[Nach einem Vortrag von Paul Belcl am 7.5.2019.]

Wie man einen solchen Vortrag einleitet, dazu hatten Pauli und ich dieselbe Idee. In der Einleitung zu Paulis Vortrag verwendete ich die deutsche Version eines lustigen Passworttexts und Pauli dann in seinen Folien die englische:

Bitte geben Sie ein Passwort ein.

   leberkas

Ihr Passwort muss Großbuchstaben enthalten.

   Leberkas 

Das Passwort ist zu kurz.

   Leberkas Semmel

Bitte verwenden Sie keine Leerzeichen

   LeberkasSemmel

Ihr Passwort muss mindestens eine Zahl enthalten.

   500LeberkasSemmeln

Verwenden Sie bitte mindestens einen Umlaut.

   500LeberkässemmelnZEFIX

Verwenden Sie mindestens ein Sonderzeichen.

   500DRECKSLeberkässemmelnZEFIXnoamoi!!!

Nur nichtaufeinanderfolgende Großbuchstaben zulässig.

   KreizKruzeFixNoamoiJetztKonnstMiDannGleiKreiz
WeisWoslsDesFüraGlump500LeberkasSemmenZeFix!!!

Passwort wird bereits verwendet.

Die englische Version von Pauli findet Ihr in den Unterlagen im Ordner „clubintern“.*)

Die Vorträge bei unseren Meatings sollen auch etwas bewirken. Mich haben die Ausführungen von Pauli motiviert, meine eigenen Umgangsformen mit Internet-Portalen zu überprüfen und ich zeige hier, was ich geändert habe.

Passwort und E-Mail

Identifiziert man sich bei allen Portalen mit immer mit derselben E-Mail-Adresse und verwendet dann auch bei allen Diensten mit demselben Passwort, ist man schwer gefährdet, weil ein Angreifer mit einem Schlag Zugang zu allen Diensten bekommt.

Der wichtigste Rat von Pauli war, bei allen Diensten ein anderes Passwort zu verwenden.

Leider hat es sich eingebürgert, statt eines Usernamens eine E-Mail-Adresse als Login zu verwenden. Verwendet man dafür immer seine Haupt-E-Mail-Adresse – und ist diese irgendwo kompromittiert – dann ist man gefährdet. Daher sollte man für die Anmeldung bei fremden Seiten nicht seine Haupt-E-Mail-Adresse sondern einen Alias dazu verwenden; oder auch eine andere Adresse, die Mails zur Hauptadresse weiterleitet.

Passwort-Mindestanforderungen

  • Eine Zahl, ein Buchstabe, ein Großbuchstabe, ein Sonderzeichen, mindestens 8 Stellen (besser 10 oder 12)
  • für jeden Zugang ein eigenes Passwort verwenden!
  • Passwortcheck machen! https://passwortcheck.ch
Mein Testpasswort hat den Score 105

Die Seite Passwortcheck.ch bietet auch viele lehrreiche Passworttipps.

Zweiwegeverifizierung

Ein wichtiger Rat von Pauli ist, bei allen Systemen, bei denen das möglich ist, die Zwei-Wege-Authentifizierung zu verwenden. Jedenfalls sollte das bei allen Geldgeschäften so eingestellt sein.

Die Zwei-Wege-Authentifizierung besteht in einer Rückfrage über einen anderen Kommunikationskanal. Das kann eine SMS sein, natürlich auch ein Rückruf, eine Mail oder eine eigene App. Von den Sicherheitsexperten wird eine SMS als zu unsicher eingestuft. Bei einem sehr guten Artikel von Kaspersky kann man sich über die Technik und die verfügbaren Apps informieren.

Authenticator

Die Rückfrage-Apps von Microsoft und Google heißen „Authenticator“ und können unter diesem Namen über den Play Store installiert werden. Diese Apps können als Rückmeldung für verschiedene Konten dienen. Bei mir sind die Konten von Microsoft, DigitalSociety und PayPal eingetragen. Im Zuge dieser Nachlese habe ich auch das Google-Konto hinzugefügt.

Konten im Authenticator

Die grau hinterlegten Konten sind noch nicht aktiviert, klappt man ein Konto auf, sieht man eine TAN, die man bei jeweiligen Anmeldevorgang eingeben muss. Eine Eieruhr zeigt, wie lange der Code noch gültig ist.

