Heute wollte ich mein Passwort bei einem sehr alten und kaum noch verwendeten ICQ Account sicherheitshalber ändern, weil bei irgend einem Webdienst Accountdaten gestohlen wurden und daher nun für meine E-Mail Adresse, die ich auch für meinen ICQ Account verwende, eine Verknüpfung in der Datenbank von https://haveibeenpwned.com/ auftaucht. Kurz, ich habe eine Benachrichtigung von haveibeenpwned erhalten, wo ich mich vor ein paar Jahren registriert habe. Ein Abgleich mit der Passwortliste von haveibeenpwned ergab, dass es schon einmal nicht der E-Mail Account selbst ist. So weit die gute Nachricht. Die schlechte ist, dass ich mit dieser E-Mail Adresse nur sehr wenige Accounts erstellt habe, da ich diese E-mail Adresse kaum verwende. Der ICQ Account war einer davon. Aber auch da hat ein Abgleich mit der Passwortliste auf den zweiten Blick ergeben, dass das Passwort wohl nicht kompromittiert wurde und somit eigentlich kein Handlungsbedarf besteht. Auf den zweiten Blick deswegen, weil ich am Anfang in der Zeile verrutscht bin und daher ein anderes, sehr altes, aber auch einfaches PW eingegeben habe um mich in meinen alten ICQ Account einzuloggen und das ging logischerweise nicht. Also dachte ich okay, dann schau ich mal nach, ob der Account überhaupt noch besteht in dem ich einen PW Reset beantrage. Das war auch der Fall, nach Eingabe der E-Mail und dem beantragen eines PW Reset bekam ich auch so gleich eine E-Mail in mein Postfach. So weit so gut, der ICQ Account existiert also noch. Als ich dem Link dann folgte musste ich feststellen, dass ICQ einem das Passwort gar nicht ändern lässt, wenn man keine Handynummer angibt. Toll, ganz toll. Was für Leute arbeiten da? Dann ist mir eingefallen, okay, dann gucke ich noch einmal nach, vielleicht war es ein anderes PW. Und dabei ist mir aufgefallen, dass ich die ganze Zeit versucht habe mich mit dem falschen PW einzuloggen, also habe ich das richtige eingegeben und schon war ich in meinem Account drin. Ich komme also noch in den Account, das ist eine gute Nachricht. Das Passwort wollte ich jetzt aber trotzdem ändern, also klickte ich, während ich eingeloggt war auf den "Passwort ändern" Button und dann erscheint eine Meldung, dass eine Handynummer angeben soll. Siehe Screenshot. Dadurch, dass ich das falsche PW ein paar mal angegeben habe, steht jetzt sogar folgendes dran: " Validate account There has been suspicious activity with your account, please add phone number to your account " Aber deswegen wollen die meine Handynummer nicht, denn die wollten die auch schon vorher haben, als ich einen einfachen Passwort Reset beantragte. Siehe oben. Eine 2 Faktor Authenifizierung per Handy habe ich nicht eingerichtet. Die E-Mail muss da reichen und ich sehe es gar nicht ein, dass ich dafür meine Handynummer angebe. Irgendwie ist das doch ein kompletter Murks, wenn man sein Passwort nicht ändern kann bzw. die die Angabe einer Handynummer dafür verlangen, obwohl die noch nirgends im Account hinterlegt ist. Denn es hätte auch schlimmer kommen können, mal angenommen das PW wäre kompromittiert gewesen, dann könnte ich das jetzt trotzdem nicht ändern, weil die von ICQ entweder zu doof (unwahrscheinlich) oder zu gierig nach meinen Daten sind und für so etwas zwingend die Angabe einer Handynummer verlangen. Ich finde das ist ehrlich gesagt eine Frechheit. Diesen alten ICQ Account brauche ich zwar eigentlich nicht mehr, aber ich lasse nur ungern alte Accounts einfach in der Luft hängen. Ich habe mal den Support angeschrieben, mal sehen was die mir antworten. Einen Button zum Stilllegen des Accounts gibt es leider auch nicht. Nun zu meiner Frage. Gibt's da irgendwie eine Möglichkeit im Rahmen der DSGVO zu verlangen, dass ich mein PW ändern können muss, ohne das ich denen noch mehr Daten, wie bspw. meine Handynummer hinterherwerfen muss? An eine Änderung der Nutzungsbedingungen kann ich mich auch nicht erinnern, zumindest kam da nichts per E-Mail und wenn bei denen jetzt eine Angabe der Handynummerpflicht ist, dann hätten die ja damals schon meinen Account still legen müssen.
