Sicherheitskonzept für Windows

[Mantora]

Da wir uns ja gerne mal auf unsicherem Terrain bewegen, hier mal ein leicht umsetzbares aber umfassendes Sicherheitskonzept. Schließlich bringt auch das beste Wallet nichts, wenn der eigene Computer ein Schädlingsmagnet ist.  Vor einiger zeit sind mal auf einen schlag 65 meiner PW´s darunter auch paypal oder amazon in umlauf geraten. Glaubt mir wenn euch sowas mal passiert ist Schluss mit lustig^^ Ich habe diese Tipps damals von einem Fachmann bekommen und sie haben mir bis heute klasse Dienste geleistet.

Seiten wie zb. Cointiply sind zwar rentabel für gratis BTC, stecken aber dennoch voller Viren mehr zu Cointiply hier -link-

Wer alle Punkte abhaken kann, darf sich offiziell Sicher fühlen. Grundsätzlich sei aber gesagt, VORHER erstmal System aufräumen und sauber machen!  

Windows 
UAC (Benutzerkontensteuerung) auf Maximum, auch wenn es lästig ist
Weniger ist mehr, nicht gebrauchtes entfernen (Programme)
Keine unsicheren Programme wie Acrobat Reader usw. - Alternativen verwenden
Immer alles aktuell halten (Windows / Programme)
Windows-Explorer/Ansicht/Optionen - Bekannte Erweiterungen einblenden
Programme immer aus sicheren Quellen und benutzerdefiniert installieren

Email 
Ich verwende Thunderbird, weil mir der am sichersten und aufgeräumt vorkommt. Wenn man ein paar Grundregeln beachtet, dann ist der Email-Client aber mehr oder weniger Geschmachssache.
Nur Text-Modus. Für unlesbare Mails vereinfachtes HTML einschalten. Ich habe dafür die Erweiterung "Allow HTML Temp".
Kein Javascript (ist beim TB Standard)
Keine Anhänge öffnen, besonders Mails von Freunden Bekannten usw. sind als
besonders unsicher einzustufen.
Nicht dazu verleiten lassen auf Webseiten zu gehen und dort Login-Daten udgl. einzugeben. Niemals!

Wenn möglich verlinkte url`s immer manuell eingeben

Browser
Firefox oder Brave (wie Chrome auf Chromium-Basis, aber Open Source) ist per se sicherer als Chrome, hat auch weniger Sicherheitslücken
Empfohlene Erweiterungen für die Surfsicherheit in uBlock Origin (uBO), am besten im erweiterten Modus (unkomfortabel**), First Party Isolation, Decentraleyes
Zusätzliche Filterlisten aktivieren: alle uBlock-eigene Filterlisten, Dan Pollock’s hosts file, MVPS Hosts, Peter Lowe’s Ad and tracking server list. Die Fanboy-Listen am besten ausschalten, die sind zu fett und haben zu viele Ausnahmen.
alle Belästigungen, außer Fanboys.
Einstellungen/Datenschutz und Sicherheit: Trackingschutz auf schärfste Stufe einstellen
Überprüfungen auf schädliche Seiten und Downloads ausschalten.
Ich arbeite viel mit Lesezeichen oder tippe Adressen direkt ein. Keine Passwörter im Browser speichern, egal in welchem. Dafür habt ihr einen Safe!

Und das wichtigste kommt zum Schluss:

Passwörter:

Hier werde ich nun etwas ausführlicher

Die meisten haben das sicher schon öfter gelesen, aber das Thema Passwörter ist mit der wichtigste Punkt in Sachen Sicherheit. Wenn ihr bei diesem Thema nachlässig seid, könnt ihr alles andere auch gleich vergessen! Eure Antiviren Programme und alle anderen Bemühungen sind sinnlos, wenn eure Passwörter Mist sind oder ihr immer die selben benutzt! Also lasst euch darauf ein eure Gewohnheiten zu verändern. Ich gebe euch einen einfachen Schlüssel mit auf den Weg. Es ist gerade mal um rund 20% uncomfortabler als immer das gleiche einfache pw im Browser einzuspeichern, dafür um locker 200% sicherer.

