wer kennt mein passwort....?
Hey,Wenn ich mir beispielsweise auf irgendeiner Seite einen Account erstelle.. sei es gmail, hotmail oder sonst was. Wissen die jeweiligen Seiten dann eigentlich mein Passwort? Oder mein Anbieter? Ich mein mein internetanbieter weiß ja, z.B auf welchen Seiten ich surfe usw. Kennt sich da jemand aus? :) Oder hat das Passwort dann wirklich NUR ich? Danke!
5 Antworten
Nun, dein Internetanbieter weiß vieles nicht. So sind die Verbindungen zu den meisten Seiten mit Login verschlüsselt. Nehmen wir mal gutefrage.net: Oben in deiner Adresszeile (wenn du es mal im Browser verwendest) ist ein grünes HTTPS davor, bei Chrome steht mittlerweile sogar noch "sicher" bei HTTPS-Seiten davor.
HTTPS bedeutet hier einfach nur, dass die Verbindung zwischen dem Zielserver und deinem PC niemand mitlesen kann, da sie eben verschlüsselt ist. Folglich kann weder dein Anbieter, noch andere Personen im WLAN diese Verbindung entschlüsseln. Entsprechende Versuche über Bruteforce dauern mehrere Monate bishin zu Jahrzehnten.
Wie die entsprechende Website dein Passwort behandelt kannst du nicht saegen. In der Regel sollte es so sein, dass die Passwörter gehasht abgelegt werden. Ein Hash ist eine Art Prüfsumme. Du kannst ein Passwort in einen Hash Konvertieren, aber eben nicht wieder zurück. Billiges Beispiel hier am Passwort "81": Eine Möglichkeit eine "Prüfsumme" zu erzeugen wäre das Zusammenrechnen aller Zahlen: Folglich ist die Prüfsumme 9. Bei Verfahren wie SHA1 ist dies aber so gelöst, dass du eben nur mit einem Passwort einen bestimmten Hash erzeugen kannst, in meinem Beispiel würde ja sonst auch das Passwort "18" oder "27" angenommen werden. Sofern sich Seiten aber nicht daran leiten lassen und entsprechend ihre Nutzerpasswörter im Klartext ablegen kann das schon Probleme geben.
Ein weiteres Szenario wäre auch eine "Köderseite": Bei den meisten Seiten wo du dich registrierst hinterlegst du ja auch deine Mailadresse. Gehen wir nun mal davon aus, dass der Betreiber die Seite so einrichtet, dass die Passwörter im Klartext sind: Somit wäre es möglich dass er sich die Datenbank ansieht, anhand von deiner Mailadresse halt auf die Website von deinem Mailanbieter geht und sich versucht mit dem gleichen Passwort dort halt für dein Mailaccount anzumelden. Sofern du die gleichen Passwörter verwendest funktioniert das.
Abschließend bleibt also nur: Unterschiedliche Passwörter für Seiten verwenden, diese regelmäßig (ich mache das einmal Jährlich, einfach einen Tag im Kalender eintragen, zum Beispiel den Tag nach dem Geburtstag, etc.) ändern.
Hier ein sehr gutes und kurzes Video zum Thema: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/spamPhishingCo_node.html
Also die Betreiber von Seiten die beim Support arbeiten werden wohl Zugriff auf die Passwörter haben.
Die Antwort ist simpel, außer dir und eventuell der NSA bzw möglicherweise Hackern, die auf deinem Rechner einen Keylogger installiert haben, kennt dein Passwort niemand. Das liegt an der Art und Weise, wie sie gespeichert werden.
Passwörter, die du im Klartext eingibst, werden in eine so genannte Hash umgerechnet, moderne Websites tun dies nach dem Algorithmus SHA3, schlechte Websites nutzen noch MD5. Dabei wird aus deinem Passwort einfach nur eine Art mathematischer Schwachsinn errechnet, von dem aus man nicht mehr zurück auf das ursprünglich Eingetippte schließen kann (Zumindest bei neueren Algorithmen, bei älteren wie zum Beispiel MD5 wurden die Hashes bereits größtenteils geknackt). Somit ist sichergestellt, dass weder Personal, noch ein Hacker so ohne weiteres dein Passwort bekommen kann.
Hacker versuchen, wenn sie eine Website hacken und an Passwortlisten kommen, diese durch Bruteforce- oder Dictionary-Attacks zu knacken.
