglichkeiten, und irgendwann , s.o. gibt es dann so viele PW Möglichkeiten, da ist eine 150GB Passwortliste ein Witz dagegen.
Wo kann man sich diese Liste herunterladen?
Google einfach den Dateinamen.
Das blöde ist, dass RUclipss AutoZensur (meistens?) alle Kommentare mit Link sofort löscht. Wie bei mir gerade.
Die Zahl, die du Random bei 12:40 eingetippt hast, -ist- war mein Passwort.
Danke für das Video! :)
Echt? 😮
Hahahahahhahahhah
Ja. Ist meine Hausnummer. Sonst total sicher - ich schwör! 😮
Wähle dein Passwort aus dem Ende der Liste und du bist auf der sicheren Seite, was Brute-Force Angriffe betrifft.😁
Multi threaded Bruteforce beginnend aus verschiedenen Stellen..
@@DDLucario ...da hat wohl jemand mein Smiley übersehen. 😃
@@knofi7052 tschuligom
@@knofi7052 tschuligom
In welcher Sprache hast du das Programm geschrieben?
Falls Password Manager - welchen wuerdet Ihr empfehlen (bzw. von welchem eher abraten)?
Was direkt auffällt, ist das alle recht "kurz" sind. Also verwendet wenn möglich einfach längere passwörter
Wenn die Datenbank eines Anbieters das unverschlüsselt speichert, dann kann dein Passwort bis zum Mond gehen und zurück - es steht später trotzdem in so einer Liste.
Hashcodes können durch aus knackbar sein. Angeifer nutzen sogenannte Rainbow Tables dazu. Wichtig ist das ein kryptografischer Zusatz mit gehasht wird das sogenannte Salt und Pepper
Also Pepper ist mir neu 😂 Ich salte nur.
Hashstretching ist auch eine Möglichkeit
Hashcodes werden nicht geknackt, sondern es wird in der Rainbowtabelle gesucht, ob dieser Hashcode zu einem der daneben stehendem Passwörter passt. Findet man diesen nicht, kann man noch durch probieren das Passwort versuchen zu erraten, das dauert jedoch je nach Hashverfahren extrem lange.
Aus einem Hashwert wieder das ursprüngliche Passwort herzustellen, ist nicht möglich.
@@PainGain12 Hä - irre ich mich oder hatte man durch Hashstretching nicht die Sicherheit erhöht und nicht gesenkt? Ich verstehe deinen Satz so, als sagtest du man könne damit Hashcodes knacken.
Da sieht man mal wieder: verschlüsselten PW-Manager und für jeden Acc. ein langes (32 Zeichen aufwärts) randomisiertes PW mit Sonderzeichen nutzen.
Wie lange würde es denn dauern um diese ganze Liste, bei einem gezielten Account, einmal komplett durchzuprüfen, ob zufällig das Account-Passwort enthalten ist?
Kommt auf deine Hardware an. NVMe im Raid müsste wohl ziemlich schnell gehen, da bräuchts imho nicht mal ne starke CPU.
Kann ich auf irgendeiner Seite nach meinem PW bzw den ersten Buchstaben suchen?
Ein Passwort Manager ist tatsächlich sicherer als das Speichern im Browser? Wo speichert es der Passwort-Manager?
Wo kann ich die Datei laden?
github.
magnet:?xt=urn:btih:4e3915a8ecf6bc174687533d93975b1ff0bde38a
Subhan Allah 🌷
Dankeschön für das hilfreiche Video . Es ist war , wo ein neues Sicherheitssystem erfunden wird , stehen die " Gauner " schon bereit um den passenden " Schlüssel" nachzumachen . Ja , das Böse schläft nie!
Suppenhahn wallah billa
Könntest du dein Skript veröffentlichen, mit welchem du die Rockyou2024 durchsuchst? 😅
Bei den gezeigten Beispielen ist kein einziges dabei, das den Namen "Passwort" verdient. 🙂
Man kann sein Passwort ja auf einer der entsprechenden Internetseiten eingeben nachdem man es geändert hat, falls man neugierig ist, ob es dabei war.
Fein, da hat man doch Trainingsmaterial für die Bloomfilter für Passwortsicherheitsbewerter.
link?
Krass habs mur auch mal runtergeladen und nach meinen Passwörtern durchsucht.
Ein älteres Passwort von mir mit einem Wort aus einer sogut wie ausgestorben Sprache (Tscherkessisch) wort+zahlen war auch enthalten 😅
wo kann ich die Datei runterladen und wie kann ich sie so durchsuchen, wie du es im Video machst?
diese baby grundkenntnisse bis minute 8 könnte man weglassen
Wenn man super starke Passwörter verwendet, und der Server gehackt wird, hilft da auch das krasseste Passwort nicht
Ok, man muss aber festhalten, dass hier sehr oft Passwörter doppelt vorkommen. Würde man die distincten, wäre die Liste vermutlich deutlich kleiner.
Wenn man den Hash hat, kann man, theoretisch, das Passwort lokal ermitteln. Mit Passwortdateien, brute force.
Wie lange das dauert sei dahingestellt. Man muss natürlich auch wissen womit der Hash erstellt wurde.
Btw. Gut erklärt.
PS: unter linux geht das durchsuchen mit Boardmitteln, cat, grep etc.
Ich kannte die alte rockyou aus proof of concept Projekten wie GPU accelerated hashcracking usw.. witzig.
Dem Skriptkiddie, das 150GB gegen einen Server wirft, dem können wir beim Wachsen zuschauen bis er fertig ist :)
Das wird meist nicht online versucht, sondern auf Hash-Leaks oder um Dinge wie VeraCrypt, Cryptomator oder Password Safes zu knacken!
