https://www.tagesschau.de/newsticker/liveblog-hack-politiker-101.html

Die einen sprechen von einem Hackerangriff, die anderen von einem gezielten Fishing.

Beim Ehring (extra 3) sollen persönliche Daten mehrerer Jahre geleakt worden sein (fast 4 GB oder so).

Als Nackbilder von Prominenten veröffentlicht wurden, hiess es doch von der deutschen Politik, dass man sich nicht wundern solle, wenn solche Bilder ins Netz gestellt werden. Jetzt ist die deutsche Politik dran.

Aber hat der Böhmermann nicht ein iPhone?

Der Böhmermann ist doch so ein Nerd, sollte der nicht wissen was ein sicheres E-Mail Passwort ist?

mit blockchain und ki wäre das nicht passiert. mit dem internet der dinge und industrie 4.0 wird den hackern ein riegel vorgeschoben!
#neuland #boehmergate #ReconquistaInternet


edit: hab eben gelesen nach dem #hackerangriff droht nun eine unbekannte gruppe damit, deutschland mit nacktfotos von claudia roth zu vernichten.

Künstliche Intelligenz, weil die natürliche versagt?

Künstliche Intelligenz, weil die natürliche versagt?

nein, eher weil die ki auf nem sps system laufen wird und solch alte technik heute keiner mehr versteht.
hashtag #altland

edit: hab eben gelesen nach dem #hackerangriff droht nun eine unbekannte gruppe damit, deutschland mit nacktfotos von claudia roth zu vernichten.


Dann hätte Heikos Zensurgesetz endlich mal was Gutes :eek:.

Was irritiert: Zumindest nach jetzigem Stand stammen die Daten nicht aus einem großen Leak aus einer Quelle, sondern aus zig gehackten E-Mail- und Facebook-Accounts und ähnlichen quellen. Sind die System generell so unsicher, dass anscheinend ein einzelner in reiner Fleißarbeit reihenweise Accounts hacken kann oder sind unsere Abgeordneten und Medienschaffenden allesamt nicht in der Lage, verschiedene Passwörter zu nutzen, Zwei-Faktor-Authentifizierung zu nutzen usw. ?

Es zeigt zumindest, dass es ein gezielter Angriff war.

Weil das so schön ist: http://www.spiegel.de/netzwelt/netzpolitik/guenther-oettingers-entlarvender-nacktbilder-kommentar-a-994547.html

Sind die System generell so unsicher, dass anscheinend ein einzelner in reiner Fleißarbeit reihenweise Accounts hacken kann oder sind unsere Abgeordneten und Medienschaffenden allesamt nicht in der Lage, verschiedene Passwörter zu nutzen, Zwei-Faktor-Authentifizierung zu nutzen usw. ?

Die allermeiste Zwei-Faktor-Authentifizierung hilft nicht gegen Phishing oder sehr gezielte Angriffe. Eigentlich ist nur U2F / FIDO als zweiter Faktor phishing-resistent.

Zusätzlich wird SMS als zweiter Faktor oft auch für eine Passwortzurücksetzung genutzt. Mit etwas krimineller Energie lässt sich das leicht missbrauchen. Viele Provider in anderen Ländern haben korrupte Mitarbeiter und auch hier wurden per SS7 schon diverse Hacks gefahren. Da die gesamte Mobilfunkinfrastruktur nicht wirklich auf Sicherheit ausgelegt ist, kann das die Sicherheit vieler Dienste effektiv unterwandern.

Das muss also nicht zwangsläufig Nachlässigkeit gewesen sein. Facebook, Google und einige weitere Dienste bieten zwar U2F an, allerdings ist das bisher nur am Desktop mit z.B. Yubikeys einfach zu nutzen. U2F per Bluetooth findet man erst vereinzelt seit einiger Zeit. Grundsätzlich will man aber für alles U2F nutzen und nur in Ausnahmefällen (z.B. aus Kompatibilitätsgründen) auf TOTP zurückfallen. SMS als zweiten Faktor sollte man überall meiden, wo es irgendwie möglich ist.

Klar, Malware ist auch immer eine Möglichkeit, aber ehrlich gesagt würde mich das wundern. Dafür werden zu viele der betroffenen Leute komplett unterschiedliche Geräte benutzt haben. Niemand wird Malware für so viele Geräte benutzen, wenn Phishing viel erfolgsversprechender und vor allem deutlich günstiger ist.

Trotzdem werden natürlich viele Politiker wahrscheinlich haufenweise Passwörter wiederverwendet und gar kein oder unzureichendes 2FA wie SMS benutzt haben. Man sollte sich da keine Illusionen machen. Das Echo aus der Tech-Bubble klingt für die meisten Leute so, als ob man nichts absichern kann und alles letztendlich gehackt wird. Die Realität ist natürlich etwas differenzierter. Man kann mit relativ einfachen Mitteln schon die allermeisten Angriffe komplett unmöglich machen.

