Einbruch bei Evernote, Passwort-Reset nötig

[Michael Reimann]

Der beliebte "wir speichern Dein Leben" Dienst Evernote berichtet, dass es einen Zugriff Dritter auf die Benutzerdaten wie Username, E-Mail-Adresse und den Passwort-Hash gegeben hat. Nicht betroffen seien die eigentlichen Daten der Nutzer, schreibt das Evernote-Team in einem Eintrag auf der Seite. Die Passwörter seien aber zu keinem Zeitpunkt im Klartext zu lesen gewesen, da es sich um eine "One-Way" Verschlüsselung handele. [PRBREAK][/PRBREAK]

Evernote hat daraufhin Sicherheitupdates seiner Clients veröffentlicht, die den Nutzer dazu auffordern, das Passwort zu ändern.

While our password encryption measures are robust, we are taking additional steps to ensure that your personal data remains secure. This means that, in an abundance of caution, we are requiring all users to reset their Evernote account passwords.

Wer also weiterhin mit Evernote arbeiten will, sollte die Updates (Mac, iOS) installieren und sich ein halbwegs sicheres Passwort aussuchen. Über den Abgriff der E-Mail-Adressen und die sich daraus ergebenden Konsequenzen (erhöhtes Spam-Aufkommen) schweigt sich das Evernote-Team allerdings aus. Gleichzeitig verweist man drauf, dass solche Vorfälle, auch bei anderen Diensten, künftig häufiger vorkommen können. Daher sollte das neue Passwort den üblichen Sicherheitstandards entsprechen.

Unser Tipp: Evernote mag ein durchaus praktischer Dienst für Einkaufszettel und Hausaufgaben sein. Wichtige Dokumente wie Urkunden, offizielle Schreiben oder gar Steuerrelevante-Daten gehören nicht in die kostenlose Cloud.

 

[offtopic]

Wichtige Dokumente wie Urkunden, offizielle Schreiben oder gar Steuerrelevante-Daten gehören nicht in die kostenlose Cloud.

Da die bezahlte Premiumvariante ebeno gefährdet ist, sollte man sich über das Risiko von Datenraub aus der Cloud generell bewusst sein. Und das nicht nur bei Evernote.

 

[technikelse]

Deswegen habe ich bei Evernote auch nur belanglosen Kram, wie Kochrezepte und Quittungen liegen. Die sensiblen Daten liegen verschlüsselt in einem Datensafe bei meinem Mailhoster.

 

[offtopic]

Meine liegen auf einem physischen Datenträger in der Schublade. Die Backups ebenso physisch im feuerfesten, wasserdichten Schrank im Keller. Zusammen mit Großmutters Perlen und meinem alten Teddybär.

 

[technikelse]

Und was machst du, wenn der Schrank mit nuklearen Waffen beschossen wird?

 

[Ozelot]

Meine Passwörter speicher ich im Kopf.

Auf dem Mac systembedingt nur in der Schlüsselbundverwaltung. Und da auch nur, die man braucht. Für iCloud z.B. Veränderung nur mit Admin-Rechte.

Auf dem iPhone speicher ich keine Passwörter. Alle Account`s sind für Veränderung gesperrt. (Einschränkungen)

Im Browser speicher ich NIE Passwörter.

 

[wolfgarry]

Meine Passwörter speicher ich im Kopf.

Auf dem Mac systembedingt nur in der Schlüsselbundverwaltung. Und da auch nur, die man braucht. Für iCloud z.B. Veränderung nur mit Admin-Rechte.

Hallo,
ich begegne auch immer wieder der "Mac-Frage" nach dem Schlüsselbund, habe aber immer abgelehnt. Wie funktioniert das denn eigentlich und - vor allem - wie sicher sind denn dort die abgelegten Passwörter???

 

[technikelse]

Dann bist du entweder "The Brain" oder du hast nur eine Handvoll Passwörter. Ich habe inzwischen so viele, beruflich wie privat, dass es ohne ein Password Tool nicht geht. Vernünftig verschlüsselt und abgelegt ist das auch kein Problem. Aber es ging hier auch nicht um Passwörter, sondern um Dokumente.

 

[Mac 2.2]

Von diesen Passwort-Manager halte ich ebenso nichts. Ich habe mir da was einiges gebastelt und das läuft. 1Password und Co. no way.

EDIT: Zur Zeit werden aber überraschend viele Unternehmen und Konzerne Ziele von Angreifern bzw. sind die Angreifer zur Zeit zu oft erfolgreich

 

[Ozelot]

Passwörter merken kann einfach sein, wenn man sie leicht zu merken erstellt.

Beispiel:

Berliner Mauerfall: 9. November 1989

Mach man dann so was draus:

Fall der Mauer;9No;1989

>>>>> FdM;9n=;19aN



= steht da für die 0 in Kombinantion mit der Shiftaste und soll für 0 stehen.

 

[technikelse]

Es gibt auch einfache Tools, die nichts anderes sind als lokal abelegte verschlüsselte Datenbanken. Diese Tools (mSecure, KeyPass etc.) sind auch nicht unsicherer als das, was derjenige verwendet, für dessen Service du das Passwort braucht. Der Schlüssel zur Sicherheit ist neben technischer Infrastruktur der verantwortungsvolle Umgang mit Passwörtern d.h. Komplexität, Länge, Diversifikation, Änderungsintervalle etc.

