Wie lang sollten Mail-Passwörter mindestens sein?

Für was? Free-Mail-Account? 8-10 Zeichen bestehend aus Groß-, Kleinbuchstaben und Ziffern.

Meines ist 18 Zeichen lang.
Ziffern und Buchstaben..

Das sollte sehr sicher sein.

Je länger ein Passwort ist, desto sicherer ist es in der Regel, aber nur, wenn es auch den sonstigen Konventionen für Passwörter entspricht.

Bei E-Mails sollte man aber nicht vergessen, dass diese, sofern sie unverschlüsselt sind, zumindest vom Serviceprovider, den Übermittlungsstellen oder dem Anbieter gelesen werden könnten.

Ich machs mir mal einfach; Je wichtiger dir die Daten sind, desto besser sollte das Passwort sein.



bei trashmail accounts nutze ich sehr kurze und einfache passwörter,weil es da für niemanden etwas zu sehen gibt und mich der verlust nicht wirklich interessiert. Ist aber trotzdem noch nie etwas vorgefallen.

Meines ist 18 Zeichen lang.
Ziffern und Buchstaben..

Das sollte sehr sicher sein.

Am Besten Sonder- und Satzzeichen. Zur Darstellung brauchen sie am Beisten Bit beim Asci. Je länger desto besser stimmt natürlich.

Wie lang sollten Mail-Passwörter mindestens sein?Die erste Antwort war korrekt und ausreichend ;) Provider und Behörden brauchen das nicht brechen um deine Mails durchzugucken. Gegen Privatpersonen reicht es dicke.

Echte Sicherheit gegen Dritte gibt es nur, wenn du PGP/GPG mit entsprechendem Mailproggi einsetzt. Wirklich perfekt funktionieren momentan Thunderbird 2 und Enigmail 0.95.

Die erste Antwort war korrekt und ausreichend ;) Provider und Behörden brauchen das nicht brechen um deine Mails durchzugucken. Gegen Privatpersonen reicht es dicke.

Echte Sicherheit gegen Dritte gibt es nur, wenn du PGP/GPG mit entsprechendem Mailproggi einsetzt. Wirklich perfekt funktionieren momentan Thunderbird 2 und Enigmail 0.95.
Da verstehe ich ohnehin nicht warum quasi alle Anbieter nur die Klartext-Übertragung der PWs zulassen. Dadurch kommen nämlich noch Angriffe durch abhören der Leitungen hinzu wie unser unverschlüsseltes Uni-WLAN. Es kann doch nicht das Problem sein die POP/IMAP Server so einzurichten, dass sie auch MD5 Hashes der PWs annehmen.


Das Problem mit PGP ist immer, dass die meisten Empfänger damit nichts anfangen können - bzw. keinen Schlüssel bereitstellen. Bei Privatpersonen wäre das ja noch vertretbar aber auch Behörden akzeptieren sowas ja nicht.

Da verstehe ich ohnehin nicht warum quasi alle Anbieter nur die Klartext-Übertragung der PWs zulassen.
Meine Verbindungen zu Mailservern sind grundsätzlich SSL-verschlüsselt. Ich kann mir kaum vorstellen, daß ein Mailanbieter das nicht anbieten kann und trotzdem geschäftsfähig bleibt. :eek:

Das Problem mit PGP ist immer, dass die meisten Empfänger damit nichts anfangen können - bzw. keinen Schlüssel bereitstellen. Bei Privatpersonen wäre das ja noch vertretbar aber auch Behörden akzeptieren sowas ja nicht.Und was ist mit x.509-Zertifikaten? Gibt's kostenlos von Cacert (http://www.cacert.org/) und Thawte (http://www.thawte.com/secure-email/personal-email-certificates/index.html) (und gewiß auch weiteren CA (http://en.wikipedia.org/wiki/Certificate_authority)s). Notfalls kann man sich seine Zertifikate auch mit openssl selbst erstellen. Es gibt dann im Client die Fehlermeldung, das Zertifikat sei nicht von einer CA verifiziert, aber das tut der Verschlüsselbarkeit der Email ja keinen Abbruch. Das funktioniert von Haus aus auch in ein paar mehr Clients, als nur Enigmail und Thunderbird und ist damit deutlich DAU-freundlicher als alles andere.

darph, die Geschichte der sicheren Mailkommunikation ist eine Geschichte voller Mißverständnisse ;)

Zu allererst geht es nicht nur um den S/MIME Knopf im Mailclient, sondern ums Wollen. Aber da sind wir uns wohl einig.
Die DUA-Freundlichkeit Beginnt udn Endet mit diesem Knopf aber nicht. Auf die frage ob "wir" mal sichere Mails verwenden wollen, antworten mir alle sofort mit "Klar!". Meist gefolgt von irgendwelchen Wünschen zu auseinanderfallenden Rollstühlen. Soweit ok.

