Passwort Sicherheit

Einfach ein sicheres Passwort für das E-Mail-Konto verwenden und dieses Passwort auf keiner anderen Seite verwenden.

+ 2FA und man sollte auf der sicheren Seite sein.

(Solange man auf einer seriösen Seite sein E-Mailkonto hat :P)

EDIT: Ja, geht irgendwie an der Prämisse vom Thema vorbei, aber das Szenario ist halt unter den von mir genannten Gegebenheiten unrealistisch)

EDIT2: Anders formuliert:

Ja, in einem solchen Szenario hätte man eventuell einen hohen Schaden, aber solange der E-Mail-Anbieter vernünftige Sicherheit bietet (Salted + Hashed PW und HTTPS) und man sein sicheres Passwort nur da verwendet, dann ist man gut gegen klassische SQL-Attacken und Bruteforce geschützt. Zusaätzlich kann man sich gegen alles (inklusive Phishing / Keylogger) mit guter 2FA schützen.

Wenn man sich sein Passwort merken kann oder ein PW-Manager mit Hauptpasswort verwendet ist man auch gegen Leute geschützt, die physisch Zugang zu deinen Endgeräten haben (solange man das Hauptpasswort nicht auch auf dem Rechner hat)

Naja, was sollte in deinem Szenario denn jemanden daran hindern deine extra e-Mailadresse herauszufinden, denn offensichtlich ist dein Computer dann ja bereit gekapert.

Zwei Wegauthentifizierung ist da schon ganz gut. Wenn ich zum Beispiel auf Amazon etwas bestelle, und entsprechend auf bezahlen gehe, kriege ich zum Beispiel eine SMS und muss den Zugriff erst genehmigen.

Funktioniert recht gut. Auch wenn jemand mein Passwort ändern will oder was auch immer, muss ich das immer wieder genehmigen.

Eine weitere gute Möglichkeit, die sehr ähnlich ist, müsste aber entsprechend von den Anbietern der Webseiten bereitgestellt werden, wäre zum Beispiel eine SMS-TAN. Dass du jedes Mal, wenn du eine relevante Aktion machst, dir eine TAN zugeschickt bekommst, welche du dann eingeben musst.

Nachteil würde dann lediglich sein, falls dein Handy mal leer ist, kaputt oder was auch immer, dann ist halt Pech für dich.

Zitat von Sleepy

Bei meiner Bank ist die App durch ein Passwort geschützt. Ich müsste App neu runterladen und mich dann erneut einloggen.

Wenn dein Handy leer oder anderweitig kaputt ist? Na du hast ja ein spannendes Handy.

Zitat von Tomarr

Zwei Wegauthentifizierung ist da schon ganz gut. Wenn ich zum Beispiel auf Amazon etwas bestelle, und entsprechend auf bezahlen gehe, kriege ich zum Beispiel eine SMS und muss den Zugriff erst genehmigen.

Funktioniert recht gut. Auch wenn jemand mein Passwort ändern will oder was auch immer, muss ich das immer wieder genehmigen.

So mach ich das auch, z.B. mit SMS, Mail oder Google-Authenticator.

Zitat von Tomarr

Eine weitere gute Möglichkeit, die sehr ähnlich ist, müsste aber entsprechend von den Anbietern der Webseiten bereitgestellt werden, wäre zum Beispiel eine SMS-TAN. Dass du jedes Mal, wenn du eine relevante Aktion machst, dir eine TAN zugeschickt bekommst, welche du dann eingeben musst.

Ist bei Google glaub ich möglich, zumindest hab ich ne Seite mit 10 Codes ausgedruckt, falls einer mal mein Google-Konto hackt, was ziemlich unwahrscheinlich ist, kann ichs einfach mit einem der Codes zurück holen.

Wenn man Google Chrome benutzt und sich irgendwo anmeldet, kann man auch einfach das vorgeschlagene Passwort verwenden:

Bis das Passwort einer rausfindet ... viel Spaß^^

Zitat von Butter Fly Games

Wenn man Google Chrome benutzt und sich irgendwo anmeldet, kann man auch einfach das vorgeschlagene Passwort verwenden:

Diese Funktion gibt es bei Firefox auch.

Allerdings ist da wiederum die Frage ob es zu haken ist oder nicht, wie entsprechende Seite die Passwortabfrage gestaltet ist. Wenn sie einen Effektiven Bruteforcingschutz hat, dann ist es natürlich gut. Wenn sie keinen hat ist es nur eine Frage der Zeit, noch nicht einmal sonderlich lange, bis das Passwort gefunden ist. Also wenn man wirklich im Millisekundentakt da Passwörter reinballern kann, dann ist das kein Problem.

