Was für ein Tag.....

Eine Frage bitte, vielleicht hat ja jemand dasselbe schon einmal erlebt, für mich ist es neu.

Habe gerade eine E-mail von mir selbst bekommen mit pornlink darin.
interessant ist der Zeitstempel dabei.
Ich habe sie morgen den 29.03.2018 um 8.40 Uhr erhalten.
Hab danach direkt auf der Website meines Telefon/E-mail providers nachgesehen ob mehrere raus sind von der Art.
War nur die eine Mail.

Von Hause aus ist ein vorinstallierts McAfee LiveSafe auf dem Laptop.
Hat nichts gefunden. Eben gerade probeweise Malwarebyte`s Software mit installiert und drüber laufen lassen. Auch nichts.
Bin seit Jahren nicht mehr auf Pornseiten rumgegurkt, hab ne Freundin.
Und bin nie rauf auf Links in merkwürdigen Mails. Zumal die hier sehr selten kommen, vielleicht ein/ zwei Mal im Monat.

Danach auf dem Telefon aus daffke von Alibaba eine Scansoftware draufgespielt, auch nichts.
Ich weiss ehrlich gesagt nicht genau, ob solche Software auf einem Android Phone Sinn hat oder nicht.
Vielleicht kann ja mal jemand seine Erfahrungen damit schildern, ob es heutzutage notwendig ist.

Hab nach all den Scans beim E-Mail Provider ein neues Passwort
angefordert und verteilt auf Laptop und Telefon.
Im Browser laufen generell Ghostery, uBlock Origin und Noscript.
Hat ansich gut funktioniert, bisher...
Bin gespannt.

Kann jemand mit der Situation was anfangen? Ich bin mir bewusst, dass es keinen perfekten Schutz gibt.
Mehr als die allseits bekannten Tools einzusetzen kann ich als normaler User aber nicht tun (neben einem bewussten Surfen natürlich)
und kann auch nur damit testen was die Industrie mir anbietet. Die Tools finden nichts, und trotzdem bekam ich diese Mail "morgen"

Danke für Eure Gedanken dazu,
Roberto

Danke für Eure Gedanken dazu

Was für ein Porno?

Ich kann es Dir nicht sagen, hab den link nicht angeklickt.

Er war als Text formuliert "lick min fitte".

Selbst mit wenig norwegisch Kenntnissen kann man ahnen was es bedeutet.

Ich kann die Url hier reinsetzen, bin mir aber nicht sich ob das gut ist.

Ich kann es Dir nicht sagen, hab den link nicht angeklickt.

Er war als Text formuliert "lick min fitte".

Selbst mit wenig norwegisch Kenntnissen kann man ahnen was es bedeutet.

Ich kann die Url hier reinsetzen, bin mir aber nicht sich ob das gut ist.

E-Mail Absender-Adressen können nahezu beliebig gefälscht werden. Das muss nicht über dein Konto rausgegangen sein, oder hast du das da wirklich im Postausgang gefunden?

Hab nachgesehen, ein Versand von mir ob nun über Laptop oder Telefon hat nicht stattgefunden.
Muss ehrlich zugeben, die Mail sah fürchterlich echt aus für mich.

Ist es ok, wenn ich den full header hier reinsetze der Mail und jemand sieht es sich an?

Kann jemand mit der Situation was anfangen? Ich bin mir bewusst, dass es keinen perfekten Schutz gibt.
Mehr als die allseits bekannten Tools einzusetzen kann ich als normaler User aber nicht tun (neben einem bewussten Surfen natürlich)
und kann auch nur damit testen was die Industrie mir anbietet. Die Tools finden nichts, und trotzdem bekam ich diese Mail "morgen"

Wie stark war das Passwort? War es zufällig generiert? Wäre es einfach zu erraten gewesen, wenn man mehrere Millionen Anfragen pro Sekunde zur Verfügung gehabt hätte?