Wenn ich aber jemanden anschliessend etwas von X.509 Zertifikaten von Cacert oder Thawte erzähle, die Leute diese Seiten aufrufen lasse + das mit der revoke.exe usw. usw., dann sehe ich ein Gewitter über die Stirn ziehen.
Oder alleine mit openssl erzeugen? Sorry :lol:

Email eingeben? Ja ich bin jetzt bei GMX, will aber diesjahr noch zu XY wechseln und deren Email nutzen. Was mach ich dann? Kann ich die alten Mails lesen? DAS sind noch die schlaueren Fragen.
Ichn muß DA Passwort eingeben? Können die das dann auch lesen? Das ist aber irgendwie komisch alles.

Mit entsprechender deutschsprachigen leichten Kost aka Link mit Schritt für Schritt Anleitung dagegen erledigt ein Proband mit Tb OpenPGP im Alleingang. Nach der Lektüre in 5 bis 15 Minuten. Wenn er selbst Enigmail installieren kann. Wie sowas geht kennt er aber schon meist vom Firefox ;)

DAU ist nicht DAU. Mein Vater hat beim ersten Mal über eine Minute gebraucht um den Einschaltknopf am Rechner zu finden (ok das Gehäuse war "mies" ;) ). Als nicht-DAU hat man über DAUs oft keine Ahnung. Oder von ihren Abwandlungen.

Sowas wie "If you want to use certificates issued by CAcert, read the CAcert Disclaimer and Licence .This license applies to using the CAcert root keys" ist nicht DAU-freundlich. Selbst wenn sie Englisch verstehen. Und wenn si es tun, fragen sie vielleicht: Wie? Die können den Key auch selbst zurückziehen? Was ist das denn?

X.509 ist schön für alle "Staatsangelegenheiten" die ich per Mail erledigen könnte. Wenn der Statt mit so ein Zertifikat genauso wie ein Perso ausstellt und ich es mir irgendwo abholen und dann aufspielen kann. Oder für Firmen. Auch wenn einige firmeninterne Memos von zB. Ms mit PGP-Keys signiert sind ;)

Das Handling ist bei S/MIME nicht komplizierter als bei OpenPGP bzw. PGP/MIME. Wenn die Mailclients es vom Haus aus oder über Erweiterungen brauchbar unterstützen, ist das X.509 klar vorzuziehen. Gerade was DAU-freundlichkeit angeht. Oder man fährt dahin und macht alles alleine.
Was natürlich am DAU-freundlichsten ist, aber mir wäre oder ist dann auch egal, ob das nun X.509 oder OpenPGP ist. Es ist also immer OpenPGP.

Weils mit Enigmail saueinfach ist und jeder der Outlook nicht benutzt, benutzt Thunderbird 2. Hier jedenfalls. Auch wenn "Claws Mail" sich nicht nur unter Linux ziemlich verbreitet. gpg4win gibt es aber auch noch und auch das funktioniert problemlos.

A'propos. Kleopatra ist cool und der Link ist eigentlich sehr gut, aber welcher DAU bitte nimmt sich sowas an?? (CAcert bei X.509)
http://www.gpg4win.de/handbuecher/sie-erzeugen-ihr-schluesselpaar.html
In der Zeit die selbst ICH dafür brauchen würde erstellt und signiert mein alter Herr 20 OpenPGP Keys :|

Evolution, Kmail, Claws Mail (Sylpheed Claws), Thunderbird, TheBat und dann noch kgpg, Seaharose, Enigmail, gpg4win oder GPGshell. Und Apple scheint OpenPGP ja auch nicht komplett zu ignorieren http://www.apple.com/de/support/security/pgp/ auch wenn man es GPGMail leider nicht ganz einfach macht.

