IT-Sicherheit zuhause - Anforderungen an Nutzer

[Lübke]

Dazu mal ergänzend dieses Comic und Erklärung im Link:
Anhang anzeigen 887779
https://explainxkcd.com/wiki/index.php/936:_Password_Strength

Das von @BridaX erklärte System verwende ich partiell, war vor vielen Jahren auch eine Empfehlung in der c‘t.
Noch dazu sei gesagt das Passwörter niemals nicht in einfache Textdateien auf dem Computer gehören. Wenn überhaupt elektronisch gesichert werden soll dann mindestens verschlüsselt und mit Zwei-Faktor-Authentifizierung.

der comic ist zwar ganz nett aber leider falsch. gute bruteforce-programme fangen zuerst an logische wörter abzuarbeiten bevor sie willkürliche zeichenketten probieren, weil namen und wörter ungleich wahrscheinlicher sind. darum kam ja das system buchstaben groß und klein + zahlen + sonderzeichen um so bruteforce-angriffe deutlich zu erschweren.
letzten endes sind passwöter aber heutzutage eher ein kleines problem, kaum einer macht sich noch die mühe, diese per brute force oder ähnlichem zu knacken. viel mehr ist phishing und ähnliches als methode passwörter abzugreifen gängig. es ist ungleich einfacher und schneller und die erfolgsrate ist weitaus höher. auch für keylogger ist das gewählte passwort egal.
darum ist der tip von @BridaX schon goldrichtig: für alles ein separates passwort verwenden. sollte ein angriff erfolg haben, dann erbeutet der angreifer nur einen einzigen account und es muss auch nur dieser eine account geändert werden.

Ergänzung (18. März 2020)

Das ist der Hintergedanke dabei.

ich fürchte du hast @DerOlf nicht verstanden: so ein verschlüsselungstrojaner schlägt nicht sofort zu wenn du ihn dir einfängst sondern bleibt erstmal eine zeit passiv auf deinem system wärend du weitere backups machst. wenn er dann zuschlägt und du das backup einspielst nützt es nix mehr, weil das backup ebenfalls kompromitiert ist und sofort wieder verschlüsselt. sonst wäre der erpressungstrojaner ja wirkungslos.

 

[Wochenende]

so ein verschlüsselungstrojaner schlägt nicht sofort zu wenn du ihn dir einfängst sondern bleibt erstmal eine zeit passiv auf deinem system wärend du weitere backups machst. wenn er dann zuschlägt und du das backup einspielst nützt es nix mehr, weil das backup ebenfalls kompromitiert ist

Ein guter Hinweis. Bit Rot könnte die Daten auch ganz ohne Schadprogramme zerstören. Darum würde ich auch nie ein Festplatten-Image als "Backup" für Daten nehmen. Ich sichere immer inkrementell und hebe alles jahrelang auf. Speicherplatz ist sooo billig, es gibt keinen Grund Risiken einzugehen.

Wenn man Zwei-Faktor-Authentifizierung hat, nutzt dem Angreifer auch ein erbeutetes Passwort gar nichts.

 

[sedot]

der comic ist zwar ganz nett aber leider falsch.

Quelle?
Bruteforce verhindert hoffentlich der (Web-)Dienstanbieter, falls nicht ist die Komplexität des Passwort nahezu egal, sofern nicht „Passwort1234“ als Passwort gewählt wird. Gleiches gilt wenn der Angreifer die Datenbank kopiert oder jene unverschlüsselt im Netz steht. Kam schon vor, bei mir war unter anderem Adobe mit dabei.
Letztlich geht es ja darum Passwörter zu verwenden die sich ein Mensch im Zweifel merken kann.
Wenn der Angreifer „vor dem“ Gerät sitzt ist das Thema ein anderes, aber auch da geht es darum Zeit zu gewinnen, welchen Weg „man“ wählt ist auch hier „einigermaßen“ egal.
Darüberhinaus ist die „xkcd-Methode“ beliebig um Sonderzeichen erweiterbar.

 

[Lübke]

Quelle?

dein eigener post
im grunde hast du damit genau das gesagt was ich weiter in meinem ausgeführt habe.
das mit den 3 tagen bei nicht vorhersehbaren passwörtern vs. 550 jahre bei vorhersehbaren passwörtern weil bekannte logische wörter ist schlicht nicht korrekt. spielt aber auch keine rolle. bei den meisten angriffsmethoden wird das passwort abgegriffen (phishing, keylogger, etc.) und da ist egal welches es ist oder wie lang. wichtig ist für alles separate passwörter zu nutzen. die von dir beschriebene methode des durchprobierens ist längst veraltet und wird schon durch die programme verhindert, indem man nicht unbegrenzt versuche hat oder es verzögerungen zwischen zwei versuchen gibt um die zeit für einen bruteforce angriff ins unendliche zu verlängern.
man sollte bei den passwörtern nur darauf achten, dass ein mensch sie nicht einfach erraten kann. wie "password" oder "12345" oder den namen seines kindes.
darum sind willkürliche zeichenketten auch so beliebt, die lassen sich schlichtweg nicht erraten. deine methode bewirkt das gleiche, aber wie gesagt, das mit den 3 tagen vs. 550 jahren ist schlicht falsch.

