Skip to content

Ist mein Account gehackt worden? Have I Been Pwned spürt befallene Mailadressen auf

Die Liste mit geleakten Passwort-(Hash)-Listen wird immer länger. Die neueste Veröffentlichung stammt von LinkedIn mit 4,5GB Datenmaterial.

Der aktuelle Leak reiht sich in eine lange Liste ein, angefangen von Adobe über Myspace bis hin zu Tumblr und diese wird vermutlich die nächsten Jahre noch länger werden.
Um so wichtiger ist es, die eigenen Accounts mit verschiedenen Passwörtern zu bestücken und nach solchen Hacks umgehend zu ändern.
Denn aktuelle Programme wie Hashcat, haben mit ungesalzenen SHA1-Hashes, wie im Falle von LinkedIn nicht allzu große Probleme.

pwned


Have I Been Pwned


Um zu überprüfen, ob der eigenen Account von einem Hack betroffen ist, hat der australische Microsoft-Direktor und Sicherheitsexperte Troy Hunt die Seite Have I Been Pwned ins Leben gerufen.

Hier können Nutzer ihre E-Mail Adresse eingeben und erfahren danach, ob diese in einem der geleakten Dateien vorhanden ist.
Zusätzlich wird die Option angeboten sich via Mail benachrichtigen zu lassen, sollte bei neueren Daten ein Treffer dabei sein.
Die Webseite durchsucht (Stand 06/2016) 110 geleakte Datenpakete mit fast 1 Millionen Accountdaten.

dataleacks


Ein Teil davon kann jedoch nur über eine vorhergehende E-Mail-Verifikation eingesehen werden, dabei handelt es sich meist um Daten von Dating-Portalen wie Ashley Madison.

Pwned

Fazit

Nach einem Leak von Profildaten sollte jeder seine Zugangsdaten bei dem betroffenen Anbieter ändern. Keiner weiß wie sicher diese verschlüsselt sind, leider meistens nicht optimal.

Have I Been Pwned bietet hier eine gute Möglichkeit Mailadressen zu überprüfen oder mit Hilfe der Benachrichtigungen im Blick zu behalten.
Bei der Häufigkeit an Veröffentlichungen von gehackten Daten verliert der Nutzer schnell den Überblick, denn nun ist schon VKontakte an der Reihe.

Für Router Sicherheit hatte ich vor zwei Jahren die Seite Routerpwn vorgestellt, diese hilft beim Überprüfen unsicherer Routerfirmwares.

 

Webserver HTTP Header auf Sicherheit überprüfen

Der Header zählt zu den interessanteren Informationen eines Webservers, bleibt dem Otto-Normal-Surfer aber meist verborgen.

Über ihn lassen sich nicht nur Informationen über den laufenden Server erfahren, mit Hilfe des Headers können auch zusätzliche Sicherheitsmechanismen aktiviert werden, sogenannte "Security-related HTTP Headers". Sie werden im Feld "Content-Security-Policy" übermittelt.

Diese Funktionen dienen unter anderem dem Schutz vor Cross Site Scripting (XSS), aber auch der erhöhten Sicherheit, wie beispielsweise HTTP Strict Transport Security (HSTS).

Das Open Web Application Security Project listet die wichtigsten davon auf .

securityheaders.io

Die Webseite securityheaders.io überprüft genau diese Sicherheitseinstellungen auf Aktivität. Sie vergibt dabei Bewertungen, je nach Einsatz, von A+ (sehr gut) bis F (sehr schlecht).

Der Aufbau erinnert an den bekannten TLS-Online-Server-Test von SSLLabs, denn sogar das Feld "Hide Results" (Ergebnisse des Scans verstecken) wurde übernommen. Hier darf der Haken gerne gesetzt werden.

Eine weiteres Ergebnis außerhalb des Scorings ist R. Dies bedeutet, dass die untersuchte Webseite weitergeleitet wird.

securityheaders.io-redirect

Fazit

Als Ergänzung zum Online-Test von SSLLabs oder vergleichbaren Tools wie SSLyze bietet securityheaders.io eine zusätzliche Möglichkeit Webserver auf ihre Sicherheitseinstellungen zu überprüfen.

