News Große Gefahr durch RockYou2024: 10 Mrd. Passwörter soll neuer Leak-Rekord sein

Gute Passwortmanager
Kennste gute ohne Cloud und offline?

BTT:
https://haveibeenpwned.com/Passwords wenn noch nicht Erwähnt,

Passenter Witz:
e3e3897f6cf5cb42bed328a7537583fc.jpg
 
Die Frage ist doch mittlerweile auch ob das wirklich für den "kleinen Mann auf der Strasse" wie lange noch wirklich die Gefahr Nr. 1 sein kann.
Wenn man (bald?) alles auf dem Handy hat ist es doch einfacher sich darauf zu spezialisieren.
Also Handy klauen und nun hat man neben der EMail, SMS, Massenger auch die App fürs Konto & Co.
Wieviele Leute haben ein Handy was alle Sicherheitsupdates bereitstellt, diese ggf. auch installiert sind und oder das Handy auch "gut" abgesichert ist (das man also genug Zeit alles zu sperren bzw. PW ändern).
Wenn man (bald?) nur noch einen EPerso hat kann es auch schnell gehen mit nem Kredit, Versicherung oder was weiß ich als zusätzliches Problem hat.
Ich hoffe echt das mein Alu-Hut nur einen Defekt hat und es nicht bald zu sehr interessante Zeiten kommt. ...
Handys sind schon lange auch Ziel. Einfachstes Einfallstor ist irgendeine "Gratisapp". Die Leute hinterfragen nicht wirklich, warum eine Taschenlampe Zugriff auf x-beliebige Daten braucht. Und Google und Apple sind nicht so gründlich bei der App-Kontrolle wie sie einen glauben machen wollen.
Aber ja, auch nicht installierte Updates und diverse Exploits machen es einfacher.
Ein wirklich perfider Angriff (vermutlich NSA) war "Operation Triangulation". Gibt einen tollen Vortrag von Kaspersky-Leuten am letzten CCC dazu.
Auf Arbeit müssen wir (gezwungen von der Software) alle 6 Monate das PW wechseln ... was dazu führt, dass an nahezu jedem PC irgendwo ein Zettel hängt oder liegt auf dem es steht.
Du kannst eurer IT ausrichten, dass solche Vorgaben schon länger nicht mehr zeitgemäß sind. Maximal 1x pro Jahr außer das Passwort ist wahrscheinlich kompromittiert.
Wenn man so etwas nur mittels PIN o. ä. absichern könnte.
Man bräuchte nur zu den Nachbarländern schauen die schon was entsprechendes haben.
In Dänemark haben schon lange ein entsprechendes System mit dem man Behördengänge, Banking, Steuererklärung, Zugriff auf die Gesundheitsdaten, etc. macht.
Braucht Passwort und MFA. Bis vor ein paar Jahren noch mit TAN-Liste. Nun die Wahl zwischen App, Code Generator oder Hardware-Token.
Österreich ist auch auf dem Weg dorthin.
Kennste gute ohne Cloud und offline?
Meine Empfehlung wäre KeePass oder KeePassXC. Ich persönlich nehme KeePassXC da mMn etwas mehr nutzerfreundlich und kommt von Haus aus mit Linux-Support. Passwort-Safe liegt als Datei vor. Also kann man den behandeln wie man will (lokale Kopie, USB, eigene Cloud, etc.).
Kann auch zusätzlich mit einer Passwort-Datei (bspw. ein Foto) oder Hardware-Token wie Yubikey abgesichert werden. Gibt auch TOTP Unterstützung (idealerweise in einem anderen Safe)
Zusätzlich ist der Safe mit KeePassDX auf Android kompatibel.
 
Zuletzt bearbeitet:
Ich bin seit Anbeginn des Internets im Internet und noch nie wurde irgendein Account von mir gehackt *schulterzuck
 
Du kannst eurer IT ausrichten, dass solche Vorgaben schon länger nicht mehr zeitgemäß sind. Maximal 1x pro Jahr außer das Passwort ist wahrscheinlich kompromittiert.

Jeder hier kennt die Empfehlungen des BSI.
In einer Verwaltung ist sowas aber völlig egal. Solange das verknöcherte Arschloch ganz oben, der dieses "neumodische Interwebb" noch immer für eine Modeerscheinung hält, noch nicht in Rente ist - solange ändert sich nix.
Ganz besonders, wenn die vorgesetzte Behörde ein erzkonservatives Landesverwaltungsamt ist.