Das war glaube ich mein erstes oder zweites Hackerprogramm das ich Ende der 80er, Anfang der 90er geschrieben habe. Damals hatte ich ein Programm geschrieben, um geschützte ZIP-Dateien zu knacken. Man musste nur die Minimum- und Maximumlänge des Passwortes eingeben, einstellen ob auch Zahlen und/oder Sonderzeichen getestet werden sollen, und schon wurde alles ausprobier. Sagen wir mal von einer Minimumlänge 3 und Maximumlänge 8, nur Buchstaben, hat er dann bei aaa angefangen und bis ZZZZZZZZ alles durchgelaufen. Damals hatte ich einen 386er mit Coprozessor und im Schnitt brauchte ich für ein Passwort 3-4 Tage bis er es hatte. Ich nehme mal an, dass es mit heutigen Rechnern auch schneller geht.

Aber das ist eben halt auch das Problem dabei. Du kannst noch ein so sicheres Passwort haben. Wenn die Webseite, oder Software, keine geeigneten Schutzmaßnahmen hat um vor Bruteforcing zu schützen, und das sind noch immer sehr viele, oder wenn die Webseitenbetreiber die Passwörter sogar unverschlüsselt speichern, dann nützen selbst die sichersten Passwörter nicht viel.

Weil eins dürfte klar sein. Egal für wie sicher du ein System hältst, solange es für andere erreichbar ist, ist es auch angreifbar. Es muss halt nur jemand mit der richtigen Idee kommen.

Die einzigen Seiten, für die bei mir die Sicherheit an erster Stelle steht, sind Google, meine Bank, Epic, Instagram, Aktien, P2P und vor allem Steam.

Alle von denen sind 2-Faktor gesichert^^

Der Rest ist mir ziemlich egal, wenn ich was bestelle, dann nur mit Bank-Zahlung und da muss ich ne TAN eingeben, von Paypal bin ich schon seit über 1 Jahr weg, hat mich angekotzt, dort immer wieder Geld drauf laden zu müssen um etwas kaufen zu können, geht über Sofortüberweisung / Giropay schneller und ist auch sicherer, das Geld bei Paypal kann jederzeit von anderen abgeschöpft werden, da es nicht bei meiner Bank liegt^^

Wobei natürlich auch ne Bank gehackt werden kann, aber da hat man überhaupt keine Kontrolle...

Wenn sie gehackt wird, sind mehrere Konten leer, gibt zwar ne Absicherung, aber die geht meistens nur bis 100.000€, wenn man also Millionär oder gar Milliardär ist und das Geld nicht angelegt ist, hat man die Arschkarte schlechthin, hehe

Foren sind mir sowieso egal...

1. Wer hackt nen Foren-Account?
2. Kann ich ganz einfach nen neuen Account erstellen...

Ich glaube man muss jetzt mal zwischen "mein account auf irgendeiner Müll webseite wurde gehackt" und "mein eigener PC wurde gehackt" unterscheiden.

Es kam in der Vergangenheit immer wieder mal vor daß auch Accounts von recht grossen Websites gehackt wurden - so wurde auch 2012 mal linkedin gehackt. Aber in 2020 sind die allermeisten grösseren Seiten schon verdammt sicher - sprich selbst wenn da was gehackt wird kann man heute nicht mehr einfach die Passwörter aus billigen hashes zurückgenerieren.

Und selbst wenn das passiert - man sollte für e-Mail und wichtige Dienste (Banking, paypal, Steam Sammlung mit 1000 Spielen etc) kein "standard Passwort" haben sondern wenigstens ne Abwandlung davon. Sagen wir mal bei Müll Websites die mir nix bedeuten melde ich mich immer als User Maier123 mit passwort Muell123 an - dann sollte ich wenigstens etwas variieren und auf paypal das Passwort PPMuell123$ verwenden - dann laufen alle üblichen Abfragen per Bot die dumm das Standardpasswort "Muell123" probieren vor den Poller. Idealerweise hat man für jede Seite in noch chwerer zu erratendes Kennwort, also Name der Freundin einbinden oder sowas.

Firefox und co kann man da auch vertrauen - wenn einer deinen Rechner hackt kann er eh ALLES mitlesen ganz egal wie toll die Passwörter die sind und ob du die speicherst oder nicht, da hast du ganz andere Probleme.