Die Software-Sicherheit spielt da weniger eine Rolle als die Wahl deiner Passwörter. Wenn man Passwörter bei verschiedenen Diensten wiederverwendet, hat man praktisch schon verloren. Bei zu schwachen Passwörtern besteht dagegen die Gefahr, dass bei einem Leak der Datenbank jemand dein Passwort z.B. mit einem GPU-Cluster geknackt hat. Bei starken Passwörtern ist das dagegen kein realistischer Angriffspunkt, wenn der Dienstanbieter einen modernen Passwort-Hash benutzt.

Es ist z.B. praktisch unmöglich ohne massiven finanziellen Aufwand in einem aktuellen Chrome einfach so ausnutzbare Sicherheitslücken zu finden, ob mit oder ohne Adblocker, NoScript etc. Beim Firefox kann man das mittlerweile wahrscheinlich so ähnlich einschätzen. Ein Adblocker schützt dich eher davor, dass du gewisse Dinge erst gar nicht zu sehen bekommst und dir nicht aus Versehen bewusst Schadcode runterlädst. Deinen Browser interessiert aber nicht die Bohne, wenn da irgendwo in der jeweiligen Sandbox ein nicht direkt auf dem System ausführbares Programm im Speicher hängt. Die Unterscheidung zwischen "seriösen" und "nicht-seriösen" Webseiten macht in dem Kontext daher auch keinen Sinn. Direkten Zugriff auf deinen Rechner hat niemand mal eben so. Du kannst mit einem modernen Browser 24/7 auf den seltsamsten Webseiten rumsurfen und wirst sehr wahrscheinlich nie irgendein sicherheitstechnisches Problem haben.

Gegen schwache oder wiederverwendete Passwörter schützt dich deine Software dagegen praktisch nie. Die wenigsten Browser machen da Vorschläge oder klären den Nutzer darüber auf, was leider ziemlich schade ist.

Das Passwort wird beim Internet Anbieter generiert/ neu generiert.
An der Stelle kann ich nicht selber eines bestimmen.


Hier mal der Header (meine adresse habe ich mit meineEmail.no ausgetauscht),
und Outlook Express benutze ich nicht.:

From root Wed Mar 28 20:46:40 2018
Return-Path: <meineEmail.no>
Received: from [14.218.147.8] ([14.218.147.173])
by nmmx8.nsc.no (8.15.2/8.15.2) with ESMTP id w2SIkYFg003197
for <meineEmail.no>; Wed, 28 Mar 2018 20:46:38 +0200
Message-ID: <A3F512F2434415A3F512F2434415A3F5@IPDJYYF>
From: <meineEmail.no>
To: meineEmail.no
Subject: Laura
Date: 29 Mar 2018 09:08:32 +0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_003F_01D3C708.0226E902"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5043
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5043
X-Xxroufqwki: sw=gld ver=1.2 d=1m st=win
X-XClient-IP-Addr: 14.218.147.173
X-Scanned-By: MIMEDefang 2.78

------=_NextPart_000_003F_01D3C708.0226E902
Content-Type: text/plain;
charset="ibm852"
Content-Transfer-Encoding: quoted-printable


Lick min fitte
------=_NextPart_000_003F_01D3C708.0226E902
Content-Type: text/html;
charset="ibm852"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Dibm852">
<META content=3D"MSHTML 6.00.2900.5043" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<a =
href=3D"http://xn--satyordu-vkb.com/wp-includes/js/tinymce/plugins/fullsc=
reen/"><b>Lick min fitte</b></a><br></BODY></HTML>
------=_NextPart_000_003F_01D3C708.0226E902--

Das Passwort wird beim Internet Anbieter generiert/ neu generiert.
An der Stelle kann ich nicht selber eines bestimmen.

Such dir lieber früher als später einen anderen Mail-Anbieter.

Ich meine das jetzt nicht im Scherz und übertreibe auch nicht. Wenn dein Anbieter Passwörter für dich generiert, bedeutet das, dass wenigstens irgendwo temporär dieses Passwort im Klartext zirkulieren muss. Die eigene E-Mail-Adresse ist aber leider immer mehr so eine Art Passwortmanager, weil man darüber die Passwörter anderer Dienste zurücksetzen kann. Da will man keinen Anbieter haben, der irgendwelche extrem fragwürdigen Praktiken für die Speicherung / Generierung der Passwörter umsetzt.

