Sicherheit und Passwörter

[Aktienspekulaant]

Wir alle haben ja irgendwo Passwörter, der eine mehr, der andere weniger.

Jetzt gibt es ja immer mal wieder Berichte hier im Forum oder anderswo, dass entweder jemandem etwas abhanden gekommen ist oder dass sich jemand einen Spass daraus macht, Passwörter und Zugangsdaten zu irgendwelchen Anwendungen zu knacken. Einfach weil er es kann., @skunk ist da wohl so jemand. 

Man liest ja auch allenthalben, dass man alle x Monate seine Passwörter ändern soll oder immer bei allen Anwendungen verschiedene Passwörter benutzen soll. Manche sind ja fast schon paranoid und ändern täglich die Passwörter.

Warum eigentlich? Die Sicherheitssysteme vieler, z. B. Banken, halte ich für extrem gut. Z. B. Sparkasse und Commerzbank. Ich habe exakt drei Versuche mit UserID und Pin, um an mein Konto zu kommen. einen 4. Versuch muß ich mit TAN entsperren.  Wenn der auch nicht hinhaut, muß ich zur Sparkasse latschen und mein Konto dort entsperren lassen. D. h. Wenn ich mir nicht einen Keyboard Logger eingefangen habe, hat aus meiner Sicht niemand eine Chance an mein Konto bei der Sparkasse zu kommen. Selbst wenn er mein Konto Nummer kennen würde, was hätte er davon? Er könnte meine Bewegungen auf meinen Konten sehen. Ist zwar vielleicht peinlich, aber er kann nichts machen mit den Daten. Will er überweisen, dann muß er mein Handy haben. ebenso eBay, Paypall, meinem mail- Anbieter.

Also sooo einfach sind die nicht zu knacken in meinen Augen. Die Hürden einiger Betreiber wie z. B. Banken, aber auch PayPal, mein mail-anbieter, eBay sind schon ziemlich hoch. Sooooo einfach sind die nicht knackbar.

Klar bei "unwichtigen" Anwendungen, z. B. Zugang zu meinem Stromanbieter. Den kann von mir aus knacken wer will. Was macht er mit den Infos dann? Gar nix. Oder meinen Zugang zum Forum hier. Wenn das einer knackt, dann kann er Beiträge unter meinem Namen veröffentlichen. Kann er gerne machen.

Was ich sagen will: Wird da nicht ein unnötiger Stress erzeugt?

 

Rainer

[Serpens66]

Erzähl das mal den unzähligen gehackten Usern
Also klar, täglich Passwort ändern ist nicht nötig, aber mind. einmal im Jahr und lange/komplizierte Passwörter nutzen ist schon wichtig.
Wichtiger ist aber, wie du schon andeutest, dass 2FA aktiv ist, also irgendein zusätzlicher Schutz zum Passwort, sei es nun TAN oder Authenticator oder SMS usw.
In 99% der Fälle wo sich jemand in Foren äußert dass seine coins gestohlen wurden, hatte dieser kein 2FA auf dem exchange an, was wiederum verdeutlicht wie schawch der Schutz von Passwörtern ist (denn man liest ja auch fast schon täglich davon, dass hacker irgendwelche DAten von diversen Anbietern geklaut habe,m darunter auch Passwörter, dh egal wie kompliziert das Passwort ist, es ist dann bekannt. Hier hilft dann 2FA und regelmäßig PAsswort wechseln (eben mind. einmal im Jahr, oder wenn so ein Hack einer Seite die man nutzt bekannt wird)

Bearbeitet 12. April 2019 von Serpens66

[Jokin]

vor 43 Minuten schrieb Aktienspekulaant:

Was ich sagen will: Wird da nicht ein unnötiger Stress erzeugt?

Ich glaub auch, dass da ziemlich viel übertrieben wird.

Für meine wesentlichen und relevanten Zugänge habe ich jeweils eigenständige User und eigenständige Passwörter. Ich habe sogar diverse unterschiedliche eMail-Adressen damit ich unterschiedliche Login-Daten habe.