Angehängte Dateien:
-
icq_irrsinn.png
28 KB
Wer übrigens ohne Verwendung der Webseite nachschauen will, ob sein
Passwort in der PW Liste von haveibeenpowned enthalten ist, der kann das
mit folgendem Befehl in der Bash tun:
time echo -n passwort | sha1sum | awk '{print toupper($1)}' | grep -f -
-m 1 pwned-passwords-sha1-ordered-by-hash-v4.txt
passwort ist dabei mit dem gesuchten PW zu ersetzen.
Ebenso der Dateiname von pwned-passwords-sha1-ordered-by-hash-v4.txt
falls ihr die Liste mit der Sortierung nach der Häufigkeit downgeladen
haben solltet.
Ganz Wichtig ist übrigens noch, dass man vorher die .bash_history
abschaltet.
Das geht mit dem Befehl:
set +o history
Die history könnt ihr am Ende mit
set -o history
wieder einschalten.
Wenn ihr das nicht macht, dann werden alle eure eingegebenen Passwörter
als Teil der eingegebenen Kommandos ansonsten nämlich in der
.bash_history gespeichert.
Ach IQC gibts noch? Ich habe meinen Account vor mehr als 10 Jahren gelöscht. Vintage. Wer benutzt denn sowas noch? Werdet Aussteiger. Embrace your life.
CPU Historiker schrieb: > Ach IQC gibts noch? Oh ja. Wird sogar noch aktiv ins Grab entwickelt. ICQ blockiert alternative Messenger-Clients https://www.golem.de/news/instant-messaging-icq-blockiert-alle-alternativen-messenger-clients-1812-138427.html
Nano schrieb: > pwned-passwords-sha1-ordered-by-hash-v4.txt Möchtest du uns auch noch einen Link zu dieser mysteriösen Datei geben?
T.roll schrieb: > Nano schrieb: > pwned-passwords-sha1-ordered-by-hash-v4.txt > > Möchtest du uns auch noch einen Link zu dieser mysteriösen Datei geben? Steht eigentlich oben: "Ein Abgleich mit der Passwortliste von haveibeenpwned ergab..." Die URL zur Webseite auch. Wenn du die Liste downgeladen hast musst du sie nur noch mit einem Entpacker, der 7z Dateien entpacken kann entpacken.
CPU Historiker schrieb: > Ach IQC gibts noch? Ich habe meinen Account vor mehr als 10 Jahren > gelöscht. Vintage. Wer benutzt denn sowas noch? > > Werdet Aussteiger. Embrace your life. Ich benutze schon seit viel Jahren Jabber bzw. XMPP. Der ICQ Account ist wie schon gesagt alt und ruht eigentlich nur noch.
Ich verstehe die Suche nicht so ganz. Es macht doch keinen Sinn nur Passwörter zu checken, sondern es kommt doch auf die Kombination mit Account und Passwort an oder? Mit einem Passwort fängt man doch nur etwas an, wenn man weiß, wo es verwendet wurde. Wenn also jemand eine Datei mit meinem Account und dem dazugehörigen Hash hat, dann kann er sich einloggen, wenn der Hash entschlüsselt wurde. Ansonsten kommt man mit dem entschlüsselte Hash alleine nicht weiter.
