Password geklaut?

[rootie]

Aha du hast sie geprüft? Wie denn? Auf welche Kriterien hin? Kannst Du garantieren, dass mit den Daten kein Schindluder getrieben wird? *kopf* -> *tisch*

 

[FlyingDucman]

Eine m. M. n. auch relevante Frage ist auch, welche Art von E-Mail Adresse man nutzt.

Nutzt du sie auch für andere Dinge ?

Hast du sie vielleicht irgendwann mal in eine dubiose Maske eingegeben oder dich für irgendwelche Newsletter angemeldet etc. ?

Denn ich vermute Mal, umso "verbreiteter" die Mail im Netz ist, desto größer die Chance zum Ziel zu werden.

Deswegen habe ich für verschiedene Dinge, explizite E-Mail Adressen.

Zugegeben, es sind mittlerweile 8 Stück oder so, aber je nach Relevanz muss ich die nicht alle immer in Echtzeit kontrollieren, bei manchen reicht 1 Mal pro Monat.

Die wichtigsten dann halt per Push.

 

[yangyang88]

Aha du hast sie geprüft? Wie denn? Auf welche Kriterien hin? Kannst Du garantieren, dass mit den Daten kein Schindluder getrieben wird? *kopf* -> *tisch*

Mit geprüft meine ich, dass die Seite erstmal auf Web of Trust eine gute Bewertung hat, auf mehreren großen Internetseiten verlinkt wurde (kann später nochmal nachschauen welche genau es waren), und ich auch so keine negativen Berichte gefunden habe.
Schließlich hat der Ersteller der Seite von Microsoft eine Communityauszeichnung erhalten, was ja wohl kaum passieren würde, wenn er die Daten für dubiose Zwecke misbrauchen würde.
Und nein, natürlich kann ich das nicht garantieren, aber erstens ist die Mailadresse wohl auch durch genügend andere Quellen verfügbar, und zweitens bestehen die "Daten" nur aus der Mailadresse.
Heißt das, dass der Ersteller der Seite versucht, tausende Mailadressen durch Brute-Force zu hacken?

 

[Farafan]

Oh, das sind natürlich Referenzen.

Weißt du ob die Bewertungen echt sind? Weißt du wie alt diese sind? Weißt du von wann der Datenbestand ist?
Alles in allem wie soll dann eine solche Seite eine seriöse Bewertung von gehackt/ nicht gehackt abgeben?

Und wer garantiert dir das der Seitenbetreiber sich nicht über jede geprüfte Adresse freut und diese Morgen an Spam-Versender verkauft?

 

[yangyang88]

Oh, das sind natürlich Referenzen.

Weißt du ob die Bewertungen echt sind? Weißt du wie alt diese sind? Weißt du von wann der Datenbestand ist?
Alles in allem wie soll dann eine solche Seite eine seriöse Bewertung von gehackt/ nicht gehackt abgeben?

Und wer garantiert dir das der Seitenbetreiber sich nicht über jede geprüfte Adresse freut und diese Morgen an Spam-Versender verkauft?

Garantieren, dass die Bewertungen echt sind, kann ich natürlich nicht, aber die Tatsache, dass die Bewertungen positiv sind ist schon einmal ein gutes Zeichen.
Außerdem habe ich die Seite mit einem Mailaccount überprüft, von dem ich weiß, dass Daten vor einigen Jahren bei Adobe gehackt wurden (was die Seite bestätigen konnte).

Kann gut sein, dass der Seitenbetreiber die Daten verkauft (auch wenn ich persönlich das nicht glaube), aber wenn der Verdacht besteht, dass ein Mailaccount gehackt wurde, würde das für mich Vorrang nehmen.
Wie gesagt, ist natürlich jedermans eigene Entscheidung, ob er das prüfen will oder nicht.
Ich war nur der Meinung, dass es hilfreiche wäre, diese Möglichkeit zu zeigen.

 

[Farafan]

Die beste Sicherheit hast du wenn du regelmäßig deine Passworte änderst und die bereits beschriebenen Sicherheitsregeln konsequent beachtest.
Niemals vergessen: Eine Kette ist nur so stark wie ihr schwächstes Glied.

Ein einziger unsicherer Login kann genügen um deinen Account zu kompromittieren. Hier muss Sicherheit eindeutig vor Bequemlichkeit gehen. Irgend etwas scheint im Umlauf zu sein wenn man die Posts hier im Forum aufmerksam liest.
Aber es scheint schon einmal nichts Apple-spezifisches zu sein. Ich kenne einige Firmen die zur Zeit ebenfalls Sicherheitsprobleme haben und die arbeiten weitestgehend auf sehr sicheren Systemen.

Irgendwo und irgendwie werden zur Zeit massiv Login-Daten abgefischt.

 

[echo.park]

Die beste Sicherheit hast du wenn du regelmäßig deine Passworte änderst [...]

Hier kann man geteilter Meinung sein. Ich handhabe es so, dass ich Passwörter nur dann ändere wenn es einen Verdacht auf Kompromittierung gibt.

Alles andere halte ich für mehr oder weniger witzlos. Man ändert ein Passwort alle drei Monate und schon einen Tag nach der letzten Änderung geschieht ein Leak, was hat das dann gebracht? Bis zur nächsten Änderung in drei Monaten ist der Käse gegessen.

Noch dazu kann eine zu häufige Änderung dazu führen, dass man beim Erstellen eines Passwortes nachlässig wird, weil man sich immer wieder etwas Neues "ausdenken muss", sofern keine Software wie 1Password das erledigt.

 

[Farafan]

Sofern keine Software wie 1Password das erledigt.

