Passwort Sicherheit

    • Offizieller Beitrag

    Ich wollte mal Eure Meinung zu folgendem Szenario wissen und ob ihr Ideen habt wie man sich besser davor schützen kann.


    Nehmen wir mal an es gelinkt einem Hacker Eure Email Adresse + Passwort herauszufinden.

    Dadurch kann er theoretisch alle anderen Passworter zurücksetzen.

    EInfach die Passwort zurücksetzen funktion bei Amazon nutzen, ein Amazon Gutschein bestellen und Ihr habt den Schaden.

    Ebenso, könnte so einfach euer Epic Account oder euer Steam Account gekapert werden.


    Mit gehts hierbei nicht um die Passwort Sicherheit sondern darum wie man sich speziell vor diesem Szenario schützen kann.


    Meine Idee bis jetzt: Die Recover Email Adresse gesondert anlegen und nicht im Netz verwenden, so das Passwort Vergessen Emails dort landen nicht aber auf eurer eigentlichen Email Adresse dadurch wäre Recover und Bestell bzw Bezahlvorgang voneinander getrennt.

    Ich würde mir auch wünschen das es im Email bereich einen gesonderten Bereich gibt, der Passwort geschützt ist wo die Recover Emails laden. Aber sowas gibts meines wissens nach nicht.


    Jemand andere Ideen ?

  • Sleepy

    Hat den Titel des Themas von „Passwort SIcherheit“ zu „Passwort Sicherheit“ geändert.
  • Einfach ein sicheres Passwort für das E-Mail-Konto verwenden und dieses Passwort auf keiner anderen Seite verwenden.

    + 2FA und man sollte auf der sicheren Seite sein.


    (Solange man auf einer seriösen Seite sein E-Mailkonto hat :P)


    EDIT: Ja, geht irgendwie an der Prämisse vom Thema vorbei, aber das Szenario ist halt unter den von mir genannten Gegebenheiten unrealistisch)


    EDIT2: Anders formuliert:


    Ja, in einem solchen Szenario hätte man eventuell einen hohen Schaden, aber solange der E-Mail-Anbieter vernünftige Sicherheit bietet (Salted + Hashed PW und HTTPS) und man sein sicheres Passwort nur da verwendet, dann ist man gut gegen klassische SQL-Attacken und Bruteforce geschützt. Zusaätzlich kann man sich gegen alles (inklusive Phishing / Keylogger) mit guter 2FA schützen.


    Wenn man sich sein Passwort merken kann oder ein PW-Manager mit Hauptpasswort verwendet ist man auch gegen Leute geschützt, die physisch Zugang zu deinen Endgeräten haben (solange man das Hauptpasswort nicht auch auf dem Rechner hat)

    • Offizieller Beitrag

    EDIT2: Anders formuliert:


    Ja, in einem solchen Szenario hätte man eventuell einen hohen Schaden, aber solange der E-Mail-Anbieter vernünftige Sicherheit bietet (Salted + Hashed PW und HTTPS) und man sein sicheres Passwort nur da verwendet, dann ist man gut gegen klassische SQL-Attacken und Bruteforce geschützt. Zusaätzlich kann man sich gegen alles (inklusive Phishing / Keylogger) mit guter 2FA schützen.


    Wenn man sich sein Passwort merken kann oder ein PW-Manager mit Hauptpasswort verwendet ist man auch gegen Leute geschützt, die physisch Zugang zu deinen Endgeräten haben (solange man das Hauptpasswort nicht auch auf dem Rechner hat)

    Genau darauf will ich hinaus egal wie sicher dein Passwort ist, es spielt keine Rolle ich sag dir auch warum:


    Wenn du dein Passwort beispielsweise bei Chrome speicherst was sehr sehr viele Menschen machen, dann können die Passwörter einfach ausgelesen werden.

    Es spielt also keine Rolle wie sicher dein Passwort ist. Deswegen halte ich das Szenario nicht für so unwahrscheinlich und das ist nur eine von vielen Möglichkeiten.



    Mir geht es darum dass wenn eine Möglichkeit findet das Email passwort rauszufinden das ihm dann nicht alle Tore offen stehen.