Peter K. schrieb: > Ich verstehe die Suche nicht so ganz. > Es macht doch keinen Sinn nur Passwörter zu checken, sondern es kommt > doch auf die Kombination mit Account und Passwort an oder? > Mit einem Passwort fängt man doch nur etwas an, wenn man weiß, wo es > verwendet wurde. > Wenn also jemand eine Datei mit meinem Account und dem dazugehörigen > Hash hat, dann kann er sich einloggen, wenn der Hash entschlüsselt > wurde. > Ansonsten kommt man mit dem entschlüsselte Hash alleine nicht weiter. Nun, aus Sicherheitsgründen und aus Gründen der Verantwortung sowie sicherlich auch aus strafrechtlichen Gründen enthalten die Passwortlisten von https://haveibeenpwned.com/ nur die Hashs der Passwörter und nicht noch die dazugehörigen Accountlogindaten. Das bedeutet aber nicht, dass die echten Listen, die der Seitenbetreiber von https://haveibeenpwned.com/ in irgendwelchen dubiosen Quellen gefunden hat und als Quelle für seine gehashte Passwortliste verwendet, keine Passwörter im Klartext oder Passwörter mit Verlinkung zum Accountnamen enthalten würden. Im Kern bedeutet das also, wenn man sein eigenes Passwort als Hash in der PW Liste findet, dann sollte man damit rechnen, dass das PW kompromittiert ist. Die echten originalen Listen also das PW mit Bezug zum verwendeten Account enthalten, eventuell sogar auch im Klartext.
> Ganz Wichtig ist übrigens noch, dass man vorher die .bash_history > abschaltet. Nein, ist es nicht. Viel besser ist es das 'time echo -n passwort' durch ein 'echo -n "gib mich passwort: " ; read pass ; echo -n $pass' zu ersetzen.
Wenn man z. B. das Passwort erika123 für seine Fritzbox verwendet, dann ist das sicher kein gutes Passwort aber eines, dass ich man sich gut merken und leicht tippen kann. Die Wahrscheinlichkeit so ein PW in der Hashliste zu finden ist groß. Die Wahrscheinlichkeit, dass jemand mit diesem PW in die FB gelangt ist trotzdem ziemlich klein. Beim WLAN Passwort sieht das schon anders aus, weil man dort viele Versuche hat. Es muss natürlich jeder für sich abwiegen wie er Aufwand und Sicherheit gegeneinander stellt. Bei einem sensitiven Account im Internet sollte man natürlich ein Passwort mit einer hohen Entropie wählen. Bei einem Account, das nur im Heimnetz existiert, wäre es sogar dann noch sehr unwahrscheinlich das sich jemand damit einloggt, wenn man Login und zugehöriges Passwort in einer Leakliste finden würde.
Nano schrieb: > Ich habe mal den Support angeschrieben, mal sehen was die mir antworten. Hat sich der ICQ support gemeldet? Ich will ebenfalls meinen alten ICQ account löschen, aber meine Telefonnumer nicht preisgeben.
Inko schrieb: > Ich will ebenfalls meinen alten ICQ > account löschen Eine Löschung ist bei ICQ wohl grundsätzlich nicht vorgesehen.
Inko schrieb: > Nano schrieb: >> Ich habe mal den Support angeschrieben, mal sehen was die mir antworten. > > Hat sich der ICQ support gemeldet? Ich will ebenfalls meinen alten ICQ > account löschen, aber meine Telefonnumer nicht preisgeben. Ja, haben sie. Sie haben gesagt, dass sie daran nichts ändern werden. Das ist also ein Fall für die Behörde, die sich um solche DSGVO Verstöße kümmert.
Nano schrieb: > Das ist also ein Fall für die Behörde, die sich um solche DSGVO Verstöße > kümmert. Du weisst aber schon, wem ICQ inzwischen gehört?
