Hallo, zur kompletten Verschlüsselung von gesicherten Daten nutze ich VeraCrypt. Allerdngs habe ich wenige Dateien mit sensiblen Daten zu Logins wie z.B. ebay, amazon, Onlinebanking, emailaccounts etc., die ich auch im laufenden Betrieb von Windows grundsätzlich gerne verschlüsselt gespeichert hätte und nur bei Bedarf kurz entschlüsseln würde. Die Verschlüsselung von Windows ist dafür wohl weniger geeignet, wiel die ja im eingeloggten Zustand nicht wirkt. Welche Software würdet ihr da verwenden, die vermutlich wirklich kein Backddoor hat ?
interrupt schrieb: > Welche Software würdet ihr da verwenden, die vermutlich wirklich kein > Backddoor hat ? Sobald du dein pw im System eingibst hast du schon verloren. Das kann einfach deine Inputs auslesen inkl Zwischenablage etc. 2 Faktor auth schützt hier besser.
interrupt schrieb: > Welche Software würdet ihr da verwenden, die vermutlich wirklich kein > Backddoor hat ? Stift und Papier Idealerweise trennt man hier den Benutzernamen und Domainnamen vom PW. Benutzer und Domain kannst du auf dem Rechner speichern. Dem ganzen gibst du noch eine Nummer. Und auf dem Papier schreibst du die Nummer und das PW drauf. Damit ist das ganze getrennt. Findet jemand im unwahrscheinlichen Fall dein Papier, dann kann er damit nicht viel anfangen, da die Zuordnungen im Rechner stehen, den du wiederum mit einer Verschlüsselung absichern kannst. Die PW solltest du dann natürlich alle auswechseln. Eine zweite Sicherung des Papierinhalts macht Sinn. Und eine Malware kann mit den Daten im Rechner nicht viel anstellen, solange du deine PW nicht eingibst, da die PW sich auf dem Papier befinden. Das ganze schützt deine PW auch während dem laufenden Betrieb wenn eine Malware Kernelrechte haben sollte, sofern du die PW nicht eingibst. Damit kannst du also schonmal den Schaden deutlich eingrenzen, weil du kaum alle PW an einem Tag benötigen wirst.
Nano schrieb: > Das ganze schützt deine PW auch während dem laufenden Betrieb wenn eine > Malware Kernelrechte haben sollte, sofern du die PW nicht eingibst. > Damit kannst du also schonmal den Schaden deutlich eingrenzen, weil du > kaum alle PW an einem Tag benötigen wirst. Dieser Punkt ist übrigens eine Schwäche von Keepass und Co. Da mit der Eingabe des Masterpasswörter alle PW offen stehen und die Malware dann an diese rankommt, wenn diese Kernelrechte hat.
interrupt schrieb: > ebay, amazon, Onlinebanking, emailaccounts Das ganze sieht dann also so aus: Auf dem Rechner hast du eine einefache Textdatei, nennen wir sie mal Zugangsdaten. Darin steht: 1. Ebay 2. Amazin 3. Bank 4. Emailanbieter 5. mikrocontroller.net Solltest du noch den Benutzernamen speichern müssen, kannst du den anhängen. Und auf dem Papier steht dann: 1. 12345678 2. QWERTZ 3. PASSWORD 4. WEITER 5. SEXSEXSEX Über die Nummer kannst du dann die Logins zu den PW zuordnen und zur Benutzung brauchst du die Datei und das Papier. Natürlich solltest du dir gescheite PW ausdenken. Die sind nur ein Beispiel von schlechten PW. :D
interrupt schrieb: > wie z.B. > ebay, amazon, Onlinebanking, emailaccounts etc. Die bieten oder verlangen sogar alle 2FA. Alles andere wäre heutzutage auch sinnlos. Passwort dazu in KeePass, den zweiten Faktor wie auch immer. Oliver
brutus force schrieb: > Nano schrieb: >> Stift und Papier > > Den Verschlüsselungsalgorithmus benutze ich auch. Ich auch. Aber wo ich das Papier versteckt habe verrate ich hier nicht.
brutus force schrieb: >> Stift und Papier > > Den Verschlüsselungsalgorithmus benutze ich auch. Bei 100 verschiedenen PW sollte Dein Zettel immer aktuell sein und nie verschwinden :-) Verschlüsselt macht auch ehrgeizige Leute besonders neugierig, wie mir ein Dozent vor Jahren berichtete. Seitdem verschlüssle ich Kochrezepte besonders gut.
brutus force schrieb: > Nano schrieb: >> Stift und Papier > > Den Verschlüsselungsalgorithmus benutze ich auch. Manche haben so eine Sau-Klaue, da braucht man auch keinen Verschlüsselungsalgorithmus und kann den Zettel überall rumliegen lassen.