Warum aber ausgerechnet Politiker oft ihre Rechnersicherheit komplett vernachlässigen, ist IMHO relativ klar. Viele Politiker haben ein tiefes Vertrauen in die Industrie und setzen bei ihrer Sicherheit ganz allgemein auf die Undurchlässigkeit menschlicher Systeme und großer Institutionen. Rechnersicherheit funktioniert allerdings vollkommen anders und setzt eher darauf, die Ressourcen eines Angreifers (Rechenleistung ist Geld) zu erschöpfen. Ein Politiker würde wahrscheinlich erwarten, dass die Sicherheit daher kommt, dass irgendwo ein Mensch sitzt und schon mitbekommt, wenn irgendetwas nicht ganz in Ordnung ist. Dass die Sicherheit sich aber auf einen kurzen, geheimen String reduziert, ist für viele Leute schwer zu begreifen. Alle Vergleiche und Analogien aus dem Alltag der meisten Menschen lassen sich darauf nicht anwenden. Am Ende bleibt nur Verwirrung, was wirklich zu tun ist und ob alle Mahnungen nicht vielleicht doch nur bürokratische Gängelungen sind, die keine realen Effekte haben.

Das hier sind übrigens ganz gute Tipps, wenn man ein bisschen an seiner eigenen Sicherheit schrauben will: https://techsolidarity.org/resources/basic_security.htm

2FA wird auch schon im großen Stil angegriffen: https://motherboard.vice.com/en_us/article/bje3kw/how-hackers-bypass-gmail-two-factor-authentication-2fa-yahoo

Blöd halt dass viele Dienste einen gerade zur SMS-Authentifizierung drängen (bis hin zu Banken :rolleyes:).

Das hier sind übrigens ganz gute Tipps, wenn man ein bisschen an seiner eigenen Sicherheit schrauben will: https://techsolidarity.org/resources/basic_security.htm
Don't use an Android phone, use an iPhone instead.

Das hätte ich von dir jetzt nicht erwartet ;)

Das hier sind übrigens ganz gute Tipps, wenn man ein bisschen an seiner eigenen Sicherheit schrauben will: https://techsolidarity.org/resources/basic_security.htm

Warum darf man denn kein Android benutzen und warum darf man nicht am Laptop arbeiten und muss ein Iphone verwenden?

Man soll iPhone benutzen, nicht aber iMessage?

Sind Bilder von Frau Wagenknecht dabei?

Frag nur für einen Freund... :biggrin:

Sind Bilder von Frau Wagenknecht dabei?

Frag nur für einen Freund... :biggrin:


Wer seine Nacktbilder nicht freiwillig ins Netz stellt, soll sich nicht wundern, wenn sie gehackt werden.

Wie schützen andere Länder ihre sensiblen Daten? So ein Politiker-Leak hat man in der Form sicher noch nicht mal aus den USA erfahren. Geschweige denn aus Russland oder gar China. Oder sind die dort alle nur altmodisch offline unterwegs?

Hat jemand einen Link wo man das herunter laden kann? :)

2FA wird auch schon im großen Stil angegriffen: https://motherboard.vice.com/en_us/article/bje3kw/how-hackers-bypass-gmail-two-factor-authentication-2fa-yahoo

Blöd halt dass viele Dienste einen gerade zur SMS-Authentifizierung drängen (bis hin zu Banken :rolleyes:).

2FA ist eben nicht gleich 2FA. Nur U2F ist von den aktuellen Methoden phishing-resistent, leider.

Nur um das einmal zu verdeutlichen: Wenn sich nichts großartig geändert hat, dann ist bei Google seit der unternehmensweiten Einführung von U2F wohl kein erfolgreiches Phishing mehr aufgetreten. Ich finde die Meldung gerade nicht mehr, aber die Einführung von U2F war dort wohl ein enormer Fortschritt. Es gibt wohl auch keine wirklich praktikablen Angriffe gegen U2F.

Das hätte ich von dir jetzt nicht erwartet ;)

Die Idee dahinter ist, dass iOS ein relativ einheitliches System ist und man nicht wirklich mit dem Supportzeitraum ins Klo greifen kann, wenn man kein zu altes iPhone kauft. Android dagegen gibt es in zu vielen Varianten und mit zu unterschiedlicher Supportqualität sowie zu unterschiedlicher Hardware.

Gegen ein aktuelles Pixel wird er nicht viel haben, aber einfach "aktuelles iPhone" zu sagen ist eben einfacher und universeller. Nicht überall kann man mal eben in einen Laden spazieren und ein Pixel mitnehmen.

Man sollte auch nicht vergessen, dass das eine bewusste simpel gehaltene Checkliste für Journalisten und Politiker in den USA ist. In den USA ist iOS verbreiteter und die Zielgruppe der Liste hat sicher keine direkten Geldsorgen. Die Liste ist schon etwas speziell (wenn auch praxiserprobt für die Zielgruppe), aber ich fand das relativ passend zum Thema.

Warum darf man denn kein Android benutzen und warum darf man nicht am Laptop arbeiten und muss ein Iphone verwenden?

Siehe oben.

Desktop-Betriebssysteme sind nicht annähernd auf dem Sicherheitsstand von iOS oder Chrome OS. Ich rede da natürlich von Sicherheit, nicht notwendigerweise Privatsphäre.

Man soll iPhone benutzen, nicht aber iMessage?

iMessage hat nur eingeschränkte Forward Secrecy soweit ich weiß. Das Protokoll von Signal ist moderner und die gesamte App ist vorsichtiger bei sicherheitsrelevanten Entscheidungen. Man kann weniger falsch machen als bei iMessage.