Finde auch das die listen nutzlos sind.
Nicht ganz. Du kannst dein eigenes, super geniales Passwort suchen und findest es vermutlich sogar. 😁
@@paulstraszewski736 nicht ganz. Vor fast 25 Jahren hatte ich mal ne Paysite, die Begehrlichkeiten geweckt hat. Skriptkiddieattacke auf den Memberbereich. Hat mir leider den Doppel 350Mhz PII runtergezogen. Lösung war das Skriptkiddie zu erkennen, immer schön Access Denied zu retournieren, und anstatt die Mysql Datenbank zu erwürgen einfach alle Requeste auf Platte zu loggen. Hat 20 min gedauert, danach hat mir der Kiddie seine ganze Datenbank rübergeschickt, und ich konnte entspannt prüfen, ob er damit Accounts aufgemacht hätte. In der Tat, drei Stück hätte er geöffnet. Ich liebe es, wenn mir die Kiddies ihre Datenbank rüberschicken. Alle zukünftigen Neu Accounts wurden dagegen gecheckt ;)
Wenn man die Häufigkeiten der einzelnen Passwörter hatte, würde es vielleicht was bringen
Wo kann ich die Liste herunterladen?
Internet
github
GitHub, per Magnet/ Torrent.
Ich weiss nicht wie legal das ist, aber ich waere vorsichtig dabei.
@@mendereskentmen3563 ja, in diesem Internet habe ich es auch gefunden.
Gepostete Links werden von RUclips irgendwie fast immer sofort gelöscht. Unabhängig vom Thema. Vielleicht hatten dir schon 10 Leute geantwortet.
Welcher "normale" Hacker oder Spammer, etc. geht eine Liste von 10 Mrd. Passwörtern durch, um ein einfaches Account irgendwo zu hacken, ..?
2FA!! MFA!
Hat halt nicht jeder
Was ist MFA?
@@enginanil5412 Multi-Faktor-Authentifizierung
wie kommt's dass die teilweise doppelt angeführt sind?
Ein Künstler Namens Jan Olaf Scholz? In Leipzig gibt's nen Uhrenladen der Oliver Pocher heißt. Nee nee. Nicht der da. Der in Leipzig heißt nur so. Der is ne Spur seriöser.
Mich interessiert, ob es sich einfach nur um 10 Mrd Worte handelt, die da aufgelistet sind oder ob sie auch einzigartig und sortiert sind. Hat das jemand überprüft ?
Wenn ich das richtig sehe, ist die Datei nicht um Doubletten bereinigt. In den von dir gezeigten Beispielen spielt das keine große Rolle, aber es dürfte einige Passwörter geben, die viele Millionen Doubletten haben. Wie viele Passwörter sind es denn um Doubletten bereinigt?
hacker vergessen immer das die besten hacker bei der FBI arbeiten :)
Gutes Video! Würde auch gerne ein bisschen in der Datei rum suchen 🙂
Wenn so n Server aber geknackt wird, ist es dann nicht egal, wie kompliziert ein Passwort ist, wenn dem Hacker eh alles aufm Silvertablet vorliegt...??
Gsd haben die keine dazugehörigen benutzernamen geleeakt
Ein bisschen Spaß muss doch noch bleiben!
8:00 man kann sie nicht zurückrechnen das heißt aber trotzdem nicht das man sie nicht knacken kann. Deshalb Passwörter zusätzlich zum hashen, mit einem salt versehen...
Also wäre diese 150GB Datei die perfekte Bibliothek für mein fishing-Tool?
Verstehe ich da grad was falsch?!
Ist es am Ende nicht egal wie stark oder schwach ein Passwort ist,wenn es am Ende eh in solch einer Liste auftaucht?
Mich hat gewundert, dass kein Passwort mit dem Verb «scholzen» vorkommt 🙂
Wie kann man die Datei runterladen und selbst untersuchen?
150 GB an Textdatei das klingt selbst bei 10 Milliarden passwörtern unrealistisch.
Nein, das muss nicht unrealistisch sein. Weiter oben habe ich folgende einfache Überschlagsrechnung gemacht. Wenn du annimmst, dass die Passwörter im Schnitt eine Länge von 9 Zeichen haben und nur aus ASCII Zeichen bestehen und mit einem line feed als Zeilenabschluss enden, dann sind das bei 10 Mrd Einträgen entpackt allein schon ca. (10*10^9*(9+1)+1)/1024^3 = 93,13 GiB an reinen Textdaten. Sollten die PW länger sein oder noch Unicodezeichen enthalten, dann werden es natürlich noch mehr Daten. Es reicht also schon, wenn das Passwort 15 Zeichen lang ist um an diese 150 GiB heranzukommen. Die UTF-8 Kodierung erlaubt bis zu 6 Byte pro Zeichen, Zeichen die häufiger vorkommen, etwas weniger. Wenn du nur zwei solcher häufigeren Unicodezeichen, die bspw. jeweils 2 Byte benötigen, bist du schon bei 4 Byte für diese zwei Zeichen.
Danke für dein informatives Video. Ich war auch betroffen. Allerdings stimmte die Seite nicht mit einem alten Passwort überein.
Habe ein sehr langes und auch meiner Meinung nach sicheres Passwort für meinen E-Mail Account. Als das rauskam mit der 10 Milliarden Leakliste habe ich mein Passwort checken lassen OHNE es dort einzugeben. Was soll ich sagen: Mein Passwort erscheint auch in der Liste:-(((, also war für mich klar das der Server des Anbieters gehackt wurde....!?!?! da ist doch eigentlich eine Anzeige wegen Datenschutzverletzung angebracht oder etwa NICHT?
Heftig einfach nur heftig