Dabei wird bei der Bruteforce-Methode der genutzt Hash-Algorithmus einfach nur mit zufälligen Buchstaben und Zeichen gefüttert, so fängt man beispielsweise mit AAAA an, macht weiter mit AAAB, dann kommt AAAC und so weiter. Das wiederholt man solange, bis man eine Hash errechnet hat, die in der Liste vorhanden ist. Mit diesem Vorgang alle Passwörter, die möglich sind, durchzuprobieren, dauert bei heutiger Rechenleistung länger, als das Universum Sterne haben wird.
Daher greifen Hacker eher auf die zweite Variante, eine Dictionary-Attack zurück. Dabei werden Wörter aus einem Wörterbuch nach vorher festgelegten Regeln miteinander kombiniert und dann durch den Hashing-Algorithmus gejagt. So kommt man nicht auf alle, aber auf viele der in der Liste stehenden Passwörter, da viele Passwörter eher leicht auf diesem Wege zu erraten sind.
Du kannst ja mal nach den meistgenutzten Passwörtern googlen, sollte dein Passwort irgendwo in dieser Liste stehen, solltest du es auf jeden Fall ändern, da die meist zuerst ausprobiert werden. Ansonsten bringen diese Hashes auch den Vorteil, dass nach dem Leak dieser Passwortlisten die Websitebetreiber trotzdem noch genug Zeit haben, um ihre Nutzer zu warnen, sodass diese ihre Passwörter ändern können.
Nein. Eine Seriöse weite kennt dein Passwort nicht. Deswegen können die dir beim zurücksetzen des passwortes dein altes Pw nicht einfach schicken.
Vom Passwort wird üblicherweise der sogenannte fingeabdruck gespeichert. Dies ist ein aus dem Passwort errechneter wert. Entsprechend nicht das passwort selbst.
Wenn du dich jetzt irgendwo einloggt errechnet der server diesen wert und prüft den mit der in der DB stehenden ab.
Da bin ich mir jetzt nicht ganz sicher aber es kann sein das sogar der errechnete wert überhaupt erst losgeschickt wird.
Zusätzlich schicken Server üblicherweise noch einen einmaligen zufällig ermittelten "Salt-Wert" mit, wenn sie nach einem Passwort fragen.
Der Client - also dein Computer - berechnet erst mal den gewöhnlichen Hash-Wert deines Passworts (der auch auf dem Server gespeichert ist), hängt den "Salt-Wert" an (oder setzt ihn davor) und berechnet aus dem Ergebnis einen neuen Hash-Wert. Nur dieser neue Hash-Wert - der im wesentlichen einmalig ist - wird je über das Netz geschickt. Sonst könnte ja jemand den Hash-Wert auf dem Server abgreifen.
Der Server macht mit seinem Hash-Wert dasselbe und vergleicht seinen so berechneten neuen Hash-Wert mit dem, den er empfangen hat.
Der Vorteil dieses Salt-Werts ist es, dass dadurch jemand anderes, der das gleiche Passwort wie man selbst hat, nicht auch die gleiche Hash in der Datenbank hat, da dieser Salt-Wert ebenfalls mit in die Hash mit einberechnet werden muss. Das bedeutet für den Hacker um einiges mehr Rechenaufwand, selbst wenn dieser Salt-Wert mit den Passwörtern in ein und der selben Tabelle gespeichert wird. Letztlich reicht es dann ja nicht nur, bloß die Dictionary-Attack aus zu führen, nein, man muss zusätzlich für jedes Passwort auch noch den dazu gehörigen Salt-Wert mit einberechnen.
Das Passwort wird in der Regel relativ stark verschlüsselt gespeichert, der Anbieter kann es also nicht direkt so auslesen.
Zum Thema was dein Internetanbieter weiß, findest du hier etwas mehr :
Das sollte bei einer guten Website der Fall sein. Entweder wird das Passwort verschlüsselt übermittelt, oder direkt gehasht, am sichersten ist beides. Auf meiner Website errechne ich die Hash nach SHA3 über ein Javascript, also bevor es überhaupt zum Server übermittelt wird, da Javascript clientseitig ausgeführt wird. Mit Sicherheit gibt es aber auch eine Menge Websites, die allein auf ihre Verschlüsselung setzen und die Passwörter direkt übermitteln, die Hash also über das serverseitige PHP oder eine andere serverseitige Programmiersprache errechnen.