Wie schützen andere Länder ihre sensiblen Daten? So ein Politiker-Leak hat man in der Form sicher noch nicht mal aus den USA erfahren. Geschweige denn aus Russland oder gar China. Oder sind die dort alle nur altmodisch offline unterwegs?

Wahrscheinlich werden die Leute da einfach besser geschult und besser ausgestattet. Viele Angriffe sind ja sehr im Low-Tech-Bereich angesiedelt, bei denen man sich wundert, warum da nicht schon früher etwas passiert ist. Passwörter wiederzuverwenden ist ja der Klassiker bei solchen Hacks.

Hat jemand einen Link wo man das herunter laden kann? :)

Im Google-Cache finden sich noch immer einige Links zu dem Twitter-Account. Ich wäre aber vorsichtig solche Rar Dateien dubioser Herkunft zu öffnen. :wink:



Anfangs hieß es noch eine zweistellige Anzahl von Personen sei betroffen, jetzt ist die Rede von Hunderten.

Im Internet sind persönliche Daten hunderter Politiker, Künstler und Journalisten online. Schon vor Weihnachten waren die Daten im Netz aufgetaucht, erst jetzt sind sie aufgefallen. Neben prominenten Bundespolitikern wie CDU-Chefin Annegret Kramp-Karrenbauer oder Christian Lindner (FDP) sind auch prominente Landespolitiker betroffen.

https://www1.wdr.de/nachrichten/landespolitik/bundetags-hack-nrw-100.html

iMessage Security, Encryption and Attachments (https://blog.elcomsoft.com/2018/11/imessage-security-encryption-and-attachments/)

iMessage selbst scheint sicher genug zu sein, es sei denn, jemand bekommt Zugang zum Backup und den Nutzerdaten.

Über welchen Standard läuft eigentlich die Zwei-Faktor-Authentifizierung bei Apple?

Wie gesagt, es ist nicht unsicher, es macht nur bewusst an manchen Stellen Kompromisse, die Signal so nicht eingehen muss.

Sind die System generell so unsicher, dass anscheinend ein einzelner in reiner Fleißarbeit reihenweise Accounts hacken kann oder sind unsere Abgeordneten und Medienschaffenden allesamt nicht in der Lage, verschiedene Passwörter zu nutzen, Zwei-Faktor-Authentifizierung zu nutzen usw. ?


Reine Vermutung: Die Betreffenden sind zu abgehoben, um sich von IT-Verantwortlichen was sagen zu lassen. Oder sie kaufen IT-Verantwortliche nach Checkliste und nicht nach Klassegrad ein.

In jedem Fall gilt: Man muß nix von IT verstehen. Man muß nur einen fähigen ITler einstellen - und sich dann an dessen Anweisungen halten. Wenn nicht, handelt man ungefähr so clever wie sich nicht an die Anweisung eines Fluglotsen zu halten.

Ich versuche immer noch zu verstehen, was da wirklich passiert ist. Denn die Zeitung weiss es auch nicht so recht und mutmaßt in Richtung AFD. Dazu noch ein paar Textbausteine über die Verwendung von Passwörtern und welche Daten man nicht ins Netz stellen sollte.

Konkret ist das Thema relativ heikel, denn schließlich will man doch den Datenschutz senken, damit es mit der einheitlichen Gesundheits klappt und damit Deutschland wirktschaftlich attraktiver wird. Zeitgleich hört man von der Vorratsdatenspeicherung, die inoffiziell und trotz Verbots von den Telekommunikationsunternehmen umgesetzt wird.

Irgendwie ist das kein Zufall, dass es gerade jetzt veröffentlicht wird.

Muss die AfD gewesen sein.

Björn Höcke wurde von der Amadeu Antonio Stiftung
im Hoodie, mit Sonnenbrille rauchend vor einem Laptop (= "der böser Hacker" in den Medien)
fotografiert.

naja, zumindest können unsere vorturner jetzt erhobenen hauptes zeigen, daß daten die rohstoffquelle des neuen jahrtausends sind. wenn sich jetzt noch eine redaktion findet, die die daten mal auswertet (denn draußen sind sie ja eh, da kann man sie auch mal nach auffälligkeiten durchackern) und die resultate veröffentlicht, können wir hoffentlich auch etwas daraus lernen.

Muss die AfD gewesen sein.

Björn Höcke wurde von der Amadeu Antonio Stiftung
im Hoodie, mit Sonnenbrille rauchend vor einem Laptop (= "der böser Hacker" in den Medien)
fotografiert.

Ich habe mehrere AFD Leute mit Smartphones und an PCs gesehen!!!!



Hacken gestern: mittels Programm zB. per Email wird das Passwort auf dem Zielrechner ausgespäht und Daten vom PC des Besitzers kopiert.

Hacken 2019: man sucht per Suchmaschine alle Daten der Zielperson im Netz, bündelt sie und veröffentlicht sie mit etwas Zeitabstand.