Das stimmt mit Deiner Einschätzung absolut hinsichtlich der Zurücksetzung bei vielen Diensten.
Werde mir ernsthaft Gedanken dazu machen, die Anzahl der Zeichen im Passwort für die Server ist gerade mal 8.
Und war bisher nur Zahlen und Buchstaben, keine Sonderzeichen.
Nebenbei gefragt, ist es möglich den timestamp zu fälschen?
Oder wurde lediglich die Systemzeit im Rechner des Versender beim Versand abgegriffen?
Sprich die Mail kam aus einer anderen Zeitzone?

Und war bisher nur Zahlen und Buchstaben, keine Sonderzeichen.

Das muss mit genug Zeichen nicht schlimm sein. Bei Groß- und Kleinschreibung sowie Zahlen macht man mit einem zufälligen Passwort zwischen 12 - 16 Zeichen jedenfalls nichts falsch. Eine harte Beschränkung auf acht Zeichen ist aber definitiv nicht mehr zeitgemäß.

Ein komplexes Passwort schützt nicht vor SPAM.

Er hat schlichtweg SPAM bekommen, die er noch nicht mal selbst verschickt haben muss.
Ich bekomme auch Werbung in meinen Briefkasten, obwohl keiner meinen Briefkastenschlüssel hat.

:confused:

Da hast Du schon recht mit dem Spam.
Es sah halt verflucht echt aus.

Könnte sich jemand den Header weiter oben im Thread nochmal ansehen?

Ein komplexes Passwort schützt nicht vor SPAM.

Er hat schlichtweg SPAM bekommen, die er noch nicht mal selbst verschickt haben muss.
Ich bekomme auch Werbung in meinen Briefkasten, obwohl keiner meinen Briefkastenschlüssel hat.

:confused:

Tatsache. Ich habe das so verstanden, dass er wenigstens eine Mail als Spam selbst versendet hat, aber das scheint nicht so zu sein.

Könnte sich jemand den Header weiter oben im Thread nochmal ansehen?

Die IP unter received from ist aus China. Daher wird die wahrscheinlich nicht aus deinem Postfach stammen.

Quelle: http://ip-address-lookup-v4.com/lookup.php?host=ip-address-lookup-v4.com&ip=14.218.147.173&x=77&y=33

Darf ich Dich fragen, an welcher Stelle Du China dabei heraus gefunden hast?

ups, da war die Antwort schon, Danke.

Sorry für den Doppelpost.
Ich möchte einfach mal ein Danke! an Euch loswerden. :-)

Und Danke lumines für Deine Gedanken zum Thema Mail.
Werd mich ernsthafter damit befassen inhaltlich.

Eigentlich kann man selbst herausfinden, ob es mit dem eigenen Postfach verschickt worden ist, indem man eine Mail tatsächlich an sich selbst schreibt und die Header händisch vergleicht.

Als erste und einzige Maßnahme reicht es i.d.R. aus, das Passwort zu ändern.

Also solche Mails bekomme ich fast jeden Tag und landen mittlerweile mit ner extrem hohen Wahrscheinlichkeit sauber in meinem Spam-Ordner - eine schwach eingestellte Spam-Erkennung auf dem Server und einer 10jährigen Trainingsdatenbank des Thunderbirds sei dank.

Die eigene E-Mail-Adresse ist aber leider immer mehr so eine Art Passwortmanager, weil man darüber die Passwörter anderer Dienste zurücksetzen kann. Da will man keinen Anbieter haben, der irgendwelche extrem fragwürdigen Praktiken für die Speicherung / Generierung der Passwörter umsetzt.

Der Emailanbieter hat ja sowieso alle Mails im Klartext. Das zufällige Passwort kann der ja auch sonst nirgendwo verwenden. Und wenn jemand einbricht und die Passwörter klaut, kann er wahrscheinlich ohnehin schon die Mails lesen und der Anbieter generiert einfach ein neues Passwort für den Kunden...

