• Hi,

    beim anmelden wurde mir gerade gesagt, mein Passwort wäre durch die App oder Webseite preisgegeben worden und ich solle es ändern.

    So was hatte ich noch nie.

    Ich habe das Passwort jetzt geändert, aber wie kommt denn so was?

    Hat mich jetzt schon verunsichert ...

    footer1551463499_19081.png

  • Also durch unsere Seite wird ganz sicher nix preisgegeben, Waldmeisterchen .. Die ist nach den höchsten Sicherheitsstandards abgesichert, aktuell wirst du kaum ein anderes Forum finden,

    welches die Sicherheitsstandards so hoch hält...

    Diesbezüglich kannst du auch gerne auch mal https://webbkoll.dataskydd.net/de aufrufen und dies nachprüfen..

    Auch @PepeCyB kann dir sicherlich etwas dazu sagen, er hat gerade diesen Aspekt auf Herz und Nieren geprüft..

    Wir haben keinerlei Tracking auf der Seite, wir setzen noch nicht mal Google Analytics ein, selbst das ist eine Seltenheit..

    Squonkst du schon, oder dampfst du noch ?

  • Waldmeisterchen

    Das macht mich stutzig und ist kaum nachvollziehbar. Nach meiner Meinung kann es nur an einem temporär aufgetretenen Fehler in der Forensoftware handeln, die Dir gesagt hat, Dein Passwort sei „abgegriffen“ worden, obwohl es nicht so ist.

    Es ist sogar unwahrscheinlich, dass Dein Passwort durch eine „Verseuchung” Deines Rechners abgegriffen wurde, denn woher sollte die Forensoftware das im konkreten Fall überhaupt wissen, um Dich zu warnen?

    Vapoo ist sehr gut abgesichert, das kann ich nur bestätigen! Ich wüsste nicht, wie das Passwort abgegriffen worden sein soll.

    Bei Registrierung bzw. dem Setzen eines neuen Passworts wir Dein Passwort ein Mal an Vapoo (ich meine damit die Forensoftware auf dem Server) übertragen. Es wird aber dort nicht gespeichert, sondern sofort gelöscht, nachtem ein Hash gebildet wurde. En Hash ist ein Wert, der sich aus dem Passwort berechnen lässt und der immer gleich ist. Dabei ist die Berechnung eine „Einbahnstraße“. Das bedeutet, dass sich aus dem Hash Dein Passwort nicht rekonstruieren lässt. Geknackt werden kann das (falls mal jemand an den Hashwert Deines Passworts gelangt) nur durch massiven Rechenaufwand… je nach Hash-Algorithmus kann das Jahrzehnte dauern. Es werden Passwort-Zufallszeichenketten erzeugt, der Hash davon gebildet und geschaut, ob er dem geleakten Hashwert entspricht. Des Aufwand ist enorm und bringt bei einem Forum eher nix, weshalb das auch quasi nie gemacht wird.

    Angenommen, Dein Passwort lautet (sollte ich es zufällig richtig erraten haben, bitte umgehend wieder ändern ;):D)

    GeheimesPasswort123

    dann ergibt das bei Nutzung des Hash-Algorithmus SHA-512 den Hashwert

    2ec7aeb8d98b36a1b4b505f39c686eeec9e1af0aee5d95395f7931952777c21145964c001bade5a8e35e955ff7939f005ea371d4c2ad112164c5e286ae46946e

    Und nur DER ist bei Vapoo gespeichert. Vapoo kennt Dein Passwort nicht.

    Meldest Du Dich an und gibst Dein Passwort ein, so wird es erneut übertragen und der Hashwert errechnet. Es wird aber wieder nicht gespeichert und ist nach der Berechnung sofort vergessen. Vapoo vergleicht nun den errechneten Hash-Wert mit dem Hashwert, der bei Deinem Account hinterlegt ist. Sind die Werte identisch, weiß Vapoo, dass Du das richtige Passwort kanntest… und lässt Dich rein.

    Die einzige Stelle (abgesehen von Trojanern auf Deinem Rechner, die die Passwortabfrage ggf. im Klartext protokollieren und weiterleiten), um Dein Passwort abzugreifen, wäre der Weg des Passworts nach der Eingabe an Deinem Rechner duch das Internetz zum Vapoo-Server hin.