Hallo oszi40 schrieb: > Verschlüsselt macht auch ehrgeizige Leute besonders > neugierig, wie mir ein Dozent vor Jahren berichtete. Durchaus wahr - deshalb gibt es ja auch Software die Daten "unsichtbar" macht - zumindest für den ganz einfachen Nutzer ohne irgendwelche erweitertes Wissen. Bei den Programm was ich und Win10 nutze - es reicht aber für mein Umfeld - braucht es nur irgendein Linux (booten von USB Steck, Live version), oder einen mehr Textbasierten ("DOS")bzw. nicht "normalen" Filebrowser um die Dateien wieder sichtbar zu machen. Eventuell haben diese dann eine seltsame Bezeichnung sind aber immer zu öffnen.
Praktiker schrieb: > Durchaus wahr - deshalb gibt es ja auch Software die Daten "unsichtbar" > macht - zumindest für den ganz einfachen Nutzer ohne irgendwelche > erweitertes Wissen. Security by obscurity war schon immer eine schlechte Idee, und der ganz einfache Nutzer entschlüsselt sowieso nichts. Was soll also der ganze Quatsch? Oliver
Otto schrieb: > Manche haben so eine Sau-Klaue, da braucht man auch keinen > Verschlüsselungsalgorithmus und kann den Zettel überall rumliegen > lassen. Besonders, wenn das eine Einwegverschlüsselung ist, weil man auch selbst damit allenfalls so lange etwas anfangen kann, wie es noch als Trigger fürs Gedächtnis taugt. ;-)
Praktiker schrieb: > Durchaus wahr - deshalb gibt es ja auch Software die Daten "unsichtbar" > macht - zumindest für den ganz einfachen Nutzer ohne irgendwelche > erweitertes Wissen. Dein einfacher Nutzer ohne irgendwelches erweitertes Wissen wird aber auch mit einer richtigen Verschlüsselung nichts anfangen können. Oliver S. schrieb: > Security by obscurity war schon immer eine schlechte Idee So ist es. Das haben aber viele noch immer nicht verstanden. Deshalb wird das bei sehr viel wichtiger Software noch immer so gemacht.
Und weil hier auch ein paar Programmierer anwesend sein könnten: Wer zwar eine anerkannt gute Verschlüsselung verwendet, diese aber selbst implementiert, ist oft auch nicht viel besser dran als mit obscurity. Weil man höllisch aufpassen muss, um keine Seitenkanäle einzubauen, die über sogar recht einfache Wege wie Stromverbrauch, Zeitverhalten, Paging usw. Schlauköpfen das Leben erleichtern.
:
Bearbeitet durch User
interrupt schrieb: > Allerdngs habe ich wenige Dateien mit sensiblen Daten zu Logins wie z.B. > ebay, amazon, Onlinebanking, emailaccounts etc., die ich auch im > laufenden Betrieb +1 KeePassXC Nano schrieb: > Nano schrieb: >> Das ganze schützt deine PW auch während dem laufenden Betrieb wenn eine >> Malware Kernelrechte haben sollte, sofern du die PW nicht eingibst. >> Damit kannst du also schonmal den Schaden deutlich eingrenzen, weil du >> kaum alle PW an einem Tag benötigen wirst. > > Dieser Punkt ist übrigens eine Schwäche von Keepass und Co. > Da mit der Eingabe des Masterpasswörter alle PW offen stehen und die > Malware dann an diese rankommt, wenn diese Kernelrechte hat. Ja, hmm... Wie gibst du denn die Passwörter von der Papierliste in die Login-Formulare der Onlinedienste ein? Über den Computer? Hmm... aber, wenn der kompromittiert ist, wenn eine Malware sogar Kernelrechte hat, dann kann die sogar die Tastatur auslesen.. hmmm hmmm Kurz gesagt: Dein Argument ist schmarrn. KeepassXC ist bei einem kompromittierten Rechner genauso (un)sicher, wie auf Papier aufgeschriebene Passwörter. Mit dem Detailunterschied, dass KeePassXC einfacher zu handhaben ist (Einträge ändern, neue anlegen, Passwort kopieren/einfügen, Kommentare, Anhänge/Screenshots, ...) und die Passwörter durch ein Masterpasswort/-satz verschlüsselt abspeichert.