Aber sowas wie Foren-Passwörter, da schenke ich mir die Sicherheit - wer das errät, der hat auch zu diversen anderen Foren Zugang. Das juckt mich jedoch recht wenig 🙂

[battlecore]

Es gibt durchaus Sachen wo es um Geld geht und schon Passwörter geklaut wurden bei den Anbietern. Z.b. Amazon schon mehrmals, ich war da auch mal betroffen. Nutze ich dann nie wieder und fertig.

Solange man sich der Sicherheitsstandards bewusst ist und entsprechend handelt ist man brauchbar gut geschützt.

Also genügend lange und ausreichend komplizierte Passwörter die man sich gut merken kann. Und für die wichtigsten Sachen vor allem unterschiedliche. Einmal im Jahr wechseln.

Ich kann mir Fahrgestellnummern gut merken, also benutze ich solche Zahlen in Passwörtern. Kombiniert mit Phantasiewörtern die ich mir ausdenke. Teilweise auch zusammen mit Liedertexten aus denen ich mir was bastel.

Wer jetzt raten will kanns ja versuchen.

[skunk]

vor einer Stunde schrieb Aktienspekulaant:

Jetzt gibt es ja immer mal wieder Berichte hier im Forum oder anderswo, dass entweder jemandem etwas abhanden gekommen ist oder dass sich jemand einen Spass daraus macht, Passwörter und Zugangsdaten zu irgendwelchen Anwendungen zu knacken. Einfach weil er es kann., @skunk ist da wohl so jemand. 

Die Rechnung ist ganz einfach. Statistisch gesehen sind 60% aller Passwörter unsicher oder bereits bekannt. Aus meiner Sicht erübrigt sich damit jede weitere Diskussion. Die 60% sind ein Fakt, den wir nicht einfach durch Diskussionen reduzieren können.

Ansonsten hatten wir das Thema hier im Forum bereits. Ich habe nicht vor die Argumente zu wiederholen.

[Fantasy]

vor 31 Minuten schrieb battlecore:

Z.b. Amazon schon mehrmals, ich war da auch mal betroffen. Nutze ich dann nie wieder und fertig.

Genau, so schnell sind wir "fertig", ok dann passiert das noch mit Facebook (ist ja relativ unwahrscheinlich ), mit Google (also auch Maps, Youtube uvm.). Microsoft verliert dann auch ein paar Userdaten, später kommt Apple um die Ecke mit ihrem Leck - und nu? Und was willst noch im Internet machen? Hängst dann nur noch auf Wikipedia und ebay rum oder wie?

 

vor 35 Minuten schrieb battlecore:

Also genügend lange und ausreichend komplizierte Passwörter die man sich gut merken kann.

Das Problem an "lang und ausreichend kompliziert" ist dann die stets mühsame Eingabe. Z.B. am Smartphone, am PC. Bei der Arbeit 🙈

Ich bete und hoffe einfach, dass es mich nicht trifft

[Aktienspekulaant]

vor 52 Minuten schrieb skunk:

Die Rechnung ist ganz einfach. Statistisch gesehen sind 60% aller Passwörter unsicher 

Bei mir sind 85%meiner verwendeten Passwörter unsicher. Sportverein,Stromversorger,pizza-Service, etc.etc.überall habe ich benutzerkonten und nutze als passwort: 123456

 Na und?

[skunk]

vor 47 Minuten schrieb Aktienspekulaant:

Bei mir sind 85%meiner verwendeten Passwörter unsicher. Sportverein,Stromversorger,pizza-Service, etc.etc.überall habe ich benutzerkonten und nutze als passwort: 123456

 Na und?

Glückwunsch. Wie gesagt habe ich kein Interesse daran das alte Thema erneut durch zu kauen. Wir hatten das bereits diskutiert. Ob deine Accounts gehackt werden oder nicht, ist mir völlig egal. Da musst du dir was bessere überlegen um mich hinterm Ofen hervor zu locken.

Bearbeitet 12. April 2019 von skunk

[Axiom0815]

Bei Passworten wird es meist unnötig kompliziert gemacht. Sonderzeichen, die keiner auf der Tastatur findet zum Beispiel. 🤦‍♂️

Wichtig sind zufällige Passwörter, die keiner auf Grund von Kenntnis erraten kann.

Gutes Beispiel sind private Keys bei Bitcoin. SN hat seine geschürften Coins schon mehr als 10 Jahren in der Blockchain liegen und jedermann kann zugreifen, wenn er den Schlüssel knackt.

