Kompromittierte Passwörter

iOS kann nicht gehackt werden? Einfach mal die Informationen zu iOS 14.5.1 lesen, WebKit erlaubte Schadprogrammen die Ausführung beim reinen Besuch einer präparierten Wenseite (konnte man über Werbung verteilen) - nur mal so am Rande

Aber das Passwort existiert an zwei Stellen, einmal bei Nutzer und zum anderen beim Anbieter. Und da gibt es einige Fälle, dass Daten abgeflossen sind. Inzwischen sollten die meisten Anbieter, nicht mehr die Passwörter im Klartext speichern (oder einer umkehrbaren Verschlüsselung), was vor 15/20 Jahren noch gang und gäbe war - prominentes Beispiel war Oracle, die einem sein eigenes selbstgewählte Passwort zuschicken konnten. Aber wenn man den Hash und Salt hat, kann man mit entsprechenden Aufwand, ein gültiges Passwort erzeugen. Daher gibt es einige Webseiten, die solche Leaks sammeln und es Dir erlauben, zu prüfen, ob Deine Account / Passwort Kombination dabei ist. Unter anderem bietet das deutsche Bundesamt für Sicherheit in der Informationstechnik einen solchen Check an. Google bietet diesen Service auch an, ob es schon in iOS 14.5 integriert ist, weiß ich nicht. Wenn man bedenkt, dass allein bei einem Hack bei einem Anbieter über 60 Millionen Accountdaten erbeutet wurden, ist es sehr wahrscheinlich, dass die eigene Mailadresse in Hackerkreisen bekannt ist, wenn man immer das gleiche Passwort verwendet, dann könnte das unangenehm werden.

Es werden gerne Password Safes empfohlen - bei wenigen genutzten Diensten ist ein Büchlein wahrscheinlich die bessere Lösung (das kann nicht Remote gehackt werden), regelmäßig eine Kopie ziehen und sicher verwahren.

Persönlich sehe ich ein geringes Risiko, dass das Passwort auf Nutzer Seite abgegriffen wird, natürlich sollte man trotzdem nicht auf jeder geschickten Webseite gleich seine Accountdaten eingeben, eher dass bei einem Anbieter Daten ‚verloren‘ gehen

Seit iOS 14 / Big Sure werden die Passwörter des Schlüsselbundes gegen eine Liste von kompromittierten Accounts geprüft. Die Meldung dürfte damit echt sein. Aber egal, wenn ein Passwort als kompromittiert gekennzeichnet wird und man es ändern kann, dann sollte man es auf der Anbieterwebseite tun, nie auf einen Link von einer Mail.

Höre bitte auf, Angst zu verbreiten. Seit iOS 14 (!) prüft Apple die KeyChain (Schlüsselbund) Passwörter. Das hat nichts mit dem Passwort der Apple ID zu tun, sondern ist ein Service von Apple. Der Apple Support kann da gar nichts machen, und das Zurücksetzen des iPhones hat keine Wirkung, wenn z.B. das Login vom Adobe Account kompromittiert wurde (nebenbei knapp 50% dort haben abcdef01 bzw qwertz01, einfach weil man den Account nicht braucht). So würde mich auch nicht interessieren, wenn von irgendeinem untergegangenen Webservice, die Zugangsdaten veröffentlicht werden - die stehen zwar noch im Schlüsselbund, aber die Gegenstelle gibt es nicht mehr.

Sprich man sollte die als kompromittiert gekennzeichnet Passwörter auf der jeweiligen Anbieterseite ändern und das war es. Um es einfach zu erklären, Du zündest nicht Deine Wohnung an (Zurücksetzen des iPhone) weil jemand den Schlüssel für Dein Fahrradschloss geklaut hat, nein Du kaufst ein neues Schloss (setzt ein neues Passwort für den betreffenden Account) und das war es.

Falls es natürlich jemanden gelungen sein sollte, die Einstellungsdialoge täuschend echt nachzumachen, dann könnte Apple iOS einstampfen, denn damit wäre das System nicht mehr sicher zu bekommen.

