Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Passwort-Leak-Check: Have I Been…

Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

  1. Thema

Neues Thema Ansicht wechseln


  1. Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: meinoriginalusergehtnichtmehr 11.06.19 - 14:12

    Ein Unternehmen hat mit fast jedem seiner Produkte und Services das Ziel zur Gewinnmaximierung. Das hat ein Privatprojekt von einem Troy Hunt nicht unbedingt.

    Gerade die Story hinter Hunt, der nicht unbedingt darauf angewiesen sein muss dass HaveIbeenPwned Gewinn abwirft schafft dann auch Vertrauen in den Dienst.

    Ein Unternehmen wird früher oder später auf den Gedanken kommen mit den Daten anderweitig Geld verdienen zu wollen, weil Geld ja das Attraktivste für Unternehmen ist. - und genau dann wird es problematisch und ein Vertrauensverlust entsteht.
    Die Seite macht es ja geradezu möglich mit den Daten weiteren Handel zu betreiben. Zwar werden die Nutzer schon einzeln angeschrieben, aber dennoch lässt sich mit dem ganzen Datensatz zumindest noch ein bisschen 0-day-Kapital schlagen (für alle benachrichtigten User die zu langsam reagieren
    - z.B. mit dem üblichen Nutzergedanken "was soll schon passieren, das ist ja nur ein kleines Forum was da geleaked ist und geht mir nicht ans Kapital.").

  2. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: Quantium40 11.06.19 - 14:17

    Wobei sich natürlich die Frage stellt, wie die Seite überhaupt in Übereinstimmung mit geltenden Datenschutzrichtlinien betrieben werden kann.
    Immerhin werden dort ja Daten gespeichert und verarbeitet, die definitiv nicht für diesen Zweck freigegeben waren. Spätestens der kommerziellen Betrieb dürfte dann auch ein Thema für die Behörden werden.

  3. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: Sh3rlock 11.06.19 - 14:28

    Sind dort nicht nur hashes gespeichert? Dann wären ja gar keine Daten drauf ;)

  4. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: Mithrandir 11.06.19 - 14:30

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Wobei sich natürlich die Frage stellt, wie die Seite überhaupt in
    > Übereinstimmung mit geltenden Datenschutzrichtlinien betrieben werden
    > kann.
    > Immerhin werden dort ja Daten gespeichert und verarbeitet, die definitiv
    > nicht für diesen Zweck freigegeben waren. Spätestens der kommerziellen
    > Betrieb dürfte dann auch ein Thema für die Behörden werden.

    Scheint, als müssten die geltenden Datenschutzrichtlinien für illegal zur Verfügung gestellte Daten angepasst werden. ;)

    Wie dem auch sei - der Bedarf an so einem Dienst ist gegeben, da gibt es nichts zu diskutieren. Jetzt müsste man ihn nur rechtlich sicher bekommen. Wobei - im Zweifelsfall wird den Europäern halt der Zugriff versagt.

  5. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: Mithrandir 11.06.19 - 14:34

    Sh3rlock schrieb:
    --------------------------------------------------------------------------------
    > Sind dort nicht nur hashes gespeichert? Dann wären ja gar keine Daten drauf
    > ;)

    Der Hash einer E-Mail ist ebenfalls ein eindeutiges Datum. Allerdings pseudonymisiert, daher dürfte das DSGVO-konform(er) sein.

  6. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: Peace Ð 11.06.19 - 14:34

    Sehe ich auch so. Ich hatte mal überlegt, das Ganze für unsere Firma einzurichten, aber diese News sind dahingehend eher haarsträubend...

  7. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: dura 11.06.19 - 14:39

    Mithrandir schrieb:
    --------------------------------------------------------------------------------
    > Sh3rlock schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Sind dort nicht nur hashes gespeichert? Dann wären ja gar keine Daten
    > drauf
    > > ;)
    >
    > Der Hash einer E-Mail ist ebenfalls ein eindeutiges Datum. Allerdings
    > pseudonymisiert, daher dürfte das DSGVO-konform(er) sein.

    Allerdings sind die E-Mailadressen im Klartext gespeichert.

  8. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: peh.guevara 11.06.19 - 14:41

    Verstehe nicht wo da ein "Vertrauensproblem" bestehen soll. Es wird ja nicht dein Passwort an den Dienst übertragen sondern lediglich ein kleiner Teil des Hashes deines Passworts (nicht mal der ganze Hash)! Damit kann der dienst also gar nix anfangen.

    Du bekommst eine kleine Liste der Hashes die genau so anfangen wie dein Hash. Der endgültige Abgleich der Hashes passiert lokal auf deinem PC. No risk at all.