Zur einfacheren Verwaltung von Passwörtern nutzt ihr am besten einen Password Safe. Ich empfehle 1password da dieser besonders hohe Sicherheitsstandards an sich selber stellt, er in den Browser mit eingebunden werden kann und sehr günstig ist. Er dient nicht nur als sichere Verwahr und Verwaltungsstation für all eure Passwörter sondern auch als Ersatz für die Browserfunktion „Passwörter speichern“.

Am besten nutzt ihr jedes Passwort immer nur 1 mal. Natürlich WÄRE das lästig und kaum zu bewältigen, aber mit einem Passwortsafe kein Problem

Optimale Passwörter setzen sich zusammen aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen und sollten darüber hinaus noch leicht zu merken sein. Dies gelingt am besten mit l33d sp34k

Ein Beispiel

Ist dein Vorname Nikolai und der Name deiner Frau Carola und euer Hochzeitstag ist der 24.05 könnte dies euer Passwort sein:

N1k0l41+C4r0l42405!

Solche Passwörter kannst du dir endlos viele ausdenken sie sind zwar nicht super sicher, aber definitiv besser als hallo1 oder sowas. Am bestenr du generierst mit 1passwort einfach immer ein neues zufälliges pw das sind die besten  und du musst dich an keines davon beim Einloggen erinnern, weil das 1password für dich macht. Der Safe läuft nämlich mit einem Masterpassword, durch das du den Safe freigibst wenn du ein pw brauchst. Um an alle deine pw´s ranzukommen musst du also nur 1 wissen.

Edit: ggf. kann man noch nen Dongle als zusätzlichen Schlüssel neben dem Masterpasswort verwenden

Antivirus & Co.: Wenn, dann Nod32

Nun ja eigentlich braucht ihr hier gar keins, da inzwischen die von Windows mitgelieferte defender Software ganz gut ist und wenn ihr euch an die oben aufgeführten Schritte haltet zumindest teilweise, sollte euch der defender erst recht genügen.

Eines muss jedem bewusst sein. Beinahe jedes Antivirus Programm bringt mehr Sicherheitslücken mit als es schließen kann. Da gibt es eigentlich nur 2 Ausnahmen. Der vorinstallierte Windows defender und Nod32 von Eset.

Wenn es also noch ein Antivirus Programm sein soll, dann eines von Eset. Diese sind extrem gut und bringen vergleichsweise selbst sehr wenig Sicherheitslücken mit und bieten umfassenden Schutz sowie tiefgehende Scanmöglichkeiten.

Kombinieren kann man das prima mit Malwarebytes, was aber kein muss ist. In der Krypto Welt allerdings kann es sicherlich nicht Schaden 😉

 

-zusätzliche Links entfernt-

Bearbeitet 28. Mai 2021 von Mantora

[Cricktor]

vor 2 Stunden schrieb Mantora:

N1k0l41+C4r0l42405!

L33t $p34k allein ist absolut untauglich, dafür hat jeder gescheite Passwort-Knacker schon fertige Regeln bis zum Abwinken. Und dein Beispiel mit dem Hochzeitstag ist besonders für Leute, die jeden Furz ins Fratzenbuch posten, schneller erratbar, als man F*** sagen kann. Benutzt einfach einen Passwortsafe wie 1password, Lastpass, KeepassXC oder Keepass selbst und gut ist. Ist dann zwar ein Single-point-of-failure, aber der Sicherheitsgewinn durch völlig zufällige, kryptische, ausreichend lange (min. 14-18 Zeichen) und individuelle Passwörter für jeden Login überwiegt diesen Nachteil bei weitem. Menschen können sich kaum sichere Passwörter ausdenken, vorallem nicht für zig Logins und sich diese dann auch merken. Jedes vermeintlich sichere menschengemachte Schema ist zufälligen Passwörter unterlegen. Und praktisch jeder Passwortsafe lässt sich so einrichten, daß er auch geräteübergreifend funktioniert und aktuell bleibt. Für besonders sensible Konten, wie z.B. das verbundene Email-Konto für den Passwortsafe oder wo es um Geld geht, sollte man nach Möglichkeit dann noch 2FA aktivieren, damit die Übernahme solcher Konten extrem erschwert wird.