Der Grund, warum ich gerade den Microsoft-Authenticator installiert habe, dürfte sein, dass ich am Handy den Microsoft-Launcher verwende und im Zuge der Installation des Launchers wurde der Authenticator zur Installation angeboten.

Die ERSTE traut diesem Authenticator nicht und verwendet eine eigene Rückmelde-App.

PayPal

Unter Einstellungen -> Sicherheit -> Zweistufige Verifizierung aktiviert man diese und legt fest, ob man einen SMS-Code bestätigt oder ob man eine Authentifizierungs-App verwenden will. Ich habe „SMS-Code“ gewählt.

Man kann danach auch den zweiten Weg, die zweistufige Verifizierung definieren und die Authentifizierung zusätzlich zum SMS-Code hinzufügen. Dabei öffnet sich am PC ein Fenster mit einem QR-Code. Da ich mit dem Authenticator von Microsoft bereits eine solche App am Handy installiert habe, musste ich diese nur öffnen, über die Einstellungen „Konto hinzufügen“ wählen. Danach öffnet sich die Kamera. Man sucht den QR-Code am PC-Monitor, fertig.

Jetzt ist mein PayPal-Konto mit einer zweifachen Zweiwegeverifzierung versehen. Die Hacker können kommen!

Diesen 6-stelligen Code sagt Dir der Authenticator.

Inzwischen habe ich wegen der Kaspersky-Empfehlung das in PayPal angezeigte Standardgerät von „SMS“ auf „Authentifizierungs-App“ umgestellt

Microsoft

Einloggen bei microsoft.com -> Mein Microsoft Konto -> Sicherheit -> weitere Sicherheitsoptionen -> zweistufige Überprüfung einrichten

Wichtig ist, dass man vor der Aktivierung alle bereits eingestellten Sicherheitsinformaiton, insbesondere die eigene Telefonnummer überprüft. Man bekommt vor der Umstellung auf die zweistufige Verifikation einen Wiederherstellungskode VNZ**-Q2T**-BWN**-P2P**-M7T**, mit dem man sich bei einem Misserfolg der Konfiguration wieder einloggen könnte. Danach kann man angeben, ob man seine E-Mail von outlook.com mit einem Android, iPhone oder Blackberry synchronisiert.

Google

Hier hatte ich die zweistufige Authentifizierung schon aktiviert, habe aber von einer SMS-Authentifizierung auf den Authenticator von Microsoft umgestellt, damit alles ein bisschen einheitlicher wird.

ERSTE (George)

Das Login bei meiner Bank wird bis 14. September 2019 ebenfalls auf eine Art „Authenticator“-Verifizierung umgestellt.

Etwas eigenartig ist die Art der Erklärung. Es steht nicht: lade Dir die App xy auf das Handy, nein, man muss sich ein minutenlanges Video anschauen. Muss man nicht. Im Play Store gibt es die App „s Identity“, die man installieren muss.

E-Mail-Adresse überprüfen

Es passiert immer wieder, dass ein Datendienst bekannt gibt, dass ihm Daten gestohlen worden sind. Diese Daten landen im Darknet und werden dort an Wiederverwerter verscherbelt, die dann versuchen, die erworbenen E-Mail-Adressen (und oft auch Passwörter) zu Geld zu machen. Daraus resultieren die Erpressermails, mit denen wir uns oft herumschlagen müssen.

Die Seite https:haveibeenpwned.com sagt uns, ob eine gegebene E-Mail-Adresse kompromittiert ist. Troy Hunt heißt der Autor dieser Seite. Die kompromittierten Seiten haben ihm offenbar die gestohlenen Daten überlassen, um dem betroffenen Publikum wenigstens die Möglichkeit zu geben, sich über die Betroffenheit der verwendeten E-Mail-Adressen zu überzeugen.

Wer wurde kompromittiert?