Sorrynotsorry schrieb: > Kurz gesagt: Dein Argument ist schmarrn. > Nano schrieb: >> Dieser Punkt ist übrigens eine Schwäche von Keepass und Co. >> Da mit der Eingabe des Masterpasswörter alle PW offen stehen
Sorrynotsorry schrieb: > Nano schrieb: >> Nano schrieb: >>> Das ganze schützt deine PW auch während dem laufenden Betrieb wenn eine >>> Malware Kernelrechte haben sollte, sofern du die PW nicht eingibst. >>> Damit kannst du also schonmal den Schaden deutlich eingrenzen, weil du >>> kaum alle PW an einem Tag benötigen wirst. >> >> Dieser Punkt ist übrigens eine Schwäche von Keepass und Co. >> Da mit der Eingabe des Masterpasswörter alle PW offen stehen und die >> Malware dann an diese rankommt, wenn diese Kernelrechte hat. > > Ja, hmm... Wie gibst du denn die Passwörter von der Papierliste in die > Login-Formulare der Onlinedienste ein? Über den Computer? Hmm... aber, > wenn der kompromittiert ist, wenn eine Malware sogar Kernelrechte hat, > dann kann die sogar die Tastatur auslesen.. hmmm hmmm Ja, kann sie. Der Unterschied ist aber, von meinen > 100 PW gebe ich an dem Tag vielleicht nur 5 ein und am Abend gib's vielleicht ne Newsmeldung das Malware XY durchs Internet treibt, erkennbar an Datei XY an Ordner so und so. Und so kann man ihn entfernen.. (Anleitung folgt im Artikel) Dann macht man das und schon ist die Malware im besten Fall weg. 5 PW wurden kompromittiert, der Schaden hält sich in Grenzen. Wenn ich schnell bin, kann ich die ändern und ich behalte die Kontrolle über die Accounts. Du aber hast mit deinem KeePassXC das Problem, dass alle deine > 100 PW kompromittiert wurden und jetzt musst du ALLE ändern und mit jeder Minute steigt die Gefahr, dass die PW + Logindaten irgendwo im Darknet bereits die Runde machen und die Leute ausgiebig von deinen > 100 Accounts Gebrauch machen. > Kurz gesagt: Dein Argument ist schmarrn. Nein, ist es nicht. Du hast es lediglich nicht verstanden. > KeepassXC ist bei einem > kompromittierten Rechner genauso (un)sicher, wie auf Papier > aufgeschriebene Passwörter. Es sind alle deine PW kompromittiert, bei mir nicht. Damit letzteres bei mir passiert müsste die Malware über Monate unbemerkt ihr Unwesen auf meinem Rechner treiben, bis ich alle PW irgendwann mal eingegeben habe um bspw. alle Accounts zu besuchen. Aber auch das ist bei dir ein größeres Problem. Denn dieses nicht bemerken der Malware über Monate wirkt sich bei dir wesentlich schlimmer aus. Denn alle deine PW sind schon an Tag 0 alle kompromittiert und bis du das bemerkst, wurden vielleicht schon dutzende deiner Accounts übernommen oder zu deinem Nachteil missbraucht. > Mit dem Detailunterschied, dass KeePassXC > einfacher zu handhaben ist (Einträge ändern, neue anlegen, Passwort > kopieren/einfügen, Kommentare, Anhänge/Screenshots, ...) Das ist nicht einfacher. Wenn ich ein neues PW setze, streiche ich das alte durch und schreib das neue neben dran. Fertig. Und bei den Gegenstückdaten auf dem Rechner gibt's keinen Unterschied zu deinem KeePassXC. > und die > Passwörter durch ein Masterpasswort/-satz verschlüsselt abspeichert. Und diese Verschlüsselung bietet gegen Schadsoftware mit Kernelrechten eben keine Sicherheit. Du bräuchtest im Prinzip die Passwortverwaltung auf einem externen Gerät.
Nano schrieb: > Sorrynotsorry schrieb: >> Über den Computer? Hmm... aber, >> wenn der kompromittiert ist, wenn eine Malware sogar Kernelrechte hat, >> dann kann die sogar die Tastatur auslesen.. hmmm hmmm > > Ja, kann sie. > Der Unterschied ist aber, von meinen > 100 PW gebe ich an dem Tag > vielleicht nur 5 ein und am Abend gib's vielleicht ne Newsmeldung das > Malware XY durchs Internet treibt, erkennbar an Datei XY an Ordner so > und so. Und so kann man ihn entfernen.. (Anleitung folgt im Artikel) > > Dann macht man das und schon ist die Malware im besten Fall weg. Wenn dein System kompromittiert ist, hilft bestenfalls Neuinstallation/Wiederherstellen vom Backup. "Bestenfalls" weil es je nach Paranoiditätsgrad noch BIOS/EFI, Embedded Controller, HDD/SDD, NIC, Webcam-Firmware, ... gibt, in denen sich Malware persistent verstecken lässt. > Du aber hast mit deinem KeePassXC das Problem, dass alle deine > 100 PW > kompromittiert wurden und jetzt musst du ALLE ändern und mit jeder Es hält den Nutzer niemand davon ab, mehrere Passwortdatenbankdateien mit verschiedenen Masterpasswörtern zu haben. Zum Beispiel eine DB für häufig genutzte PWs und eine für selten genutzte. > Damit letzteres bei mir passiert müsste die Malware über Monate > unbemerkt ihr Unwesen auf meinem Rechner treiben, bis ich alle PW > irgendwann mal eingegeben habe um bspw. alle Accounts zu besuchen. Das ist nun nicht wirklich mit besonderer technischer Finesse verbunden. Klingt nach Stand der Technik aus den 1990ern. > Du bräuchtest im Prinzip die Passwortverwaltung auf einem externen Gerät. Air-gapped Verfahren haben schon ihre Berechtigung. Ich würde das z.B. mit den Festplattenpasssätzen für meine Erben im Todesfall machen. Der Passsatz wird mit ssss auf >=2 aufgeteilt. Ein Teil wird daheim aufbewahrt, ein anderer kommt zum Notar/ins Testament. Nachdem es dem OT um > ebay, amazon, Onlinebanking, emailaccounts ging, habe ich aber meine Zweifel, ob es sich um hinreichend selten genutzte Accounts handelt. Insbesondere beim emailaccount steht die Frage im Raum, ob das Passwort nicht ohnehin im Klartext vorliegt, weil der Mailclient ohne Masterpasswort genutzt wird...