Naja schrieb: > Nano schrieb: >> Das ist also ein Fall für die Behörde, die sich um solche DSGVO Verstöße >> kümmert. > > Du weisst aber schon, wem ICQ inzwischen gehört? Nein, spielt aber keine Rolle. Wichtig ist nur die Frage, ob ICQ Daten von EU Bürgern nutzt. Wie groß oder klein ICQ ist und ob die im Ausland sitzen, ist völlig irrelevant. Die Strafen gelten auch für Firmen im Ausland.
> Wichtig ist nur die Frage, ob ICQ Daten von EU Bürgern nutzt.
Das wäre eine naive Frage.
Bist du erst seit gestern 6:00 im Internet unterwegs? Hast du
tatsächlich nichts von der digitalen Landnahme mitbekommen?
Jedes (kostenlose) Internetangebot dient u. a. zum Sammeln von Daten und
zum Ausschnüffeln der Beteiligten.
Peter schrieb: > Jedes (kostenlose) Internetangebot dient u. a. zum Sammeln von Daten und > zum Ausschnüffeln der Beteiligten. Das ändert gar nichts an Artikel 5 der DSGVO. https://dejure.org/gesetze/DSGVO/5.html Lies mal vor allem den Abschnitt c) bezüglich der Datenminimierung. Zum ändern eines Passwort benötigt man nur die E-Mail Adresse und somit keine Handynummer. Ich wüsste auch nicht, warum die ICQ von mir erhalten sollte. Mein Account ist schon mindestens 20 Jahre alt und die letzten Nutzungsbedingungen habe ich vor 18 Jahren gelesen, weil ich ungefähr zu der Zeit, das letzte mal überhaupt den offiziellen ICQ Clienten genutzt habe.
Nano schrieb: > Das ist also ein Fall für die Behörde, die sich um solche DSGVO Verstöße > kümmert. Na, da bin ich aber mal gespannt an wen die Behörde sich da wenden will...
Wenn ich mich nicht irre, dann an den Datenschutzbeauftragten. Hat das Unternehmen keinen, dann wird es eben teuer.
Nano schrieb: > Wenn ich mich nicht irre, dann an den Datenschutzbeauftragten. Hat > das Unternehmen keinen, dann wird es eben teuer. Dann schickst du einen Gerichtsvollzieher nach Russland? Gesetze und Verordnungen in allen Ehren, aber was nutzen die wenn man sie nicht durchsetzen kann?
James schrieb: > Nano schrieb: >> Wenn ich mich nicht irre, dann an den Datenschutzbeauftragten. Hat >> das Unternehmen keinen, dann wird es eben teuer. > > Dann schickst du einen Gerichtsvollzieher nach Russland? > Gesetze und Verordnungen in allen Ehren, aber was nutzen die wenn man > sie nicht durchsetzen kann? Und genau das begreifen die ganzen Spinner in der Politik nicht und machen jährlich mit neuen sinnfrei gesetzten und Verordnungen das Leben für Rechtschaffende Bürger schwierig bzw riskanter als kriminelle abgestempelt zu werden.
Nano schrieb: > Nun zu meiner Frage. > Gibt's da irgendwie eine Möglichkeit im Rahmen der DSGVO zu verlangen, > dass ich mein PW ändern können muss, ohne das ich denen noch mehr Daten, > wie bspw. meine Handynummer hinterherwerfen muss? > Für so eine Spielsache einfach einen der unzähligen SMS Dienste nehmen ob den versendeten Aktivierungscode jemand mitliest ist recht egal es gibt keinen Weg zum Account und wenn man sich wieder einloggen kann geht das ändern wieder wieder über email und niemand interessiert sich jemals für die Handynummer, welche man dann auch ggf. einfach löscht. Z.b. receivesms.org oder einen der hundert anderen. Telephonummern ändern sich zuweilen auch im echten Leben häufig.