Das ist übrigens ein Problem vieler Verwaltungen ... digitale Neandertaler in Entscheiderpositionen.
 
Wichtige Passwörter werden alle 3 Monate gewechselt und meine Passwörter werden keinesfalls im Browser gespeichert. Gerade FireFox verschlüßelt nicht mal die gespeicherten Passwörte... Dafür gibts KeePAss und die DB liegt verschlüsselt auf der NAS.
 
Zweifaktor authentifizierung hat mich bereits aus einigen Accounts komplett ausgesperrt.

Handy kaputt und schon ist die 2FA dein Albtraum. Meinen Ubisoft Account z.b. hab ich dadurch verloren. Denn der Ubisoft Support besteht darauf das ich ihnen CD Keys von gekauften Spielen als beweis gebe..


Und was den Passwort Manager angeht, bleibt halt doch nichts anderes übrig als ewig langsam über die Bildschirm Tastatur einzugeben.
Nur weil Ubisoft das nicht hinbekommt, heißt es doch nicht das die Methode scheiße ist... :ugly:
Und es dauert weitere 753 Monate bis es mal einen sicheren, einfach zu benutzenden und universellen Passwortersatz gibt oder sich einer durchgesetzt hat.:kotz:




Verrückt ist es doch anzunehmen, dass diese obskuren selbsterdachten Lösungen sicherer sind.
passwort.txt im Passwortgeschützten Archiv auf dem Desktop?
Passwortbuch im Tresor? Eingegeben werden müssen die Passwörter trotzdem und bei Wiw7iEpjBhqWDBFT5rmz macht das ja auch keinen Spaß.
Wieso selbst erdachten Lösungen?
Ich habe davon ja nichts geschrieben, meine Aussage war lediglich das eine direkte Tastatureingabe immer besser ist als ein Passwort aus einem Cache oder Kopiervorgang. Woher das Passwort kommt, am besten direkt aus dem Kopf ohne Zwischenlösung.

Zwischenablagen sind nicht sicherer wie das abtippen. Wenn etwas deine Zwischenablage auslesen kann, kann es auch deine Tastatureingaben lesen. Zudem muss einem klar sein dass ein PW Manager die Sicherheit in vielen Fällen fördern.
Ich habe bspw. rund 70 Accounts bei denen ich überall individuelle PW vergebe. Wenn ich keinen Manager nutze, kann ich das nicht, da ist keine Chance dass ich mir 70 möglichst kryptische PW merken kann. Also mache ich dass was man nie tun sollte und verwende PW dutzende male. Das ist wesentlich unsicherer wie der Manager.
Außerdem werden die PW meistens so einfach bleiben wie möglich, man muss sie sich merken. Mein Manager generiert mir hingegen ein bspw. 20 Zeichen langes PW mit Sonderzeichen.

Auch hier ist ein PW Manager einfach besser. Viele sind Faul und werden nach der Zeit das PW einfach um eine Zahl inkrementieren oder wechseln zwischen verschiedenen PW und inkrementieren ab einen gewissen punkt. Der PW Manager hingegen haut dir ein komplett neues PW raus. Auch hier wird die Sicherheit gefördert!
Was zufällig generierte Passwörter angeht, ja okay dann hat der Login und der Manager immer ein neues Passwort, dieser Faktor ist sicherer nur die unsichere Stelle ist aber nur zum Passwortmanager verschoben. Weil auch an dem muss ich mich ja anmelden.

Was die Anzahl angeht, da müsste generell eine ganz neue Methode her als 70 Passwörter.
 
Zuletzt bearbeitet:
Nur weil Ubisoft das nicht hinbekommt, heißt es doch nicht das die Methode scheiße ist... :ugly:
2FA ist immer mist wenn genau dad Gerät für den 2FA kaputt geht. Irgendeine Verifikation brqucht der Support immer mit dem du beweisen musst, dass du der Inhaber bist. Könnte ja hinz und kunz kommen und behaupten er wäre du und nun setzt mal 2FA zurück.

Selbst Email Authentifikation wo der Betreiber einen Pin per email schickt ist manchmal mist. Selbst schon erlebt mit Escape Frim Tarkov. Will mich anmelden und soll pin eingeben der mir per mail geschickt werden sollte. Problem diese Email kam nie an. Und als beweis, dass mir der Account gehört wollte der Support die Rechnung vom Kauf der EOD Edition sehen. Wohlgemerkt dass der account seit 3-4 Jahren existiert. Zum Glück hatte ich noch die rechnung von Paypal vom Kauf in meinen Email Archiven. Ohne die wäre mein Account futsch. Seitdem hab ich zwei email adressen hinterlegt.
 
Was zufällig generierte Passwörter angeht, ja okay dann hat der Login und der Manager immer ein neues Passwort, dieser Faktor ist sicherer nur die unsichere Stelle ist aber nur zum Passwortmanager verschoben. Weil auch an dem muss ich mich ja anmelden.

Was die Anzahl angeht, da müsste generell eine ganz neue Methode her als 70 Passwörter.
Was bereits eine deutliche Verbesserung der Sicherheit ist. Das eine einzelne Person gezielt gehackt wird ist unwahrscheinlich und wenn man nicht komplett unvorsichtig im Netz unterwegs ist, ist die Gefahr schon deutlich minimiert. Websites werden da deutlich häufiger ins Visier genommen. Landet da ein PW was mehrfach benutzt wird in die Hände sind deine Accounts schneller komprimiert als du schauen kannst.
Und wenn man sich unsicher mit reiner PW Eingabe für den Manager fühlt kann auch auf PKIs o.ä. Setzen
 
2FA ist immer mist wenn genau dad Gerät für den 2FA kaputt geht. Irgendeine Verifikation brqucht der Support immer mit dem du beweisen musst, dass du der Inhaber bist. Könnte ja hinz und kunz kommen und behaupten er wäre du und nun setzt mal 2FA zurück.
Das ist eine falsch Aussage, alle 2FA Services unterstützen zweit Geräte. Einige sogar dritt oder 4rt Geräte.

Du kannst dir also dein altes und dein neues Handy mit der 2FA verbinden, fällt eines dieser Geräte aus hast du also immer noch ein Backup.
Darüber hinaus geht 2FA auch nicht nur mit Handys/Tablets. Es geht auch mittels USB Stick bei einigen Anbietern.
 
Das ist eine falsch Aussage, alle 2FA Services unterstützen zweit Geräte. Einige sogar dritt oder 4rt Geräte.

Du kannst dir also dein altes und dein neues Handy mit der 2FA verbinden, fällt eines dieser Geräte aus hast du also immer noch ein Backup.
Darüber hinaus geht 2FA auch nicht nur mit Handys/Tablets. Es geht auch mittels USB Stick bei einigen Anbietern.
Bitte verzeihung das ich nicht 3 Handies und 2 Tablets hier einfach so rumliegen habe.
Bin leider nicht so reich.
1 Handy und 1 PC zu haben ist schon das höchstmaß für mich.
 
Bitte verzeihung das ich nicht 3 Handies und 2 Tablets hier einfach so rumliegen habe.
Bin leider nicht so reich.
1 Handy und 1 PC zu haben ist schon das höchstmaß für mich.
Was hast du mit deinem alten Handy gemacht nach deinem letzten Upgrade?
Ansonsten kann man es auch billig mittels Passwortmanager haben, die auch MFA unterstützen. Natürlich sollte man nicht seine Passwörter UND MFA im selben Safe speichern, bzw. bei den jeweiligen Safes unterschiedliche Passwörter verwenden.
Alternativ ist ein Hardware-Token ab ca. 30€ zu haben.
 
Welches 2FA-System akzeptiert denn Smartphones mit veraltetem OS und ohne SIM? Oft ist doch nicht das Gerät (davon sollten sich in fast jedem Bekanntenkreis ein paar Exemplare auftreiben lassen), sondern der Mobilfunkvertrag der zweite Faktor. Da hat man dann laufende Kosten durch Replikation.
 