    Hier könnte sich einer quasi „in die Leitung einklinken“ und es abgreifen. Aber… Vapoo überträgt die Daten (hin und zurück) verschlüsselt (https!!!). Das bedeutet bei einem „Man-in-the-middle-Angriff“ (also wenn sich wer „in die Leitung einklinkt“), dass er das Datenpaket, wo Dein Passwort im Klartext drinsteht, zwar abgreifen kann… aber er kann es nicht lesen, weil das Paket verschlüsselt ist und er den Schlüssel nicht besitzt.

    Also echt kein Grund zur Sorge. Du hast nun eh Dein Passwort geändert. Sollte das bei anderen noch öfter auftreten, dann wäre es sinnvoll mal nachzufassen, ob das ein Fehlalarm durch einen Softwarefehler ist. Dass der Server selbst gehackt wurde, halte ich für (nahezu… absolute Sicherheit gibt es nicht) ausgeschlossen, denn die beiden, die das Forum betreiben sind keine Hobby-Computerfritzen, sondern machen das beruflich. Die wissen sehr genau, wie man einen Server absichert.

    Ganz WICHTIG!!! Nehme möglichst niemals identische Passwörter für verschiedene Accounts. Es gibt gute Passwort-Verwaltungs-Programme, die Dir helfen, den Überblick zu behalten (ich nutze und empfehle KeePassXC). Solltest Du das trotzdem machen, dann darf aber auf keinen Fall das Passwort identisch zu dem Deiner Haupt-eMail-Adresse sein (machen leider viele… und das kann zum Super-GAU werden). Denn sollte Dein Passwort z.B. hier für Vapoo abgegriffen werden (was ich für unwahrscheinlich halte), dann hätte der Angreifer auch das Passwort für Deinen Mail-Zugang und er könnte damit alle Accounts übernehmen, die mit dieser Mailadresse korrespondieren.

  • Riecht das nicht irgendwie nach Malware? Waldmeisterchen vielleicht lässt du deinen Rechner mal danach durchsuchen? Geht ziemlich schnell. Diese Malware wird nämlich immer "besser" und ist in der Lage, dir eine Seite zwischenzuschalten, die täuschend echt aussieht.

  • Vielleicht wurde ja nur das Cookie bei ihr kompromittiert weswegen das Forum ein "Angriff" erkennt und das ausspuckt.

    "Wenn ich eine Weile ohne Lust und ohne Schmerz war und die laue fade Erträglichkeit sogenannter guter Tage geatmet habe, dann wird mir in meiner kindischen Seele so windig weh und elend, dass ich die verrostete Dankbarkeitsleier dem schläfrigen Zufriedenheitsgott ins zufriedene Gesicht schmeiße und lieber einen recht teuflischen Schmerz in mir brennen fühle als diese bekömmliche Zimmertemperatur."
    Hermann Hesse

    Vorlage für Akkuträger

    Liquidvorlage

  • Danke euch für die Antworten.

    Ich habe mir nicht wirklich Sorgen gemacht, denn nein @PepeCyB , es ist nicht das gleiche Passwort wie bspw. mein Mail-Account, mein Amazon-Konto oder gar mein Bankkonto ...

    vielleicht lässt du deinen Rechner mal danach durchsuchen?

    Ist mir passiert, als ich mich heute morgen vom Firmenrechner eingeloggt habe.

    Da kann ich gar nicht selber suchen.

    Na, solange es nicht noch mal passiert, belassen wir es mal dabei.

    (Hoffentlich merke ich mir mein neues Passwort und komme auch morgen wieder hier rein :lol02:)

    footer1551463499_19081.png

  • Welchen Browser hast du benutzt? Chrome hat meine ich seit neuestem einen Passwort Checker, der die Kombination von E-Mail bzw Benutzername und Passwort überprüft auf andere bereits bekannt Datenlecks. Ist mir letztens nämlich auch passiert (ich wusste, aber schon vorher dass das Passwort bekannt ist, störte mich bei der Seite aber nicht). Generell kann man so etwas auch überprüfen auf https://haveibeenpwned.com/

    Hier habe ich noch mal die Meldung zu Chrome: https://www.zdnet.de/88374801/chrom…n-passwoertern/

  • Dann wurde zuvor dieses Passwort schon irgendwo komprimittiert, bitte ändere ÜBERALL, wo du das Passwort genutzt hattest, das Passwort...

    Chrome der Browser selbst verfügt mittlerweile über solch eine Funktion, dass eingegebene Passwörter verschlüsselt mit Listen von komprimittierten Passwörtern abgeglichen werden.

    Squonkst du schon, oder dampfst du noch ?

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!