wie sicher ist die Datei von keepass wirklich? Würde man das bedenkenlos in der Cloud von Google oder Microsoft ablegen?
gjkgukgh schrieb: > wie sicher ist die Datei von keepass wirklich? Würde man das > bedenkenlos > in der Cloud von Google oder Microsoft ablegen? Ja. Tue ich das? Nein ;) Oliver
Das hängt von der Länge der Datei, die Kenntnis von vielleicht Teilen der Daten und vom gerader herrschenden Know Hoff der den israelischen Geheimdienst beliefernden Firmen ab. Fast alle Überwachungssoft wird in Israel entwickelt, oder ist von denen inspiriert. :-) mfg
gjkgukgh schrieb: > wie sicher ist die Datei von keepass wirklich Die Sicherheit, dass man wichtige PWs vergisst ist bei automatischem Login wesentlich größer.
gjkgukgh schrieb: > wie sicher ist die Datei von keepass wirklich? Würde man das bedenkenlos > in der Cloud von Google oder Microsoft ablegen? Das hängt hauptsächlich von Deinem verwendeten Passwort ab. Ist es leicht zu erraten oder steht im Hackercodebuch, dann schützt kein Algorithmus dieser Welt Deine Datenbank. Nebenbei: Cloud, MS und Co. meiden. Einfach den Wiki-Eintrag durcharbeiten und ein eigenes Urteil bilden: https://de.wikipedia.org/wiki/KeePass
Lotta . schrieb: > israelischen Geheimdienst beliefernden Firmen > ab. Wenn sich irgend ein Geheimdienst dieser Welt für dich und deine Daten interessieren könnte, wäre eventuell keepass nicht alleine das Tool der Wahl. keepass nutzt Verschlüsselungen, die nach menschlichem Ermessen nicht geknackt werden können. Gegen den üblichen Hacker ist das mehr als ausreichend sicher. Oliver
Oliver S. schrieb: > Lotta . schrieb: >> israelischen Geheimdienst beliefernden Firmen >> ab. > > Wenn sich irgend ein Geheimdienst dieser Welt für dich und deine Daten > interessieren könnte, wäre eventuell keepass nicht alleine das Tool der > Wahl. > Genau. Trotzdem benutze ich es auch. Keepass ist viel besser als internetbasierte Tools. > keepass nutzt Verschlüsselungen, die nach menschlichem Ermessen nicht > geknackt werden können. Gegen den üblichen Hacker ist das mehr als > ausreichend sicher. > Ein richtiger Hacker, oder auch ein Geheimdienst greift nicht die Verschlüsselung an, sodern gjkgukgh's Umwelt. Die wenigsten Freaks nehmen die guten, von Keepass erzeugten Zufallspaßwörter, sondern den Namen ihres Hundes. :-) > Oliver mfg
Nano schrieb: > Du aber hast mit deinem KeePassXC das Problem, dass alle deine > 100 PW > kompromittiert wurden und jetzt musst du ALLE ändern und mit jeder > Minute steigt die Gefahr, dass die PW + Logindaten irgendwo im Darknet > bereits die Runde machen und die Leute ausgiebig von deinen > 100 > Accounts Gebrauch machen. Nun ja, es sollte sich ja doch inzwischen rumgesprochen haben, daß Passwörter alleine eh nicht sicher genug sind. Daher haben inzwischen alle wichtigen Accounts 2FA. Oliver
Sorrynotsorry schrieb: > Nano schrieb: >> Dann macht man das und schon ist die Malware im besten Fall weg. > > Wenn dein System kompromittiert ist, hilft bestenfalls > Neuinstallation/Wiederherstellen vom Backup. Deswegen sagte ich im besten Fall. Es macht übrigens auch keinen Sinn, einen Nebenfaden zu öffnen, nur damit du etwas gesagt hast, bleib beim Thema. >> Du aber hast mit deinem KeePassXC das Problem, dass alle deine > 100 PW >> kompromittiert wurden und jetzt musst du ALLE ändern und mit jeder > > Es hält den Nutzer niemand davon ab, mehrere Passwortdatenbankdateien > mit