Handy als Sicherheit ist Mist. Was passiert, wenn man das Handy vor x Jahren mit der Nummer verloren hat? Bekommt dann der spätere Nachnutzer meiner Nummer diese sogenannte "Sicherheits-SMS"??? Bestimmt.
oszi40 schrieb: > Handy als Sicherheit ist Mist. Was passiert, wenn man das Handy vor x > Jahren mit der Nummer verloren hat? Bekommt dann der spätere Nachnutzer > meiner Nummer diese sogenannte "Sicherheits-SMS"??? Bestimmt. Zumal alte Handynummern nach Vertragskündigung auch neu vergeben werden. Um dies zu vermeiden muss man seine Nummer bei Anbieterwechsel immer mitnehmen.
Nano schrieb: > Ja, haben sie. > Sie haben gesagt, dass sie daran nichts ändern werden. > > Das ist also ein Fall für die Behörde, die sich um solche DSGVO Verstöße > kümmert. Ich nehme an, du hast die dafür zuständige deutsche Behörde kontaktiert? Ich teile zwar den Pessimismus der andern User diesbezüglich, würde mich aber dennoch freuen, wenn du hier berichten könntest, was sich daraus ergeben hat.
oszi40 schrieb: > Handy als Sicherheit ist Mist. Was passiert, wenn man das Handy vor x > Jahren mit der Nummer verloren hat? Bekommt dann der spätere Nachnutzer > meiner Nummer diese sogenannte "Sicherheits-SMS"??? Bestimmt. Nicht wenn du nachdem wieder Zugang zum Dienst hast deine Kontaktangaben entsprechend änderst und die angebene Nummer einfach löschst. Das ist primär ein simpler Schutz gegen automatisiertes erstellen von Zugängen. ---- Das einmal in Hände unbekannter gegeben echte Daten zuweilen wandern ist hier das sekundäre Problem. Wenn du mal z.B. einen yahoo-account brauchts um an Dateianhänge einer 'group' zu kommen fragt man dort mittlerweile bei der Erstellung ebenfalls nach einer Nummer. Ist mir aber aber in 20 Jahren noch nicht eingefallen solchen "gratis" Diensten Echtnahmen, Adressen und Rufnummern zu überlassen. Zumal wenn eh kein Interesse an 'ernthaften geschäftlichen Beziehungen' besteht, wenn sowas irgendwann einmal zufällig Kündigungsgrund wird ist das locker zu verschmerzen. Dafür passt mehr ins Postfach und in die grüne Tonne, man muss nicht waschkörbeweise Werbematerial zu Zeugs entsorgen das man eh nie kaufen würde ;)
James schrieb: > Dann schickst du einen Gerichtsvollzieher nach Russland? > Gesetze und Verordnungen in allen Ehren, aber was nutzen die wenn man > sie nicht durchsetzen kann? Ich müsste nicht mehr tun, als das der Aufsichtsbehörde des Landes für den Datenschutz im nicht-öffentlichen melden, der Rest läuft dann zwischen der dafür zuständigen Behörde und ICQ ab. Ich habe da dann gar nichts mehr mit am Hut und kann von Außen zuschauen, sofern die Nachrichten darüber berichten, wie es weiter läuft. Es kostet mich auch keinen Cent. Wenn Russland noch keinen Datenschutzbeauftragten hat dann ist das das Problem der Aufsichtsbehörde. Das ICQ deswegen dann davon kommt, kann schon sein, aber wie schon gesagt, ich muss mich da nicht herumärgern, das machen andere. Eine Liste findet man hier: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html Was man bei Verstößen gegen die DSGVO allgemein tun kann, steht hier: https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/MeineRechte/Artikel/BeschwerdeBeiDatenschutzbehoereden.html?nn=10350472 Inko schrieb: > Ich nehme an, du hast die dafür zuständige deutsche Behörde kontaktiert? > Ich teile zwar den Pessimismus der andern User diesbezüglich, würde mich > aber dennoch freuen, wenn du hier berichten könntest, was sich daraus > ergeben hat. Nein, das bezog sich nur auf den Mailverkehr mit ICQ. Die Behörden habe ich noch nicht kontaktiert, kann aber jeder machen. click offline schrieb: > Für so eine Spielsache einfach einen der unzähligen SMS Dienste nehmen > ob den versendeten Aktivierungscode jemand mitliest ist recht egal es > gibt keinen Weg zum Account und wenn man sich wieder einloggen kann geht > das ändern wieder wieder über email und niemand interessiert sich jemals > für die Handynummer, welche man dann auch ggf. einfach löscht. > Z.b. receivesms.org oder einen der hundert anderen. Danke für den Tipp. Das wäre eventuell eine Möglichkeit.