Klar, Passwörter im Klartext speichern wäre nicht so sauber. Überall unterschiedliche Passwörter zu haben, ist dagegen sehr sinnvoll. Und seine User kann man praktisch nur dazu zwingen, in dem man ein zufälliges Passwort vorgibt. Prinzipiell ist das keine so schlechte Idee. Und daraus zu folgern, dass er die auch im Klartext speichert ist auch nur blind geraten. Wer den Server Code zur Erstellung der Passwörter infiltrieren kann, kann auch anders ans passwort kommen bzw. so die Mails auslesen.

Also ich finde es schon erlaubt darüber zu diskutieren, sehe aber pauschal nichts arg schlimmes daran, ein gutes Passwort zu erzwingen. Ich meine, egal wo man ein neues Passwort vergibt. Man überträgt doch nie nur den Hash, sondern immer den Klartext (per SSL) an den Server, der Hasht das dann und löscht erst dann den Klartext ausm Speicher oder?

Und wenn jemand einbricht und die Passwörter klaut, kann er wahrscheinlich ohnehin schon die Mails lesen [...]

Die Passwörter sollten gar nicht im Klartext beim Anbieter vorliegen. Das ist der Punkt.

Und seine User kann man praktisch nur dazu zwingen, in dem man ein zufälliges Passwort vorgibt.

Das sollte aber nicht der Anbieter übernehmen. Meiner Meinung nach gehört das ins Betriebssystem oder in den Browser.

Prinzipiell ist das keine so schlechte Idee. Und daraus zu folgern, dass er die auch im Klartext speichert ist auch nur blind geraten.

Irgendwo müssen die im Klartext abgelegt oder übertragen werden, wenn ihm der Anbieter die im Klartext zuschicken kann.

Wer den Server Code zur Erstellung der Passwörter infiltrieren kann, kann auch anders ans passwort kommen bzw. so die Mails auslesen.

Genau, deshalb sollte der Server das Passwort nicht für den Nutzer generieren. Wir reden hier nicht von einem Wegwerfdienst. Da könnte ich das vielleicht noch verstehen.

Also ich finde es schon erlaubt darüber zu diskutieren, sehe aber pauschal nichts arg schlimmes daran, ein gutes Passwort zu erzwingen.

Der Punkt ist, dass ein alphanumerisches Passwort mit nur acht Zeichen so oder so nicht ausreichend ist. Der Anbieter erzwingt nicht einmal gute Passwörter. Wenn sie leicht merkbare Passwörter generieren wollten, hätten sie keine Längenbeschränkung vorgegeben und mit Diceware ein Passwort in der entsprechenden Stärke generiert, aber genau das haben sie nicht gemacht. Generell deutet eine Längenbeschränkung auch darauf hin, dass sie keinen modernen Passwort-Hash benutzen, was die Beschränkung auf acht Zeichen noch einmal kritischer macht.

Wahrscheinlich haben sie sich sogar etwas dabei gedacht und das ist eine Kombination aus technischen Beschränkungen ihres aktuellen Systems gepaart mit einer etwas verwirrten Einschätzung, wie wichtig Mail-Adressen heute sind, aber das spielt ja für mich als Nutzer keine Rolle. So etwas will ich heute einfach nicht mehr nutzen. Mir fällt ehrlich gesagt kein Nutzungsszenario ein, bei dem das akzeptabel wäre.

Ich glaube auch nicht, dass ich da irgendwie zu paranoid bin. Ich hatte schon einen Fall in der Familie, bei dem der Mail-Account ziemlich sicher einfach nur durch einen Datenbank-Leak des Anbieters "geknackt" wurde. Das Passwort wurde da auch vorgegeben und es gab eine komplett sinnlose Längenbeschränkung, d.h. man hätte es auch gar nicht sicher einrichten können. Bei solchen Systemen ist das keine Frage mehr, ob man irgendwann gehackt wird, sondern nur wann. Selbst wenn das hier nicht der Fall war, würde ich eher früher als später lieber auf einen anderen Anbieter umziehen.

Irgendwo müssen die im Klartext abgelegt oder übertragen werden, wenn ihm der Anbieter die im Klartext zuschicken kann
Muss nicht. Man kann es auch mittels JS direkt im Browser erzeugen.