verschiedenen Masterpasswörtern zu haben. Zum Beispiel eine DB für > häufig genutzte PWs und eine für selten genutzte. Und machst du das? Und sind die dann so gruppiert, dass sie auch zeitlich in einem ausreichenden Abstand sind? Die Wahrscheinlichkeit also gering ist, das du in der Zeit der unbemerkten Kompromittation mehrere Masterpasswörter eingibst? > Das ist nun nicht wirklich mit besonderer technischer Finesse verbunden. > Klingt nach Stand der Technik aus den 1990ern. KISS funktioniert super. Du hast zudem noch das Problem der Komplexität deiner Passwortverwaltung. Da tun sich noch ganz andere Fragen auf wie bspw: - wer hat die Software erstellt um sie kostenlos oder als Open Source anzubieten? (Vielleicht Geheimdienste?) - wurde eine Code Audit gemacht? - und wer sind die Personen, die einen Code Audit gemacht haben? Sind die Personen vertrauenswürdig oder vielleicht von Geheimdiensten finanziert? - wie fehlerhaft ist sie? - wurde die Verschlüsselung richtig implementiert oder hat sie Seitenkanäle, vielleicht auch noch absichtliche? (Stichwort Geheimdienste und so) - wie lange liegt der Code Audit zurück? - wurden die neusten Patches einem Code Audit unterzogen? - passiert das regelmäßig zeitnah oder nur alle Monate oder Jahre einmal? - wie zuverlässig ist deine Downloadquelle bzw. falls signiert, wurde sie mit dem Originalschlüssel der Entwickler und Code Auditer signiert oder bist du auf einer präparierten Webseite mit präpariertem anderem Signaturschlüssel vor dem Download gelandet? Das sind nur ein paar Beispiele. Je nach Paranoialevel werden für dich vielleicht auch einige gar nicht so wichtig sein (z.b. vielleicht Geheimdienste), das ist okay wenn die Sicherheitsstufe für einen ausreichend ist, aber man sollte sich schon klar sein, dass sie existieren könnten.
Ach ja und dann habe ich noch einen ganz wichtigen Punkt vergessen. Wenn es Schadsoftware darauf abgesehen hat, Passwörter zu klauen. Dann haben bekannte viel genutzte Passwortveraltungsprogramme natürlich eine standardisierte Angriffsfläche. Das macht den PW Diebstahl also wesentlich einfacher. Bei PW Eingaben vom Papier müsste man den ganzen Eingabestrom überwachen, filtern und gegebenenfalls komplett mitschneiden und übertragen sowie vielleicht noch die Logins erkennen. Bei der Passwortverwaltung muss man dagegen nur warten, bis die Masterpasswortloginfunktion ausgeführt wird, dann liegen alle Passwörter schön strukturiert und geordnet zum Abgreifen offen.
Oliver S. schrieb: > Nun ja, es sollte sich ja doch inzwischen rumgesprochen haben, daß > Passwörter alleine eh nicht sicher genug sind. Daher haben inzwischen > alle wichtigen Accounts 2FA. > > Oliver Das ist natürlich korrekt. Nur sind viele, abgesehen vom Online Banking und ePass Ausweisfunktionen, lediglich über den Mailaccount abgesichert und dessen PW liegt dann bei einer Komprimierung der Passwortverwaltung ja auch offen. Dummerweise haben aber gerade viele Versandhändler kein Interesse eine 2FA einzuführen, denn die Kunden sollen ja schnell und unüberlegt kaufen und nicht noch Zeit zum Nachdenken kriegen, das sie die Ware, die sie spontan bestellen wollen, ja eigentlich gar nicht brauchen. Ein Häcker könnte somit, sofern Kontodaten hinterlegt sind oder eine Bestellung auf Rechnung möglich ist, einkaufen und die waren an eine andere Adresse schicken. Und dort wird sie dann abgefangen wenn der Paketdienst kommt.