    Wie gesagt, hast du das Email Passwort hast du im Prinzip vollen Zugriff auf alles.

  • Naja, was sollte in deinem Szenario denn jemanden daran hindern deine extra e-Mailadresse herauszufinden, denn offensichtlich ist dein Computer dann ja bereit gekapert.


    Zwei Wegauthentifizierung ist da schon ganz gut. Wenn ich zum Beispiel auf Amazon etwas bestelle, und entsprechend auf bezahlen gehe, kriege ich zum Beispiel eine SMS und muss den Zugriff erst genehmigen.


    Funktioniert recht gut. Auch wenn jemand mein Passwort ändern will oder was auch immer, muss ich das immer wieder genehmigen.


    Eine weitere gute Möglichkeit, die sehr ähnlich ist, müsste aber entsprechend von den Anbietern der Webseiten bereitgestellt werden, wäre zum Beispiel eine SMS-TAN. Dass du jedes Mal, wenn du eine relevante Aktion machst, dir eine TAN zugeschickt bekommst, welche du dann eingeben musst.


    Nachteil würde dann lediglich sein, falls dein Handy mal leer ist, kaputt oder was auch immer, dann ist halt Pech für dich.

    • Offizieller Beitrag

    Naja, was sollte in deinem Szenario denn jemanden daran hindern deine extra e-Mailadresse herauszufinden, denn offensichtlich ist dein Computer dann ja bereit gekapert.

    Wenn du diese Adresse nirgend wo verwendest und auch nirgend wo speicherst. 100% Schutz gibt es nicht.

    Zwei Wegauthentifizierung ist da schon ganz gut. Wenn ich zum Beispiel auf Amazon etwas bestelle, und entsprechend auf bezahlen gehe, kriege ich zum Beispiel eine SMS und muss den Zugriff erst genehmigen.

    Bei Amazon hab ich das auch gemacht.

    Eine weitere gute Möglichkeit, die sehr ähnlich ist, müsste aber entsprechend von den Anbietern der Webseiten bereitgestellt werden, wäre zum Beispiel eine SMS-TAN. Dass du jedes Mal, wenn du eine relevante Aktion machst, dir eine TAN zugeschickt bekommst, welche du dann eingeben musst.

    Ja das wäre ne super Möglichkeit gibts leider auch nicht für alle Anbieter.

    Nachteil würde dann lediglich sein, falls dein Handy mal leer ist, kaputt oder was auch immer, dann ist halt Pech für dich.

    Bei meiner Bank ist die App durch ein Passwort geschützt. Ich müsste App neu runterladen und mich dann erneut einloggen.

    • Offizieller Beitrag

    Der Vorteil ist, ich kann immer überweisen wenn ich mein Handy dabei habe, wenn es leer ist geht das natürlich ist. Umgekehrt wenn du unterwegs bist, hast du ja normalerweise kein Tangenerator dabei.


    Wenn das Handy kaputt ist brauch ich ein neues Handy, die PushTan App und mein Passwort für die App und ich kann wieder überweisen.

    Ich finde das jedesfalls flexibler als den alten Tan Generator an den Monitor zu halten.


    Das ist ja nun auch nicht das Thema.

  • Zwei Wegauthentifizierung ist da schon ganz gut. Wenn ich zum Beispiel auf Amazon etwas bestelle, und entsprechend auf bezahlen gehe, kriege ich zum Beispiel eine SMS und muss den Zugriff erst genehmigen.


    Funktioniert recht gut. Auch wenn jemand mein Passwort ändern will oder was auch immer, muss ich das immer wieder genehmigen.

    So mach ich das auch, z.B. mit SMS, Mail oder Google-Authenticator.

    Eine weitere gute Möglichkeit, die sehr ähnlich ist, müsste aber entsprechend von den Anbietern der Webseiten bereitgestellt werden, wäre zum Beispiel eine SMS-TAN. Dass du jedes Mal, wenn du eine relevante Aktion machst, dir eine TAN zugeschickt bekommst, welche du dann eingeben musst.