Muss nicht. Man kann es auch mittels JS direkt im Browser erzeugen.

Ich bin kein Webentwickler, aber die entsprechende API, um kryptografisch sichere Passwörter im Browser zu generieren, ist noch nicht so alt: https://developer.mozilla.org/en-US/docs/Web/API/Crypto/getRandomValues

Mich würde jedenfalls sehr wundern, wenn sie einerseits die Passwörter auf acht Zeichen beschränken, aber andererseits eine relativ moderne API zur Passwortgenerierung direkt im Browser benutzen. Speziell dann, wenn der Nutzer das überhaupt nicht erwartet.

Etwas spät nochmal mein Senf.

Ich hab nur gelesen, dass das Passwort vorgegeben wird, nicht dass man es sich beliebig oft neu zusenden lassen kann. Damit muss das Passwort nicht im Klartext gespeichert werden. Wenn das Passwort geändert wird, liegt es auf jedem Server kurz im Klartext vor. Ob man das dann speichert ist eine ganz andere Frage.

8 Zeichen reichen auch völlig aus, WENN das Passwort nur einmal verwendet wird und minimale Vorkehrungen gegen Brute Force Angriffe getätigt wurden.

Wenn Passwörter garantiert einzigartig sind, dann ist auch die Speicherung auf dem Server eher zweitrangig. Das große Problem bei Klartextpasswörter ist, dass die Datenbank geklaut wird und dann bei anderen Diensten die gleichen Passwörter verwendet werden. Wer die Datenbank klauen kann, kann oft auch die Login Seite infizieren und dann die Passwörter im Klartext abgreifen.

Versteh mich nicht falsch, ich bin absolut dafür die PWs dennoch gut zu hashen, weil es natürlich einfacher und weniger auffällig ist eine Klartext Datenbank zu klauen, als über Wochen die PWs der Kunden abzufangen. Aber als Kunde sollte man besser davon ausgehen, dass niemand seine Passwörter nur für sich behält. Daher Passwörter nicht wiederverwenden und dann ist das meiste gegessen.

Ich hab nur gelesen, dass das Passwort vorgegeben wird, nicht dass man es sich beliebig oft neu zusenden lassen kann. Damit muss das Passwort nicht im Klartext gespeichert werden. Wenn das Passwort geändert wird, liegt es auf jedem Server kurz im Klartext vor. Ob man das dann speichert ist eine ganz andere Frage.

Ich meinte damit auch eher, dass er das in irgendeiner Form im Klartext vom Provider bekommen muss. Das birgt haufenweise Fallstricke.


8 Zeichen reichen auch völlig aus, WENN das Passwort nur einmal verwendet wird und minimale Vorkehrungen gegen Brute Force Angriffe getätigt wurden.

Bei Online-Angriffen, klar. Irgendwelche Datenbankleaks sind aber der neue Alltag, leider.

Wenn Passwörter garantiert einzigartig sind, dann ist auch die Speicherung auf dem Server eher zweitrangig. Das große Problem bei Klartextpasswörter ist, dass die Datenbank geklaut wird und dann bei anderen Diensten die gleichen Passwörter verwendet werden. Wer die Datenbank klauen kann, kann oft auch die Login Seite infizieren und dann die Passwörter im Klartext abgreifen.

Wir reden hier von seinem Haupt-Mail-Account. Sobald jemand das Passwort hat, ist erst einmal Game Over bei anderen Diensten, wenn er nicht überall 2FA benutzt. Man kann darüber alles zurücksetzen. Ob er Passwörter wiederverwendet oder nicht, spielt da gar keine Rolle.

Und wie gesagt, habe ich alles schon real erlebt. Der Mail-Dienst der Telekom hatte da so einen kleinen Leak. War nicht schön dabei zu helfen bei den ganzen Diensten derjenigen Person die Passwörter zu ändern. Einige Accounts waren leider auch komplett futsch (Steam etc.). Das ist ein Szenario, das man unter allen Umständen vermeiden will.