gjkgukgh schrieb: > wie sicher ist die Datei von keepass wirklich? Würde man das bedenkenlos > in der Cloud von Google oder Microsoft ablegen? Nach dem heutigen Stand des Unwissens ist die verschlüsselte Datei sicher, vorausgesetzt, man verwendet ein sicheres Passwort. Wie es nächstes Jahr aussieht, kann dir aber keiner sagen. Wenn ich meine Keepass-Datei auf einer Cloud veröffentliche, haben die potentiellen Angreifer alle Zeit der Welt, völlig ungestört mit der Datei herumzuspielen. Wenn sie es wider Erwarten tatsächlich schaffen sollten, die Datei zu entschlüsseln, merke ich erst dann etwas davon, wenn ich bereits geschädigt wurde. Wenn ich Datei hingegen nur auf meinem privaten Laptop oder Handy speichere, beginnen die Entschlüsselungsversuche erst ab dem Zeitpunkt, wo das entsprechende Gerät geklaut wird. Da ich den Verlust zeitnah feststellen kann, bleibt mir immer noch Zeit, alle Passwörter zu ändern. Lotta . schrieb: > Die wenigsten Freaks nehmen die guten, von Keepass erzeugten > Zufallspaßwörter, sondern den Namen ihres Hundes. :-) Mein Hund heißt /EX,Z8\|O~F]hV|Oafi<c|!I[|fO!5N949nVzNrz#@[/WuW?-`5:}X*}XnUDbN}1 Aber bitte niemandem weitersagen, sonst brauche ich einen neuen Hund.
Die "sicherste Methode" kann man leider so gut wie nirgens nutzen. Also Keycard (Chipkarte oder eID) mit Kartenlesegeräten der Klasse 2 oder 1. Da man bei diesem am Lesegerät die PIN eingibt und das Lesegerät nur ein "OK" oder "Fail" zurückgibt, dürfte das die sicherste Methode sein, solange es keiner schafft sich erfolgreich als MITM in das Kartenlesegerät einzuschleusen.
Nano schrieb: > Dummerweise haben aber gerade viele Versandhändler kein Interesse eine > 2FA einzuführen, denn die Kunden sollen ja schnell und unüberlegt kaufen > und nicht noch Zeit zum Nachdenken kriegen, das sie die Ware, die sie > spontan bestellen wollen, ja eigentlich gar nicht brauchen. Die Händler, bei denen du Zahlungsdaten hinterlegen kannst, nutzen auch 2FA. Die braucht es ja dann nicht beim Kauf, aber z.B. für eine Adressänderung. Oliver
Oliver S. schrieb: > Daher haben inzwischen alle wichtigen Accounts 2FA. Eben nicht. Telekom, Vodafone, Sparda-Banken, alle bis heute kein 2FA.
Oliver S. schrieb: > Nano schrieb: >> Dummerweise haben aber gerade viele Versandhändler kein Interesse eine >> 2FA einzuführen, denn die Kunden sollen ja schnell und unüberlegt kaufen >> und nicht noch Zeit zum Nachdenken kriegen, das sie die Ware, die sie >> spontan bestellen wollen, ja eigentlich gar nicht brauchen. > > Die Händler, bei denen du Zahlungsdaten hinterlegen kannst, nutzen auch > 2FA. Die braucht es ja dann nicht beim Kauf, aber z.B. für eine > Adressänderung. > > Oliver Das betrifft nur die Adressänderung, damit die Zahlungsdaten stimmen und die ihr Geld kriegen. Die Lieferadresse muss aber längst nicht über 2FA abgesichert sein. Die ist dein Problem.
Yalu meinte: > Mein Hund heißt > /EX,Z8\|O~F]hV|Oafi<c|!I[|fO!5N949nVzNrz#@[/WuW?-`5:}X*}XnUDbN}1 > Aber bitte niemandem weitersagen, sonst brauche ich einen neuen Hund. Schon verständlich. :-P Wie kommunizierst Du mit ihm? Durch Morsen, wie ich mit meinem? mfg
Nina schrieb: > René H. schrieb: >> Sparda-Banken > > ist durch PSD aber Vorschrift Haben die auch, über die SpardaSecure-App. Ist zwar blöd gemacht, aber trotzdem 2FA. Oliver
:
Bearbeitet durch User
Nina schrieb: > René H. schrieb: >> Sparda-Banken > > ist durch PSD aber Vorschrift Alle 90 Tage wird mal die Karte verlangt, sonst nur Kontonummer und Kennwort.
Oliver S. schrieb: > Nina schrieb: >> René H. schrieb: >>> Sparda-Banken >> >> ist durch PSD aber Vorschrift > > Haben die auch, über die SpardaSecure-App. Ist zwar blöd gemacht, aber > trotzdem 2FA. > > Oliver Ich will aber keine App nutzen, sondern meinen PC. Und da kann man kein 2FA mehr nutzen, seit Umstellung auf TEO. Sparda sagt "Aus Kostengründen, da kaum genutzt".
:
Bearbeitet durch User
René H. schrieb: > Nina schrieb: >> René H. schrieb: >>> Sparda-Banken >> >> ist durch PSD aber Vorschrift > > Alle 90 Tage wird mal die Karte verlangt, sonst nur Kontonummer und > Kennwort. Zum gucken. Für alle anderen Kontoaktionen braucht es immer 2FA zur Bestätigung. Oliver
Oliver S. schrieb: > Für alle anderen Kontoaktionen braucht es immer 2FA zur Bestätigung. Das nennt man aber TAN, nicht 2FA. 😉 Der Zugang zum Konto ist leider nicht mehr per 2FA ("Legitimation Kunde", na gut, auch "nur" per TAN) geschützt, weshalb ich mir eine Bank suchen werde die auch den Zugang zum Konto per zweiten Faktor schützt.