    Ist bei Google glaub ich möglich, zumindest hab ich ne Seite mit 10 Codes ausgedruckt, falls einer mal mein Google-Konto hackt, was ziemlich unwahrscheinlich ist, kann ichs einfach mit einem der Codes zurück holen.



    Wenn man Google Chrome benutzt und sich irgendwo anmeldet, kann man auch einfach das vorgeschlagene Passwort verwenden:

    Bis das Passwort einer rausfindet ... viel Spaß^^

  • Wenn man Google Chrome benutzt und sich irgendwo anmeldet, kann man auch einfach das vorgeschlagene Passwort verwenden:

    Diese Funktion gibt es bei Firefox auch.


    Allerdings ist da wiederum die Frage ob es zu haken ist oder nicht, wie entsprechende Seite die Passwortabfrage gestaltet ist. Wenn sie einen Effektiven Bruteforcingschutz hat, dann ist es natürlich gut. Wenn sie keinen hat ist es nur eine Frage der Zeit, noch nicht einmal sonderlich lange, bis das Passwort gefunden ist. Also wenn man wirklich im Millisekundentakt da Passwörter reinballern kann, dann ist das kein Problem.


    Das war glaube ich mein erstes oder zweites Hackerprogramm das ich Ende der 80er, Anfang der 90er geschrieben habe. Damals hatte ich ein Programm geschrieben, um geschützte ZIP-Dateien zu knacken. Man musste nur die Minimum- und Maximumlänge des Passwortes eingeben, einstellen ob auch Zahlen und/oder Sonderzeichen getestet werden sollen, und schon wurde alles ausprobier. Sagen wir mal von einer Minimumlänge 3 und Maximumlänge 8, nur Buchstaben, hat er dann bei aaa angefangen und bis ZZZZZZZZ alles durchgelaufen. Damals hatte ich einen 386er mit Coprozessor und im Schnitt brauchte ich für ein Passwort 3-4 Tage bis er es hatte. Ich nehme mal an, dass es mit heutigen Rechnern auch schneller geht.


    Aber das ist eben halt auch das Problem dabei. Du kannst noch ein so sicheres Passwort haben. Wenn die Webseite, oder Software, keine geeigneten Schutzmaßnahmen hat um vor Bruteforcing zu schützen, und das sind noch immer sehr viele, oder wenn die Webseitenbetreiber die Passwörter sogar unverschlüsselt speichern, dann nützen selbst die sichersten Passwörter nicht viel.


    Weil eins dürfte klar sein. Egal für wie sicher du ein System hältst, solange es für andere erreichbar ist, ist es auch angreifbar. Es muss halt nur jemand mit der richtigen Idee kommen.

  • Die einzigen Seiten, für die bei mir die Sicherheit an erster Stelle steht, sind Google, meine Bank, Epic, Instagram, Aktien, P2P und vor allem Steam.

    Alle von denen sind 2-Faktor gesichert^^


    Der Rest ist mir ziemlich egal, wenn ich was bestelle, dann nur mit Bank-Zahlung und da muss ich ne TAN eingeben, von Paypal bin ich schon seit über 1 Jahr weg, hat mich angekotzt, dort immer wieder Geld drauf laden zu müssen um etwas kaufen zu können, geht über Sofortüberweisung / Giropay schneller und ist auch sicherer, das Geld bei Paypal kann jederzeit von anderen abgeschöpft werden, da es nicht bei meiner Bank liegt^^


    Wobei natürlich auch ne Bank gehackt werden kann, aber da hat man überhaupt keine Kontrolle...

    Wenn sie gehackt wird, sind mehrere Konten leer, gibt zwar ne Absicherung, aber die geht meistens nur bis 100.000€, wenn man also Millionär oder gar Milliardär ist und das Geld nicht angelegt ist, hat man die Arschkarte schlechthin, hehe



    Foren sind mir sowieso egal...

    1. Wer hackt nen Foren-Account?
    2. Kann ich ganz einfach nen neuen Account erstellen...
  • Ich glaube man muss jetzt mal zwischen "mein account auf irgendeiner Müll webseite wurde gehackt" und "mein eigener PC wurde gehackt" unterscheiden.