Die Frage nach der Sicherheit eines Passwortes ist damit geklärt.

Die Frage ist, wie man dann mit den sicheren Passwörtern um geht. Verwendet man überall das gleiche?

Schiebt man alle Passwörter in eine "Passwort-Safe", der irgendwo aus dem Internet geladen ist.

Benutz man sie mit unverschlüsselten Leitungen oder gar auf Rechner, die "überwacht" werden?

Hier gibt es genug Fallsticke. Die nicht nur beim User liegen. Auf Server werden Passwörter der User mit alten Hash gespeichert (MD4, MD5...) oder über Spiegelserver geleitet. Hier ist ein großes Diebstahl Potential.

Aber wie schon gesagt, alles schon hinreichend diskutiert. Einfach mal dort nachlesen.

Axiom

[fox912]

Habe die Meinungen bzw. Fähigkeiten von @skunk nicht mit bekommen, aber ich denke ich bin auf seiner Linie, wenn ich sage Passwörter können nicht sicher genug sein!

Ich verwende seit Jahren einen Passwort-Safe (keepass), für mich ein optimaler Kompromiss an Komfort und Sicherheit. Mit automatischer Generierung von Passwörtern ist es mir auch ziemlich egal, was sich da alles an Sonderzeichen rein schwindelt. Meist ersetzte ich noch das ein oder andere Zeichen und aus dem Safe wird dann URL, Benutzer und Passwort kopiert.

Einzig kleiner Nachteil ist bei Passwörtern, die ich auch am Handy o.ä. eintippen muss ... da verringere ich die Komplexität schon.

Bei kritischen Accounts werden Passwörter natürlich auch mal geändert, oder 2FA verwendet (Handy, cardTAN bei Netbanking)

Und wer jetzt sagt, wenn die keepass-Datenbank geknackt wird ... die Datei selbst sitzt nur auf verschlüsselten Datenträgern und kann nur per Passwort + Keyfile geöffnet werden (wenn da jemand knackt, hat er es sich "verdient") ;-)

ps.: passend zum Thema ... matrix.org wurde gehackt ... wer dort registriert ist, sollte das Passwort ändern

[lula]

Spricht etwas gegen den fingerabdruckscan von samsungpass? Ohne davon auszugehen das ich irgendwo besoffen im strassengraben liege und jemand dann auf mein handy will ? 

[Jokin]

vor 1 Stunde schrieb lula:

Spricht etwas gegen den fingerabdruckscan von samsungpass? Ohne davon auszugehen das ich irgendwo besoffen im strassengraben liege und jemand dann auf mein handy will ? 

Solange Du sicherstellst, dass Du niemals Deinen Fingerabdruck verlierst: Nichts.

Also nicht den Finger verlieren, verletzten, auf eine Herdplatte fassen.

... klar kann man auch eine zweite Zugangsart wählen, aber dann braucht man auch den Fingerabdruck-Zugang nicht mehr aus "Sicherheitsgründen".

[Fantasy]

vor 36 Minuten schrieb Jokin:

Also nicht den Finger verlieren, verletzten, auf eine Herdplatte fassen.

Soweit ich weiß, sollte man nicht nur einen einzigen Finger hinterlegen, sondern 2 oder 3.

Die Wahrscheinlichkeit, die komplette Hand zu verlieren ist zwar auch da, aber etwas geringer. Am besten man scannt von jeder Hand zwei Finger dann kann man sich auch nach einer Handverbrennung noch authentifizieren.

Die Frage ist aus meiner Seite nur, wie sicher sind Fingerabdrücke? Was ist, wenn ein vermeintlicher Freund mich auf ein Glas Wein einlädt um während meines Toilettengangs die Fingerabdrücke von meinem Glas abzunehmen?! Ist das eine unbegründete Angst oder sehe ich das richtig, dass heutzutage jeder sich ein Sherlock-Holmes Baukasten zulegen kann und aus vielen Flächen Fingerabdrücke enthemen kann?!

[Jokin]

vor 26 Minuten schrieb Fantasy:

Was ist, wenn ein vermeintlicher Freund mich auf ein Glas Wein einlädt um während meines Toilettengangs die Fingerabdrücke von meinem Glas abzunehmen?!