Chrome 18 - Endlich volljährig... endlich WebGL für (fast) alle

Auch wenn sich für den Anwender mit dem 18. Lebensjahr einiges ändert, ist das beim neuen Chrome 18 auf den ersten Blick nicht der Fall, denn äußerlich bemerkt der Anwender zunächst keine größeren Veränderungen. Hier und da wurde etwas mit Farbnuancen gespielt, so ist der Navigationsbereich in den Einstellungen beispielsweise nicht mehr blau, sondern grau hinterlegt.

chrome-logo

WebGL für XP

Technisch gesehen hat sich jedoch einiges geändert. So wird erstmals die Hardwarebeschleunigung auf älteren Rechnern mit Betriebssystemen wie XP unterstützt.
Ob das eigene System beschleunigt wird, lässt sich mit der Eingabe von "chrome://gpu" in der Adressleiste überprüfen. Nutzer von älteren PCs können so auch in den Genuss von modernen Grafikstandards wie WebGL kommen.
Alte Notebooks mit eingebautem Grafikchipsatz sind aber auch dafür oft nicht leistungsfähig genug.

gpu-chrome

Weitere Neuerungen

Zusätzlich kann über "about:flags" ab Chrome 18.0.1025.142 der Wert "Enable Tab Browser Dragging" aktiviert werden. Dies führt dazu, dass beim Herauslösen eines Tabs aus der Tableiste ein richtiges Fenster dargestellt wird.

Daneben wurden natürlich die üblichen Sicherheitslücken gestopft, allerdings keine akut gefährlichen.

Das Update auf die neue Version erfolgt wie immer automatisch, auf die gleiche Weise wie seit gestern Adobes Flash 11.2 (über den Taskplaner bzw. die Aufgabenplanung)

Frühjahrsputz im Firefox - Lesezeichen auf Gültigkeit, leere Ordner oder Duplikate überprüfen

Mit der Zeit sammeln sich im Browser immer mehr Lesezeichen an, auch in der Zeit von Liken, Sharen, Plussen und Pinnen sind diese nicht wegzudenken. Je mehr man von diesen kleinen Helferlein hinterlegt, desto schlechter wird die Übersicht, da hilft die beste Ordnerstruktur nichts. 

Hauptproblem dürfte bei vielen Bookmark Sammlungen die Aktualität sein. Existiert die Adresse noch, erscheint eine leere Seite oder sind einige Ordner in der eigenen Struktur eventuell leer.

check-places

All diese Fragen beantwortet CheckPlaces. Das Firefox Add-on überprüft die kompletten Favoriten und gibt ein ausführliches Ergebnis aus. Im Vorfeld kann die Suchfunktion auf die eigenen Belange eingeschränkt werden:

  • Auf doppelte Lesezeichen prüfen
  • Leere Ordner suchen 
  • Check Places Datenbank prüfen
  • Datenbank komprimieren
  • Prüfen ob Seite existiert
  • Überprüfungsdauer

check-places-erg

In der Zusammenfassung können alle gefundenen Probleme noch einmal überprüft und bei Bedarf gelöscht werden. Dem Frühjahrsputz steht somit Nichts mehr im Wege



NameChk - Benutzernamen auf Verfügbarkeit testen

NameChk ist eine Dienst mit dem ihr euren gewünschten Benutzernamen, Nickname, Alias oder Pseudonym auf Verfügbarkeit auf 159 Communities (Stand 09/2011) testen könnt. Hauptsächlich werden soziale Netzwerke, Bookmarkingdienste, Blogging-Plattformen, Foto-Communities und weitere Web 2.0/3.0 Dienste unterstützt.

Bei der Vielzahl an verfügbaren Diensten dürfte fast jedes Bedürfnis abgedeckt werden, neben den großen Playern wie Facebook, Twitter, Youtube, Wordpress oder ebay sind auch eher unbekannte Services dabei.

namechk

Nach einem Suchlauf werden die verfügbaren Dienste hervorgehoben, gleichzeitig werden mögliche Domains in Verbindung mit dem Nickname vorgeschlagen.

Fazit

Eine Auswertung der Ergebnisse ala 30 von 159 Diensten sind verfügbar wäre noch ganz wünschenswert. Ansonsten ein praktischer Service, um einen zukünftigen Onlinenamen zu testen.