Wie ich schon im Cebit-Thread schrieb, Deutschland hat fertig in Sachen IT. Dieses Ereignis zeigt das mal wieder eindrucksvoll. Andererseits bekommen die Politiker die Vorratsdatenspeicherung am eigenen Leibe zu spüren.

Ansosten gehe ich davon aus, dass das passiert ist was Leonidas beschrieb: ein hochrangiger Politiker lässt sich vom Pöbel-Admin, welcher einen Bruchteil verdient nicht sagen wie man ein Handy bedient.

Ansosten gehe ich davon aus, dass das passiert ist was Leonidas beschrieb: ein hochrangiger Politiker lässt sich vom Pöbel-Admin, welcher einen Bruchteil verdient nicht sagen wie man ein Handy bedient.

Die meisten Admins haben von APTs auch keine Ahnung, von daher wäre das wahrscheinlich nicht komplett unbegründet. Ich würde mich dazuzählen. Ich könnte nicht einmal das Risiko bei staatlichen Angriffen realistisch einschätzen, weil ich keine Ahnung von deren verfügbaren Ressourcen habe. Und da fangen die praxisrelevanten Probleme auch schon an.

Ziemlich langweilig das Ganze.

The fappening war da wesentlich besser.
Da hat man wenigsten einige Kätzchen gesehen. :biggrin:

Die meisten Admins haben von APTs auch keine Ahnung, von daher wäre das wahrscheinlich nicht komplett unbegründet. Ich würde mich dazuzählen. Ich könnte nicht einmal das Risiko bei staatlichen Angriffen realistisch einschätzen, weil ich keine Ahnung von deren verfügbaren Ressourcen habe. Und da fangen die praxisrelevanten Probleme auch schon an.
Ich würde mich auch dazu zählen. ;)

Ach ja, das deutsche Cyberabwehrzentrum hat wohl 10 Leute.

https://www.tagesspiegel.de/politik/massiver-datendiebstahl-deutschland-braucht-jetzt-jeden-nerd/23830104.html

Was ich nicht verstehe, was soll das BSI zu tun haben oder machen, dem einfachen Bürger kommt es doch auch nicht zu Hilfe wenn sein Mailkonto gehackt wurde? :D

Es wurde doch nicht der Bundestag gehackt, sondern die von IT Noobs genutzten Smartphones, Cloudspeicher und esternen Mailkonten, die dann wohl weder richtig gesichert waren noch ordentlich bedient, noch überhaupt so dumm bzw. naiv gefüllt mit eigenen wichtigen, sensiblen Daten?
Wer sowas in solchen Positionen macht oder dienstliches mit Privaten vermischt und sich hier keinen Kopf macht um seine persönlichen Daten, ja was soll man dazu sagen!?
Normal müsste es doch Regelungen geben, das zumindestens Politiker weder Android, Apple, Google oder sogar Win10 PC nutzen dürfen usw. und wenn dann alles mit hoffentlich perfekter Verschlüsselung etc.?
In jeder halbwegs großen und wichtigen Firma gibts Whattsapp oder Handyverbot und andere Dinge, alle Laptops sind speziell Hardware mit Dongles verschlüsselt, bauen erst spezielle VPN Verbindungen zum Firmenserver auf um Online zu gehen usw.!
Selbst in Teilen des öffentlichen Dienst, wie an vielen UNIs gibts Googledrive Verbote, die haben ihre eigenen DFN Clouds und eigene Mailserver und intern spezielle Netzwerke und im Bereich wo es um sensible Daten geht erst recht zigfach nach außen gesicherte spezial Umgebungen usw.
Hier sieht man wirklich bzw. wie ihr schon meint, was das für IT Luschen sind,Hilfe! :)

Das ist halt "Neuland" gemäß Frau Merkel...

....
Normal müsste es doch Regelungen geben, das zumindestens Politiker weder Android, Apple, Google oder sogar Win10 PC nutzen dürfen usw. und wenn dann alles mit hoffentlich perfekter Verschlüsselung etc.?
...

Sicher, aber stattdessen werden die funktionierenden Linux-Lösungen in Verwaltungen abgeschafft, damit die Obermotze wieder ihr von zu Hause gewohntes Solitär auf dem Laptop spielen können.

Bein Bonjwa ( Großer Twitch Streamer ) wurde heute gesagt, dass bei manchen lediglich durch ein Fakeanruf bei verschiedenen Anbietern die 2FA zurückgesetzt wurde und damit dann dementsprechend der 2FA ausgesetzt/geändert wurde, so dass man Zugriff bei manchen bekam.

Für den einen ist es eine große Sicherheit, für den anderen mit Tricks eine offene Eingangstür.
Ich habe solangsam das Gefühl, dass wir uns mit jedem Sicherheitsmerkmal nur noch angreifbarer machen.

Klar habe ich meine Bilder nicht mehr auf dem Rechner und schütze sie so vor Zugriff Lokal als auch per Hack, aber wenn mein Cloud Kram gehackt wird, haben es diejenigen halt von überall. Januar steht ganz klar im Zeichen des neuen sichereren PWs.
Ich habe mir in den letzten Tagen viele CCC Vorträge angeschaut und vertraue einfach keinem jetzt mehr. :D
Der Dusch Google Home Mini kommt auch weg.