Wenn sich also jemand fragt, von wo die Erpresse die E-Mail-Adressen haben, dann in erster Linie von Einbrüchen in irgendeine Webseite, die Benutzerdaten verwaltet. Nicht weniger als 362 Seiten wurden kompromittiert, und das sind natürlich nur die bekannten. Die Dunkelziffer kennt man nicht. Hier sind sie: 000webhost • 126 • 17 • 17173 • 2fast4u • 500px • 7k7k • 8fit • 8tracks • Abandonia • AbuseWith.Us • Acne.org • Adapt • Adobe • Adult Friend Finder • Adult-FanFiction.Org • AerServ • AhaShare.com • ai.type • Aipai.com • AKP Emails • Ancestry • Android Forums • Anti Public Combo List • Apollo • Appartoo • Army Force Online • Ashley Madison • Astropid • Aternos • Atlas Quantum • Autocentrum.pl • Avast • B2B USA Businesses • Baby Names • Badoo • BannerBit • Battlefield Heroes • Beautiful People • Bell (2014 breach) • Bell (2017 breach) • Bestialitysextaboo • BigMoneyJobs • Bin Weevils • Biohack.me • Bitcoin Security Forum Gmail Dump • Bitcoin Talk • Bitly • BitTorrent • Black Hat World • BlankMediaGames • Bolt • Bombuj.eu • Bookmate • Bot of Legends • Boxee • Brazzers • BTC-E • Bukalapak • Business Acumen Magazine • CafeMom • Cannabis.com • CashCrate • CD Projekt RED • CheapAssGamer.com • Civil Online • ClixSense • CloudPets • Club Penguin Rewritten • Coachella • Collection #1 • Comcast • COMELEC (Philippines Voters) • Coupon Mom / Armor Games • Crack Community • CrackingForum • Creative • CrimeAgency vBulletin Hacks • Cross Fire • DaFont • Dailymotion • Dangdang • DaniWeb • Data & Leads • Data Enrichment Records • DataCamp • Demon Forums • devkitPro • diet.com • Digimon • Disqus • DLH.net • Dodonew.com • Domino’s • Dropbox • Dubsmash • Dungeons & Dragons Online • Duowan.com • dvd-shop.ch • Edmodo • Elance • Elasticsearch Instance of Sales Leads on AWS • Epic Games • Eroticy • Estonian Citizens (via Estonian Cybercrime Bureau) • eThekwini Municipality • Ethereum • Evermotion • Everybody Edits • Evony • Exactis • Experian • Exploit.In • Exposed VINs • EyeEm • Facepunch • FaceUP • Fashion Nexus • FashionFantasyGame • Final Fantasy Shrine • Flash Flash Revolution • Flashback • Fling • Florida Virtual School • Forbes • ForumCommunity • Foxy Bingo • Freedom Hosting II • FreshMenu • Fridae • Funimation • Funny Games • Fur Affinity • Gaadi • Gamerzplanet • GameTuts • Gamigo • Gawker • GeekedIn • GFAN • GoldSilver • gPotato • GTAGaming • Guns and Robots • hackforums.net • Hacking Team • HauteLook • Health Now Networks • Hemmakväll • hemmelig.com • Heroes of Gaia • Heroes of Newerth • HiAPK • HLTV • HongFire • HoundDawgs • Houzz • HTH Studios • Hub4Tech • i-Dressup • ILikeCheats • iMesh • imgur • Insanelyi • Intelimost • InterPals • iPmart • ixigo • JobStreet • JoomlArt • Justdate.com • Kayo.moe Credential Stuffing List • Kickstarter • Kimsufi • KM.RU • KnownCircle • Knuddels • Lanwar • Last.fm • League of Legends • Leet • Lifeboat • Light’s Hope • LinkedIn • Linux Forums • Linux Mint • Little Monsters • Lizard Squad • Lookbook • Lord of the Rings Online • Lounge Board • Lyrics Mania • Mac Forums • Mac-Torrents • mail.ru Dump • MajorGeeks • MALL.cz • Malwarebytes • Manga Traders • MangaFox.me • Mappery • Master Deeds • Mate1.com • MCBans • MDPI • Minecraft Pocket Edition Forum • Minecraft World Map • Minefield • MoDaCo • Modern Business Solutions • Money Bookers • Morele.net • Mortal Online • MPGH • MrExcel • mSpy • Muslim Directory • Muslim Match • MyFHA • MyFitnessPal • MyHeritage • myRepoSpace • MySpace • MyVidster • NapsGear • Naughty America • NemoWeb • Neopets • NetEase • Neteller • NetProspex • Netshoes • NextGenUpdate • Nexus Mods • Nihonomaru • Nival • Non Nude Girls • Nulled • Onliner Spambot • Onverse • Open CS:GO • OVH • OwnedCore • Paddy Power • Patreon • PayAsUGym • Pemiblanc • PHP Freaks • Pixel Federation • Plex • Pokébip • Pokémon Creed • Pokémon Negro • PoliceOne • Powerbot • Programming Forums • PS3Hax • PSP ISO • PSX-Scene • Qatar National Bank • QIP • Quantum Booter • QuinStreet • R2 (2017 forum breach) • R2Games • Rambler • RankWatch • Rbx.Rocks • Real Estate Mogul • Regpack • Retina-X • ReverbNation • River City Media Spam List • Rosebutt Board • Russian America • SaverSpy • SC Daily Phone Spam List • Seedpeer • ServerPact • ShareThis • Shotbow • SkTorrent • Smogon • Snapchat • Società Italiana degli Autori ed Editori • Sony • Soundwave • Special K Data Feed Spam List • Spirol • SpyFone • Staminus • StarNet • Ster-Kinekor • Stratfor • Sumo Torrent • SvenskaMagic • SweClockers.com • Taobao • Taringa • Team SoloMid • Technic • Telecom Regulatory Authority of India • Teracod • Tesco • TGBUS • The Candid Board • The Fappening • The Fly on the Wall • TheTVDB.com • ThisHabbo Forum • Tianya • Ticketfly • Torrent Invites • Trik Spam Botnet • Trillian • TruckersMP • tumblr • Uiggy • UN Internet Governance Forum • Underworld Empire • Unreal Engine • uTorrent • uuu9 • vBulletin • Verifications.io • Verified • Victory Phones • ViewFines • VK • VNG • Vodafone • VTech • V-Tight Gel • War Inc. • Warframe • Warmane • We Heart It • Whitepages • WHMCS • Wife Lovers • WIIU ISO • WildStar • Win7Vista Forum • Wishbone • WPSandbox • WPT Amateur Poker League • xat • Xbox 360 ISO • Xbox-Scene • xHamster • XPG • XSplit • Yahoo • Yandex Dump • Yatra • Youku • YouPorn • You’ve Been Scraped • Zomato • Zoosk • Пара Па • Спрашивай.ру