Was mich am meisten genervt hat ist als letztes Mal jemand meinen Minecraftaccount gehackt hat. Er hat dann sogar meinen Spielernamen geändert, und das kann man leider nur einmal im Monat machen. Deswegen hatte ich dann auch keine Adminrechte mehr auf meinem Minecraftserver, wie die gehen nach Spielernamen. Gut, ist allerdings auch nur ein Ärgernis. Selbst wenn er damit auf meinem Server kommt, was soll schlimmstenfalls schon passieren? Meine Redstonebahn war schon recht komplex, hätte mich geärgert wenn er die zertrümmert hätte. Oder meine Dorfkirche war schon viel Arbeit. Aber sonst?

Steamaccount war auch schonmal in fremder Hand, warum da auch immer meine Zweiwegezertifizierung nicht funktioniert hat.

Recht übel war aber letzte Woche mein Amazonaccount. Auch da hat das mit dem Nachfragen, warum auch immer, nicht funktioniert. Nun habe ich ein Bluetooth Karaokemikrofon mit bunten LEDs und eine LED Ringbeleuchtung. Muss ich noch zurückschicken. Das ist ja auch das bescheuerte. Sie schaffen es zwar meinen Account zu kapern, die Zweiwegezertifikation zu umgehen, schaffen es aber nicht eine andere Lieferadresse anzugeben. Wenn das nicht gewesen wäre hätte ich es wahrscheinlich nicht einmal bemerkt, weil in der Bestellliste stand auch nichts.

Und das wundert mich immer, das sogar diese doppelte Zertifizierung nicht immer funktioniert. Ich halte es zwar für die beste Sicherheit momentan, aber es muss halt auch funktionieren. Sicherheit liegt also nicht immer in der Hand des Benutzers.

Zitat von kyodai

wenn einer deinen Rechner hackt kann er eh ALLES mitlesen

Das passiert aber nur dummen Leuten...

Wer seinen PC sicher haben will, der informiert sich und passt seine Firewall entsprechend an.

Ich benutze ZoneAlarm, wie es bei anderen aussieht, keine Ahnung...

Bei ZoneAlarm kann man einstellen, dass alles was von außen kommt, erstmal gesperrt wird und dann eine Meldung aufpoppt, wo man zustimmen muss, sonst gibts einfach keinen Verkehr.

Ich fahr so seit 7 Jahren ohne Virus...

Jedoch gibt es immer wieder Leute, die zu faul für nen einfachen Klick sind, hatte das mal bei nem Freund, alles perfekt eingestellt und der Idiot meinte dass er auf automatisch umstellen muss und zack, hatte er nen Virus, ich war natürlich schuld, hab mit AnyDesk alles abgecheckt und dann kam genau das raus, er hat ner Software mehr vertraut als sich selbst...

Gibt natürlich noch mehr Sicherheits-Tipps, die man beherzigen sollte.

Ad-Blocker:

Ja, ist nicht gern gesehen auf vielen Webseiten, aber schützt auch vor Viren, da man nicht aus Versehen irgendwo hin klicken kann und auf irgendwelchen komischen Seiten landet.

Script-Blocker:

Dabei wird wirklich alles geblockt, gibts meines Wissens nach jedoch nicht für Chrome,hier der Link für Firefox.

Einkauf-Seiten:

Wenn eine Seite bei Google extrem weit oben gelistet ist, kann man ihr normalerweise vertrauen, wenn man eine Werbung sieht und dort was kaufen will ohne nach der Seite zu googlen, hat direkt verloren...

Warnung von Google:

Wenn man eine Seite öffnet, die eine Warnung von Google enthält, sollte man nicht die Details öffnen und auf den Link klicken, der sagt "trotzdem öffnen" (oder so), außer man hat Ahnung davon was man gerade tut (viele denken sie hätten Ahnung, selbst wenn sie keine haben)

Links aufrufen:

Um es ganz sicher zu machen, geht man in den Quell-Code und kopiert sich dort den Link und öffnet den dann in nem neuen Tab/Fenster, was aber nur bei HTLM funzt und nicht bei PHP.

Wenn man einfach nur auf nen Link klickt, ist die Wahrscheinlichkeit, dass man auf der falschen Seite landet, über 0%^^

Naja zum Thema Brave muss ich schon sagen, dass ich eher die Produkte großer Firmen nutze, weil ich mir einbilde die könnten sicherer sein. So nehme ich also Gmail und Firefox und am Handy Chrome und greife nie auf Alternativeres zurück.

Empfehle dir noch eine VirtualBox mit einer LinuxDistri.

Lohnt immer