Und dabei will Microsoft das Passwort abschaffen. ;(

Ermittler nehmen Verdächtigen fest (https://www.golem.de/news/datenleak-festnahme-von-0rbit-1901-138567.html)

Im Zusammenhang mit den geleakten Daten von Politikern und Prominenten ist ein Mann aus Mittelhessen festgenommen worden. Er soll geständig sein.

https://www.tagesschau.de/inland/datendiebstahl-festnahme-101.html

Im Fall des massiven Datendiebstahls ist ein Tatverdächtiger festgenommen worden. Der 20-Jährige kommt aus Hessen und soll die Taten gestanden haben. Weitere Informationen sollen am Mittag folgen.

Ein Zwanzigjähriger? Respekt!

Als Motiv hat der Tatverdächtige laut BKA angegeben, dass er sich über öffentliche Äußerungen der betroffenen Personen geärgert habe. Zurzeit gibt es laut dem BKA keine Hinweise auf eine Tatbeteiligung von Dritten.

Bislang sei offen, ob der Mann dem rechten Spektrum zugeordnet werden könne. Die Ermittler vermuteten, dass der Täter alleine die Daten gesammelt und veröffentlicht habe.


Keine Gruppierung und wahrscheinlich auch keine rechte Gesinnung.

Einfach nur ein verärgerter "Jugendlicher", der so etwas zu Stande gebracht hat. Das wäre mit Abstand das peinlichste Resümee für unsere Politik(er).

Ich hoffe, sie bieten ihm danach einen ordentlichen Job im Cyberabwehrzentrum an :biggrin:

Was ich nicht verstehe, was soll das BSI zu tun haben oder machen, dem einfachen Bürger kommt es doch auch nicht zu Hilfe wenn sein Mailkonto gehackt wurde? :DEben dieses! Insbesondere, wenn man sich vor Augen hält, daß die Masse der Daten gar kein Hacking im Wortsinne erforderten, sondern "Big Data" waren, also das Zusammentragen und In-Relation-Setzen von frei verfügbarem (!) Datenmaterial, das die Betroffenen selbst freiwillig preisgegeben haben.
Einfach nur ein verärgerter "Jugendlicher", der so etwas zu Stande gebracht hat. Das wäre mit Abstand das peinlichste Resümee für unsere Politik(er).
Laß den Konjunktiv weg. Die, die sich jetzt so massiv über -was Hacken angeht- Kinkerlitzchen echauffieren, sind die Leute, die uns regelmäßig erzählen, wir dürften keinen allzu harten Datenschutz haben wegen Terrorismusbekämpfung, Wirtschaft und was weiß ich nicht alles noch. 'nuff said.

War das eigentlich jetzt ein Cyberangriff im engeren oder im weiteren Sinn? :confused:

Cyber, Cyber, Cyber... ;D

Laß den Konjunktiv weg. Die, die sich jetzt so massiv über -was Hacken angeht- Kinkerlitzchen echauffieren, sind die Leute, die uns regelmäßig erzählen, wir dürften keinen allzu harten Datenschutz haben wegen Terrorismusbekämpfung, Wirtschaft und was weiß ich nicht alles noch. 'nuff said.

Das sind die gleichen Leute die jetzt sagen das der Hack "Ein schwerer Anschlag auf die Demokratie war". WTF?

Aber was einige Unternehmen wie Google / Facebook machen ist völlig in Ordnung in deren Augen bzw. da ist der Aufschrei nicht so groß.

Mich persönlich freut es extrem das so viele Daten geleakt sind. :D

Schöner Kommentar... (https://www.welt.de/kultur/article186823162/Datendiebstahl-Politiker-und-Journalisten-sind-narzisstisch-gekraenkt.html)

...zu der Lachnummer, wo sich der "Angriff auf die Demokratie", hinter der man finstere Mächte vermutete und auf Grund dessen man flugs mehr Gesetze und mehr Kontrolle forderte, als Alleingang eines 20-jährigen, bei Mutti wohnenden entpuppte.

Für den einen ist es eine große Sicherheit, für den anderen mit Tricks eine offene Eingangstür.
Ich habe solangsam das Gefühl, dass wir uns mit jedem Sicherheitsmerkmal nur noch angreifbarer machen.

2FA per SMS war noch nie besonders sicher. Es war nur für eine gewisse Zeit der einzige zweite Faktor, den einige Unternehmen angeboten haben.

Telekommunikationsunternehmen sind leider dafür bekannt, dass es nicht die Hochburgen der Sicherheit sind. Eigentlich will man als zweiten Faktor irgendetwas Offline, vielleicht in Hardware und etwas, was die Möglichkeiten für Phishing reduziert. SMS kann nichts davon bieten.

Klar habe ich meine Bilder nicht mehr auf dem Rechner und schütze sie so vor Zugriff Lokal als auch per Hack, aber wenn mein Cloud Kram gehackt wird, haben es diejenigen halt von überall. Januar steht ganz klar im Zeichen des neuen sichereren PWs.