Ich benutze seit Jahren schon Lastpass und Keepass und habe es keinen Moment bereut.

[Mantora]

hab ich doch geschrieben Cricktor das man mit 1password auch einfach eins generieren kann. Mein beispiel ist lediglich ne einfache variante und das das von mir gewählte beispiel angeht, sollte kein super passwort darstellen sondern nur die einfachheit der zusammensetzung verdeutlichen. Und ja natürlich man kann jedes pw irgendwie erraten und/oder knacken und für menschen die nicht jedes pw generieren lassen wollen, ist 1337 eben der einfachste weg der zwar nicht 100% sicher ist, aber dennoch immer noch besser als passwort1  oder sowas

aber natürlich optimal ist immer der zufallsgenerator 

[Tetrade]

Intressanter Beitrag.. Beim Passwortmanager würde ich neben dem Masterpasswort noch mit nem Dongel (z.B Yubikey) arbeiten. Selbst wenn das Masterpasswort und der Tresor mal flöten geht macht ihn keiner auf ohne den Stick  Am besten noch ne Offline Kopie vom Tresor machen ohne Dongel, dass bei Verlust nicht der eigene Zugang verwährt bleibt

[Axiom0815]

vor 5 Stunden schrieb Mantora:

Blabla, blabla...

Das selbe nochmal für Passwörter:
https://haveibeenpwned.com/Passwords

Viel Text, aber zum Schluss der Hammer!

Wer bitte ist so blöd und läßt sein Passwort online "prüfen"?

Also ich kann nur dringend davon abraten! Ist das ganze hier jetzt fishing?

Axiom

Bearbeitet 28. Mai 2021 von Axiom0815

[Mantora]

niemand sollte sein passwort einfach so ohne driftigen grund prüfen lassen das wäre sinnlos und leichtsinnig! Das macht man nur dann, wenn dein pw/ deine pw`s oder email adressen bei Datenpannen bereits preisgegeben wurden, sprich sie sowieso verloren sind und geändert werden müssen. Die Seiten helfen lediglich dabei die Meldungen zu bestätigen, das Leck zu finden und das Maß des Schadens besser einschätzen zu können.  Allenfalls kann man solche Seiten benutzen wenn man sich nicht sicher ist ob ein pw geknackt wurde oder nicht, allerdings sollte man es dann so oder so ändern....Auch wenn die Seite nichts anzeigt, nach der Überprüfung sollte man es dennoch wieder ändern. 

und nein das kein Fishing die seiten dienen dazu passwörter zu prüfen die bereits gehackt/geknackt wurden kannst die seiten gerne genauer unter die Lupe nehmen . Wenn du zb über chrome eine Meldung bekommst, das diverse passwörter preisgegeben wurden o.ä. , dann kannst du auf den Seiten Checken lassen und siehst zb. auch bei welches Leaks deine daten dabei waren und wie lange sie schon im umlauf sind. Aber wenns dich stört kann ich die links gern rausnehmen

[Arther]

vor 6 Stunden schrieb Axiom0815:

Viel Text, aber zum Schluss der Hammer!

Wer bitte ist so blöd und läßt sein Passwort online "prüfen"?

Also ich kann nur dringend davon abraten! Ist das ganze hier jetzt fishing?

Falls das die echte Domain da im Link ist, kann ich hier Grad nicht prüfen:

Definitiv hast du Recht, aber die Seite und der Mensch dahinter ist sehr bekannt und angesehen seit vielen Jahren schon, das ist keine Phishing Seite.

Jedenfalls Passwörter über Safe immer random generieren und nicht "prüfen" auch nicht dort. Im Zweifel dass Passwort stattdessen ändern.

Bearbeitet 29. Mai 2021 von Arther

[Arther]

vor 12 Stunden schrieb Mantora:

Wer alle Punkte abhaken kann, darf sich offiziell Sicher fühlen.

Das würde ich schwer verneinen. Sicherheit ist nicht nur Sicherheit gegen böse Menschen, sondern auch gegen Unfälle und du hast in deiner Liste keine einzige Maßnahme diesbezüglich.

