ComputerBase Menü
Aktuelles

News BSI: 16 Millionen gestohlene Identitäten entdeckt

also ich kann keepass2 für windows + android empfehlen. man kann auch super die datenbank vom pc auf den androiden übertragen und wenn man dort keepass2android nutzt ist die datenbank auch absolut kompatibel zu der vom pc. ich nutze es auf meinem note 3.
habe dne firefox als browser und die integration ist auch super.
von der keepass2-app gibts einmal eine online, und eine offline-version. die online-version bietet die möglichkeit gdrive, dropbox & co direkt einbinden zu können. die "keepass2android offline-app" bietet das nicht, braucht aber dafür auch weniger rechte.

ich hab meine datenbank am pc fertig gemacht mit allen zugängen und dann einfach aufs handy kopiert. entweder per stick oder übers heimische (hoffentlich sichere) wlan. und da ich da nicht jeden tag 20 änderungen habe brauche ich auch die online-version nicht.
 
Als Passwortsafe eignet sich nach einigen rumtricksen auch sehr gut ein Raspberry Pi, die eigene Cloud Lösung (natürlich keine selbstprogrammierte Software, aber insofern, als dass ich Kontrolle über Server und Sicherheit habe) gefällt mir dabei deutlich besser als die Alternativen der großen Datensammler ;)
 
was für software läuft dann auf dem pi, und iwe greift man darauf zu?
 
Wer ernsthaft 3rd Party Software dazu verwendet, seine eigenen Passworte accountgebunden darin zu speichern, hat etwas Grundlegendes an einem Sicherheitskonzept NICHT verstanden.
Hängt die Schlüssel zu eurer Wohnung gleich vor den Hauseingang - es kommt technisch gesehen auf's Gleiche heraus.

RSA hat bekanntermaßen eine "gekaufte" backdoor. Hintertüren haben den Nachteil, dass sie nicht nur vom Käufer, sondern auch von Anderen missbraucht werden können.
AES(-NI) sind ebenfalls nicht sicher, weil es genügend Möglichkeiten gibt, diese Mechanismen auszuhebeln.
Den wirkungslos verschlüsselten keycontainer dann auch noch auf eine cloud auszulagern gleicht der persönlichen Einladung eines Einbrechers. Niemand kann euch eine 100 % sichere Punkt zu Punkt Verschlüsselung beim Zugriff zusichern - an jedem Knotenpunkt kann die Verschlüsselung enden und bspw. im Klartext weiterübertragen (und somit abgegriffen) werden.

Ein unverschlüsseltes Notizbuch in eurer Hemdtasche bietet mehr Sicherheit für eure Passwörter, als jede Form der digitalen Speicherung. ^^
 
Ich hab da mal eine Anfängerfrage:

Mein Spam-E-Mail-Account bei Web.de ist betroffen. Nicht weiter tragisch, da ich den wie gesagt nur für Werbe-Registrierungen oder dergleichen benutze. Jetzt frage ich mich aber, wie Kriminelle an das PW kamen. Ich will mal behaupten, es war realtiv lang und stark, inkl. Sonderzeichen und allem Pipapo, auf den man achten sollte.

Kann es sein, dass einfach die Datenbank von Web.de abgegriffen wurde?

Muss ich nun damit rechnen, dass auf meinem PC irgendwelche Malware installiert ist? Mein Virenscanner findet zumindest schonmal gar nichts und hat auch vor Bekanntwerden des Datenklaus nichts gefunden.
 
f1nal schrieb:
...
Zum Vergrößern anklicken....
Möglichkeiten ganze Konten mitsamt Passwort zu entwenden gibt es Einige. Natürlich können diese Daten direkt bei web.de abgegriffen worden sein - angegriffene Unternehmen gehen nicht gerne hausieren, wenn ihre Daten entwendet wurden.

Es kann aber genauso gut sein, dass Du die Spam-Adresse samt Passwort woanders verwendet hast um einen Account zu registrieren und die Daten dort abgegriffen wurden.

Zusätzlich ist bekannt, dass vor einiger Zeit einige Router eine Firmware enthielten, die es Angreifern problemlos ermöglichte Zugriff zu erlangen (noch vor dem ominösen "Wartungs-Port" der letzten Wochen).

Virenscanner sind leider auch keine 100 prozentige Garantie auf Sicherheit. Noch weniger, wenn sie auf einem möglicherweise kompromittiertem System ausgeführt werden - ein solcher Test sollte grundsätzlich von einer Live CD/DVD/USB eines alternativen Betriebssystems erfolgen.