Ich benutze für all meine Cryptozwecke ausschließlich Vollbitverschlüsselung. Alles andere ist unbrauchbar. Muss man wissen.
René H. schrieb: > Das nennt man aber TAN, nicht 2FA. 😉 Der Zugang zum Konto ist leider > nicht mehr per 2FA ("Legitimation Kunde", na gut, auch "nur" per TAN) > geschützt, weshalb ich mir eine Bank suchen werde die auch den Zugang > zum Konto per zweiten Faktor schützt. Es gibt verschiedene Sparda-Banken. Der Zugang zum Konto mag nur mit Password gehen, alles andere braucht entweder die Secure-App oder einen Tan-Generator (mit Bankkarte oder ans Smartphone gebunden). Das ist lupenreines 2FA. Oliver
Oliver S. schrieb: > Das ist lupenreines 2FA. Ist es nicht wenn Angreifer aufs Konto schauen können, der Einblick alleine kann wertvoll sein.
René H. schrieb: > Ist es nicht wenn Angreifer aufs Konto schauen können, der Einblick > alleine kann wertvoll sein. Letztens Onlinekauf bei Medion „auf Rechnung“ über Klarna. „Zur Überprüfung deiner Identität gib bitte deine Kontozugangsdaten ein“. 2FA wird da stark überbewertet… Oliver
Hildegard schrieb: > Ich benutze für all meine Cryptozwecke ausschließlich > Vollbitverschlüsselung. Alles andere ist unbrauchbar. Muss man wissen. Völlig veraltet. Enigma 3 ist das einzig Wahre.
René H. schrieb: > Oliver S. schrieb: >> Für alle anderen Kontoaktionen braucht es immer 2FA zur Bestätigung. > > Das nennt man aber TAN, nicht 2FA. 😉 Der Zugang zum Konto ist leider 2FA bzw MFA ist nur ein Oberbegriff. Und dazu gehört auch TAN ...
:
Bearbeitet durch User
2FA wurde bei den Banken nur eingeführt weil es genug Idioten gab, die ihre TANs irgendwelchen Betrügern verraten haben. Ansich ist das normale PIN/TAN-Verfahren sicher genug. Man wollte aber wiedermal die Leute vor ihrer eigenen Dummheit schützen.
Leser schrieb: > 2FA wurde bei den Banken nur eingeführt weil es genug Idioten gab, die > ihre TANs irgendwelchen Betrügern verraten haben. Ansich ist das normale > PIN/TAN-Verfahren sicher genug. Man wollte aber wiedermal die Leute vor > ihrer eigenen Dummheit schützen. Was verstehst du unter normalen TAN-Verfahren? TAN war nicht sicher, da die beliebige TAN nicht von den Überweisungsdaten abhängig war. iTAN war nicht sicher, da auch hier die TAN nicht von den Überweisungsdaten abhängig ist. mTAN war nicht sicher, da die mobilen Handys nach kürzester Zeit kaum mehr Sicherheitsupdate bekamen und sie kompromittiert werden und die SMD abgefangen werden konnte. Sicher waren allein nur Verfahren mit TAN Generator oder HBCI bzw. Secodergeräte, wenn bzw. da diese die generierte TAN auch von den Überweisungsdaten abhängig machten. D.h. die generierte TAN galt bspw. nur für Konto Nummer XY mit Betrag X, nicht aber für Kontonummer Z mit Betrag A. Und das haben wir jetzt mit PS2D und der 2FA Pflicht und das ist im Grunde auch gut so.
Aber der Zugang zum Konto ist nicht per zweiten Faktor geschützt, was jedoch ein Sicherheitsplus wäre.
Nano schrieb: > mTAN war nicht sicher, da die mobilen Handys nach kürzester Zeit kaum > mehr Sicherheitsupdate bekamen und sie kompromittiert werden und die SMD > abgefangen werden konnte. An den "mobilen Handys" erkennt ich breits, dass Du ein ausgewiesener Sicherheitsexperte bist, an den "abgefangenen" "SMD" den versierten Kryptologen. Bin immer wieder überrascht über die vielen hochkarätigen Spitzenkräfte die hier erstklassige Beiträge schreiben.