Generell ist die Liste nicht schlecht, aber ein aktuelles Windows mit aktueller Software (Browser und E-Mail) benötigt nahezu immer die Mitwirkung des Opfers (also phishing u.ä.). Eine Sensibilisierung dafür, wie so typische (Spear-)Phishing Angriffe aussehen wäre daher weit wichtiger als welche Filterliste man bei einem Plugin beim Browser einrichten sollte. Finde ich gut, dass du dazu ja auch einiges geschrieben hast!

Im übrigen würde ich für die technische Sicherheit gegen Angriffe primär folgendes vorschlagen:

1. Das wichtigste: Überall wo es geht (und im Krypto-Bereich geht es quasi überall) 2FA verwenden
2. Wie du schon schriebst: Einen Passwort-Manager verwenden
Weiteres:
* Selbstverständlichkeit: Auto-Update für Windows, Browser und E-Mail-Programm aktiviert haben
* Keine Adobe Produkte verwenden (hattest du ja auch geschrieben)
* Bei Office und ggf. Outlook Macros vollständig deaktivieren
* Benutzer und Admin Konto vollständig trennen
* Mit restric'tor das Ausführen jeglicher unbekannter Binärdateien unterbinden.

Alles andere ist 'nice to have'.

Bearbeitet 29. Mai 2021 von Arther

[Mantora]

Hey Arther vielen dank für den konstruktiven Input  Im Grunde ist das alles ja ne Art basic safety suite wenn man so will ^^ 

Sensibilisierung bezüglich Phishing wäre natürlich super, da kann ich aber nur bedingt helfen, da ich zwar Phishing Seiten selbst gut erkennen und unterscheiden kann, aber mir fällt es schwer da konkrete Punkte in textform zusammenzufassen. Was das angeht ist das bei mir immer so ne gefühlssache. Phishing Seiten sehen meist etwas weniger professionel aus als die originale, haben seltsame url´s , fehlendes Impressum oder schicken emails von adressen wie alexander12345@amazonC93GH8jdn7.de oder sowas. 

Aber diesbezüglich kann ich kaum noch konkreter werden das müsste dann ein profi übernehmen  Hält man sich aber an die oben bereits beschriebene Tipps wie zb. Keine links aus emails öffnen sondern url´s immer manuell eingeben, dann weicht man damit automatisch vielen phishing versuchen aus. Natürlich ist das auch kein 100% Schutz, den gibt es allerdings niemals und unter keinen umständen, wie du schon sagtest, die größte Sicherheitslücke sitzt steht´s vor dem Rechner  

Bearbeitet 29. Mai 2021 von Mantora

[battlecore]

Mein Sicherheitskonzept für Windows ist vollkommen anders aufgebaut.

Ich hab den USB-Stick reingesteckt und nach dam starten von USB hab ich dann einfach ausgewählt "Windows löschen und Ubuntu 20.04.2LTS neu installieren" ausgewählt.

[Cricktor]

vor 12 Stunden schrieb Axiom0815:

Viel Text, aber zum Schluss der Hammer!

Wer bitte ist so blöd und läßt sein Passwort online "prüfen"?

Also ich kann nur dringend davon abraten! Ist das ganze hier jetzt fishing?

Zitat

When you search Pwned Passwords

The Pwned Passwords feature searches previous data breaches for the presence of a user-provided password. The password is hashed client-side with the SHA-1 algorithm then only the first 5 characters of the hash are sent to HIBP per the Cloudflare k-anonymity implementation. HIBP never receives the original password nor enough information to discover what the original password was.

In praktisch allen Fällen hätte ich dir Recht gegeben, aber bei https://haveibeenpwned.com/Passwords ist es tatsächlich sicher, prüfen zu lassen, ob das eigene, auch unverbrannte, Passwort in seiner Datenbank auftaucht. Der Code der Seite übermittelt niemals dein Passwort an Troy Hunts Datenbank, sondern es wird ein cleveres Verfahren, k-Anonymity, verwendet, daß sicher stellt, daß haveibeenpwned.com dein zu prüfendes Passwort nicht erfährt. Kryptographie, clever genutzt, macht's möglich!

Das zu prüfende Passwort wird mit SHA1 (20Bytes oder 40 Zeichen in hexadezimaler Notation) lokal in deinem Browser gehasht und nur die ersten 5 Zeichen des Hashs an haveibeenpwned.com übertragen, die Seite antwortet mit allen gefundenen Rest-Hashes (35 Zeichen Länge und wie oft diese jeweils in der Datenbank auftreten), deren erste 5 Zeichen identisch mit deinen sind. Die Antwort der Datenbank liegt in der Regel so zw. 200-600 Treffer. Es wird dann ausschließlich lokal in deinem Browser geprüft, ob dein 35stelliger Resthash in der Server-Antwort zu finden ist. Wird er gefunden --> existiert dein vollständiger Hash in der Datenbank, dein Passwort wurde bereits früher geleakt. Wird der Resthash nicht gefunden, ist und bleibt dein Passwort sicher und nur dir bekannt.

Es ist so einfach und traurig, vorschnell zu urteilen. Ging mir bei Troy Hunts Seite aber auch so. Ich dachte auch beim ersten Mal, wer ist denn bitte so blöd und gibt sein vermeintlich geheimes Passwort auf einer Online-Seite ein? Etwas Recherche hat mich dann belehrt, daß es auch sicher geht. Ich habe mir auch den Javascript-Code der Seite angesehen und in dem damaligen Sample war alles sauber und wie beschrieben. Übrigens verwenden manche Passwort-Safes genau dieses Verfahren, um gespeicherte Passwörter optional auf Leaks über Troy Hunts API auf haveibeenpwned.com zu prüfen (meist nur in der Bezahlversion)!

Bearbeitet 29. Mai 2021 von Cricktor

[Axiom0815]

vor 17 Minuten schrieb Cricktor:

Es ist so einfach, vorschnell zu urteilen. ...

Sorry, das wollte ich natürlich nicht. Also testen wir das doch einfach mal. 
NoScript an .... 3 Elemente von NoScript blockiert... Ah super die Scripte sind jetzt abgeschaltet, mal sehen was passiert.... 

Zitat

Oh no — pwned!
This password has been seen before

This password has previously appeared in a data breach and should never be used. If you've ever used it anywhere before, change it!

Opp's, wie das jetzt?
Keine Verschlüsselung durch Scrips und trotzdem kennt er mein Passwort schon. Da muss er ja auf der anderen Seite nicht mal mehr die Regenbogen-Tabellen nutzen um zurück zu rechnen. 

Aber der Glaube versetzt ja bekanntlich Berge. 😉 Wo habe ich den nur die Kneifzange? Ich will mir jetzt meine Hose anziehen...

Axiom

 

[Cricktor]

Dein Test ist albern, aber ein Streit darüber hier nicht das Thema.

[PeWi]

1 hour ago, Axiom0815 said:

NoScript an .... 3 Elemente von NoScript blockiert... Ah super die Scripte sind jetzt abgeschaltet, mal sehen was passiert.... 

Wenn du in die Seite eingreifst, dann solltest du schon wissen, was du tust. Und du solltest einen Warnhinweis bekommen haben.

Ich weiß allerdings nicht, ob du diesen Warnhinweis auch mit NoScript zu sehen bekommst, weil JS ja nicht grundsätzlich ausgeschaltet ist - aber dann gilt um so mehr, dass du dich dann selber um die Konsequenzen deines Tuns kümmern musst.

Aus dem Quelltext der Seite:

<noscript>
      <p class="alert alert-danger">
        You've disabled JavaScript! If you submit a password in the form below, it will not be
        anonymised first.
      </p>
    </noscript>

Da kann man dem Seitenbetreiber wirklich keinen Vorwurf machen.

Bearbeitet 29. Mai 2021 von PeWi
allerdings + auch dazugefügt

[battlecore]

vor 1 Stunde schrieb PeWi:

Wenn du in die Seite eingreifst, dann solltest du schon wissen, was du tust. Und du solltest einen Warnhinweis bekommen haben.

Ich weiß allerdings nicht, ob du diesen Warnhinweis auch mit NoScript zu sehen bekommst, weil JS ja nicht grundsätzlich ausgeschaltet ist - aber dann gilt um so mehr, dass du dich dann selber um die Konsequenzen deines Tuns kümmern musst.

Aus dem Quelltext der Seite:

<noscript>
      <p class="alert alert-danger">
        You've disabled JavaScript! If you submit a password in the form below, it will not be
        anonymised first.
      </p>
    </noscript>

Da kann man dem Seitenbetreiber wirklich keinen Vorwurf machen.

Also mal im Ernst ne...

Etwas mit JS anonymisieren ist wie wenn du der EZB deinen Seed gibst...

[PeWi]

12 minutes ago, battlecore said:

Also mal im Ernst ne...

Etwas mit JS anonymisieren ist wie wenn du der EZB deinen Seed gibst...

Was soll daran problematisch sein? (Vorausgesetzt, das nachfolgende stimmt!)

3 hours ago, Cricktor said:

Das zu prüfende Passwort wird mit SHA1 (20Bytes oder 40 Zeichen in hexadezimaler Notation) lokal in deinem Browser gehasht und nur die ersten 5 Zeichen des Hashs an haveibeenpwned.com übertragen

 

[Arther]

Man sollte überhaupt niemanden daran gewöhnen, sensible Daten wie Seeds, Keys, Passwörter auf webseiten einzutragen (außer zum einloggen, natürlich). Daher sollte man generell nie zu solchen Diensten raten. Troy Hunt bietet die Liste jedoch auch zum Download an, die kann man sich besorgen. 1password und co. bieten das von Haus aus auch an Passwörter derart abzugleichen (da ist es dann ja egal, weil man sich dafür entschieden hat, 1password zu vertrauen), würde mich nicht wundern, wenn sie Hunt's Liste verwenden.

[wwurst]

Das Problem ist ja nicht Windows an sich, auch wenn es wegen seiner Verbreitung natürlich viel mehr Angreifer gibt als für andere Betriebssysteme.

Problematisch ist, auch unter anderen Systemen, wenn x verschiedene Anwendungen zusätzlich installiert werden und so das Risiko steigt, sich was einzuschleppen. Dann muß man sich an seitenlange Regelwerke halten. 

Alternative: "keep it simple, stupid".

Ich empfehle ein "nacktes" Finanz-Windows (geht als dual boot mit derselben Lizenz wie das "Alltagswindows", bitlocker "an"), auf dem als einzige Anwendung der TOR-Browser läuft. Der ist in Sachen Sicherheit schon ordentlich vorkonfiguriert, und kann die Lesezeichen und auch die Logins genauso gut speichern - da braucht es nicht mal einen separaten Passwort-Manager (der aber auch nichts schadet). Anonymität via TOR ist optional. Wer unbedingt noch Excel-Listen pflegen "muß" tut sich noch LibreOffice dazu. Und fertig. Datenaustausch mit dem Alltagssystem am besten per USB-Stick. Backup: einfach das Profil des Browsers verschlüsselt wegsichern (das kann der Windows-Zip!), alles andere ist aus öffentlichen Quellen schnell wiederhergestellt.

Nach kurzer Zeit merkt der Nutzer dann auch, daß es Windows gar nicht gebraucht hätte, weil so ein "one purpose" System unter Linux genau gleich aussieht. Und macht das ganze das nächste Mal gleich auf Linux, das einem auch die dual-boot-Installation viel einfacher macht 😉

 

[Cricktor]

vor 2 Stunden schrieb Arther:

Man sollte überhaupt niemanden daran gewöhnen, sensible Daten wie Seeds, Keys, Passwörter auf webseiten einzutragen (außer zum einloggen, natürlich). Daher sollte man generell nie zu solchen Diensten raten. Troy Hunt bietet die Liste jedoch auch zum Download an, die kann man sich besorgen. 1password und co. bieten das von Haus aus auch an Passwörter derart abzugleichen (da ist es dann ja egal, weil man sich dafür entschieden hat, 1password zu vertrauen), würde mich nicht wundern, wenn sie Hunt's Liste verwenden.