    Es kam in der Vergangenheit immer wieder mal vor daß auch Accounts von recht grossen Websites gehackt wurden - so wurde auch 2012 mal linkedin gehackt. Aber in 2020 sind die allermeisten grösseren Seiten schon verdammt sicher - sprich selbst wenn da was gehackt wird kann man heute nicht mehr einfach die Passwörter aus billigen hashes zurückgenerieren.


    Und selbst wenn das passiert - man sollte für e-Mail und wichtige Dienste (Banking, paypal, Steam Sammlung mit 1000 Spielen etc) kein "standard Passwort" haben sondern wenigstens ne Abwandlung davon. Sagen wir mal bei Müll Websites die mir nix bedeuten melde ich mich immer als User Maier123 mit passwort Muell123 an - dann sollte ich wenigstens etwas variieren und auf paypal das Passwort PPMuell123$ verwenden - dann laufen alle üblichen Abfragen per Bot die dumm das Standardpasswort "Muell123" probieren vor den Poller. Idealerweise hat man für jede Seite in noch chwerer zu erratendes Kennwort, also Name der Freundin einbinden oder sowas.


    Firefox und co kann man da auch vertrauen - wenn einer deinen Rechner hackt kann er eh ALLES mitlesen ganz egal wie toll die Passwörter die sind und ob du die speicherst oder nicht, da hast du ganz andere Probleme.

  • Was mich am meisten genervt hat ist als letztes Mal jemand meinen Minecraftaccount gehackt hat. Er hat dann sogar meinen Spielernamen geändert, und das kann man leider nur einmal im Monat machen. Deswegen hatte ich dann auch keine Adminrechte mehr auf meinem Minecraftserver, wie die gehen nach Spielernamen. Gut, ist allerdings auch nur ein Ärgernis. Selbst wenn er damit auf meinem Server kommt, was soll schlimmstenfalls schon passieren? Meine Redstonebahn war schon recht komplex, hätte mich geärgert wenn er die zertrümmert hätte. Oder meine Dorfkirche war schon viel Arbeit. Aber sonst?


    Steamaccount war auch schonmal in fremder Hand, warum da auch immer meine Zweiwegezertifizierung nicht funktioniert hat.


    Recht übel war aber letzte Woche mein Amazonaccount. Auch da hat das mit dem Nachfragen, warum auch immer, nicht funktioniert. Nun habe ich ein Bluetooth Karaokemikrofon mit bunten LEDs und eine LED Ringbeleuchtung. Muss ich noch zurückschicken. Das ist ja auch das bescheuerte. Sie schaffen es zwar meinen Account zu kapern, die Zweiwegezertifikation zu umgehen, schaffen es aber nicht eine andere Lieferadresse anzugeben. Wenn das nicht gewesen wäre hätte ich es wahrscheinlich nicht einmal bemerkt, weil in der Bestellliste stand auch nichts.


    Und das wundert mich immer, das sogar diese doppelte Zertifizierung nicht immer funktioniert. Ich halte es zwar für die beste Sicherheit momentan, aber es muss halt auch funktionieren. Sicherheit liegt also nicht immer in der Hand des Benutzers.

  • wenn einer deinen Rechner hackt kann er eh ALLES mitlesen

    Das passiert aber nur dummen Leuten...


    Wer seinen PC sicher haben will, der informiert sich und passt seine Firewall entsprechend an.

    Ich benutze ZoneAlarm, wie es bei anderen aussieht, keine Ahnung...

    Bei ZoneAlarm kann man einstellen, dass alles was von außen kommt, erstmal gesperrt wird und dann eine Meldung aufpoppt, wo man zustimmen muss, sonst gibts einfach keinen Verkehr.

    Ich fahr so seit 7 Jahren ohne Virus...


    Jedoch gibt es immer wieder Leute, die zu faul für nen einfachen Klick sind, hatte das mal bei nem Freund, alles perfekt eingestellt und der Idiot meinte dass er auf automatisch umstellen muss und zack, hatte er nen Virus, ich war natürlich schuld, hab mit AnyDesk alles abgecheckt und dann kam genau das raus, er hat ner Software mehr vertraut als sich selbst...



    Gibt natürlich noch mehr Sicherheits-Tipps, die man beherzigen sollte.