Das ist nur indirekt für den OP und das Thema relevant, aber man kann es nicht oft genug sagen.

Hi,

Mal so als Leckerli zwischendurch....
Heute hatte ich eine takeover meines Spotify accounts.
Der support war sehr schnell und nach einer Stunde alles wieder im Lot.
Meine Fresse, ich hab wirklich alles was Rang und Namen hat drüber laufen lassen nach der ersten Mail. Und hatte auch vorher bereits Tools am Laufen.
Nichts, gar nichts. Im Browser (Firefox) seit Jahr und Tag diverse addons drinne. Auch nichts.
Mir ist schon klar, dass nichts soweit wirklich sicher ist, aber der Aufwand heutzutage halbwegs,
einfach nur halbwegs sicher im Netz unterwegs zu sein, ist schon immens.
Und ich zähl mich schon zu denen, die zumindest nen touch von Ahnung hinsichtlich der Grundlagen haben.
Ich gurk nicht rum, mach ganz normalen Stuff, bezahl für Mucke und Film.....
Ich komm noch aus der DOS Zeit, so ala Volkov Commander, autoexec/config extrem rumbasteling, Qemm etc.
Hab den ganzen Kram mitgemacht bis Win10.
Von den ersten Viren an bis zu den ersten Malware Biestern.
An der Stelle frag ich mich schon, wie es der Otto normal Verbraucher von heute macht (oder besser gesagt sicherheitsmässig durchhält) ,
der einfach nur ne Kiste kauft und alles laufen lässt ohne Eigeneinsatz (ohne ihn jetzt schlecht zu reden, man hat ja kaum Tiefenkontrolle mehr),
und bei allem ja Danke klickt, und sogar sehr oft regelrecht muss.
Ist schon faszinierend wie geringer und geringer die Möglichkeiten der eigenen Kontroll-/ Zuriffsmöglichkeiten
im Laufe der ganzen Betriebssystem Generationen geworden sind. Und wie gross die Abhängigkeit von Tools heutzutage.
Ja, man hat noch Möglichkeite, aber vieles im Verhältniss zu vorher ist nur Pseudokontrolle, die einem vorgegaukelt wird. Individualisierung jippi, aber
echten Zugriff?, möglich aber mit viel Aufwand.
Und selbst dann....
Ich bin gespannt, was mir als nächstes "passiert". Aber auch, zumindest inhaltlich, vorbereitet.

Wie gesagt, das wird sehr wahrscheinlich nicht an der Sicherheit deines lokalen Rechners liegen. Du suchst an der falschen Stelle. Wenn du irgendwo Passwörter wiederverwendest oder deine Passwörter zu schwach sind, dann werden die irgendwann geknackt. Das ist unabhängig von der Sicherheit deines Rechners.

Sobald du zufällige, ausreichend lange (>12 Zeichen) Passphrasen benutzt und für jeden Dienst andere benutzt, ist es für einen Angreifer nicht mehr möglich da etwas zu "knacken", solange der Anbieter die Passwörter richtig speichert (wovon ich bei Spotify ausgehen würde). Das ist das absolut Mindeste, was man heute machen sollte. Mit allem anderen rutscht man automatisch in einen Bereich, in dem man ziemlich sicher irgendwann gehackt wird.

Den Tipp mit dem Anbieterwechsel für E-Mail solltest du ernst nehmen.
Das muss nicht ein eigener E-Mail-Server sein aber irgendwas mit 2FA ist auf jeden Fall empfehlenswert. Bei Gmail weiss ich das die bei neuen Anmeldungen immer nachfragen, obwohl ich Gmail nur noch für ein oder zwei Logins nutze wo ich nicht mehr davon wegkomme. Bei anderen Anbietern habe ich keinen Überblick da glücklicherweise mein Bruder einen eigenen E-Mail-Server aufgesetzt hat und ich den natürlich mitnutze.