 

[sedot]

dein eigener post

Ich glaub ich steh heute auf der Leitung. Egal. Bitte weiterscrollen. 😅

 

[Jupp53]

@Lübke und @SE.

Im Moment stehe ich wohl auch auf der Leitung. Ich frage nach, weil ich hier schon ein paar gute Tipps eingesammelt habe.

Verstehe ich das richtig? Der Comic kritisiert die Tatsache, dass menschliche Gedächtnisstrategien und Empfehlungen von Technikern ewig nicht zusammen gepasst haben. (Thema: Fehlende Ergonomiekenntnisse für mich.) Dann wird auf die billigeren und effektiveren Strategien hingewiesen an Passwörter zu kommen. (Stichwort: Social engeneering.) Zur Funktion von Verschlüsselungstrojanern wird etwas gesagt.

Wo ist da Euer jeweiliger Punkt.

 

[Lübke]

der punkt ist, dass die ganzen sicherheitstips für passwörter im grunde auf veraltete angriffsmodelle basieren (stichwort: brute force). moderne programme unterbinden meist schon die bruteforceangriffe. heutzutage werden passwörter einfach gestohlen statt aufwendig zu hacken. social engeneering ist dabei tatsächlich die mit abstand häufigste methode. keylogger sind ebenfalls beliebt, also programme die mitloggen welche tasten du drückst und so deine passwörter einfach mitschreiben. da machen die methoden der passworterstellung schlichtweg gar keinen unterschied.
zwei wichtige dinge solltest du aber beachten: wie @SE. beschrieben hat auf gar keinen fall passwörter wie "password" oder "12345" verwenden, das machen millionen von menschen und das würde ein angreifer einfach mal auf verdacht ausprobieren weil die erfolgschance dabei extrem hoch ist.
das andere was @BridaX: gesagt hat: für jeden account ein eigenes passwort verwenden. bekommt ein angreifer ein passwort von dir in die finger, verlierst du nur diesen einen account und auf alles andere hat er keinen zugriff.

wenn du diese beiden regeln beherzigst, bist du schon ziemlich sicher in dem punkt. ob du nun ein kryptisches passwort aus klein-, großbuchstaben, zahlen und sonderzeichen verwendest oder die ersten zwei kapitel aus krieg und frieden, macht in >90% der angriffe gar keinen unterschied.

 

[Jupp53]

Danke. Hatte ich soweit schon kapiert.

 

[sedot]

Die Frage ist ja auch „was“ du vor „wem“ absichern willst.
Es macht meiner Erfahrung wenig Sinn, z.B. Großeltern, den Zugang zu ihren Geräten dermaßen zu erschweren das der Log-In Prozess unnötig lange dauert. Ich spitze mal zu. Wenn der z.B. Laptop ohnehin nur einmal im Quartal hochgefahren wird und dann ein Programm zum sortieren von Fotos genutzt wird, wäre in meinen Augen ein übermäßig komplexer Benutzerauthentifizierungsprozess eher unangebracht.
Minimum ist hier sinnvolle (Windows-)Benutzerverwaltung, also keine Administrator-Konto für „normale“ Benutzer, Software-Installation nur mit dem Administrator-Konto/Kennwort. Bei Mint sollte das so sein, ein zweites Konto schadet nicht und ist best practice. Auto-Login für Standard-Benutzer hielte ich in so einem Fall für vertretbar.

Ansonsten noch, WLAN-Kennwort, wurde bisher noch nicht genannt, bei Inbetriebnahme eines neuen Routers das „ab Werk“ mitgelieferte ändern. Wie das notwendige Vorgehen ist steht im Handbuch. Gleiches gilt natürlich auch für den Zugang zur Box. Für Gäste bietet sich ein „temporäres“ Gastnetz an. Manche Router bieten die Funktion das Zugangs-Kennwort als QR-Bild darzustellen, welches dann ausgedruckt werden kann.
Gäste freuen sich wenn einfach nur ein Bild gescannt werden muss statt lange Passwörter abzutippen um das WLAN nutzen zu können. Statt das Kennwort auszudrucken habe ich einen Screenshot auf irgendeinem meiner Geräte.