    Ad-Blocker:

    Ja, ist nicht gern gesehen auf vielen Webseiten, aber schützt auch vor Viren, da man nicht aus Versehen irgendwo hin klicken kann und auf irgendwelchen komischen Seiten landet.


    Script-Blocker:

    Dabei wird wirklich alles geblockt, gibts meines Wissens nach jedoch nicht für Chrome,hier der Link für Firefox.


    Einkauf-Seiten:

    Wenn eine Seite bei Google extrem weit oben gelistet ist, kann man ihr normalerweise vertrauen, wenn man eine Werbung sieht und dort was kaufen will ohne nach der Seite zu googlen, hat direkt verloren...


    Warnung von Google:

    Wenn man eine Seite öffnet, die eine Warnung von Google enthält, sollte man nicht die Details öffnen und auf den Link klicken, der sagt "trotzdem öffnen" (oder so), außer man hat Ahnung davon was man gerade tut (viele denken sie hätten Ahnung, selbst wenn sie keine haben)



    Links aufrufen:

    Um es ganz sicher zu machen, geht man in den Quell-Code und kopiert sich dort den Link und öffnet den dann in nem neuen Tab/Fenster, was aber nur bei HTLM funzt und nicht bei PHP.

    Wenn man einfach nur auf nen Link klickt, ist die Wahrscheinlichkeit, dass man auf der falschen Seite landet, über 0%^^

    • Offizieller Beitrag

    Nach dem ich mein Rechner neu aufgesetzt habe habe ich mein Rechner wie folgt eingerichtet:


    1.Windows Konto mit Administrator rechten. Nur hier ist installieren möglich.


    2.Windows User Konto für meinen Sleepy Account. Hier arbeite ich.


    3.Ich nutze den Brave Browser. Adblocker etc ist aktiviert. Außerdem nutze ich den integrierten Tor Browser. Ich hab Brave nun mehre Wochen getestet.

    Mein Resume:


    Er ist viel viel schneller als Chrome und andere Browser.


    4.Für meine Webseiten Zugänge nutze ich eine lokale verschüsselte Passwort Datenbank. Es werden keinerlei Passwörter gespeichert oder durch AutoFill eingefügt. . Die Datenbank basiert auf einem kleinen Tool "Keepass" (Endlich kein Passwort raten mehr) Bin damit jedenfalls sehr zufrieden. In der Datenbank habe ich auch die direkt Links zu den Anmeldeseiten mit Fav Icons hinterlegt.

    Die Datenbank wird automatisch auf meiner Onedrive Cloud verschlüsselt gespeichert. So kann ich auch mit dem Laptop und Tablet darauf zugreifen.


    5.Ich hab mich dazu entschieden keine externen Firewalls mehr zu verwenden. Ich hatte immer den Eindruck Avira ist selbst die größte Systembremse. Hab nun nur noch die Windows Firewall + den Defender. Mal sehen wie weit ich damit komme :)


    6.Von Google komm ich leider nicht komplett weg, da mir die Suchmaschine für meinen Art Stuff die besten Ergebnisse liefert.


    Für mich war das Thema sehr wichtig, da ich mit meinem alten Weg sehr unwohl gefühlt habe.

  • Naja zum Thema Brave muss ich schon sagen, dass ich eher die Produkte großer Firmen nutze, weil ich mir einbilde die könnten sicherer sein. So nehme ich also Gmail und Firefox und am Handy Chrome und greife nie auf Alternativeres zurück.

    • Offizieller Beitrag

    weil ich mir einbilde

    Interessante Wortwahl :)


    Sicherer in wie Fern ? Google lebt davon deine Daten zu bekommen, dass ist ganz offiziell ihr Geschäftskonzept. Ich denke dass die großen Firmen eher deine Datenweiterverkauft und auch Käufer findet als die Firma die brave entwickelt hat. Was mir vor allem gut gefällt ist die schnelle Geschwindigkeit. Vielleicht liegt es wirklich daran dass brave nicht einfach Daten nach hause versendet.


    Sicherheit spielt eine große Rolle aber aber auch wie stark man Informationen über sich preisgeben muss.