  9. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: U.S.tooth 11.06.19 - 16:22

    https://www.troyhunt.com/project-svalbard-the-future-of-have-i-been-pwned/

    Freely available consumer searches should remain freely available. The service became this successful because I made sure there were no barriers in the way for people searching their data and I absolutely, positively want that to remain the status quo. That's number 1 on the list here for a reason.

    I'll remain a part of HIBP. I fully intend to be part of the acquisition, that is some company gets me along with the project. HIBP's brand is intrinsically tied to mine and at present, it needs me to go along with it.

    I want to build out much, much more capabilities wise. There's a heap of things I want to do with HIBP which I simply couldn't do on my own. This is a project with enormous potential beyond what it's already achieved and I want to be the guy driving that forward.

    I want to reach a much larger audience than I do at present. The numbers are massive as they are, but it's still only a tiny slice of the online community that's learning of their exposure in data breaches.

    There's much more that can be done to change consumer behaviour. Credential stuffing, for example, is a massive problem right now and it only exists due to password reuse. I want HIBP to play a much bigger role in changing the behaviour of how people manage their online accounts.

    Organisations can benefit much more from HIBP. Following on from the previous point, the services people are using can do a much better job of protecting their customers from this form of attack and data from HIBP can (and for some organisations, already does) play a significant role in that.

    There should be more disclosure - and more data. I mentioned earlier how responsible disclosure was massively burdensome and Svalbard gives me the chance to fix that. There's a whole heap of organisations out there that don't know they've been breached simply because I haven't had the bandwidth to deal with it all.

  10. Re: Einem Troy Hunt vertraue ich, einem Unternehmen aber weniger

    Autor: 0xDEADC0DE 12.06.19 - 10:38

    Mithrandir schrieb:
    --------------------------------------------------------------------------------
    > Der Hash einer E-Mail ist ebenfalls ein eindeutiges Datum.

    Nein, ist es nicht. Es gibt Hash Collisions, warum wohl?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Allianz Partners Deutschland GmbH, München
  2. Helixor Heilmittel GmbH, Rosenfeld bei Balingen
  3. DATAGROUP Köln GmbH, Köln
  4. Viessmann Group, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Paperwhite 6 Zoll für 89,99€, Der neue Kindle mit integriertem Frontlicht für 59,99€)
  2. 69,90€ (Bestpreis!)
  3. (u. a. Forza Horizon 4 + LEGO Speed Champions Bundle (Xbox One / Windows 10) für 37,99€, PSN...
  4. (u. a. Fire HD 8 für 69,99€, Fire 7 für 44,99€, Fire HD 10 für 104,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant

Minecraft Earth angespielt: Die Invasion der Klötzchen
Minecraft Earth angespielt
Die Invasion der Klötzchen

Kämpfe mit Skeletten im Stadtpark, Begegnungen mit Schweinchen im Einkaufszentrum: Golem.de hat Minecraft Earth ausprobiert. Trotz Sammelaspekten hat das AR-Spiel ein ganz anderes Konzept als Pokémon Go - aber spannend ist es ebenfalls.
Von Peter Steinlechner

  1. Microsoft Minecraft hat 112 Millionen Spieler im Monat
  2. Machine Learning Facebooks KI-Assistent hilft beim Bau von Minecraft-Werken
  3. Nvidia Minecraft bekommt Raytracing statt Super-Duper-Grafik

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

  1. Urheberrecht: Razzia bei Filesharing-Plattform
    Urheberrecht
    Razzia bei Filesharing-Plattform

    Die internationalen Ermittlungen richten sich gegen die mutmaßlichen Betreiber einer Filesharing-Plattform, über welche urheberrechtlich geschützte Inhalte verbreitet wurden. Bei der Plattform soll es sich um den Sharehoster share-online.biz handeln.

  2. Offene Prozessor-ISA: Wieso RISC-V sich durchsetzen wird
    Offene Prozessor-ISA
    Wieso RISC-V sich durchsetzen wird

    Die offene Befehlssatzarchitektur RISC-V erfreut sich dank ihrer Einfachheit und Effizienz bereits großer Beliebtheit im Bildungs- und Embedded-Segment, auch Nvidia sowie Western Digital nutzen sie. Mit der geplanten Vektor-Erweiterung werden sogar Supercomputer umsetzbar.

  3. Titan: Neuer Fido-Stick mit USB-C von Google
    Titan
    Neuer Fido-Stick mit USB-C von Google

    Google wechselt mit seinem neuen Titan-Sicherheitschlüssel zur Zwei-Faktor-Authentifizierung nicht nur den Anschluss auf USB-C, sondern auch den Hersteller. Die Firmware stammt jedoch weiterhin von Google selbst.


  1. 13:04

  2. 12:00

  3. 11:58

  4. 11:47

  5. 11:15

  6. 10:58

  7. 10:31

  8. 10:12