So einfach ist das nicht.

[Fantasy]

Danke Jokin für die außerordentlich ausführliche Erklärung

[Axiom0815]

vor 3 Stunden schrieb lula:

Spricht etwas gegen den fingerabdruckscan von samsungpass? Ohne davon auszugehen das ich irgendwo besoffen im strassengraben liege und jemand dann auf mein handy will ? 

Fingerabdrücke sind sehr leicht zu fälschen. Und weil Du überall Deine Fingerabdrücke hinterlässt ist es für den Betrüger ein leichtes Spiel.

Dazu kommt noch, dass manche Fingerprint-Software sehr ungenau ist und deshalb immer noch zuerst den User abfragen muss.

Ich persönlich halte es so:
Keine biometrischen Daten als Sicherheits-Key. Wenn Deine Bitcoin mal Millionen wert sind, findet sich auch ein Verbrecher, der Dir die Finger abschneidet. 👆

Axiom

[battlecore]

vor 23 Stunden schrieb Fantasy:

Genau, so schnell sind wir "fertig", ok dann passiert das noch mit Facebook (ist ja relativ unwahrscheinlich ), mit Google (also auch Maps, Youtube uvm.). Microsoft verliert dann auch ein paar Userdaten, später kommt Apple um die Ecke mit ihrem Leck - und nu? Und was willst noch im Internet machen? Hängst dann nur noch auf Wikipedia und ebay rum oder wie?

 

Das Problem an "lang und ausreichend kompliziert" ist dann die stets mühsame Eingabe. Z.B. am Smartphone, am PC. Bei der Arbeit 🙈

Ich bete und hoffe einfach, dass es mich nicht trifft

Da haste allerdings Recht. Für mich trifft das nicht zu, hab keine Microsoft-Produkte da ich ja Linuxer bin, Facebook hab ich nicht, Googleaccount hab ich auch nicht, Apple hab ich auch nix von, mein Handy ist ein älteres Samsung mit einer Prepaidkarte die so alt ist das man sich da noch garnicht verifizieren musste und da hab ich also auch keinen Account, bei meinem regionalen Stromanbieter habe ich auch keinen Onlineacount. Ich habe keinerlei Krams von "sozialen Medien", auch nicht auf dem Handy.

Internet habe ich wegen der Hobbys, Kram bestellen bei Shops usw.

Klar kann man mir da mein Passwort klauen, aber naja, wenn ich sehe das von Paypal ne email kommt oder eine Kontoabbuchung ohne das ichs bestellt habe dann hol ich das Geld zurück. ist ja nicht soo schwer. Und dann weiß ich das ich bei dem Shop wo was bestellt wurde nix mehr bestellen werde. Bei paypal ändere ich dann mein Passwort vorsichtshalber.

 

vor 9 Stunden schrieb Jokin:

So einfach ist das nicht.

Fingerabdruck? Seit wann isn das sicher??

Und für die Detektive, Gegenstand wo der Fingerabdruck drauf ist nehmen, Dazu ein Glas oder sonstwas das man komplett drüberstülpen kann. Dann Sekundenkleber auf einen Teelöffel tropfen und den Gegenstand und Teelöffel zusammen abdecken. Die Lösemittel aus dem Sekundenkleber sammeln sich und kristallisieren an dem Fett- und Feuchtigkeitshaltigen Fingerabdruck. Diesen kann man dann wenn er trocken ist einfach mit Tesafilm abnehmen, Tesa gleichmässig und vorsichtig draufmachen, gut andrücken und dann vorsichtig abziehen.

Schon hat man einen super haltbaren dauerhaften Fingerabdruck der auf jedem Gerät funktioniert. Wenn der Scanner auch Wärme registriert dann muss man halt etwas länger mit dem Finger draufdrücken bis die Wärme auch das Tesa erwärmt hat.

[lula]

@battlecore wenn du irgendwann mal durch einen heiligen zufall in meine nähe kommst, schneid ich mir die finger selbst ab und steck sie in ein tresor mit iris und gesichtsscann, hitzebeständig und mit titaniumstahldiamantpfeiler in 100 meter tiefe gerammt

[Jokin]

... während Ihr hier diskutiert zeichnen Millionen von Samsungnutzern ein "L" in neun Punkte.