Zusätzlich kommt jede laufende Applikation in Frage, die auf Deinem Rechner läuft. Viele Menschen haben die Angewohnheit komplexe Passwörter per copy'n'paste aus einer Textdatei oder Datenbank in Passwortfelder einzutragen. Selbstverständlich ist die Zwischenablage auch für andere Programme auslesbar. Es käme also praktisch jede Software in Betracht.

Ein weiteres Programm sind die sogenannten Passwortspeicher: Also falls Du Deinen Mailaccount auch in Mozilla Thunderbird angelegt hast und im dortigen Passwortmanager das Passwort aus Bequemlichkeit gespeichert hast - die Passwortdatenbank ist ungeschützt und auslesbar.

Es gibt also 1 001 Möglichkeiten an persönliche Daten zu gelangen. Leider hat das bislang viele Menschen nicht interessiert, weil "Ich hab' ja nix zu verbergen™" und so.
Neueste Mode ist ja auch das sogenannte Freifunk-System. Offenes W-LAN für alle. Perfekte Gelegenheit ein System zu infiltrieren. Oder der TOR-Blödsinn ( washingtonpost.com/blogs/the-switch/wp/2013/09/06/the-feds-pays-for-60-percent-of-tors-development-can-users-trust-it/ ), bei dem das U.S. Department of Defense ironischerweise ein halbes Vermögen ins Projekt gepumpt hat... natürlich ohne eine Gegenleistung dafür zu erwarten. ;)

Bleib' beim Notizbuch und rotiere die Passworte in regelmäßigen Abständen - auch wenn's lästig erscheint. Alles andere ist falsche "Sicherheit" (sofern man dieses Wort überhaupt mit modernen elektronischen Geräten in Verbindung bringen darf).
 
Zuletzt bearbeitet:
@ShiningDragon: Merci, das klingt logisch und hilft mir schonmal gut weiter. Das PW bei Web.de hatte ich nur 1 x für diesen Account benutzt. Dass ich für jeden Account unterschiedliche Passwörter benutze, habe ich mir schon lange angwöhnt. Leider sind es schon so viele PWs geworden, dass ich dazu übergegangen bin, sie als Wordfile (mit PW-Schutz) abzuspeichern (ich weiß, schlechte Idee, aber die Faulheit siegt immer wieder...).

Würde es Sinn machen, jenes Wordfile ab sofort in einem Truecrypt-Container zu speichern?
Dabei ist zu sagen, dass das System zu 100% nicht kompromittiert ist, da es neu aufgesetzt wurde und noch nicht online war.

Ich glaube, ich tipp in Zukunft doch lieber wieder alles auf Papier ab...
 
f1nal schrieb:
Würde es Sinn machen, jenes Wordfile ab sofort in einem Truecrypt-Container zu speichern?
Zum Vergrößern anklicken....
Nein. Denn sobald Du auf den Container zugreifst, ist er ja nicht mehr verschlüsselt und beim copy'n'paste hast Du das Kennwort gleich wieder in der Zwischenablage.
Davon ab: Ich würde eher im .txt Format ohne properitäres Geschnörkel schreiben, als in ein Dokument, dass aufgrund seiner Struktur selber schon makrofähig und dadurch angreifbar ist.
f1nal schrieb:
Ich glaube, ich tipp in Zukunft doch lieber wieder alles auf Papier ab...
Zum Vergrößern anklicken....
Der Vorteil der Sicherheit läge auf der Hand: Es kämen im Normalfall nur Bekannte aus engstem Kreise an Deine Daten.
Kein Programmcode könnte Zugriff darauf erlangen... gut, man könnte jetzt paranoid werden und Kameras von TV, Handy und Co argwöhnisch betrachten. Aber die kann man ja nötigenfalls auch umgehen.
Das Risiko wäre immerhin auf einen möglichen Keylogger begrenzt, der dann Deine Tastatureingaben registriert.
 
Zuletzt bearbeitet:
Virenscanner sind übrigens nicht besonders gut darin, Schadsoftware zu entdecken, deren Signaturen sie noch nicht kennen.
Man sollte sich auch nicht auf deren Heuristiken verlassen.

Insofern sollte man ein System neu aufsetzen, wenn starke Anhaltspunkte bestehen, dass das System kompromittiert wurde.

Und verdächtige Dateien sollte man besser auf so Webseiten wie jotti.org oder virustotal.com zum Überprüfen uploaden, denn da durchsuchen gleich ein paar Dutzend Virenscanner die Datei, womit die Chance steigt, dass der ein oder andere Virenscanner doch etwas findet. Fehlalarme kann es aber dennoch geben.