Für die Passwortverwaltung ist Keepass2 empfehlenswert, dabei ist aber auch auf getrennte Passwortcontainer zu achten wenn dir deine Sicherheit am Herzen liegt.
E-Mail-Accounts in einen eigenen Container, Bankgeschäfte separat, Shoppinglogins extra und überall ein anderes Passwort für die Container selbst. Der "unwichtige" Rest kann in einem Container zusammengefasst werden. Auch für diese Passwortdatenbanken gibt es keine endgültige Sicherheit, besonders wenn die Kompromittierung des einzigen Containers mit allen Daten darin Vollzugriff auf alle deine Login und Änderungsmöglichkeiten per E-Mail ermöglicht, darum lieber sauber trennen. Der Vorteil von Keepass liegt in der leichten Erstellung von Passwörtern nach eigenen Regeln und einer automatischen Eingabe dieser komplexeren PW. Für den Fall das du die PW-Container mit dir rumträgst (z.B. aus beruflichen Gründen) kann man die Daten zusätzlich in einem mit Veracrypt verschlüsselten Bereich aufbewahren.
Klingt erstmal nach viel Arbeit, ist es aber nicht. Lediglich die automatische Eingabe von Keepass2 erfordert eine kurze Einarbeitungszeit, alles andere bei deinem offenbar vorhandenen technischen Verständnis in Kürze erledigt.
Der Sicherheitsgewinn ist aber deutlich, für jeden Login kannst du komplexe, einzigartige und lange PW nutzen und bei Kompromittierung derselben leicht austauschen.

Für die Passwortverwaltung ist Keepass2 empfehlenswert, dabei ist aber auch auf getrennte Passwortcontainer zu achten wenn dir deine Sicherheit am Herzen liegt.

Mit den Details kann man sich auch später beschäftigen. Am Anfang ist wichtiger, dass man überhaupt einmal anfängt nicht überall das gleiche Passwort zu nutzen. Ich würde auch behaupten, dass 2FA wichtiger ist als da mit getrennten Containern anzufangen. Wenn der Rechner kompromittiert ist, helfen auch unterschiedliche Container für die Passwörter kein bisschen. Dagegen kann dann sowieso nur 2FA (wenn möglich phishing-resistent) helfen. Man sollte sich schon darüber im Klaren sein, gegen was man überhaupt versucht sich zu schützen. Ansonsten kommen nur komplett verwirrte Lösungen dabei raus.

Im Zweifelsfall erst einmal Diceware, die Passwörter auf Papier aufschreiben und sicher verwahren. Alles andere wird sowieso erst einmal nur ewig prokrastiniert. Diceware und Papier kann jeder sofort nutzen. Da gibt es keine Ausrede.

Für den Fall das du die PW-Container mit dir rumträgst (z.B. aus beruflichen Gründen) kann man die Daten zusätzlich in einem mit Veracrypt verschlüsselten Bereich aufbewahren.

Wenn der Passwortmanager die Passwörter richtig verschlüsselt, sollte das eigentlich überflüssig sein. Wenn man der Verschlüsselung des Passwortmanagers nicht traut, sollte man sich eher nach einem anderen Manager umgucken.

Übrigens, ein bisschen On Topic: https://www.golem.de/news/t-mobile-oesterreich-klartextpasswoerter-und-amazing-security-bei-t-mobile-at-1804-133713.html

Es ist schon faszinierend, wie Passwörter im Klartext bei den Providern zufällig auch mit komplett seltsamen, anderen Praktiken einhergehen.

Die Papierlösung ist sicher schnell einsetzbar und recht sicher zu handhaben. Da der TE aber gerade für sichere PW sensibilisiert wird halte ich es nicht für verkehrt die Möglichkeit von PW-Managern ins Spiel zu bringen. Je nach Menge der zu speichernden PW und Häufigkeit der Anmeldungen kann ein PW-Manager da wesentlich effektiver als die Papierlösung sein. Das man diese nicht auf potentiell kompromittierten Systemen erstellt oder willentlich benutzt setzte ich schon dabei voraus.

Die zusätzliche Verschlüsslung mit Veracrypt sehe ich als ergänzenden "Blickschutz" denn als Misstrauen gegenüber dem PW-Manager. Wenn man relativ viel unterwegs ist, hat man meist immer irgendwelche empfindlichen Daten dabei, die optimalerweise in einen verschlüsselten Bereich liegen sollten und da schadet es nicht dort ebenfalls die PW-Container aufzubewahren.