Guck dir Diceware an und erzeuge damit Passphrasen, wenn du Passphrasen zwingend von Hand eingeben musst. Diceware (und generell jede Methode um nachvollziehbar sichere Passphrasen zu erzeugen) benötigt eine gute Quelle für Zufallszahlen: Benutze einfach eine Software, die den kryptografisch sicheren Zufallszahlengenerator deines Betriebssystems anzapft oder Casino-Würfel, falls du Passphrasen von Hand erzeugst. Lies dir das hier einmal durch: https://ssd.eff.org/en/module/creating-strong-passwords

Benutze keine Passphrasen doppelt.

Wenn du nicht weißt, ob deine Passphrase vom jeweiligen Online-Dienst richtig gehasht wird, nimm sechs oder sieben Diceware-Wörter (ich gehe von der EFF-Liste mit 7776 Wörtern aus; einige benutzen weniger, manche mehr) für eine Passphrase. Viele Geräte wie Smartphones haben Hardware-Module, welche On- und Offline-Brute-Force-Angriffe verlangsamen -- sehr wahrscheinlich wird man nicht mehr als fünf Diceware-Wörter dort brauchen, aber nagel mich nicht darauf fest. Im Zweifelsfall schützt dich letztendlich nur eine ausreichende Länge der Passphrase und dass deine Quelle für die Zufallszahlen gut ist. Mehr als acht Diceware-Wörter ist für die allermeisten Anwendungsfälle purer Overkill, selbst wenn schlecht gehasht wird. Neun dürften selbst für Langzeitarchivierung reichen.

Letztendlich ist aber auch eher wichtig, dass du eine Methode benutzt, die keine geheimen Tricks enthält. Deine Passphrasen sollten wirklich nur durch die reine Länge und den Zufall hinter der Wahl der Zeichen / Wörter sicher sein. Kann man nicht oft genug sagen. Du willst sicher sein (und anders als über eine nachvollziehbare Methode ist das unmöglich), dass du auch bei einem gut gepolsterten Brute-Force-Angriff (was auch immer das in deinem Fall bedeutet) die Ressourcen des Angreifers erschöpfst. Nur das zählt.

Zum Lagern der Passphrasen benutzt du entweder ein Notizbuch (im 3dc wohl eher unwahrscheinlich), das du sicher verwahrst oder einen Passwortmanager. 1Password ist sicher nicht die schlechteste Idee.

Kaufe auch vielleicht diesen Key, vielleicht sogar jetzt: https://www.amazon.de/Yubico-Security-Key-USB-Authentication/dp/B07BYSB7FK/ref=sr_1_fkmr0_4?ie=UTF8&qid=1547147329&sr=8-4-fkmr0&keywords=yubikey+2fa

Wenn du deine Cloud-Sachen bei Google hast: Entferne alle Backup-E-Mail-Adressen, entferne SMS für 2FA. Stattdessen U2F per Yubikey und zusätzlich TOTP per Google Authenticator am Handy für Geräte, die kein U2F per USB können. Die Einmalcodes für die Notfall-Recovery druckst du aus, speicherst sie natürlich nicht am Rechner und verwahrst sie sicher für den Fall der Fälle.

Vielleicht ist das nicht für jeden die richtige Lösung, aber so ganz schlecht wird man damit nicht fahren.

Jo, da bin ich gerade dran.
Dadurch, dass ich ja ein wenig im Krypto Bereich unterwegs bin seit vor letzem Jahr, hat man ja eh schon ein ganz anderes Verhältnis zur Sicherheit als bei einem reinen Gaming Rechner.

Danke auf jeden Fall für die Tipps, mit 16 war ich wohl schon klug genug, ein Password zu erstellen, welches nicht leicht geknackt werden kann.
Zuletzt geändert: 04. Oktober 2003
Holy Moly, bin ich ein Opfer. :D

Ich bin aber kein Fan davon, dass Passwörter so krass sein müssen, das man sie selber nicht kennt und nur per Software wieder rausfinden muss. Das ist mir dann "zu viel" Sicherheit, weil der Komfort dann deutlich leidet.
Ich will mich mal bei nem Kollegen bei Spotify anmelden können, ohne dass ich erst 24 Zeichen/Ziffern eingeben muss bzw. erst in meine Passwortverwaltung schauen muss.
Weil ich eher Angst habe, dass irgendwann mein PW Manager ( durch was auch immer ) geknackt wird und dann alles Nackt vor ihm liegt. Deswegen muss ich auch mal meine Cloud Nutzung ein wenig mehr optimieren.

Wie sicher ist eigentlich FaceID anstatt einem 6 stelligen Passwort bzw. als Sicherheit bei App Öffnungen? Ich will halt auch eigentlich nicht so sehr in ein Ökosystem rein und mich da binden, grml.

Muss bei Sicherheit und Komfort irgendwie noch die beste Lösung finden.
Den GAuth musste ich letztens 3 mal neu identifizieren bei einem Dienst wegen Neuanschaffung des Smartphones, das nervt.
Authy ist da natürlich praktischer, weil es drahtlos ( per FaceID gesichter ) ein Klon auf ein neues Gerät erstellen kann. Ich muss auch keine Angst, haben, dass alles weg ist, wenn ich mein Smartphone verliere wegen der Cloud Anbindung. Aber die Cloud Anbindung selbst ist ja wiederum wieder die Sicherheitslücke. Uff.

Ich nutze KeePass und auf dem Handy den Google Authenticator
für alle Dienste, die dies unterstützen.