Manchmal macht es auch Sinn, insbesondere bei älteren Dateien, erst einmal zu schauen, ob schon jemand anderes diese Datei upgeloaden hat. Wenn man eine md5 oder sha256 Prüfsumme bzw. Hashwert aus der Datei erstellt, dann genügt es auch erstmal für einen groben Test nur diese einzugeben, die beiden Seiten bieten dafür entsprechende Eingabeformulare an. Der Vorteil ist, dass es wesentlich schneller geht. Wenn Urheberrechte eine Rolle spielen, dann ist das sogar der einzige saubere Weg.
 
@ShiningDragon

Danke für deine Erläuterungen. Einer der wenigen die es wirklich verstanden haben, was hier passiert ist.

Wie ich schon bereits schrieb, muss es einen gemeinsamen Nenner geben. Meine web.de Adresse die ich für allerhand Müll verwende, war auch in deren DB. Das mit Blizzard finde ich sehr interessant. Mit der Adresse bin ich auch im battle.net angemeldet. Vll wurde da echt ein großer Anbieter gehackt und gibt es noch nicht zu.

So langsam könnte das BSI mal mit weiteren Infos rausrücken.

Interessant finde ich auch, dass weder auf gmx noch web.de auf der Hauptseite etwas darüber zu lesen ist. Ein Schelm ...

Sputnik
 
f1nal schrieb:
Kann es sein, dass einfach die Datenbank von Web.de abgegriffen wurde?
Zum Vergrößern anklicken....

Das kann gut möglich sein, Webde kann das ja bestreiten und so lange verneinen bis man das Gegenteil nachweisen kann.

http://web.de/presse/index.html
http://www.coremedia.com/web-conten...emeldungen/-/6016/6016/-/_dfiif1/-/index.html
Ergänzung ()

f1nal schrieb:
Muss ich nun damit rechnen, dass auf meinem PC irgendwelche Malware installiert ist? Mein Virenscanner findet zumindest schonmal gar nichts und hat auch vor Bekanntwerden des Datenklaus nichts gefunden.
Zum Vergrößern anklicken....

Win & R "msconfig"
schau nach welche Programme beim Start hochfahren
 
Mal eine Frage zu dieser Email die man bekommt:
Welches Passwort wurde denn nun eigentlich geklaut?
Das von meinem Email Account oder kann das auch irgendein popeliger Forenaccount sein, der mit der Email-Adresse verknüpft ist? Falls ja fragt man sich, warum das BSI nicht gleich diese Info mitgeschickt hat :rolleyes:

Mein Passwort für den Email Account über meinen Online Provider benutze ich nämlich sonst nirgendwo anders. Und wenn mir jetzt von einem der gefühlt 100 unwichtigen Forenaccounts die ich in meinem Leben erstellt habe das Passwort geklaut wird ist mir das eigentlich ziemlich egal.
 
Ja in der E-Mail steht gar nichts drin. Da steht nur, dass deine e-mail Adresse auf deren Liste stand. Sonst nichts.

Sputnik
 
Kann es sein, dass einfach die Datenbank von Web.de abgegriffen wurde?
Zum Vergrößern anklicken....

Kann sein.Meine E-mail Adresse die es erwischt hat, ist von Freenet.de

Ich habe auch noch ein paar Adressen bei Yahoo.de , von denen es aber keine erwischt hat .Wobei man hier aber wirklich nicht wissen kann wie die kriminellen an die E-Mail / Passwortkombination gekommen sind und ob wirklich die E-Mail Accounts die Quelle sind.

Meine "Müll E-Mail Adresse" bei Yahoo.de hat es nämlich nicht erwischt.

Keylogger, Trojaner und Virus schließe ich bei mir aus und in einem Botnetz befindet sich mein PC auch nicht.Uplay von Ubisoft wurde vor einem halben Jahr gehackt, vielleicht haben sie meine Daten von denen....

http://www.gamestar.de/news/pc/3025236/ubisoft.html
 
Zuletzt bearbeitet von einem Moderator:
Sputnik 1 schrieb:
@ShiningDragon

Danke für deine Erläuterungen. Einer der wenigen die es wirklich verstanden haben, was hier passiert ist.
Zum Vergrößern anklicken....

Das was ShiningDragen geschrieben hat, findest du auch schon ein paar Seiten weiter vorne, du hättest es nur mal lesen sollen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz