[Nach einem Vortrag von Paul Belcl am 7.5.2019.]
Wie man einen solchen Vortrag einleitet, dazu hatten Pauli und ich dieselbe Idee. In der Einleitung zu Paulis Vortrag verwendete ich die deutsche Version eines lustigen Passworttexts und Pauli dann in seinen Folien die englische:
Bitte geben Sie ein Passwort ein.
leberkasIhr Passwort muss Großbuchstaben enthalten.
LeberkasDas Passwort ist zu kurz.
Leberkas SemmelBitte verwenden Sie keine Leerzeichen
LeberkasSemmelIhr Passwort muss mindestens eine Zahl enthalten.
500LeberkasSemmelnVerwenden Sie bitte mindestens einen Umlaut.
500LeberkässemmelnZEFIXVerwenden Sie mindestens ein Sonderzeichen.
500DRECKSLeberkässemmelnZEFIXnoamoi!!!Nur nichtaufeinanderfolgende Großbuchstaben zulässig.
KreizKruzeFixNoamoiJetztKonnstMiDannGleiKreiz
WeisWoslsDesFüraGlump500LeberkasSemmenZeFix!!!Passwort wird bereits verwendet.
Die englische Version von Pauli findet Ihr in den Unterlagen im Ordner „clubintern“.*)
Die Vorträge bei unseren Meatings sollen auch etwas bewirken. Mich haben die Ausführungen von Pauli motiviert, meine eigenen Umgangsformen mit Internet-Portalen zu überprüfen und ich zeige hier, was ich geändert habe.
Passwort und E-Mail
Identifiziert man sich bei allen Portalen mit immer mit derselben E-Mail-Adresse und verwendet dann auch bei allen Diensten mit demselben Passwort, ist man schwer gefährdet, weil ein Angreifer mit einem Schlag Zugang zu allen Diensten bekommt.
Der wichtigste Rat von Pauli war, bei allen Diensten ein anderes Passwort zu verwenden.
Leider hat es sich eingebürgert, statt eines Usernamens eine E-Mail-Adresse als Login zu verwenden. Verwendet man dafür immer seine Haupt-E-Mail-Adresse – und ist diese irgendwo kompromittiert – dann ist man gefährdet. Daher sollte man für die Anmeldung bei fremden Seiten nicht seine Haupt-E-Mail-Adresse sondern einen Alias dazu verwenden; oder auch eine andere Adresse, die Mails zur Hauptadresse weiterleitet.
Passwort-Mindestanforderungen
- Eine Zahl, ein Buchstabe, ein Großbuchstabe, ein Sonderzeichen, mindestens 8 Stellen (besser 10 oder 12)
- für jeden Zugang ein eigenes Passwort verwenden!
- Passwortcheck machen! https://passwortcheck.ch
Die Seite Passwortcheck.ch bietet auch viele lehrreiche Passworttipps.
Zweiwegeverifizierung
Ein wichtiger Rat von Pauli ist, bei allen Systemen, bei denen das möglich ist, die Zwei-Wege-Authentifizierung zu verwenden. Jedenfalls sollte das bei allen Geldgeschäften so eingestellt sein.
Die Zwei-Wege-Authentifizierung besteht in einer Rückfrage über einen anderen Kommunikationskanal. Das kann eine SMS sein, natürlich auch ein Rückruf, eine Mail oder eine eigene App. Von den Sicherheitsexperten wird eine SMS als zu unsicher eingestuft. Bei einem sehr guten Artikel von Kaspersky kann man sich über die Technik und die verfügbaren Apps informieren.
Authenticator
Die Rückfrage-Apps von Microsoft und Google heißen „Authenticator“ und können unter diesem Namen über den Play Store installiert werden. Diese Apps können als Rückmeldung für verschiedene Konten dienen. Bei mir sind die Konten von Microsoft, DigitalSociety und PayPal eingetragen. Im Zuge dieser Nachlese habe ich auch das Google-Konto hinzugefügt.
Die grau hinterlegten Konten sind noch nicht aktiviert, klappt man ein Konto auf, sieht man eine TAN, die man bei jeweiligen Anmeldevorgang eingeben muss. Eine Eieruhr zeigt, wie lange der Code noch gültig ist.
Der Grund, warum ich gerade den Microsoft-Authenticator installiert habe, dürfte sein, dass ich am Handy den Microsoft-Launcher verwende und im Zuge der Installation des Launchers wurde der Authenticator zur Installation angeboten.
Die ERSTE traut diesem Authenticator nicht und verwendet eine eigene Rückmelde-App.
PayPal
Unter Einstellungen -> Sicherheit -> Zweistufige Verifizierung aktiviert man diese und legt fest, ob man einen SMS-Code bestätigt oder ob man eine Authentifizierungs-App verwenden will. Ich habe „SMS-Code“ gewählt.
Man kann danach auch den zweiten Weg, die zweistufige Verifizierung definieren und die Authentifizierung zusätzlich zum SMS-Code hinzufügen. Dabei öffnet sich am PC ein Fenster mit einem QR-Code. Da ich mit dem Authenticator von Microsoft bereits eine solche App am Handy installiert habe, musste ich diese nur öffnen, über die Einstellungen „Konto hinzufügen“ wählen. Danach öffnet sich die Kamera. Man sucht den QR-Code am PC-Monitor, fertig.
Jetzt ist mein PayPal-Konto mit einer zweifachen Zweiwegeverifzierung versehen. Die Hacker können kommen!
Diesen 6-stelligen Code sagt Dir der Authenticator.
Inzwischen habe ich wegen der Kaspersky-Empfehlung das in PayPal angezeigte Standardgerät von „SMS“ auf „Authentifizierungs-App“ umgestellt
Microsoft
Einloggen bei microsoft.com -> Mein Microsoft Konto -> Sicherheit -> weitere Sicherheitsoptionen -> zweistufige Überprüfung einrichten
Wichtig ist, dass man vor der Aktivierung alle bereits eingestellten Sicherheitsinformaiton, insbesondere die eigene Telefonnummer überprüft. Man bekommt vor der Umstellung auf die zweistufige Verifikation einen Wiederherstellungskode VNZ**-Q2T**-BWN**-P2P**-M7T**, mit dem man sich bei einem Misserfolg der Konfiguration wieder einloggen könnte. Danach kann man angeben, ob man seine E-Mail von outlook.com mit einem Android, iPhone oder Blackberry synchronisiert.
Hier hatte ich die zweistufige Authentifizierung schon aktiviert, habe aber von einer SMS-Authentifizierung auf den Authenticator von Microsoft umgestellt, damit alles ein bisschen einheitlicher wird.
ERSTE (George)
Das Login bei meiner Bank wird bis 14. September 2019 ebenfalls auf eine Art „Authenticator“-Verifizierung umgestellt.
Etwas eigenartig ist die Art der Erklärung. Es steht nicht: lade Dir die App xy auf das Handy, nein, man muss sich ein minutenlanges Video anschauen. Muss man nicht. Im Play Store gibt es die App „s Identity“, die man installieren muss.
ERSTE erinnert an die neue Art, sich zu identifizieren Unter „Login & Freigabe“ kann man s Identity aktivieren Aufforderung zum Download der App Man kann ein Limit einstellen. Das bisherige Passwort wird nicht mehr benötigt Bestätigung per E-Mail Aktivierung durch EIngabe eines TAC Scannen oder Code abtippen s Identity wurde aktiviert Hier kann man alles wieder ändern Ab sofort braucht man kein Passwort mehr
E-Mail-Adresse überprüfen
Es passiert immer wieder, dass ein Datendienst bekannt gibt, dass ihm Daten gestohlen worden sind. Diese Daten landen im Darknet und werden dort an Wiederverwerter verscherbelt, die dann versuchen, die erworbenen E-Mail-Adressen (und oft auch Passwörter) zu Geld zu machen. Daraus resultieren die Erpressermails, mit denen wir uns oft herumschlagen müssen.
Die Seite https:haveibeenpwned.com sagt uns, ob eine gegebene E-Mail-Adresse kompromittiert ist. Troy Hunt heißt der Autor dieser Seite. Die kompromittierten Seiten haben ihm offenbar die gestohlenen Daten überlassen, um dem betroffenen Publikum wenigstens die Möglichkeit zu geben, sich über die Betroffenheit der verwendeten E-Mail-Adressen zu überzeugen.
Wer wurde kompromittiert?
Wenn sich also jemand fragt, von wo die Erpresse die E-Mail-Adressen haben, dann in erster Linie von Einbrüchen in irgendeine Webseite, die Benutzerdaten verwaltet. Nicht weniger als 362 Seiten wurden kompromittiert, und das sind natürlich nur die bekannten. Die Dunkelziffer kennt man nicht. Hier sind sie: 000webhost • 126 • 17 • 17173 • 2fast4u • 500px • 7k7k • 8fit • 8tracks • Abandonia • AbuseWith.Us • Acne.org • Adapt • Adobe • Adult Friend Finder • Adult-FanFiction.Org • AerServ • AhaShare.com • ai.type • Aipai.com • AKP Emails • Ancestry • Android Forums • Anti Public Combo List • Apollo • Appartoo • Army Force Online • Ashley Madison • Astropid • Aternos • Atlas Quantum • Autocentrum.pl • Avast • B2B USA Businesses • Baby Names • Badoo • BannerBit • Battlefield Heroes • Beautiful People • Bell (2014 breach) • Bell (2017 breach) • Bestialitysextaboo • BigMoneyJobs • Bin Weevils • Biohack.me • Bitcoin Security Forum Gmail Dump • Bitcoin Talk • Bitly • BitTorrent • Black Hat World • BlankMediaGames • Bolt • Bombuj.eu • Bookmate • Bot of Legends • Boxee • Brazzers • BTC-E • Bukalapak • Business Acumen Magazine • CafeMom • Cannabis.com • CashCrate • CD Projekt RED • CheapAssGamer.com • Civil Online • ClixSense • CloudPets • Club Penguin Rewritten • Coachella • Collection #1 • Comcast • COMELEC (Philippines Voters) • Coupon Mom / Armor Games • Crack Community • CrackingForum • Creative • CrimeAgency vBulletin Hacks • Cross Fire • DaFont • Dailymotion • Dangdang • DaniWeb • Data & Leads • Data Enrichment Records • DataCamp • Demon Forums • devkitPro • diet.com • Digimon • Disqus • DLH.net • Dodonew.com • Domino’s • Dropbox • Dubsmash • Dungeons & Dragons Online • Duowan.com • dvd-shop.ch • Edmodo • Elance • Elasticsearch Instance of Sales Leads on AWS • Epic Games • Eroticy • Estonian Citizens (via Estonian Cybercrime Bureau) • eThekwini Municipality • Ethereum • Evermotion • Everybody Edits • Evony • Exactis • Experian • Exploit.In • Exposed VINs • EyeEm • Facepunch • FaceUP • Fashion Nexus • FashionFantasyGame • Final Fantasy Shrine • Flash Flash Revolution • Flashback • Fling • Florida Virtual School • Forbes • ForumCommunity • Foxy Bingo • Freedom Hosting II • FreshMenu • Fridae • Funimation • Funny Games • Fur Affinity • Gaadi • Gamerzplanet • GameTuts • Gamigo • Gawker • GeekedIn • GFAN • GoldSilver • gPotato • GTAGaming • Guns and Robots • hackforums.net • Hacking Team • HauteLook • Health Now Networks • Hemmakväll • hemmelig.com • Heroes of Gaia • Heroes of Newerth • HiAPK • HLTV • HongFire • HoundDawgs • Houzz • HTH Studios • Hub4Tech • i-Dressup • ILikeCheats • iMesh • imgur • Insanelyi • Intelimost • InterPals • iPmart • ixigo • JobStreet • JoomlArt • Justdate.com • Kayo.moe Credential Stuffing List • Kickstarter • Kimsufi • KM.RU • KnownCircle • Knuddels • Lanwar • Last.fm • League of Legends • Leet • Lifeboat • Light’s Hope • LinkedIn • Linux Forums • Linux Mint • Little Monsters • Lizard Squad • Lookbook • Lord of the Rings Online • Lounge Board • Lyrics Mania • Mac Forums • Mac-Torrents • mail.ru Dump • MajorGeeks • MALL.cz • Malwarebytes • Manga Traders • MangaFox.me • Mappery • Master Deeds • Mate1.com • MCBans • MDPI • Minecraft Pocket Edition Forum • Minecraft World Map • Minefield • MoDaCo • Modern Business Solutions • Money Bookers • Morele.net • Mortal Online • MPGH • MrExcel • mSpy • Muslim Directory • Muslim Match • MyFHA • MyFitnessPal • MyHeritage • myRepoSpace • MySpace • MyVidster • NapsGear • Naughty America • NemoWeb • Neopets • NetEase • Neteller • NetProspex • Netshoes • NextGenUpdate • Nexus Mods • Nihonomaru • Nival • Non Nude Girls • Nulled • Onliner Spambot • Onverse • Open CS:GO • OVH • OwnedCore • Paddy Power • Patreon • PayAsUGym • Pemiblanc • PHP Freaks • Pixel Federation • Plex • Pokébip • Pokémon Creed • Pokémon Negro • PoliceOne • Powerbot • Programming Forums • PS3Hax • PSP ISO • PSX-Scene • Qatar National Bank • QIP • Quantum Booter • QuinStreet • R2 (2017 forum breach) • R2Games • Rambler • RankWatch • Rbx.Rocks • Real Estate Mogul • Regpack • Retina-X • ReverbNation • River City Media Spam List • Rosebutt Board • Russian America • SaverSpy • SC Daily Phone Spam List • Seedpeer • ServerPact • ShareThis • Shotbow • SkTorrent • Smogon • Snapchat • Società Italiana degli Autori ed Editori • Sony • Soundwave • Special K Data Feed Spam List • Spirol • SpyFone • Staminus • StarNet • Ster-Kinekor • Stratfor • Sumo Torrent • SvenskaMagic • SweClockers.com • Taobao • Taringa • Team SoloMid • Technic • Telecom Regulatory Authority of India • Teracod • Tesco • TGBUS • The Candid Board • The Fappening • The Fly on the Wall • TheTVDB.com • ThisHabbo Forum • Tianya • Ticketfly • Torrent Invites • Trik Spam Botnet • Trillian • TruckersMP • tumblr • Uiggy • UN Internet Governance Forum • Underworld Empire • Unreal Engine • uTorrent • uuu9 • vBulletin • Verifications.io • Verified • Victory Phones • ViewFines • VK • VNG • Vodafone • VTech • V-Tight Gel • War Inc. • Warframe • Warmane • We Heart It • Whitepages • WHMCS • Wife Lovers • WIIU ISO • WildStar • Win7Vista Forum • Wishbone • WPSandbox • WPT Amateur Poker League • xat • Xbox 360 ISO • Xbox-Scene • xHamster • XPG • XSplit • Yahoo • Yandex Dump • Yatra • Youku • YouPorn • You’ve Been Scraped • Zomato • Zoosk • Пара Па • Спрашивай.ру
Von Einbrüchen sind also auch prominente Adressen betroffen wie etwa Adobe und Yahoo.
Adresse suchen
Einfach eine E-Mail-Adresse eingeben. Ist eine Adresse betroffen, sieht man weiter hinten eine Liste aller angegriffenen Anbieter. Ist die E-Mail-Adresse nicht betroffen, ist alles im „grünen Bereich“.
Kompromittierte E-Mail-Adresse Saubere E-Mail-Adresse
So wertvoll diese Information ist, so eigenartig ist es, dass man auch fremde E-Mai-Adressen auf diese Art prüfen kann. Sauber wäre, wenn man zuerst bestätigt, dass man der Eigentümer einer E-Mail-Adresse ist und dann das Ergebnis der Prüfung erfährt. Das hat sich der Autor erspart. Mir scheint diese Vorgangsweise im Widerspruch zu seinem Profil als Security-Spezialist zu stehen.
Die Seite erlaubt aber die Entfernung einer Adresse aus der Suche.
Im Menüpunkt About -> opt out kann man eine Adresse auch aus dem Verzeichnis entfernen lassen. Man erhält danach eine Bestätigungsmail und niemand kann mehr den Zustand der Adresse abfragen; man selbst aber auch nicht.
Passwort suchen
Man kann auch überprüfen, ob ein persönliches Passwort in der Datenbank aufscheint. Wenn man versuchsweise „123456“ eingibt, erfährt man, dass dieses Passwort gleich 23.174.662 Mal in der Datenbank vorkommt.
Domänen-Suche
Wer eine eigene Domäne besitzt und mehrere E-Mail-Adressen mit dieser Domäne verbunden sind, muss nicht jede einzelne Adresse überprüfen, sondern kann auch die ganze Domäne überprüfen lassen. Man muss dazu die Abfrage auf eine von drei Arten ermöglichen. Danach bekommt man eine Liste mit allen E-Mail-Adressen, die in der Datenbank gelistet sind.
Passwortsafes
Es ist ein Widerspruch, komplexe Passwörter zu verwenden, bei jedem Dienst ein anderes und diese Passwörter nicht aufschreiben zu sollen. Dieses Problem lösen Passwortsafes. Das sind Programme, die sich alle diese Passwörter in einer Datenbank merken und zu denen man mit nur einem Passwort Zugang hat.
Dieses Masterpasswort sollte alle Merkmale eines sichern Passworts haben: 12 Zeichen, eine Zahl, ein Buchstabe, ein Sonderzeichen und vor allem sollte dieses Passwort regelmäßig geändert werden. Das Passwort wird nicht aufgeschrieben, sondern in einem Safe, Schließfach oder beim Notar aufbewahrt.
Während die meisten Passwortsafes cloudbasiert sind, kommt KeePass, das uns Pauli als sein favorisiertes Programm vorgestellt hat, ohne Mitwirkung einer Cloud aus. Das Programm wird von einer Community entwickelt und existiert in zwei Versionen 1.x und 2.x. Der Unterschied liegt im Format der Datenbank.
KeePass ist kostenlos und existiert auf allen Plattformen.
Ein Passwortsafe speichert beliebig viele Username/Passwort-Kombinationen und die zugehörigen Webseitenadressen und trägt sie bei einer Anmeldung automatisch in die Felder der Webseite ein. Pro Webseite können auch mehrere Identitäten verwendet werden.
KeePass ist portabel und kann auf einem USB-Stick mitgeführt werden.
Es gibt PlugIns für Firefox, Edge und Chrome.
Links
Die Folien des Vortrag findet Ihr im Ordner „clubintern“*) Eures OneDrive/Geteilt oder im cc|drive. Alle anderen Bilder und Unterlagen in unserem Archiv:
Michael Ebner hat ein Video von diesem Vortrag aufgezeichnet. Die Fertigstellung wird nicht einige Zeit dauern aber danach über unseren YouTube-Kanal abrufbar sein.
Links im Text dieses Artikels
Paul Belcl (Homepage)
Bereits zu diesem Thema auf Paulis Homepage erschienen:
- 2019-01-20 Wie sicher ist mein Passwort?
- 2017-07-18 Daten Leck im Internet – was tun?
- 2014-02-06 Hack-Attack auf (fast) alles! – was tun?
- 2012-02-02 LastPass–Passwortservice im Test
- 2011-05-06 Möglicher Datenklau beim Passwortspeicherdienst “LastPass”
- 2011-03-05 Nachlese von Clubabend – Android Test
- 2009-11-07 HTC-HD2 Test – Tag 3 – die ersten Hürden
Keepass
- Keepass Webseite
- Keepass Sprachpakete
- KeepassPlugins
- Kee für Firefox oder Chrome
- Keepass für Android
- Keepass für iPhone (nicht getestet!)
- haveibeenpwned.com – Prüfseite für gehackte Passworte
- passwortcheck.ch – wie sicher ist mein Passwort
- Futurezone Bericht über Passwortsoftware
- Nachtrag, Jänner 2020
Jeder braucht es auf dem PC: Das wichtigste Security-Tool der Welt (Chip, Jänner 2020)
clubintern
*) „clubintern“ ist der Name eines Ordners, der für nicht-öffentliche Unterlagen vorgesehen ist und der nur unseren Mitgliedern zugänglich ist. Wir speichern diesen Ordner an zwei Orten:
- cc|drive
- OneDrive
Clubmitglieder können zu beiden Ordnern Zutritt bekommen.
cc|drive
Schritt 1: Melde Dich mir der Club-Id (name {at} clubcomputer.at) bei https://drive.ccc.at an. Bei der Erstanmeldung wird Dir automatisch ein 30GB-Cloud-Speicher eingerichtet.
Schritt 2: Schreibe an buero{at}clubcomputer.at. Wir nehmen dann Deinen angelegten Account in die Gruppe „clubcomputer“ auf und dann wird der Ordner „clubintern“ in Deinem Verzeichnis sichtbar.
OneDrive
Bei einer Installation eines Windows-PC wird eine E-Mail-Adresse abgefragt, die eine so genannte Microsoft-Id begründet. Mit dieser Microsoft-Id hat man Zugang zu kostenlosen Online-Diensten. Der für die täglichen Arbeiten wichtigste Dienst ist OneDrive, der Cloud-Speicher von Microsoft. Im Windows-Explorer und in der Taskleiste erscheint der OneDrive mit einem blauen Wolkensymbol. Man kann nun selbst Daten im OneDrive ablegen. Diese Daten sind dann sowohl am eigenen Rechner und auch in der Cloud gespeichert. Aber man kann diese Daten auch mit anderen Usern teilen. ClubComputer teilt mit seinen Mitgliedern den Ordner „clubintern“.
Wenn Du uns also Deine Micrososft-Id mitteilst (Mail an buero{at}clubcomputer.at), dann teilen wir diesen Ordner mit Dir und ab sofort siehst Du alle nicht-öffentlichen Clubdateien im Ordner OneDrive/Geteilt/clubintern.
Franz war pensionierter HTL Lehrer (TGM), Präsident von ClubComputer, Herausgeber der Clubzeitung PCNEWS und betreute unser Clubtelefon und Internet Support. Er war leidenschaftlicher Rapid Wien Fan. Er ist leider Anfang Jänner 2024 nach langer schwerer Krankheit verstorben.
Neueste Kommentare