Nano schrieb: > Ich müsste nicht mehr tun, als das der Aufsichtsbehörde des Landes für > den Datenschutz im nicht-öffentlichen melden, der Rest läuft dann > zwischen der dafür zuständigen Behörde und ICQ ab. > > Ich habe da dann gar nichts mehr mit am Hut... Dann werden Dir die Russen ein paar resolute Herren vorbeischicken, die sich ganz persönlich und intensiv für Dein Anschwärzen bedanken werden.
Nano schrieb: > Ich habe da dann gar nichts mehr mit am Hut und kann von Außen > zuschauen, sofern die Nachrichten darüber berichten, wie es weiter > läuft. > Es kostet mich auch keinen Cent. > > Wenn Russland noch keinen Datenschutzbeauftragten hat dann ist das das > Problem der Aufsichtsbehörde. Tja, und dann wird deine Beschwerde ausgedruckt, auf den Stapel mit den anderen Augaben gelegt, die sich mit der Zeit von selbst erledigen. Vielleicht gibt es, wenn der Sachbearbeiter besonders fleißig ist, nach ein paar Monaten eine Rückmeldung unter Angabe des juristischen Schlupflochs, daß dein Anliegen nicht durchsetzbar ist. Vielleicht auch nicht. Oder glaubst du, daß die Datenschutzbehörde die Flintenuschi mit ihrer Cybertruppe beim russischen Bären einreiten läßt?
Nano schrieb: > Ich habe da dann gar nichts mehr mit am Hut und kann von Außen > zuschauen, sofern die Nachrichten darüber berichten, wie es weiter > läuft. Die Russen werden nicht nur herzhaft über Deine Meinung, dass EU-Datenschutzrecht dort durchsetzbar wäre, lachen. Ich meine mich zu erinnern, dass Onlinedienste dort sogar diverse Daten über ihre Kunden erfassen MÜSSEN. Ich nehme mal an, dass Du noch sehr jung bist. Angesichts Deiner Naivität musste ich spontan daran denken: https://imgs.xkcd.com/comics/security.png
Naja schrieb: > Die Russen werden nicht nur herzhaft über Deine Meinung, dass > EU-Datenschutzrecht dort durchsetzbar wäre, lachen. Ich meine mich zu > erinnern, dass Onlinedienste dort sogar diverse Daten über ihre Kunden > erfassen MÜSSEN. > > Ich nehme mal an, dass Du noch sehr jung bist. Angesichts Deiner > Naivität musste ich spontan daran denken: > https://imgs.xkcd.com/comics/security.png Ja, das wird wohl so sein. Und die Lösung des Problems ist: Man meldet sich einfach nirgends an, bzw. nicht mit Daten, die man irgenwie auf die eigene Person zurückführen kann. Keine Ahnung, was die Russen mit den ganzen Chatprotokollen von ICQ anstellen wollen, aber dass man nichts löschen kann, spricht schon eine deutliche Sprache. Und ja, da wird garantiert alles gespeichert und ausgewertet. Warum auch nicht, das ist Text, der Aufwand ist überschaubar...
Thread beobachten
Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.