2FA per SMS mach ich sehr ungern, da ich nicht jedem Otto in der Welt
meine Handy-Nr. mitteilen möchte.

Ich bin aber kein Fan davon, dass Passwörter so krass sein müssen, das man sie selber nicht kennt und nur per Software wieder rausfinden muss. Das ist mir dann "zu viel" Sicherheit, weil der Komfort dann deutlich leidet.

Keine Passwörter wiederzuverwenden ist das absolute Minimum. Daran wird man nie vorbeikommen.

Natürlich kommt dann irgendwann die Frage auf, wie man das managet, eben weil man sich so viele Passwörter nicht merken kann. Wenn einem das "zu viel" ist, macht man sich etwas vor. Alles andere wird viel zu schnell viel zu komplex und man hat keinen Überblick mehr, was man noch sicher benutzen kann und was nicht.

Ich verstehe das Problem mit der Software auch nicht ganz. Sobald du eine starke Passphrase für deine Passwortdatenbank benutzt, kannst du die backuppen wie du lustig bist. Das Medium muss ja nicht einmal besonders geschützt sein. Backups machst du ja sicher auch sowieso, aber niemand hindert dich daran die Datenbank auch noch auf anderen Medien zu sichern.

Wenn man wirklich Angst um seine Passphrasen in der Datenbank hat, kann man natürlich auch einfach die Datei als Schnappschuss in base64 kodieren und ausdrucken. Kann man dann an so vielen Orten lagern wie man lustig ist.

Ich will mich mal bei nem Kollegen bei Spotify anmelden können, ohne dass ich erst 24 Zeichen/Ziffern eingeben muss bzw. erst in meine Passwortverwaltung schauen muss.

Dann sind deine Anforderungen nicht mit einer sicheren Nutzung vereinbar.

Genau deshalb ist Diceware für mich auch ein absoluter Game Changer. Ich kann meine Passwörter mit meinem Passwortmanager managen, aber falls ich einmal ein Passwort brauche, das ich mir spontan merken kann, dann bekomme ich das mit der Methode problemlos hin.

Weil ich eher Angst habe, dass irgendwann mein PW Manager ( durch was auch immer ) geknackt wird und dann alles Nackt vor ihm liegt.

Deshalb erzeugst du für deine Passwortdatenbank eine Passphrase, die so stark ist, dass sie niemand jemals bruteforcen wird. Wie gesagt, man kommt sehr schnell in Bereiche, die komplett unpraktikabel zu bruteforcen sind.

Wenn dein Rechner kompromittiert ist, ist es sowieso egal, ob du einen Passwortmanager benutzt oder nicht. Der Angreifer wird einfach deine Browser Sessions klonen oder einen Keylogger installieren, was so ziemlich den gleichen Effekt hat wie deinen Passwortmanager zu brechen. Wenn du dann auch noch Passwörter wiederverwendest, weil es dir zu viel Aufwand ist für jeden Dienst ein eigenes zu erstellen, dann ist erst Recht Game Over.

Authy ist da natürlich praktischer, weil es drahtlos ( per FaceID gesichter ) ein Klon auf ein neues Gerät erstellen kann.

Wenn du TOTP Codes klonst, kannst du die eigentlich auch gleich weglassen. Der Mehrwert geht dann gegen Null.

Es ist die Frage wie die
wie viel Bequemlichkeit tauschst Du gegen Sicherheit?

Dieceware ist sicher gut, aber:
- jeden Morgen beim Login
- nach jedem Win-L
- Screensaver
dieses wirre und lange PW in den Passwortsafe kloppen?

Und wo sicherst Du das?
Per Post-it am Monitor?

Dieceware ist sicher gut, aber:
- jeden Morgen beim Login
- nach jedem Win-L
- Screensaver
dieses wirre und lange PW in den Passwortsafe kloppen?

Inwiefern wirr? Es sind ganz normale Worte.

Ich tausche eben schwierig zu tippende Zeichen gegen Länge. Passiert relativ selten, dass ich mich bei Diceware vertippe.

Und ja, ich benutze auch Diceware für mein Login-Passwort bei Windows / AD.

Und wo sicherst Du das?
Per Post-it am Monitor?

Ich schreibe es auf Papier auf und verwahre es für ca. einen Tag in meinem Portemonnaie bis ich es mir merken kann. Danach wird das Stück Papier fachgerecht entsorgt.

2FA per SMS war noch nie besonders sicher. Es war nur für eine gewisse Zeit der einzige zweite Faktor, den einige Unternehmen angeboten haben.

Telekommunikationsunternehmen sind leider dafür bekannt, dass es nicht die Hochburgen der Sicherheit sind. Eigentlich will man als zweiten Faktor irgendetwas Offline, vielleicht in Hardware und etwas, was die Möglichkeiten für Phishing reduziert. SMS kann nichts davon bieten.

...