Du kannst auch Troy Hunts API benutzen: https://haveibeenpwned.com/API/v3#PwnedPasswords
Musst dann den SHA1-Hash von deinem Passwort selbst z.B. mit der Powershell generieren, splitten und die Auswertung "zu Fuß" machen, easy wenn man es verstanden hat. Da wird zu keinem Zeitpunkt dein unverschlüsseltes Passwort irgendwohin gefunkt, geschweige denn, daß HIBP über den Hash-Fragment genug von dir erfährt, um ggf. maliziöse Dinge zu veranstalten.

Die Geleakte-Passwörter-Hashliste von HIBP ist etwas unhandlich groß und damit zu arbeiten macht für eigene Zwecke nicht wirklich Spaß.

Bearbeitet 29. Mai 2021 von Cricktor

[wwurst]

Ach so, falls sich wer fragt, warum bei meinem Vorschlag kein Email-Programm dabei ist: Webmail benutzen. Auch als stete Erinnerung daran, daß dein Email-Provider sowieso bei allem mitlesen kann. Wer unbedingt einen lokalen Client will, ist mit einem kleinen open-source-Programm wie Sylpheed besser beraten als mit Thunderbird. Da gibt's erst gar kein HTML abzuschalten.

[o0dy]

vor 13 Minuten schrieb wwurst:

Ach so, falls sich wer fragt, warum bei meinem Vorschlag kein Email-Programm dabei ist: Webmail benutzen. Auch als stete Erinnerung daran, daß dein Email-Provider sowieso bei allem mitlesen kann. 

https://protonmail.com/de/ 

 

[Crusader]

Ich rate nochmal dazu sich das garantiert saubere System in einer VM zu installieren und diese dann zu sichern.

Nach Gebrauch wird diese VM dann auf den alten Stand zurück gesetzt.

Damit werden jegliche Veränderungen wie Passwörter, Seeds, Adressen, History, Zwischenablage und auch mögliche Trojaner wieder entfernt. Und wenn es mal eine sinnvolle und sichere Erweiterung gab macht man einen neuen Snapshot.

[Axiom0815]

vor 3 Stunden schrieb wwurst:

Ach so, falls sich wer fragt, warum bei meinem Vorschlag kein Email-Programm dabei ist: Webmail benutzen. Auch als stete Erinnerung daran, daß dein Email-Provider sowieso bei allem mitlesen kann. Wer unbedingt einen lokalen Client will, ist mit einem kleinen open-source-Programm wie Sylpheed besser beraten als mit Thunderbird. Da gibt's erst gar kein HTML abzuschalten.

Du solltest mal unbedingt nach GnuPG googlen. 😉
Gibt's übrigens auch für Windows. 

Grüße an Werner gehen raus! 👍

Axiom

[wwurst]

vor 7 Stunden schrieb Axiom0815:

Du solltest mal unbedingt nach GnuPG googlen. 😉
Gibt's übrigens auch für Windows. 

Keine einzige mir bekannte Börse oder Bank versendet oder akzeptiert PGP-verschlüsselte Mails. Oder kennst du eine?

Ich brauche das nur für Darknet-Markets, und das ist eine Anwendung, die ich nicht auf meinem Banking-System mit machen möchte 😉

Sylpheed hat eine Pgp4win-Schnittstelle, und "Werner" kenne ich nicht...

vor 10 Stunden schrieb o0dy:

https://protonmail.com/de/

Als Provider eine gute Wahl, aber auch bei denen hängt die Sicherheit einzig an ihrem Versprechen. Besser als nix, habe selbst einen Account dort.

[Axiom0815]

vor 1 Stunde schrieb wwurst:

Keine einzige mir bekannte Börse oder Bank versendet oder akzeptiert PGP-verschlüsselte Mails. Oder kennst du eine?

Schau Dir doch z.B. Bitcoin.de an. 😉

 

vor 1 Stunde schrieb wwurst:

Ich brauche das nur für Darknet-Markets, ...

Keine Anwendung bekannt, ab in die Schublade.

Schade, immer die gleichen Denkmuster.

vor 1 Stunde schrieb wwurst:

..., und "Werner" kenne ich nicht...

Wenn Du Dich mit GnuPG beschäftigst, wirst Du auch raus kriegen wer Werner ist.

Seit Snowden sollte man wissen wofür man PGP braucht. Aber auch hier gilt wieder, jeder kann, keiner muss.

Axiom