Von Einbrüchen sind also auch prominente Adressen betroffen wie etwa Adobe und Yahoo.

Adresse suchen

Einfach eine E-Mail-Adresse eingeben. Ist eine Adresse betroffen, sieht man weiter hinten eine Liste aller angegriffenen Anbieter. Ist die E-Mail-Adresse nicht betroffen, ist alles im „grünen Bereich“.

So wertvoll diese Information ist, so eigenartig ist es, dass man auch fremde E-Mai-Adressen auf diese Art prüfen kann. Sauber wäre, wenn man zuerst bestätigt, dass man der Eigentümer einer E-Mail-Adresse ist und dann das Ergebnis der Prüfung erfährt. Das hat sich der Autor erspart. Mir scheint diese Vorgangsweise im Widerspruch zu seinem Profil als Security-Spezialist zu stehen.

Die Seite erlaubt aber die Entfernung einer Adresse aus der Suche.
Im Menüpunkt About -> opt out kann man eine Adresse auch aus dem Verzeichnis entfernen lassen. Man erhält danach eine Bestätigungsmail und niemand kann mehr den Zustand der Adresse abfragen; man selbst aber auch nicht.

Passwort suchen

Man kann auch überprüfen, ob ein persönliches Passwort in der Datenbank aufscheint. Wenn man versuchsweise „123456“ eingibt, erfährt man, dass dieses Passwort gleich 23.174.662 Mal in der Datenbank vorkommt.

Domänen-Suche

Wer eine eigene Domäne besitzt und mehrere E-Mail-Adressen mit dieser Domäne verbunden sind, muss nicht jede einzelne Adresse überprüfen, sondern kann auch die ganze Domäne überprüfen lassen. Man muss dazu die Abfrage auf eine von drei Arten ermöglichen. Danach bekommt man eine Liste mit allen E-Mail-Adressen, die in der Datenbank gelistet sind.