Sobald schrieb: > Nano schrieb: > >> mTAN war nicht sicher, da die mobilen Handys nach kürzester Zeit kaum >> mehr Sicherheitsupdate bekamen und sie kompromittiert werden und die SMD >> abgefangen werden konnte. > > An den "mobilen Handys" erkennt ich breits, dass Du ein ausgewiesener > Sicherheitsexperte bist, an den "abgefangenen" "SMD" den versierten > Kryptologen. Bin immer wieder überrascht über die vielen hochkarätigen > Spitzenkräfte die hier erstklassige Beiträge schreiben. Das kommt davon wenn man eigentlich mobile phone schreiben wollte und ja eigentlich auf einer deutschen Seite ist. Und das mit der SMS ist einfach ein Tippfehler. Es ist Sonntag, das Wetter ist zum einschlafen und ich schiebe gerade ne ruhige Kugel. Aber wenn du sonst keine Sorgen und Probleme hast, dann ist ja alles gut.
Nano schrieb: > TAN war nicht sicher, da die beliebige TAN nicht von den > Überweisungsdaten abhängig war. Ist auch nicht nötig. Nenne mir ein Szenario, wo das relevant ist und nicht von der Dummheit des Nutzers abhängt > iTAN war nicht sicher, da auch hier die TAN nicht von den > Überweisungsdaten abhängig ist. Ist auch nicht nötig. Nenne mir ein Szenario, wo das relevant ist und nicht von der Dummheit des Nutzers abhängt. > mTAN war nicht sicher, da die mobilen Handys nach kürzester Zeit kaum > mehr Sicherheitsupdate bekamen und sie kompromittiert werden und die SMD > abgefangen werden konnte. Das ist allgemein bekannt.
TrueCrypt. Die Diskussion hier geht mittlerweile aber mehr in Richtung: "Wie verwaltet ihr eure Passwörter" oder "Welchen PW Manager benutzt ihr?"
Leser schrieb: > Nano schrieb: >> TAN war nicht sicher, da die beliebige TAN nicht von den >> Überweisungsdaten abhängig war. > > Ist auch nicht nötig. Nenne mir ein Szenario, wo das relevant ist und > nicht von der Dummheit des Nutzers abhängt Täuschung ist keine Frage der Dummheit. Jeder kann getäuscht werden wenn man es nur gut genug macht. Du verrennst dich da nämlich zu leicht in den Punkt "Oh der hat auf den Link in der E-Mail geklickt". Es gibt nämlich auch andere Methoden. z.B. Schadsoftware + umschreiben deiner hosts Datei und unterschieben einer CA in deinen Browser. Die täuschend echt aussehende Webseite kannst du dann nicht mehr unterscheiden. >> iTAN war nicht sicher, da auch hier die TAN nicht von den >> Überweisungsdaten abhängig ist. > > Ist auch nicht nötig. Nenne mir ein Szenario, wo das relevant ist und > nicht von der Dummheit des Nutzers abhängt. Siehe oben. > >> mTAN war nicht sicher, da die mobilen Handys nach kürzester Zeit kaum >> mehr Sicherheitsupdate bekamen und sie kompromittiert werden und die SMD >> abgefangen werden konnte. > > Das ist allgemein bekannt. Deswegen habe ich dich ja gefragt, was du unter einem normalen TAN Verfahren verstehst.
Nano schrieb: > Täuschung ist keine Frage der Dummheit. Jeder kann getäuscht werden wenn > man es nur gut genug macht. > Du verrennst dich da nämlich zu leicht in den Punkt "Oh der hat auf den > Link in der E-Mail geklickt". > Es gibt nämlich auch andere Methoden. z.B. Schadsoftware + umschreiben > deiner hosts Datei und unterschieben einer CA in deinen Browser. > Die täuschend echt aussehende Webseite kannst du dann nicht mehr > unterscheiden. Also doch Dummheit. Solche Mails hatte ich schon oft, sogar recht gut gemachte. Aber man sieht doch ob das plausibel ist und wo die Links hingehen.
René H. schrieb: > Nina schrieb: >> René H. schrieb: >>> Sparda-Banken ... Nie wieder Sparda! Kaputte Software an den Terminals. Wäre ich da bloß nie hingegangen!
Leser schrieb: > Nano schrieb: >> Täuschung ist keine Frage der Dummheit. Jeder kann getäuscht werden wenn >> man es nur gut genug macht. >> Du verrennst dich da nämlich zu leicht in den Punkt "Oh der hat auf den >> Link in der E-Mail geklickt". >> Es gibt nämlich auch andere Methoden. z.B. Schadsoftware + umschreiben >> deiner hosts Datei und unterschieben einer CA in deinen Browser. >> Die täuschend echt aussehende Webseite kannst du dann nicht mehr >> unterscheiden. > > Also doch Dummheit. Solche Mails hatte ich schon oft, sogar recht gut > gemachte. Aber man sieht doch ob das plausibel ist und wo die Links > hingehen. Ich habe nicht von Mails gesprochen. Vielleicht überlegst du dir das nochmal mit dem Punkt Dummheit.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.