Bluetooth bei Gadgets oder sonstigen „smarten“ Geräten abschalten, sofern es nicht gerade gebraucht wird.
https://de.m.wikipedia.org/wiki/Bluetooth#Abhör-_und_Eindringsicherheit
iPhones/iPads nutzen Bluetooth u.a. für Airdrop. Ausschalten nach Gebrauch nicht vergessen, sonst ist die Batterie schneller leer.

 

[Lübke]

Auto-Login für Standard-Benutzer hielte ich in so einem Fall für vertretbar.

in dem punkt möchte ich widersprechen. so ganz ohne passwort...? ich denke ein einfaches passwort sollte schon vertretbar sein, und wenn mans aufschreibt und auf den bildschrim klebt, damit der nutzer es nicht vergisst. solange keiner bei ihm einbricht ums abzulesen ist das sicher genug.

 

[sedot]

so ganz ohne passwort...?

Jaein. Ganz toll ist es natürlich nicht, ich nehm als Referenzpunkt mal meine wenig technikaffine Mutter, die immer wieder hochgradig von unterschiedlichen Konten beim Login irritiert war. Der Login beim Admin Konto klappte nicht mit ihrem Passwort, natürlich, war so gewollt, allerdings hatte ich irgendwann keine Lust mehr auf Anrufe deshalb dann Auto-Login.
Ihr Umstieg zu Elementary steht mir uns noch bevor (...) mal schauen wie das wird. Hoffentlich besser als Win10 und Office 365, irgendwie telefoniere ich gefühlt täglich mit ihr. Vielleicht schick ich ihr auch einfach ein iPad. Vorbeifahren geht grad nicht so gut. 😅

auf den bildschrim klebt,

Gute Idee, meine Praxiserfahrung sieht so aus: Ich öffne Deckel vom elterlichen Gerät und seh die Tastatur vor Zetteln kaum.

 

[Lübke]

kommt mir bekannt vor muss ich zugeben ^^

 

[BeBur]

1. Immer sofort alle (Sicherheits-) Updates aufspielen
2. Über Phishing / Spam Bescheid wissen
3. Nix, das war's

Ich selber mache mehr. Aber ganz ehrlich. Wie viele 0day js sandbox brakeouts in the wild habt ihr je gesehen?

Möglichst für jedes Portal/Webseite bei dem man einen Account hat eine andere E-Mail samt Passwort hinterlegen.

Gmail erlaubt aliases. Du kannst example+computerbase@gmail.com verwenden wenn du example@gmail.com registriert hast.

 

[Jupp53]

Wirklich unwissend gefragt: Wurde die Mutter gefragt welche Lösung sie vorschlagen würde?

Grund: Lösungen, an denen wir mitarbeiten bleiben besser im Gedächtnis und funktionieren dann auch besser, als "optimalere".

Edith ergänzt: Dauert anfangs länger, spart danach Zeit.

 

[sedot]

Wurde die Mutter gefragt welche Lösung sie vorschlagen würde?

Nö. Meine Ma kann das nicht so klar formulieren, für sie sind Computer magische Kisten die unvorstellbare Dinge tun können. Klingt doof, ist aber nicht (ab-)wertend gemeint.
Wir haben ihre Anforderungen erörtert und ich hab ihr (Lösungs-)Optionen vorgeschlagen. Linux, neuer Mac oder iPad. Ihr Wunsch war wieder Thinkpad inklusive Windows (10) und Office 365, für Post und Internet. Hab ich so umgesetzt, nachdem ich ihr meine Bedenken bzw. Gedanken mitgeteilt habe. Da viele einige in ihrem Bekanntenkreis Macs verwenden hätte ich so ein Teil bzw. ein Pad für sie besser gefunden, weil weniger Arbeit für mich und mehr Zeit mit ihr ohne Technik-Themen bliebe. Da ihr Unmut wächst wirds wohl bald soweit sein, oder zumindest Veränderung anstehen. In welche Richtung es dann geht ist noch zu diskutieren.

 

[BeBur]

nachdem ich ihr meine Bedenken bzw. Gedanken mitgeteilt habe.

Welches Problem hast du denn damit deine Mutter an einen normalen Win10 PC mit Office zu setzen?
Sie soll halt nicht 20 mal auf "Später" klicken wenn da was mit Update ist. Und von dir bisschen darüber erfahren, wie Malware auf den Rechner gelangt (Phishing, falsche Rechnungen, 'Jetzt schnell hier einloggen', Pornoseiten,..).


Die Probleme verursachen die ganzen "Ich nutz doch nicht Win10, ich bleib 'erstmal' noch bei Windows Vista" Leute, die ist ja sogar in Deutschland zu geben scheint.