Die Papierlösung ist sicher schnell einsetzbar und recht sicher zu handhaben. Da der TE aber gerade für sichere PW sensibilisiert wird halte ich es nicht für verkehrt die Möglichkeit von PW-Managern ins Spiel zu bringen. Je nach Menge der zu speichernden PW und Häufigkeit der Anmeldungen kann ein PW-Manager da wesentlich effektiver als die Papierlösung sein. Das man diese nicht auf potentiell kompromittierten Systemen erstellt oder willentlich benutzt setzte ich schon dabei voraus.

Du setzt dann allerdings viel voraus. Macht der TE Backups? Wir haben keine Ahnung. Ich mache gerne möglichst wenige Annahmen.

Die meisten Leute können die Risiken mit Papier besser abschätzen als mit elektronischen, vernetzten Geräten. Man sollte auch nicht vergessen, dass wahrscheinlich ein ganz großer Teil der Bevölkerung glaubt, dass Verschlüsselung (oder gar generell höhere Mathematik) nicht wirklich funktioniert. Das wird gerne vergessen, aber so sieht die Realität leider aus. Für viele ist ein Passwortmanager, der Passwörter in einer verschlüsselten Datenbank ablegt, nicht "echt". Und selbst wenn sie irgendwie halbwegs davon überzeugt sind, dass es funktioniert, lassen sich die allermeisten Leute dazu verleiten trotzdem immer wieder rein auf Obskurität und Konfusion anstatt auf kryptografische Eigenschaften zu setzen. Mehrere ungenügend starke Verschlüsselungen (oder gar nur einfache Substitutionen) zu kaskadieren wird von den meisten Leuten ziemlich sicher spontan als sicherer empfunden als auf eine nachweisbar starke zu setzen.

Papier als Medium und Zufall aus Würfeln ist sehr viel einfacher mit dem mentalen Modell der meisten Leute vereinbar. Die Risiken von Informationen auf Papier sind allgemein bekannt. Das ist anfangs ein enormer Vorteil.

Die zusätzliche Verschlüsslung mit Veracrypt sehe ich als ergänzenden "Blickschutz" denn als Misstrauen gegenüber dem PW-Manager.

Die verschlüsselte Passwortdatenbank liefert dir schon genau diesen "Blickschutz".

Sensible Daten trägt man lieber direkt auf dem vollverschlüsselten Laptop mit sich rum. Mit USB würde ich da eher ungerne hantieren wollen.

Mag sein das ich ein paar mehr Annahmen treffe, nur habe ich aus eigener Erfahrung gemerkt das Papier irgendwann zu anstrengend wird und zu Schluderei führt, bei mir war das abhängig von der Anzahl der Login. Außerdem sehe ich immer wieder die Umsetzung ín der Praxis und da ist das Eingangsproblem des TE mit wenigen PW die alles abdecken und "gut zu merkende"-PW überall anzutreffen. Wenn man diesen Leuten aber einen PW-Manager an die Hand gibt, klappt es auch mit mit besseren Passwörtern und manchmal mit erhöhter Sensibilität für das Thema. So meine Erfahrung.

Wo du ein bisserl recht hast ist das ich mich wohler fühle wenn da noch Obfuscation dazu kommt, obwohl es nicht notwendig ist. Ist halt so.
PW-Container auf dem vollverschlüsselten Laptop sind technisch betrachtet ja genau der gleiche Fall oder wo siehst du da einen Unterschied?

Und jeder hat andere Anforderungen, für mich ist es sinnvoller mit USB zu hantieren als mit dem verschlüsselten Laptop. Außerdem kann beides kann verloren gehen oder geklaut werden. Auch da sehe ich keinen Unterschied.

Was für ein Porno?


Ich kann es Dir nicht sagen, hab den link nicht angeklickt.

Er war als Text formuliert "lick min fitte"..


Muhahaha, bin ich der einzige der vom Stuhl gefallen ist

Sry4Ot, das musste sein