Meine Meinung zu diesem tollen Stück Software habe ich hier schon häufig kund getan.

Sorry, aber das ist und bleibt ein zusätzlicher Einfallsvektor für Angriffe. Da ist der unter den Schreibtisch geklebter Zettel mit den Passwörtern noch dramatisch ungefährlicher.

 

[echo.park]

Absolut. Ich nutze Stift und Papier. Kein Witz. Problem nur wenn die Bude abfackelt, dann gibt es eine Zurücksetzungs-Orgie.

 

[querendus]

Die beste Sicherheit hast du wenn du regelmäßig deine Passworte änderst und die bereits beschriebenen Sicherheitsregeln konsequent beachtest.

Hier bin ich nicht ganz deiner Meinung - ich denke es ist besser, man hat für jeden Dienst ein eigenes, langes und starkes Passwort zu verwenden: einen Hash (Passwörter sollten als salted hash gespeichert werden) eines 16 oder 24 stelligen Passwortes (das man irgendwo mit einem Passwortmanager sichert) zu berechnen dauert einfach länger als von einem 6 oder 8 stelligem Passwort.
Ich hab derzeit circa 400 Passwörter für Forenaccounts, Logenseiten und was weiß ich für Webseiten bei mir herumliegen, da komme ich mit dem Wechseln nicht mehr nach ... besonders da ich mir das eine oder andere auch merken sollte ...

 

[rootie]

400? Vierhundert? Vier - Hundert? V.i.e.r.h.u.n.d.e.r.t? Hast Du eigentlich auch ein Offline-Leben?

 

[Farafan]

Passwortmanager

sichert

Da waren sie wieder, die beiden bösen Worte.

Wieso erhöht ein gespeichertes Passwort die Sicherheit? Passworte dürfen nicht gespeichert werden nach den AGB von fast allen Anbietern. Nicht in Stein gemeißelt, nicht per Graffiti auf die Schrankwand und auch erst recht nicht auf der Festplatte.
Nein, auch nicht verschlüsselt.

Passworte gehören ausschließlich in die weiche, graue Masse zwischen den beiden Ohren. Sonst nirgendwo hin.

 

[FlyingDucman]

Gut, da muss ich auch beichten.

Nutze auch 1Password, bei der Komplexität mancher PW und die schiere Anzahl derer, könnte ich mir die nie merken.

Dafür synchronisiere ich nur lokal. Nicht per Dropbox/iCloud oder ähnliches.

 

[Farafan]

Ich finde es nach wie vor doch ein wenig todesmutig sein gesamtes digitales Leben einer App eines kanadischen Herstellers anzuvertrauen.
Wenns da einmal kracht, dann aber richtig. Dann kann man sich 2 Wochen Urlaub nehmen um alle Accounts wieder geradezubiegen. Und den finanziellen Schaden nimmt einem wegen grober Fahrlässigkeit kein Mensch und auch keine Firma AgileBits ab.

 

[rootie]

Man muss den Passwort-Container nicht im Internet haben. Blocken in der Firewall, nur WLAN-Sync und gut isses.

 

[Farafan]

Firewall = Placebo.
1password = gespeicherte Passworte, egal wo auch immer = grobe Fahrlässigkeit.

Letztere Rechnung wird man dann schon aufgemacht bekommen wenn jemand auf fremde Rechnung einkaufen gegangen ist.

 

[rootie]

Ist mir bis dato noch nicht passiert Hab ich da jetzt nur Glück gehabt?

 

[FlyingDucman]

Ja, ich bin mir durchaus bewusst, dass ich Sicherheit aufgrund von Gemütlichkeit aufgebe.

Mir ist aber noch keine praktikablere Möglichkeit eingefallen.

Alles auswendig lernen ? Bei über 50 Logins mit Buchstaben/Zahlen/Zeichen Kombinationen für mich unmöglich.

Stift und Papier zu unpraktisch.

 

[querendus]

Naja, ein Passwortmanager kann auch ein Heft sein in die man alle Passwörter reinschreibt - da sichert man sie auch. Sie sollten halt nicht vergessen werden. - und immer dann dabei sein, wenn man sie braucht.
Für mich als Systemadministrator & Applikationsbetreuer ist das so nicht möglich - da hab ich meinen verschlüsselten Container mit Passwörtern, die auf einem verschlüsselten Drive liegen und mit einem einfachem Programm geöffnet werden ... nicht 100% sicher, funktioniert aber und ich hab seit dem selten ein Passwort nicht mehr auffinden können ...
Und nur mit Keys zu arbeiten geht leider auch nicht ...

 

[KALLT]

Ich finde es nach wie vor doch ein wenig todesmutig sein gesamtes digitales Leben einer App eines kanadischen Herstellers anzuvertrauen.

Und worauf speicherst du dein gesamtes digitales Leben? Ich hoffe doch nicht auf dem Gerät und der Software eines amerikanischen Herstellers...

Firewall = Placebo.
1password = gespeicherte Passworte, egal wo auch immer = grobe Fahrlässigkeit.

Letztere Rechnung wird man dann schon aufgemacht bekommen wenn jemand auf fremde Rechnung einkaufen gegangen ist.

Welche Lösung schlägst du denn vor? Das mit dem Papier war hoffentlich ironisch gemeint. Von allen Optionen ist ein Kennwortverwalter für mich das kleinste Risiko. 1Password kann man auch offline im Browser nutzen, auch wenn die App nicht installiert ist. Man kann sich das Programm außerdem außerhalb des App Stores kaufen und als Backup sichern für den Fall der Fälle.