 

[sedot]

Ich hätte kein Problem mit Windows 10 und O365 wenn ich müsste, die Nutzerin schon. Hör ich ja regelmäßig am Telefon. Alles sieht anders aus, Office speichert irgendwas in die Cloud, statt lokal, weil verklickt. Teams ploppt auf und will irgendwas connecten. etc.pp.
Ganz ehrlich, ich hab null Motivation im Jahr 2020 regelmäßig unbezahlten Microsoft-Software Support zu leisten, weil „irgendwas“ nicht geht. Mach ich natürlich trotzdem „nebenher“, weil muss ja, aber ich hab auch ein eigenes Leben und andere Dinge im Alltag zu tun. Zum Glück kommt Vattern klar und checkt ab und zu mal ob „alles“ läuft, der hat nur eben auch keinen Bock ständig vorm Laptop von Mama zu hocken.
Gut, war vielleicht mein Fehler ihr nicht einfach ihren alten Laptop zum Win7 Support-Ende wegzunehmen. Bevor jetzt irgendwas in die Richtung kommt „ja, aber Win10 gibts doch schon seit...“ – weiß ich auch, danke, ganz toll. Mindestens seit Veröffentlichung bereite ich den sanften Umstieg vor und nein, ich hab keinen Bock ständig nur über IT mit meinen Eltern zu reden, es gibt interessanteres im Leben.
Einen Merkzettel mit how-to fürs Internet haben beide, das klappt soweit problemlos, Infektionen oder andere dahingehende Ärgernisse bisher keine, seit 1995.

 

[BeBur]

Das ist ein anderes Thema. In dem Fall nimm was wartungsarmes und was du gut warten kannst und willst.
Meine Anti-IT Eltern nutzen jetzt schon ewig Ubuntu. Das ging. Heute würde ich denen eher Win 10 drauf packen ggf. mit angepasster Feature Update policy.
Ist aber mehr Geschmackssache als alles andere.

 

[Jupp53]

Die Probleme sind ja jeweils verschieden. Als interessierter Mausschubser habe ich für meine Frau, immerhin Professorin, zu Hause zu WINXP- bis WIN7- Zeiten den "Admin" gegeben, wenn etwas nicht lief oder Software für ein Projekt installiert oder mit der Uni übers Netz verbunden werden musste. Ich war oft eher Operator für richtige Admins, die mir am Telefon sagten, was zu tun ist, wenn die Remoteverbindung nicht klappte. War öfter, angeblich wegen der Eumex, sagten alle, außer dem Eumex-Mann, der hefitig widersprach . Sie wollte in ihrem Feld arbeiten und nicht Stunden mit dem Einrichten der Infrastruktur verbringen.

Irgendwann habe ich in der Zeit für mich mit Ubuntu angefangen. Anfangs habe ich keinen Unterschied festgestellt. Im Laufe der Zeit habe ich dann deutlich einen höheren Zeitaufwand für Windows als für Ubuntu bemerkt. WIN10 läuft in verschiedener Hinsicht für Laien runder. Wenn was schief geht, dann ist jedes OS erst einmal lästig. Das ist aber im Vergleich zu 2010 und früher deutlich seltener geworden.

 

[DerOlf]

ich fürchte du hast @DerOlf nicht verstanden: so ein verschlüsselungstrojaner schlägt nicht sofort zu wenn du ihn dir einfängst sondern bleibt erstmal eine zeit passiv auf deinem system wärend du weitere backups machst. wenn er dann zuschlägt und du das backup einspielst nützt es nix mehr, weil das backup ebenfalls kompromitiert ist und sofort wieder verschlüsselt. sonst wäre der erpressungstrojaner ja wirkungslos.

Richtig.
Deswegen habe ich ja auch immer noch das "Ur-Backup", welches das System in einem Zustand VOR dem ersten Anschluss ans LAN abbildet. DAS ist meine Sicherung für den Notfall.
Die aktuellen BackUps sind allerdings wegen des Aufwandes, den ich betreibe (BackUp aufspielen, Updates machen, neues BackUp anlegen), maximal eine Woche "älter", denn auch dieses System startet mit dem Ur-Backup.

Nichts digitales ist für mich wichtig genug, dass ich damit auch nur eine 500gb-Festplatte vollmüllen möchte.
Wichtige Dinge halte ich analog fest und der Weg via Internet in meine Wohnung endet am PC.
Ich habe tatsächlich mehr Angst vor Einbrechern als vor Hackern, denn letztere haben es bei mir mMn schwerer.

Ich misstraue dem Digitalen grundsätzlich, solange es online ist .. liegt vielleicht am Mathestudium.