Weyoun schrieb:
Online-Bnking bei der Sparkasse: Die Pin muss aus exak 5 Zeichen bestehen. Da wundert einen gar nicht mehr. ;-)
Doch, mich zum Beispiel wie man so beschränkt sein kann, bei meiner Bank kann ich das Glücklicherweise wählen wie ich mag, die "Kreditkarte Online" zum überwachen der Umsätze aber nimmt weder Zahlen noch Sonderzeichen. Witzigerweise kann man zwar so dann nicht Zwangsläufig in meinen Kontostand gucken (geschweige denn überweisen) und auch da greift das "3malprobieren" Prinzip, wohl aber meine Kreditkartennummern "sehen" und fröhlich Bahntickets kaufen oder halb Amazon Leer bestellen. Interessiert meine Bank aber auch nicht, schließlich ist die "Kreditkarte Online" Funktion nicht mehr ihre Baustelle sondern wird nur auf deren Seite "durchgereicht".
Xport schrieb:
Das Passwort für diese Seite ist so lang und kryptisch dass ich es mir gar nicht merken kann, also habe ich mich gerade mit meinem Passwort-Manager hier angemeldet.
[....]
Die wird hier auch gleich am Ende des Artikels empfohlen, zu Recht wie ich meine.
Das mag gut funktionieren wenn man immer von Zuhause am PC diese Dinge erledigt - Aluhut hin oder her, ich habe mich aber mittlerweile doch sehr an mein Smartphone bzw. die Möglichkeiten einer Cloudlösung gewöhnt und rufe X-Accounts auch von mir bis dahin unbekannten Geräten auf. Funktionierendes, gut implementiertes 2-Faktor Auth ist hier das Stichwort, noch eher als jeder Passwort-Manager. Mir nutzt es nämlich 0-garnichts wenn ich meinen DB/Lufthansa/Telekom oder sonstwas Account nicht mobil bzw. von einem OnlineTerminal aufrufen kann weil das Passwort auf dem PC zuhause im Programm sicher rumliegt. Da gibts dann noch eine Stufe sicherer: Gar keinen Account da haben, bzw. gut durchdenken ob man das zwingend braucht bevor man sich selbst nur Mail und Passwort hergibt.
Xes schrieb:
Ich denke daher kommt auch der größte Teil der Akkounts mit schwachen Passwörtern.
Mittlerweilse muss man sich ja sogar schon auf diversen Downloadportalen (Treiber usw.) registrieren. Wenn ich nur kurz etwas nachschauen/runterladen will, nutze ich dafür auch eine 10min wegwerfmailadresse mit falschen Daten und irgendein leicht zu merkendes Passwort.
Doof nur, dass solche Adressen oftmals nicht angenommen werden. byom/fyii/trashmail und Konsorten stehen mittlerweile auf so gut wie jeder Blacklist und wo nicht ist der Account dann zu 99% so egal wie Streusalz im Sommer.
Ich habe eine "spam@domain.de" Adresse, dort bleibt keine Mail länger als 60Minuten drin bevor sie endgültig (automatisch vom Server) gelöscht wird. Dank push und Benachrichtigungen entgeht mir dennoch nichts und ich weiß, wann ich da Mails bekomme. Meine eigene kleine Blacklist also sozusagen. Da ich öfter mal Sachen wie Groupon Angebote oder andere "Spartipps" wahrnehme wäre die Flut an Digitalen Stoffwechselendprodukten zu viel für jeden Freemailer (mit 5MB Postfach) und viel zu lange da (weil man ja "Pro" kaufen soll) was wiederum, falls es doch ein Datenbankleck gibt, ziemlich exakte Rückschlüsse auf meine Adresse und Aufenthalt geben wenn man nur will. Glücklicherweise bin ich aber nicht so wichtig - dennoch gehören einige Dinge einfach Staatlich reguliert, also per "Gesetz" vorgeschrieben. Zum Beispiel eine Meldepflicht für Datenbanklecks, zum Beispiel 2-Faktor Auth bei sensiblen Accounts, zum Beispiel die Wahl eines Passworts nach dem eigenen Geschmack und auch eine Loginsperre wenns zu oft zu schnell probiert wird. Das kostet, aber es zwingt ja niemanden seine Selbstgehäkelten Teddybären auf seiner 5-Minuten Jimdo Homepage in alle Welt zu verramschen oder?
"Wenn-Dann", und da ist eben in der Digitalen Welt bisher gar kein "Dann" - das kann nicht sein finde ich.
Darüber hinaus werden einige viele Menschen niemals nie nicht "sichere Passwörter" erstellen, eben weil es Menschen sind. Da ist der Fehler
