Passwortliste für Onlineshops geklaut

jonderson · 18. Juni 2019

M@rsupil@mi schrieb:
Einfach bedeutet nicht zwangsweise sicher(er).
Ob man jetzt all seine PW, Logins und CO einem Anbieter im Internet vertrauen sollte ist durchaus etwas, was man sich gut überlegen / abwägen sollte.

Schau dir das Tool an, da wird nichts im Internet abgelegt.
Du brauchst nicht einmal eine Internet Anbindung:
https://www.heise.de/ct/ausgabe/201...fuer-den-Umgang-mit-Passwoertern-2284364.html

Von Anbietern wie LastPass halte ich mal gar nichts...

Freu · 18. Juni 2019

Man-at-Arms schrieb:
Es geht mir weniger um den Datensatz des Bankkontos als um die erteilten Lastschriftmandate.
Warum kann ich nicht bequem meiner Bank den Auftrag erteilen alle Mandate aufzukündigen.
Warum muß ich erst noch jedem einzelnen Onlineshop eine Kündigung postalisch zuschicken?
Vollkommen unmöglich und das geht bei anderen Zahlungsmitteln heute einfacher. Und 36 Monate warten bis ein Mandat von alleine erlischt muß auch nicht sein.

Außerdem, wer trägt die Gebühren für eine Rücklastschrift, wenn das Onineshop -Konto gehackt wurde?
Der Shopbetreiber will bestimmt nicht freiwillig zahlen, zumal auch noch Ware im Spiel ist.

Jedenfalls führen da wohl nur primitive Vorgehensweisen zum Ziel und ich kann nur hoffen, keinen Shop zu übersehen.

mit Hacken hat das alles wenig bis gar nix zu tun. Ein gezielter Angriff auf eine Person mit mehreren Lastschriftverfahren ist eher Diebstahl auf Hinweis.
Ich: " hallo Bank, bitte alle Lastschriftmandate löschen."
Bank:" Wie alle, also wirklich alles?"
Ich: "Ja, aber nicht die neuen. Ich mach gerade noch ein Paar."
Bank : "ok...?... sie wissen aber schon was sie tun?"
Ich: "jo, ich mache gerne Lastschriften"

Nixdorf · 18. Juni 2019

jonderson schrieb:
Schau dir das Tool an, da wird nichts im Internet abgelegt.

Das ist jedenfalls besser als eine Papierliste oder eine Textdatei. Das Konzept erfordert aber, dass sich alle Passwörter deterministisch aus der URL und dem Master-Passwort ermitteln lassen. Zum einen ist das etwas wackelig als Sicherheitskonzept, zum anderen kann es Probleme geben, wenn sich die Adresse grundlegend ändert.

jonderson schrieb:
Von Anbietern wie LastPass halte ich mal gar nichts...

Dito. Wenn ein Passwort-Manager, dann einer, wo man selber die Datenhoheit besitzt und weiß, dass der Anbieter keine Hintertür hat. Bei KeePass sind die Algorithmen auditiert, eine Hintertür gibt es nicht. Wo die Daten liegen, bestimmt man selbst. Und mit AutoType kann man es auch für alles andere neben dem Browser komfortabel benutzen. Ja, das ist etwas Aufwand bei der Einrichtung. Aber das ist Arbeit, die es wert ist. Ich stehe da bei netter Anfrage per PM auch gerne bei der Einrichtung hilfreich zur Seite.

M@rsupil@mi · 19. Juni 2019

jonderson schrieb:
Schau dir das Tool an, da wird nichts im Internet abgelegt.

Dann habe ich das falsch verstanden, sorry. Klang nach einem Online-PW-Manager.

Nixdorf · 19. Juni 2019

M@rsupil@mi schrieb:
Klang nach einem Online-PW-Manager.

Nö, es ist genau das nicht. Allerdings hat es in meiner Einschätzung im Vergleich mit KeePass weniger Komfort. Auf dem Desktop ist es eine Java-GUI, wo ich dann vom Browser jeweils hinwechsle und mit der Zwischenablage das Passwort transportieren darf. Das Gehampel hab ich bei KeePass nicht, den kann man direkt an den Browser ankoppeln, und in anderen Anwendungen nutzt man das AutoType-Feature.

jonderson · 19. Juni 2019

Nixdorf schrieb:
Nö, es ist genau das nicht. Allerdings hat es in meiner Einschätzung im Vergleich mit KeePass weniger Komfort. Auf dem Desktop ist es eine Java-GUI, wo ich dann vom Browser jeweils hinwechsle und mit der Zwischenablage das Passwort transportieren darf. Das Gehampel hab ich bei KeePass nicht, den kann man direkt an den Browser ankoppeln, und in anderen Anwendungen nutzt man das AutoType-Feature.

Quatsch, im Browser ist es sogar Komfortabler, da man alles im Browser machen kann, keine Passwortdatei braucht.
Einzig nervig:
Keine Synchronisation zwischen Geräten.
(Also Generation, Passworttyp und Webseitenname (z.B. amazon.com statt amazon.de)
Da wäre es klasse wenn jemand nen NextCloudSync dazubauen würde...

Firefox:
https://addons.mozilla.org/de/firefox/addon/masterpassword-firefox/

Chrome:
https://chrome.google.com/webstore/detail/masterpassword-for-chrome/hifbblnjfcimjnlhibannjoclibgedmd

Nixdorf · 19. Juni 2019

Okay, das ist schonmal etwas besser. So richtig erkenne ich den Nutzen aber immer noch nicht. Die Seiten- und Benutzernamen muss man weiterhin entweder im Kopf haben oder zwischen den Geräten synchronisieren. Damit fällt der Vorteil zu einer Passwort-Datenbank weg. Die Idee war doch, dass nichts mehr gespeichert werden muss. Dann muss alles kanonisch sein und ich muss alle Benutzernamen im Kopf haben, oder möglichst immer gleich wählen.

Nun zu weiteren Fragen:

Was mache ich, wenn mir das Passwort von außen vorgegeben wird, zum Beispiel vom Admin beim Arbeitgeber? Kann ich es dann ausnahmsweise manuell eingeben und speichern? Falls sich der Automatismus nicht abschalten lässt, ist es für diese Kategorie an Zugangsdaten wertlos.
Weiß das Add-On auch wie Kee, welches die Login-Formularfelder sind, und füllt sie von alleine aus, wenn man eine Seite besucht? Ich muss jedenfalls oft nur noch auf OK klicken und bin drin.
Wie verwalte ich mehrere Sätze von Zugangsdaten für eine Website?
Ich frage mich auch, wo der sanfte Übergang zu MasterPassword ist. Als ich KeePass eingeführt habe, konnte ich knapp 900 Passwörter aus dem Firefox-Passwortmanager importieren und mit denen in unveränderter Form starten. Wenn ich es richtig sehe, muss man beim Neuanfang mit MasterPassword offenbar alle Passwörter auf die automatisch generierten ändern. Je nach Menge der schon vorab vorhandenen Konten kann das zur Strafarbeit ausarten. Übersehe ich da was?

Nilson · 19. Juni 2019

Wegen den "Komfortgründen" nutze ich ne Kombination aus beidem.
Basis ist ein klassischer Passwortmanager (Bitwarden), für Autofill etc. aber ich habe immer nur z.B. 14 der 16 Stellen meines Passwortes in Bitwarden gespeichert. Die anderen beiden Stellen trage ich manuell, aus der URL generiert, ein. Wenn also jemand Bitwarden knackt bringt ihm das nix, weil die Passwörter nutzlos für ihn sind.

Nixdorf · 19. Juni 2019

Nilson schrieb:
bringt ihm das nix, weil die Passwörter nutzlos für ihn sind

Na ja, wenn dann nur noch zwei Stellen gefunden werden müssen, kann man das simpelst bruteforcen. Und "das weiß der aber nicht" zieht seit deinem Post eben nicht mehr als Argument.

Ergänzung (19. Juni 2019)

Dennoch mal danke für die Info zu Bitwarden. Das gucke ich mir mal an. Der eine Minuspunkt bei KeePass ist die Nutzung in Teams, wenn man z.B. eine Teilmenge von Passwörtern mit anderen teilen möchte.

Nilson · 19. Juni 2019

Ja klar, aber wer macht sich die Mühe, wenn er die Zugangsdaten von tausenden Usern erbeutet hat, die, die nicht auf Anhieb gehen, noch mal extra zu brutforcen.
Und wenn jemand hier mitlist, darauf hin mein Bitwarden Account findet, durch das Masterpasswort und die 2FA kommt, nun das sind viele wenns

Zumal viele Dienste ja nochmal ihre eigene 2FA haben.

Nixdorf · 19. Juni 2019

chrigu · 20. Juni 2019

Die absolute denkarme und 100% gesicherter Schutz vor passwortklauen bei online Shops: nicht online bestellen..... (duckundrennweg)

jonderson · 20. Juni 2019

Nilson schrieb:
Ja klar, aber wer macht sich die Mühe, wenn er die Zugangsdaten von tausenden Usern erbeutet hat, die, die nicht auf Anhieb gehen, noch mal extra zu brutforcen.
Und wenn jemand hier mitlist, darauf hin mein Bitwarden Account findet, durch das Masterpasswort und die 2FA kommt, nun das sind viele wenns Zumal viele Dienste ja nochmal ihre eigene 2FA haben.

Noch ein paar wenns dazu:
https://www.kuketz-blog.de/bitwarden-schwaechen-bei-sicherheit-und-datenschutz/

DJServs · 22. Juni 2019

Das ist doch Satire hier, oder? Logindaten zu Onlineshops sind geklaut worden und der TE will wissen, was man sonst so machen kann um keine Passwörter ändern zu müssen...

Bertel · 23. Juni 2019

Frage wie nützlich ist ein Passwort Manager? Wie funktionier der und wie ist die Sicherheit? Gibt es auch Empfehlungen für ein idealen Passwort Manager?

florian. · 23. Juni 2019

keepass und lastpass sind wohl die platzhirsche (ich nutze Keepass)

und ja, die sind sicher und praktisch.

BalthasarBux · 23. Juni 2019

@Bertel https://www.kuketz-blog.de/empfehlungsecke/#passwort-manager

Nixdorf · 23. Juni 2019

@Balthasarbildet @Bertel Die Empfehlungen in dem Blog sind teilweise eher auf Linux fokussiert. Das dort empfohlene KeePassXC überlässt den Datenzugriff auf eine zum Beispiel per WebDAV gespeicherte Datenbank ausschließlich dem OS.

Das ist ein Punkt, wo ich auf der Windows-Plattform das klassische KeePass 2 weiterhin im Vorteil sehe. Der native WebDAV-Support garantiert, dass jede Synchronisation feingranular von KeePass selbst vorgenommen wird, ohne Gefahr von "Ganze Datenbank wird mit neuerer Datei vom anderen Client überschrieben", weil die Synchronisationsoptionen außerhalb von KeePass dämlich eingestellt sind.

Man kann das aber alles auch erst einmal ausprobieren und vergleichen, denn alle Clients unterstützen das KDBX-Dateiformat.

BalthasarBux · 23. Juni 2019

Ja, das war vielleicht der falsche Link, aber ich wollte vorhin auch nicht zu viel auf drei Fragen schreiben, die man auch einfach googeln kann, um zu sehen, dass es dafür keinerlei kurze Antworten gibt. Und dort steht auch der wichtige Satz drin, dass man im Zweifelsfall mit einem Notizblock besser bedient ist als mit einem Passwortmanager, wenn man dadurch überall unterschiedliche Passworte verwendet.

Suche

Passwortliste für Onlineshops geklaut

jonderson

Commander

Freu

Cadet 4th Year

Nixdorf

Vice Admiral

M@rsupil@mi

Vice Admiral

Nixdorf

Vice Admiral

jonderson

Commander

Nixdorf

Vice Admiral

Nilson

Grand Admiral

Nixdorf

Vice Admiral

Nilson

Grand Admiral

Nixdorf

Vice Admiral

chrigu

Fleet Admiral

jonderson

Commander

DJServs

Lt. Commander

Bertel

Newbie

florian.

Fleet Admiral

BalthasarBux

Commodore Pro

Nixdorf

Vice Admiral

BalthasarBux

Commodore Pro