Kaufe auch vielleicht diesen Key, vielleicht sogar jetzt: https://www.amazon.de/Yubico-Security-Key-USB-Authentication/dp/B07BYSB7FK/ref=sr_1_fkmr0_4?ie=UTF8&qid=1547147329&sr=8-4-fkmr0&keywords=yubikey+2fa

Wenn du deine Cloud-Sachen bei Google hast: Entferne alle Backup-E-Mail-Adressen, entferne SMS für 2FA. Stattdessen U2F per Yubikey und zusätzlich TOTP per Google Authenticator am Handy für Geräte, die kein U2F per USB können. Die Einmalcodes für die Notfall-Recovery druckst du aus, speicherst sie natürlich nicht am Rechner und verwahrst sie sicher für den Fall der Fälle.

Vielleicht ist das nicht für jeden die richtige Lösung, aber so ganz schlecht wird man damit nicht fahren.
Was ist von den 2FA Apps zu halten die Google und Microsoft anbieten. Amazon unterstützt ja z.B. den Microsoft Authenticator. Eher Nutzbar oder sollte man dann doch auf den Yubikey wechseln, sofern dieser unterstützt wird?

Man kann auch per Yubico Authenticator die TOTP Codes vom Google/MS Authenticator über den Yubikey generieren.

2FA bei Amazon hat leider den Nachteil, dass man als Backup trotzdem noch seine Handynummer angeben muss.

Man kann auch per Yubico Authenticator die TOTP Codes vom Google/MS Authenticator über den Yubikey generieren.

2FA bei Amazon hat leider den Nachteil, dass man als Backup trotzdem noch seine Handynummer angeben muss.
Ist es für den 0815 Bürger denn wahrscheinlich, dass sich jemand die Simkarte klont und darüber den SMS Code abfängt um bei z.B. Amazon einzukaufen? Bei Politikern oder ähnlichen sehe ich das ja noch ein, aber bei einem vom 80 Millionen?

Ja unwahrscheinlich.
Mir ging es mehr darum, dass ich nicht überall meine Handynummer in irgendwelchen Datenbanken drin haben will.

Ist es für den 0815 Bürger denn wahrscheinlich, dass sich jemand die Simkarte klont und darüber den SMS Code abfängt
Das ist nicht nötig. SMS ist ein völlig unverschlüsselter Kommunikationskanal und das nötige Equipment zum Mitlesen mittlerweile für wenig Geld zu haben.

Abgesehen davon möchte ich persönlich meine Nummer nicht herausgeben. Nur noch ein Datenpunkt mehr, der das zusammenführen von Profilen erleichtert.
Wenn man böse Absicht unterstellen will, könnte man genau das als Ziel von SMS-2FA sehen. Wegen der unschlagbaren Sicherheit macht das jedenfalls keiner.

Was ist von den 2FA Apps zu halten die Google und Microsoft anbieten. Amazon unterstützt ja z.B. den Microsoft Authenticator. Eher Nutzbar oder sollte man dann doch auf den Yubikey wechseln, sofern dieser unterstützt wird?

Der Google Authenticator und der von Microsoft machen beide TOTP. Besser als SMS 2FA ist es definitiv.

Ist es für den 0815 Bürger denn wahrscheinlich, dass sich jemand die Simkarte klont und darüber den SMS Code abfängt um bei z.B. Amazon einzukaufen? Bei Politikern oder ähnlichen sehe ich das ja noch ein, aber bei einem vom 80 Millionen?

Ja, passiert relativ häufig: https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/

Niemand hält 2FA per SMS für sicher. Ob es überhaupt einen Sicherheitsgewinn bringt oder sogar schädlich ist, ist auch gar nicht so klar. Viele Diensteanbieter missbrauchen die Telefonnummer als Recovery-Option, was in solchen Fällen sogar das jeweils gesetzte Passwort aushebelt.

Der Google Authenticator und der von Microsoft machen beide TOTP. Besser als SMS 2FA ist es definitiv.



Ja, passiert relativ häufig: https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/

Niemand hält 2FA per SMS für sicher. Ob es überhaupt einen Sicherheitsgewinn bringt oder sogar schädlich ist, ist auch gar nicht so klar. Viele Diensteanbieter missbrauchen die Telefonnummer als Recovery-Option, was in solchen Fällen sogar das jeweils gesetzte Passwort aushebelt.
Wieder etwas gelernt. :)

Das doofe daran ist, dass jeder seinen eigenen entwickelt. Microsoft, Google, Blizzard, LastPass usw. wieviele Apps soll man sich denn bitte auf sein Handy ziehen damit man sich authentifizieren kann. Daran sollte man eventuell mal arbeiten, dann wären viele vielleicht auch eher geneigt sich damit zu befassen.

Hat man schon, nennt sich wie gesagt TOTP. Manche Dienste haben ihr eigenes 2FA, aber die überwiegende Mehrheit benutzt einfach nur TOTP.

So oder so ist aber U2F / FIDO die Zukunft und nicht TOTP.

Ob du jetzt den MS Authenticator oder den Google benutzt. Oder eben ein Yubikey in Verbindung mit dem Yubico Authenticator bzw. mit dem yubioath-desktop Programm macht kaum ein Unterschied.
Wie lumines schrieb ist alles TOTP.
Die aktuelle Yubico App unterstützt sogar die Steam Codes. Nur muss man da erstmal an den Key rankommen um die richtigen Codes erstmal generieren zu können. Da Valve die natürlich nur für die Steam Mobile App rausgibt.