Hallo AnnCa

Ich empfehle dir für dein Anliegen, sowie zur schnellen Klärung die Kontaktaufnahme über den nachfolgenden Hyperlink: Apple Support für das iPhone oder über die Telefonnummer: 08006645451 für Deutschland (kostenfrei, Mo-So von 8:00-19:45 Uhr) für ein persönliches Gespräch.

Gerade in der Vergangenheit häufen sich diesbezügliche Meldungen, die vorgeben von den Einstellungen zu kommen.

Ich würde zugleich die Passwörter von einem anderen Apple-Gerät aus ändern. Des Weiteren dein iPhone auf die Werkseinstellungen zurücksetzen, die SIM-Karte zwischenzeitlich entfernen.

Weitere Telefonnummern findest du unter Apple für Support und Service kontaktieren, sowie unter Apple Kontakt.

Alternativ kannst du dir natürlich auch die kostenlose Apple Support App aus dem App Store auf dein iPhone/iPad herunterladen, und darüber mit dem Support in Kontakt treten.

Viel Erfolg und bleib gesund.

Liebe Grüße!

○ Apple Support ○ Apple-ID oder Passwort vergessen ○ Reparatur von Apple ○ Abrechnung und Abonnements ○

Ja, steht in der Keynote zu iOS14, liest die denn keiner?

Und zweitens es geht relativ einfach, der Client übermittelt einen definierten Teil des gehashten Passwort und wenn dieser in der Liste steht, antwortet der Dienstanbieter mit allen entsprechenden Hashes, die dann auf dem Client mit dem vollständigen Hash des Passwort verglichen werden. Apple kann aus dem Teilhash nicht das Passwort erraten. Um es einfach zu sagen:

A) Dein Passwort ist abcdefgh

B) Hash Algorithmus ist, fasse die Buchstaben zusammen und bilde die Quersumme einstellig, AB wäre 1+2=3, AK auch 1+11=12->QS: 3, KA, JB usw.

C) der Hash wäre für Dein Passwort ist 3726,

D) geschickt vom Client würde der erste Teil 37

E) wenn die 37 nun in der Liste ist, schickt Apple z.B. 3751, 3727 zurück

F) der lokale Hash passt nicht,

damit steht Dein Passwort sicher nicht auf der Liste.

Auch wenn der Hash passt, muss Dein Passwort nicht auf der Liste stehen, aber es könnte. Durch dieses Verfahren kann Apple nicht Dein Passwort feststellen. Nebenbei könnte man die entsprechenden Listen nutzen, um sich an den Diensten anzumelden, macht üblicherweise aber kein Mensch, bei Mailaccounts / Social Media nutzt man das für automatisierte Spam Verbreitung, bei paar hundert Millionen betroffenen Nutzern funktioniert eben kein Spamfilter mehr.

Der Hashalgorithmus ist stark vereinfacht, damit man es nach vollziehen kann, üblicherweise gibt es weniger Kollisionen (gleicher Hashwert für unterschiedliche Ausgangswerte), nur so kann man es einfacher sehen.

Hallo AnnCa

vielen Dank für deinen Beitrag in der Apple Support Community und deiner Frage.

Phishing bezieht sich auf betrügerische Versuche, persönliche Informationen von dir zu erhalten. Betrüger nutzen alle verfügbaren Mittel, um dich dazu zu verleiten, Informationen wie dein Apple-ID-Passwort oder deine Kreditkartennummern weiterzugeben: gefälschte E-Mails und Texte, irreführende Popup-Anzeigen, gefälschte Downloads, Kalender-Spam bis hin zu Spam-Telefonanrufen.

Wenn du eine verdächtige E-Mail erhältst, die anscheinend von Apple stammt, leite sie bitte weiter an reportphishing@apple.com. Füge auf deinem Mac weitere Details hinzu, indem du die E-Mail auswählst und im Menü "Nachricht" die Option "Als Anhang weiterleiten" auswählst.