Und sind trotzdem nicht gehackt worden.

Der Grundfehler ist doch, dass bei der Frage "wie sicher ist etwas?" 99% der Menschen im Wesentlichen auf die ersten drei Wörter konzentrieren.

Ich konzentriere mich im Wesentlichen auf das letzte Wort "etwas". Wenn ich "etwas" mit nahezu keinem Wert versehe, muss ich mir weit weniger Gedanken über dessen Sicherheit machen.

Wie "etwas" nahezu wertlos wird? Tarnen, Täuschen, Teilen ...

... wie passend zu Ostern

 

[skunk]

Finger abschneiden? Das ist nun wirklich nicht notwendig. Ich würde fast Wetten die hälfte der hier anwesenden hat irgendwo im Internet ein Foto veröffentlicht auf dem die Innenseite der Hand zu sehen ist. Die Bilder haben inzwischen eine so gute Auflösung, dass man damit auch den Fingerabdruck hat. Mehr zu dem Thema gibt es hier: 

 

 

[battlecore]

vor 45 Minuten schrieb skunk:

Finger abschneiden? Das ist nun wirklich nicht notwendig. Ich würde fast Wetten die hälfte der hier anwesenden hat irgendwo im Internet ein Foto veröffentlicht auf dem die Innenseite der Hand zu sehen ist. Die Bilder haben inzwischen eine so gute Auflösung, dass man damit auch den Fingerabdruck hat. Mehr zu dem Thema gibt es hier: 

 

 

Du wirst staunen...von mir gab es nie Fotos, digital sowieso nicht.

Aber für meinen neuen Perso gibts eines. Schade, gibts wohl nicht mehr anders.

[Axiom0815]

Am 13.4.2019 um 12:25 schrieb Jokin:

So einfach ist das nicht.

https://www.iphone-ticker.de/video-ccc-beschreibt-fingerabdruck-nachbau-schritt-fuer-schritt-54548/

Und die Jungs vom CCC machen es noch etwas umständlich mit Leiterplatte ätzen. 🤦‍♂️

Wer das heute schnell machen will, druck nach Photoshop mit einen Laser auf Folie. Das "Relief" reicht völlig, um ein Abdruck zu erstellen.
Und wer mag kann im Kaufhaus in der Kinderabteilung ein "Kriminalkoffer"  kaufen. Dort wird für Kinder gezeigt, wie man Fingerabdrücke "ab abnimmt", wenn man nicht gerade ein Glas Wein zusammen getrunken hat.

Macht aber kaum noch einer, weil fast jeder Fingerabdruck in der behördlichen Datenbank (Perso, Pass,..) gespeichert sind.
Okay, der Datenschutz ist "etwas hinderlich". Aber Deutschland tausch ja seine Daten (Terrorabwehr) mit aller Welt. 
 

Axiom

[skunk]

vor 3 Stunden schrieb battlecore:

Du wirst staunen...von mir gab es nie Fotos, digital sowieso nicht.

Aber für meinen neuen Perso gibts eines. Schade, gibts wohl nicht mehr anders.

Nein das wäre keines der Foto die man dafür nutzen könnte. Es wird nicht in der notwendigen Auflösung gespeichert und die Innenseite der Hand fehlt. Mir wäre jedenfalls neu, dass du dabei in die Kamera winken darfst  

[Aktienspekulaant]

vor 8 Minuten schrieb skunk:

Nein das wäre keines der Foto die man dafür nutzen könnte. Es wird nicht in der notwendigen Auflösung gespeichert und die Innenseite der Hand fehlt. Mir wäre jedenfalls neu, dass du dabei in die Kamera winken darfst  

Der war wirklich gut! 🙂 🙂 🙂

 

[battlecore]

Es ging mir natürlich um allgemeine Fotos

Wo wir bei der Sicherheit sind, es wird alles nutzlos wenn man als Kryptowährungs-Benutzer mal pauschal als "unangenehm" gesehen wird:

https://www.strafakte.de/gesetzgebung/passwort-beugehaft/

Warscheinlich wird sich auch jeder Terrorist total beeindrucken lassen mit Beugehaft in ner deutschen Zelle.