EditOzelot: Dieser Trick ist bekannt. Ab bei 10 Passwörtern und mehr, die man periodisch ändern muss, kommt man auch mit dieser Methode durcheinander. Und manche Dienste erlauben solch komplexe Passwörter oftmals gar nicht.

 

[Mitglied 154515]

Verschlüsselte Datei mit Passwörtern auf einem vom Internet abgetrennten verschlüsselten Datenträger. Und dazu noch ausgedruckt an einem geheimen Ort

 

[Mitglied 161234]

Auch witzig die Jungs. Schicken die Mail auch an Leute deren Account schon lange gelöscht wurde. Gut zu wissen, dass die meine Email noch gespeichert haben.

 

[Loooki]

Passwörter merken kann einfach sein, wenn man sie leicht zu merken erstellt.

Beispiel:

Berliner Mauerfall: 9. November 1989

Mach man dann so was draus:

Fall der Mauer;9No;1989

>>>>> FdM;9n=;19aN



= steht da für die 0 in Kombinantion mit der Shiftaste und soll für 0 stehen.

9/10 Punkte, ist nicht sicher mit Jack the Ripper und eigenen Rules (vond er Defcon 2 Jahre her oder so)
ist dieses Passwort auch schnell gecrackt

P.S.: Das ist ein sicheres Passwort "K1EycTDiZrWMM3YcKOtmllveZlCJQGZSoGo1Q5xyUhWJAMFN3mEUjWww" auch wenn keine Sonderzeichen darin vorkommen, es ist lang, es hat keinerlei Bedeutung. Es ist eben einfach nur nicht zu merken

 

[offtopic]

Und was machst du, wenn der Schrank mit nuklearen Waffen beschossen wird?

In einer Nuklearkrise sind mir meine Rentenbescheide und Versicherungsunterlagen ausgesprochen einerlei. Nur mein Teddy .....

Aber hey, wenn eine A-Bombe über meinem Haus detonieren würde, wäre mein Nachbar ziemlich angepisst. Der hätte seinen Landschaftsgärtner umsonst zum erfolgreichen Unternehmer gemacht. Der Drecksack mit seinen beschissenen Kois.

 

[cascade]

Paranoia, Paranoia everywhere.

Daten einfach ordentlich verschlüsseln und dann kann man bei jedem noch so unsicheren Dienst hochladen. Dann ist's völlig schnupps, wer die klaut, weil er damit nichts anfangen kann.

 

[Hendrik1774o]

Schlüsselbund

Hallo,
ich begegne auch immer wieder der "Mac-Frage" nach dem Schlüsselbund, habe aber immer abgelehnt. Wie funktioniert das denn eigentlich und - vor allem - wie sicher sind denn dort die abgelegten Passwörter???

Der Schlüsselbund des Macs speichert alle Login Daten auf der Lokalen Festplatte - Ordentlich verschlüsselt.
Der Schlüsselbund des Macs synchronisiert seine Daten nicht, entsprechend werden sie nicht in der Cloud o.Ä. gespeichert.

Nachteil ist, dass man, sobald das Passwort des Computerbenutzers eingegeben ist, auch Zugriff auf alle Dienste wie Facebook, Twitter und Apfeltalk hat.

MfG Hendrik

 

[Ozelot]

Der Schlüsselbund des Macs speichert alle Login Daten auf der Lokalen Festplatte - Ordentlich verschlüsselt.
Der Schlüsselbund des Macs synchronisiert seine Daten nicht, entsprechend werden sie nicht in der Cloud o.Ä. gespeichert.

Nachteil ist, dass man, sobald das Passwort des Computerbenutzers eingegeben ist, auch Zugriff auf alle Dienste wie Facebook, Twitter und Apfeltalk hat.

MfG Hendrik

Ähm. Warum denn auf Facebook und Twitter? Habe ich zwar beides nicht, aber so was wird doch in den Cookies gespeichert.
Es sei denn, man nutzt das integrierte Twitter und Facebook in OSX Mountain Lion. Meintest du das?

Wie hoch werden die Kennwörter im Schlüsselbund verschlüsselt?

Und bei mobile.me konnte mann noch den Schlüsselbund in der Cloud ablegen. Das hat sich erst mit iCloud geändert.

 

[ottomane]

Ich finde es unfassbar, dass Evernote so tut, als wäre es ein Kavaliersdelikt, wenn deren Backend bis zur Userdatenbank hackbar ist.

Diese Firma ist für mich gestorben. Nicht wegen der Sicherheit, sondern wegen dieses Herunterspielens eines massiven Sicherheitslecks.

Übrigens muss man auch an anderen Stellen nun das Passwort ändern, wenn man dort das selbe hatte (tut natürlich niemand). Die hatten es zwas gehasht und gesaltet, aber für findige Hacker mit einer guten Grafikkarte ist es möglich, das Passwort zu re-engineern.

Wie lange das dauert, hängt davon ab, ob EN seine Arbeit wenigstens bei der PW-Verschlüsselung ernst genommen hat.

 

[CrackerJack]

Paranoia wird hier scheinbar groß geschrieben Bei mir sind fast alle PW's in Browsern gespeichert und ich hab auch bei den meisten Konten das selbe PW. Hatte bisher damit noch keine Probleme.