Das Handling ist bei S/MIME nicht komplizierter als bei OpenPGP bzw. PGP/MIME. Wenn die Mailclients es vom Haus aus oder über Erweiterungen brauchbar unterstützen, ist das X.509 klar vorzuziehen.Fine copy and paste bullshit. Sollte natürlich umgekehrt heißen. X.509 wird über Plugins sowieso kaum unterstützt ;)

Die Auflsitungen waren dann schon ok. OpenPGP aka GPG Key erstellen und benutzen ist nicht mehr ein Mysterium als das erstellen lassen eines Zertifikats. Dafür habe ich die volle Kontrolle über den von mir erstellten Key.

Davon ab halte ich von den Methoden in X.509v3, also von 1024bit RSA und MD5, ungefähr garnichts. Oder hat sich das mit v4 irgendwie geändert? Bin was die Internas angeht schon länger nicht im Stoff :( Was bieten die beiden CAs die du erwähnst für Versionen?

Wenn ich etwas verschlüssel, dann so und deswegen, damit NIEMAND der nicht authorisiert ist es lesen kann. Da gibt es keine Abstufungen. MD5 und 1024bit RSA sind von der Implementierung abgesehen schon als Methode eine Abstufung. Für entsprechende Leute, als wenn ich hier WLAN mit WEP verschlüsseln würde.
Ich hätte mich gewundert, wenn IETF diesbezüglich bis jetzt nichts getan hat oder sich im PKIX nichts getan hätte.

Implementierung hin, Methoden her. Das System mit alles verwaltenden und beherrschenden CA-Obrigkeiten von welchen nichtmal eine handvoll kostenfrei ihren Dienst verrichtet ist ein System, welches man sich für den privaten Gebrauch auch sparen kann.

Man könnte auch wenn nötig einen OpenPGP-Key von der Stadtverwaltung für 5€ (mit)signieren lassen, aber das wäre ja sowas von uncool.
KEIN hierarchisches System, bei dem NICHT NUR eine übergeordnete Stelle Schlüssel untergeordneter Stellen signieren darf, und der trotzdem zum allgemeinen Standard ernannt werden würde, paßt ja mal garnicht in das demokratische Bild der westlichen Zivilisation.

Da verstehe ich ohnehin nicht warum quasi alle Anbieter nur die Klartext-Übertragung der PWs zulassen. Dadurch kommen nämlich noch Angriffe durch abhören der Leitungen hinzu wie unser unverschlüsseltes Uni-WLAN.Das würde immernoch nicht den Zugriff auf deinen Postfach für den Provider und eine Behörde oder eben einen Hacker erschweren. Die Email ist ohne OpenPGP eine Postkarte und so wird sie auch von den Providern korrekterweise behandelt.
Hier sind man-in-the-middle der Hacker aber eher unwahrscheinlich. Unsinnig. Wenn dan hackt man den Server und hat 100.000 Passwörter zur Hand. Der Provider und die Behörden brauchen das nicht machen. Für die liegt das alles im Klartext bereit.

Das Problem mit PGP ist immer, dass die meisten Empfänger damit nichts anfangen können - bzw. keinen Schlüssel bereitstellen.Das gilt doch meistens genauso für S/MIME.

Bei OpenPGP bestimme aber ich die Stärke des Schlüssels und bei Bedarf die dazugehörenden Algorithmen, das Passwort und seine Änderungen und die Email (Benutzer-ID) und ihre Änderungen.

Bis auf den digitalen Kram mit Behörden, wo der Staat als CA fungiert, ist S/MIME im Vergleich mit OpenPGP ein schlechter Witz. Und selbst da wäre OpenPGP kein Problem, aber der Staat kommt mit Lösungen nicht klar in welchen er nicht als alleroberste Instanz, "Bestimmtheit" und der Herrscher und Verwalter vertreten ist.

Sichere private Kommunikation die auf CAs basiert ist der aberwitzigste Schwachsinn den es in der Sicherheitstechnik je gegeben hat.

Man kann zu GnuPG aber sagen, so fing Linux auch mal an ;) Man braucht sich im privaten Bereich daran nicht stören. GnuPG mag wie der Linux Kernel sein, aber wenn man nur auf Clients mit entsprechenden und vernünftigen Plugins setzt, dann ist das wie Ubuntu/Kubuntu/Xubuntu. Kinderleicht also.

Daher nicht rumjammern, sondern ran an die Waffeln und diese frohe Kunde in die weite Welt tragen =) statt den Leuten einzureden ihre Zertifikate online bei CAs erstellen zu lassen.

Da verstehe ich ohnehin nicht warum quasi alle Anbieter nur die Klartext-Übertragung der PWs zulassen. Dadurch kommen nämlich noch Angriffe durch abhören der Leitungen hinzu wie unser unverschlüsseltes Uni-WLAN. Es kann doch nicht das Problem sein die POP/IMAP Server so einzurichten, dass sie auch MD5 Hashes der PWs annehmen.


Das Problem mit PGP ist immer, dass die meisten Empfänger damit nichts anfangen können - bzw. keinen Schlüssel bereitstellen. Bei Privatpersonen wäre das ja noch vertretbar aber auch Behörden akzeptieren sowas ja nicht.

naja, smtp server untereinander schicken sich immer alles im klartext zu. schickst du zb über transparentes tls eine nachricht über deinen mailserver zu einem fremden server bringt es eigentlich gar nix, außer der weg von mailclient zu relay bleibt sicher.

beim abholen das gleiche, der weg von dir zu server ist zwar verschlüsselt, aber vorher wurde es schon längst unverschlüsselt gesendet. natürlich hilft es gegen abhörattacken für passwörter, da das passwort ja nur zum relay bzw pop/imap server geschickt wird.

richtig sicher ist in diesem fall eigentlich wirklich nur verschlüsselung der email selbst und senden/empfangen über ssl/tls.

mfg

Wie lang sollten Mail-Passwörter mindestens sein?


Das kannst du dir auch selber ausrechnen:

(Anzahl an Zeichen) hoch (Passwortlänge)

Bei einem Passwort mit 8 Großbuchstaben aus dem lateinischen Alphabet also:

26^8 = 208827064576 Kombinationsmöglichkeiten


Wenn du Kleinbuchstaben dazu nimmst dann sind es:

(26*2)^8 = selber ausrechnen

Und wenn Ziffern noch dazu kommen:
(26*2+10)^8 = selber ausrechnen


Und wenn du jetzt noch wissen willst, was es bringt die Länge des Passwortes um 2 Ziffern zu erhöhen, dann rechnest du einfach:

(26*2+10)^10 = selber ausrechnen

(26*2+10)^8 = 218340105584896

und wie viele PWD/s schafft ein Bruteforcer?

(26*2+10)^8 = 218340105584896

und wie viele PWD/s schafft ein Bruteforcer?

wird dir nichts helfen da jeder vernünftiger mailserver nach ein paar falschen versuchen von der gleichen ip erst mal dicht macht.

mfg

ich will nicht knacken, ich will wissen, ob meine eigenen mails gut geschützt sind

und wie viele PWD/s schafft ein Bruteforcer?Der "alte" EarthSimulator braucht gemessen an Linpack für ein Passwort welches

- aus Klein und Großbuchstaben
- Zahlen
- wenigstens 2 Sonderzeichen
- und insgesamt aus mind. 14 Zeichen

besteht, paar Tausend Jahre. Jetzt weißt du welche Vorgaben für ein Sicheres Passwort gelten.

GastToGast ;)
Es kommt drauf an welches Passwort du meinst. Wenns nur um das für dein Email Konto geht sind deine Mails wie gesagt garnicht sicher. Wenn es um ein Passwort bei Verschlüsselung und gegen Bruteforce geht, seheh oben.

besteht, paar Tausend Jahre. Jetzt weißt du welche Vorgaben für ein Sicheres Passwort gelten.Vorausgesetzt die Implementierung setzt wenigstens 2000faches Salt ein, was aber die meisten nennenswerten Lösungen machen. Also für Win GPG, 7-zip, AxCrypt, Safey ab 1.0.0.3, TrueCrypt, KeePass.

Übrigens, benutze KeePassPortable ab 1.14, setz die Standardlänge auf mind. 20 Zeichen, laß die Passwörter von dem Programm generieren und du brauchst dir keine Gedanken mehr machen.

Ich glaube ihr habt meine Argumente falsch verstanden. Deshalb mal ein paar Fakten:


Sowohl Web.de als auch GMX unterstützen (zumindestens bei ihren Freemail-Angeboten) kein verschlüsseltes POP/IMAP. (und das sind wohl mit die meist genutzten Freemail-Anbieter)
SMTP geht bei beiden verschlüsselt.
Dennoch wird die Authentifizierung unverschlüsselt abgewickelt. D.h. obwohl die Nachrichten selbst verschlüsselt übertragen werden (bei SMTP) wird das Passwort zuvor ohne Verschlüsselung übertragen.
Das Problem mit PGP u.ä. Verfahren ist, dass bei Verschlüsselung der Nachricht der Empfänger einen PublicKey bereitstellen muss. Versucht mal, dass eure Eltern das selbstständig hinbekommen - über 90% dürften dabei wohl scheitern oder es prinzipiell ablehnen da sie den Sinn nicht verstehen.
Aus diesem Grund ist das Verfahren auch nicht DAU-sicher.

Das Problem mit PGP u.ä. Verfahren ist, dass bei Verschlüsselung der Nachricht der Empfänger einen PublicKey bereitstellen muss. Versucht mal, dass eure Eltern das selbstständig hinbekommen - über 90% dürften dabei wohl scheitern oder es prinzipiell ablehnen da sie den Sinn nicht verstehen.
Aus diesem Grund ist das Verfahren auch nicht DAU-sicher.
[/LIST]Nenn mir doch mal ein einziges funktionierendes DAU-sicheres Sicherheitsverfahren? Wer die kurze Anlernphase ablehnt der hats schon.
Inwiefern ist selbst Windows für einen DAU geeignet, der bis dahin noch nie einen Rechner eingeschaltet hat? NICHTS auf der Welt ist DAU-sicher. Die meisten DAUs surfen als Admin. Ist das sicher?

Was nutzt es S/MIME an Leute zu verschicken bei welchen man auch annehmen kann, daß sich auf ihren Systemen 20 Viren rumtreiben könnten? :|

Das was du erwähnst, also eine abgesicherte Übertragung, hat mit dem Absichern der Inhalte eben nichts zu tun. Das Absichern der Inhalte halte ich aber für wesentlich wichtiger als das der Übertragung.
Das der Übertragung richtet sich grundsätzlich nur gegen man in the middle und das ist eigentlich total sinnlos bei Mails. Niemand hackt Server um die Übertragung der Emails von XY abzufangen und "Personen" die es gebrauchen könnten brauchen nichts hacken.

Um man in the middle macht man sich erst Gedanken, wenn man public keys austauscht und dann gilt wieder das obengesagte. Benutzt Email wie eine Postkarte oder nutzt OpenPGP. Der Rest ist nur ein kleines Sahnehäufchen auf einem riesigen Kuchen. Macht den Kohl auch nicht fett.

ps:
Ich mußte zwar dabei sein, hab das meinem alten Herren aber Schritt für Schritt in 20min beigebracht ohne selbst die Maus anzufassen. So schwer ist das wirklich nicht. Eigentlich ist es eine der einfacheren Sachen die man mit dem Rechner anstellen könnte und laut meinen Eltern UM WELTEN einfacher als ein Mailprogramm überhaupt so einzurichten, daß man damit Mails abholen kann. Das zum Thema DAU-sichere Lösungen und Verfahren.

Nenn mir doch mal ein einziges funktionierendes DAU-sicheres Sicherheitsverfahren? Wer die kurze Anlernphase ablehnt der hats schon.
Inwiefern ist selbst Windows für einen DAU geeignet, der bis dahin noch nie einen Rechner eingeschaltet hat? NICHTS auf der Welt ist DAU-sicher. Die meisten DAUs surfen als Admin. Ist das sicher?

Was nutzt es S/MIME an Leute zu verschicken bei welchen man auch annehmen kann, daß sich auf ihren Systemen 20 Viren rumtreiben könnten? :|

Das was du erwähnst, also eine abgesicherte Übertragung, hat mit dem Absichern der Inhalte eben nichts zu tun. Das Absichern der Inhalte halte ich aber für wesentlich wichtiger als das der Übertragung.
Das der Übertragung richtet sich grundsätzlich nur gegen man in the middle und das ist eigentlich total sinnlos bei Mails. Niemand hackt Server um die Übertragung der Emails von XY abzufangen und "Personen" die es gebrauchen könnten brauchen nichts hacken.

Um man in the middle macht man sich erst Gedanken, wenn man public keys austauscht und dann gilt wieder das obengesagte. Benutzt Email wie eine Postkarte oder nutzt OpenPGP. Der Rest ist nur ein kleines Sahnehäufchen auf einem riesigen Kuchen. Macht den Kohl auch nicht fett.

ps:
Ich mußte zwar dabei sein, hab das meinem alten Herren aber Schritt für Schritt in 20min beigebracht ohne selbst die Maus anzufassen. So schwer ist das wirklich nicht. Eigentlich ist es eine der einfacheren Sachen die man mit dem Rechner anstellen könnte und laut meinen Eltern UM WELTEN einfacher als ein Mailprogramm überhaupt so einzurichten, daß man damit Mails abholen kann. Das zum Thema DAU-sichere Lösungen und Verfahren.
Bei deinem DSL-Anschluss zu Hause brauchst du warscheinlich auch nicht auf Man-in-the-middle Attacken acht zu geben. Aber mir gings in meinem Post, als ich damals das Problem angesprochen hatte um die Problematik, dass es durchaus Hotspots gibt, die unverschüsselt sind. Da kann ich dann zwangsläufig keine Mails abrufen ohne jedem mein Passwort mitzuteilen. :)
Sicher wäre es genauso gut, wenn die Hotspots einfach ordentlich verschüsselt sind und AP Isolation nutzen. Aber andersherum wäre es auch kein Problem denke ich.

Und natürlich hast du recht, dass vieles nicht so einfach ist für absolute Computer-Einsteiger. Aber das ist eine andere Sache. Fakt ist doch das heutzutage schon viele gerne das Internet nutzen wollen. Sobald ihnen das aber möglich ist wollen sie nicht wirklich mehr dazu lernen und ihr Wissen erweitern, da ie ihr Ziel erreicht haben.
Es sind nicht die DAUs, die Verschlüsselung wollen, sondern die, die etwas Ahnung vom Thema haben und die brauchen aber die Mithilfe der DAUs, welche sich aber weigern.
Würde es nicht möglich sein Mails im Klartext zu verschicken, dann würdn sie notgedrungen auch PGP einsetzen aber ohne Zwang werden sie sich sperren. Weiteres Problem ist, dass ja auch sämtliche geschäftlichen Kontakte quasi immer unverschlüsselt abgewickelt werden. Kein Online-Händler, keine Behörde, [Reihe bitte vortsetzen] stellt nen PublicKey zur Verfügung. Und darum ist PGP u.ä. auch weiterhin wohl nur auf Leute mit Ahnung beschränkt und selbst dort kaum verbreitet.

Bei deinem DSL-Anschluss zu Hause brauchst du warscheinlich auch nicht auf Man-in-the-middle Attacken acht zu geben. Aber mir gings in meinem Post, als ich damals das Problem angesprochen hatte um die Problematik, dass es durchaus Hotspots gibt, die unverschüsselt sind.Ah ok. Dann gilt das natürlich. Das gilt sogar fürs Daheim und WEP ;)

Es sind nicht die DAUs, die Verschlüsselung wollen, sondern die, die etwas Ahnung vom Thema haben und die brauchen aber die Mithilfe der DAUs, welche sich aber weigern.Jein. Wenn eine Kommunikation vorgeschlagen wird die meiner Meinung nach eine Absicherung des Inhalte verlangt, dann macht die Gegenstelle das entweder mit oder wir lassen es meinerseits sein. An sich eine recht einfache Geschichte. Wer nicht will der hats schon wie gesagt.
Selbst dem kann man etwas gutes abgewinnen, denn wenn sich diese Person weigern sollte, dann ist sie wenigstens schon nach einem fünfminutigen gespräch für das Thema wenigstens entsprechen sensibilisiert. Zwischen DAUs und zuerst Ahnungslosen sollte man unterscheiden ;)

Weiteres Problem ist, dass ja auch sämtliche geschäftlichen Kontakte quasi immer unverschlüsselt abgewickelt werden. Kein Online-Händler, keine Behörde, [Reihe bitte vortsetzen] stellt nen PublicKey zur Verfügung. Und darum ist PGP u.ä. auch weiterhin wohl nur auf Leute mit Ahnung beschränkt und selbst dort kaum verbreitet.Im Gegensatz zu privatem Austausch ist eine geschäftliche PKI nicht ganz so ohne. Es ist auch die Frage einer echten Notwendigkeit und des Kosten/Nutzen Verhältnises.
Ich selbst versuch auch nicht jedem gleich OpenPGP aufs Auge zu drücken. Es gibt vieles was genauso belanglos ist wie eine Unterhaltung mitten auf einer Einkaufsmeile oder im Bus. Eigentlich ist es das meiste. So gesehen also.