Welches 2FA-System akzeptiert denn Smartphones mit veraltetem OS und ohne SIM? Oft ist doch nicht das Gerät (davon sollten sich in fast jedem Bekanntenkreis ein paar Exemplare auftreiben lassen), sondern der Mobilfunkvertrag der zweite Faktor. Da hat man dann laufende Kosten durch Replikation.
Hängt von der Ausführung des 2FA ab. Wenn du das via Mobilfunknummer machst wirds umständlich mehrere zu haben. Bei Prepaid angeboten würde aber auch das kostentechnisch noch gehen, da der Empfang in der Regel nichts kostet. Es gibt aber teilweise noch die Authenticator Apps oder Mail Adressen, das ist dann wesentlich einfacher aufzusetzen.
 
Welches 2FA-System akzeptiert denn Smartphones mit veraltetem OS und ohne SIM? Oft ist doch nicht das Gerät (davon sollten sich in fast jedem Bekanntenkreis ein paar Exemplare auftreiben lassen), sondern der Mobilfunkvertrag der zweite Faktor. Da hat man dann laufende Kosten durch Replikation.
Du denkst an 2FA mittels SMS oder Anruf. Das ist die denkbar schlechteste Variante da durch SIM Swapping verhältnismäßig einfach angreifbar.

Die bessere Variante ist MFA mittels TOTP (zeitbasiert) oder HOTP (Counter basiert). Dafür gibt es genug (gratis) Apps. Auch viele Passwortmanager unterstützen das. Und es gibt auch genug Varianten die auch keine Internetverbindung erfordern.
Man kann zudem bei TOTP das Secret auf mehreren Geräten speichern und hat so ein Backup.

Ein paar bekanntere Beispiele wären:
Google Authenticator
Microsoft Authenticator
Twilio Authy (wobei die in den letzten 2 Jahren 2 mal kompromittiert wurden)

OpenSource Lösungen wären:
Aegis (Android)
KeepassDX (Windows, Linux, Mac)
KeepassXC (Android, kompatibel mit KeepassDX)
Ente Auth (iOS)
Raivo (iOS, vor Kurzem aber kommerziell übernommen worden)

Oder wie gesagt ein hardwarebasierter Token wie ein Yubikey. Da hast du preislich eine Bandbreite von 20-100€ und idealerweise nimmt man einen 2. als Backup den man entsprechend sicher verwahrt nach anfänglichem Setup.
 
Benutze auch schon seit längerem Passwort Manager und bei wichtigen Sachen 2 Faktor Auth.
Am sorgfältigsten sollte man glaube ich sein email Passwort wählen.
Denn mit der email Adresse kann man die meisten Accounts wieder unter Kontrolle bringen.
Wird das gehackt wird es richtig hässlich.
ja musste ich auf die harte erleben.So konnte ich auf ebay kleinanzeige nichts mehr machen.Der Account war verloren.Email konnte ich allerdings auch nicht mehr rein.So war es am Ende verloren gewesen.Naja ich habe es dann irgenwann aufgegbene weil was sollte ich schon machen können.So ist das wenn man nicht so auf sicherheit aus war.Nun bin ich jedenfalls kurriert davon.
 
Welches 2FA-System akzeptiert denn Smartphones mit veraltetem OS und ohne SIM? Oft ist doch nicht das Gerät (davon sollten sich in fast jedem Bekanntenkreis ein paar Exemplare auftreiben lassen), sondern der Mobilfunkvertrag der zweite Faktor. Da hat man dann laufende Kosten durch Replikation.
Nein, man kann auch alte Handys mit der Authentifikator App ausgestattet und ohne Simkarte im Schrank liegen lassen.

Dann startet man sie und geht über Wifi in das Internet und kann den Authentifikator nutzen.

Das geht aber nur bis zu einer gewissen Version von IOS und Android, da muss man dann ein wenig aufpassen wann seine alte Version nicht mehr nutzbar ist. In der Regel hat man aber ein paar Jahre ruhe damit.

Mir bekannte Authentifkatoren die das können sind der Google Authentifikator, Microsoft Authentifikator und die Apple Authentificator App, Blizzards eigenen Authentifikator und der von Steam.

Ist mir vor ein paar Jahren mal aufgefallen als mein altes Samsung noch irrtümlicherweise einen Authentificator konfiguriert hatte und es ohne Simkarte im Schrank lag, es funktionierte aber noch einwandfrei mit Wlan :-D
 
Zuletzt bearbeitet:
Zurück