Passwortsafes

Es ist ein Widerspruch, komplexe Passwörter zu verwenden, bei jedem Dienst ein anderes und diese Passwörter nicht aufschreiben zu sollen. Dieses Problem lösen Passwortsafes. Das sind Programme, die sich alle diese Passwörter in einer Datenbank merken und zu denen man mit nur einem Passwort Zugang hat.

Dieses Masterpasswort sollte alle Merkmale eines sichern Passworts haben: 12 Zeichen, eine Zahl, ein Buchstabe, ein Sonderzeichen und vor allem sollte dieses Passwort regelmäßig geändert werden. Das Passwort wird nicht aufgeschrieben, sondern in einem Safe, Schließfach oder beim Notar aufbewahrt.

Während die meisten Passwortsafes cloudbasiert sind, kommt KeePass, das uns Pauli als sein favorisiertes Programm vorgestellt hat, ohne Mitwirkung einer Cloud aus. Das Programm wird von einer Community entwickelt und existiert in zwei Versionen 1.x und 2.x. Der Unterschied liegt im Format der Datenbank.

KeePass ist kostenlos und existiert auf allen Plattformen.

Ein Passwortsafe speichert beliebig viele Username/Passwort-Kombinationen und die zugehörigen Webseitenadressen und trägt sie bei einer Anmeldung automatisch in die Felder der Webseite ein. Pro Webseite können auch mehrere Identitäten verwendet werden.

KeePass ist portabel und kann auf einem USB-Stick mitgeführt werden.

Es gibt PlugIns für Firefox, Edge und Chrome.

Links

Die Folien des Vortrag findet Ihr im Ordner „clubintern“*) Eures OneDrive/Geteilt oder im cc|drive. Alle anderen Bilder und Unterlagen in unserem Archiv:

Michael Ebner hat ein Video von diesem Vortrag aufgezeichnet. Die Fertigstellung wird nicht einige Zeit dauern aber danach über unseren YouTube-Kanal abrufbar sein.

Links im Text dieses Artikels

Paul Belcl (Homepage)

Bereits zu diesem Thema auf Paulis Homepage erschienen:

Keepass

clubintern

*) „clubintern“ ist der Name eines Ordners, der für nicht-öffentliche Unterlagen vorgesehen ist und der nur unseren Mitgliedern zugänglich ist. Wir speichern diesen Ordner an zwei Orten:

  • cc|drive
  • OneDrive

Clubmitglieder können zu beiden Ordnern Zutritt bekommen.

cc|drive

Schritt 1: Melde Dich mir der Club-Id (name {at} clubcomputer.at) bei https://drive.ccc.at an. Bei der Erstanmeldung wird Dir automatisch ein 30GB-Cloud-Speicher eingerichtet.

Schritt 2: Schreibe an buero{at}clubcomputer.at. Wir nehmen dann Deinen angelegten Account in die Gruppe „clubcomputer“ auf und dann wird der Ordner „clubintern“ in Deinem Verzeichnis sichtbar.

OneDrive

Bei einer Installation eines Windows-PC wird eine E-Mail-Adresse abgefragt, die eine so genannte Microsoft-Id begründet. Mit dieser Microsoft-Id hat man Zugang zu kostenlosen Online-Diensten. Der für die täglichen Arbeiten wichtigste Dienst ist OneDrive, der Cloud-Speicher von Microsoft. Im Windows-Explorer und in der Taskleiste erscheint der OneDrive mit einem blauen Wolkensymbol. Man kann nun selbst Daten im OneDrive ablegen. Diese Daten sind dann sowohl am eigenen Rechner und auch in der Cloud gespeichert. Aber man kann diese Daten auch mit anderen Usern teilen. ClubComputer teilt mit seinen Mitgliedern den Ordner „clubintern“.

Wenn Du uns also Deine Micrososft-Id mitteilst (Mail an buero{at}clubcomputer.at), dann teilen wir diesen Ordner mit Dir und ab sofort siehst Du alle nicht-öffentlichen Clubdateien im Ordner OneDrive/Geteilt/clubintern.

Zur Werkzeugleiste springen