Mit diesen Tipps kannst du dich vor Betrugsversuchen schützen und lernst Vorgehensweisen kennen, wenn du glaubst, dass deine Apple-ID missbräuchlich verwendet wurde.

Phishing-Nachrichten, falsche Supportanrufe und andere Betrugsversuche erkennen und vermeiden

Aktuell (04/2021) existiert noch eine weitere Variante des Phishing, bekannt unter der Wortschöpfung Smishing, welche aus den Begrifflichkeiten SMS (Kurznachrichten) und Phishing (Diebstahl von Zugangsdaten über gefälschte Nachrichten oder E-Mails) gebildet wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu entsprechende Empfehlungen herausgebracht, siehe:

"Smishing" - Achtung vor SMS-Phishing  

Ich hoffe, dass ich damit bereits weiterhelfen konnte und wünsche einen schönen Tag.

Liebe Grüße!

 ○ Apple Support ○ Apple-ID oder Passwort vergessen ○ Reparatur von Apple ○ Abrechnung und Abonnements ○

Und ja Du musst dem Schlüsselbund vertrauen, da die Accountdaten ja an den Dienst übermittelt werden müssen, muss das Schlüsselbund diese im Klartext bereitstellen, bleiben wir beim Beispiel Adobe (wohl jeder hat dort einen Account, weil man ihn fürs Update vom Flash Player brauchte, nebenbei auf Grund eines Datenleaks mit Dir am besten untersuchte Passwortauswahl), zum Login in die Webseite benötigt man einen Nutzername und das Passwort, leider erwartet die Passworteingabe dieses im Klartext (wie soll man es denn eingeben?) Also muss das Schlüsselbund, das Passwort in dem Moment im Klartext zur Verfügung stellen, da könnte das Schlüsselbund, es auch noch an eine andere Stelle schicken, technisch kein Problem (der Webbrowser oder das OS auch, so funktionieren OS basierte Keyloger). Aber schon bei der Eingabe könnte der Passwortsafe, das Passwort an eine unberechtigte Stelle schicken. Hier muss man dem Programm vertrauen, oder aber die Informationen anders sichern (Notizbuch). Ehrlich gesagt, ich glaube nicht, dass Apple die Passwörter aus dem Schlüsselbund kennen will, hat einfach keinen wirtschaftlichen Nutzen.

Hallo AnnCa

diese Frage kommt aktuell jeden Tag mehrfach, anscheinend hat da jemand gut gemachte Werbung entwickelt, die dich und andere verunsichert:

1. nichts anklicken, nichts, eintragen...
2. ein iPhone kann nicht gehackt werden
3. Software aktuell halten
4. Einstellungen - Safari - verlauf und Website Daten löschen
5. und so achtsam sein, wie du es bist!

VG Christine

Hallo Corona,

wenn Du Recht hast, könnte Apple auf die Passwörter im Klartext zugreifen. Das wäre oberscharf. Bisher hatte ich immer gedacht, daß das gesamte Passwort-Gedönse (außer bei Apps, die ihre Zugangs-Codes im Bereich der App selbst abspeichern) in einem sicheren Bereich auf dem iPhone und dort auch nur verschlüsselt abgelegt ist.

Oder sollte ich Dich falsch verstanden haben?!

Gruß ervau

Ich habe mich mit meiner AppleID auf einem anderen iPhone angemeldet, welches zuvor von einem anderen Menschen benutzt wurde. Dieses iPhone wurde nicht vollständig zurückgesetzt, dort hat eine Freundin nur eine Abmeldung der AppleID vorgenommen. Nachdem ich mich mit meiner angemeldet habe konnte ich alle ihre Passwörter in Safari sehen. Von Amazon bis Banking. Eine Warnung gab es nie. lol

Kann ja wohl nicht sein dass sich AppleID-unabhängig Passwörter des Schlüsselbundes weiterverbreiten.