Man sollte eben nur nicht vergeßen, daß ohne OpenPGP man bei solche Belanglosigkeiten auch bleiben sollte.

Um nochmal wirklich 100% beim topic zu bleiben. http://www.forum-3dcenter.org/vbulletin/showpost.php?p=6991461&postcount=18 und gut ist.

Man sollte den Public PGP/GPG Key zur Impressumspflicht bei Firmen machen, dann wäre schonmal eine große Hürde gemeistert.

Man sollte den Public PGP/GPG Key zur Impressumspflicht bei Firmen machen, dann wäre schonmal eine große Hürde gemeistert.Nur welchen? Den vom Geschäftsführer? ;)

...

Sowohl Web.de als auch GMX unterstützen (zumindestens bei ihren Freemail-Angeboten) kein verschlüsseltes POP/IMAP. (und das sind wohl mit die meist genutzten Freemail-Anbieter)
...
Dennoch wird die Authentifizierung unverschlüsselt abgewickelt. D.h. obwohl die Nachrichten selbst verschlüsselt übertragen werden (bei SMTP) wird das Passwort zuvor ohne Verschlüsselung übertragen.
...


Also, bei meinem Spamihilator ist der Zugang zum GMX-Pop über TLS verschlüsselt (habe Freemail).
Ich bin mir auch ziemlich sicher, unter Evolution eine Anmeldung über CRAM-MD5 bei meiner Schwiegermutter eingestellt zu haben (Geht bei Spamihilator irgendwie nicht mit The Bat).

Die Frage nach dem Passwort sollte auch gestellt werden und ob man dieses Passwort noch woanders im Internet benutzt werden sollte.

Eine geläufiges Passwort ist die Numpad abfolge. Z.B. 9845320 oder 3579510 sieht erstmal aus wie ohne System. Guckt man sich das Numpad an sieht man das System. ;)

Wie sicher ist sowas?

Und wie sicher ist das Passwort wenn man es öfters benutzt. Z.B. in Foren. Im Prinzip könnte irgendwo ein böser Admin auf die Idee kommen dieses Passwort mal mit der angegeben E-Mail Adresse zu testen.

Die Frage nach dem Passwort sollte auch gestellt werden und ob man dieses Passwort noch woanders im Internet benutzt werden sollte.

Eine geläufiges Passwort ist die Numpad abfolge. Z.B. 9845320 oder 3579510 sieht erstmal aus wie ohne System. Guckt man sich das Numpad an sieht man das System. ;)

Wie sicher ist sowas?

Sofern die Abfolge üblich ist ist die Warscheinlichkeit natürlich nicht unerheblich, dass sie irgendwann in Dictionary-Tests (damit mein ich jetzt Tests auf häufige Passwörter) mit einfließt.

Schlimmer ist aber noch, dass es durchaus Webseiten gibt, die von ordentlichen PWs keine Ahnung haben. Die örtliche Sparkasse lässt nur PINs aus Zahlen und Buchstaben bis maximal 5 Zeichen zu. Die Sparda Bank lässt nur Zahlen zu (obs längenbeschränkt ist weiß ich nicht).

Und wie sicher ist das Passwort wenn man es öfters benutzt. Z.B. in Foren. Im Prinzip könnte irgendwo ein böser Admin auf die Idee kommen dieses Passwort mal mit der angegeben E-Mail Adresse zu testen.
Die Frage hab ich mir auch schon öfter gestellt. Aber da stellt sich dann auchdie Frage warum man seine Daten in einer Webseite angibt, der man nicht vertraut. Dann sollte man für solche Fälle entweder auf einen Account verzichten oder eine spezielle E-Mail Adresse für dubiose Webseiten einrichten (und natürlich ein PW nutzen, dass man nur für diese dubiosen Seiten nutzt)


@Gast
Da werd ich nochmal schauen ob bei GMX bei mir mittlerweile auch mehr geht.

@Gast
Zum Thema PGP Key im Impressum: Dazu müsste es dann gesetzlich geregelt sein wie du sagst. Aber bis aufs BSI und die Datesnschützer wird wohl keine Gruppe der Regierung wollen, dass E-Mails jetzt verschlüsselt werden. Würde fürs BKA/BND ja schwerer werden.