Sicherheit bei Freemail-Anbietern // Passwort-Umgehung

[Mordanius]

Hallo CB'ler,

durch eine (negative) Erfahrung im Freundeskreis wollte ich Euch mal zum Diskutieren anregen. Es geht um die generelle Sicherheit bei Freemail-Anbietern wie Outlook.com, gmail, Hotmail etc......

Ist Euch mal aufgefallen, dass man mit etwas Glück fast jedes Mailkonto hacken kann? In unserem besagten Fall wurde das Konto eines Freundes damit umgangen, dass beim web-login einfach der Punkt "Passwort vergessen?" ausgewählt wurde, um sich Zugang zu verschaffen. Problematisch hierbei: Die ausgewählte Sicherheitsfrage nach dem Geburtsort war schnell gelöst, da der Betroffene in einer Großstadt geboren wurde.....

Und zack: Somit wurde sich der Zugang verschafft und das Konto "übernommen", Anbieter war übrigens gmail.

Was sagt und vor allem denkt ihr zu diesem Thema? Wie kann man seine Freemail-Konten denn wirksam schützen?

Grüße und weiterhin Frohe Weihnacht!

 

[Masamune2]

Zumindest bei Gmail kann man auch eine zwei Faktor Authentifizierung einrichten und die Passwort vergessen Funktion aufs Handy umleiten.

Diese "Sicherheitsfragen" sind irgendwie typisch amerikanisch und haben mit Sicherheit nicht viel zu tun. Ich würde hier niemals eine Lösung angeben die Sinn ergibt aus genau dem Grund den du geschildert hast. Zugänge zu Mail Postfächern kann man sich auch aufschreiben und die Daten weglegen. Dann kommt zwar vielleicht noch jemand ran der einem nahe steht, aber niemand mehr übers Internet.

 

[Mordanius]

Ich sehe den Knackpunkt eher bei der Sicherheitsfrage und nicht beim Passwort, denn das kann man bei vielen Anbietern mit dem Punkt "Passwort vergessen?" oder "Sie können sich nicht anmelden?" umgehen...

 

[SpamBot]

Aber bekommt man den Link dann nicht immer auf eine 2te E-mail Adresse die man hinterlegt und? Das bringt dem "Eindringling" ja nichts.

 

[Mordanius]

Ja, entweder auf die 2. hinterlegte E-Mail Adresse (zB web.de, outlook.com) oder aber es kommt die Sicherheitsfrage (gmail)....

 

[andy_0]

Häufig bekommt man eine eMail an den hinterlegten eMail Account (d.h. bei einem Mail Provider die zweite Mail). In diesem Fall ist alles iO, da der Angreifer diese nicht einmal kennen "kann". Problematisch ist es wenn man sich den Zugang via Sicherheitsfragen sichern kann. Grundlegend ist das aber bei allen Providern unabhängig vom Service der Fall, da man dem Kunden irgendeine Form von Passwortwiederherstellung bieten muss.

GMail bietet als sekundäre Authentifizierung definitiv noch eine Handynummer. Damit ist das System vermutlich sicherer als eine reine mailbasierte Lösung.

 

[SpamBot]

Shit, hab das gerade mal bei mir getestet OMG, hätte gedacht das die Sicherheitsfrage nur dafür da ist um den Link per Mail zu kriegen... Habe da ein Namen mit 3 Buchstaben gewählt.... muss das gleich Löschen !!!

 

[BlubbsDE]

Bei GMail richtet man die Bestätigung in zwei Schritten ein und dann ist das Konto absolut sicher. Jedes Gerät/jeder Zugriff von einem fremden Rechner bekommt dann ein eigenes Passwort, um auf das Konto zugreifen zu können. Das Funktioniert über Pins, die mann per SMS kostenlos von Google aufs Handy bekommt. Oder man richtet selber weitere Geräte ein. Das kann man selbst in den Kontosicherheitseinstellungen erledigen.

 

[Mordanius]

Häufig bekommt man eine eMail an den hinterlegten eMail Account (d.h. bei einem Mail Provider die zweite Mail). In diesem Fall ist alles iO, da der Angreifer diese nicht einmal kennen "kann". Problematisch ist es wenn man sich den Zugang via Sicherheitsfragen sichern kann.

Genau das ist der springende Punkt! Hatte gehofft mein kostenpflichtiges Exchange-Postfach bald kündigen zu können. Aber mit den Mängeln bei den "Großen" in puncto Sicherheit, kann ich mir das nicht erlauben!

 

[distrophik]

Falls das Passwort vergessen wurde, sollte man ja trotzdem auf sein Email Konto noch irgendwie drauf kommen. Natürlich ist das eine Schwachstelle solche simplen vorgefertigten Fragen dort rein zu stellen. Ich würde sagen an dieser Stelle liegt die Verantwortung bei der Person, die eine Frage auswählt und eine Antwort dazu schreibt. Ich glaube jedem sollte auch bewusst sein, dass wenn man eine einfach Frage wähl, die Antwort dazu auch leicht raus zu bekommen ist. Wie schon oben erwähnt, Sicherheitsfragen sollte man nicht mit richtigen Antworten beantworten. Sollte meiner Meinung ein zweites Passwort sein.

 

[andy_0]

Ich lasse mein Mailaccount hosten, da die Sache mit dem Datenschutz doch eine Rolle spielt. Leider ist der Spamschutz von Exchange richtig grottig, sodass ich viele Mails dann doch wieder über GMail laufen lasse ^^.

 

[paxtn]

Wie bereits von distrophik erwähnt, halte ich es auch für sehr fahrlässig, bei der Sicherheitsfrage eine richtige Antwort anzugeben. Ich habe da immer totalen Quark stehen, auf den niemand kommen würde und somit mache ich mir da relativ wenig Gedanken.

Aber der Punkt der Sicherheit, generell bei E-Mail-Anbietern (nicht nur Freemail), ist ein sehr wichtiger und kritischer. Bei dem E-Mail-Konto sind teilweise relativ private Informationen vorhanden, die möglichst keiner wissen sollte.

Ein kleiner Tipp wäre: zum Anmelden beim E-Mail-Account eine andere Adresse zu nutzen, als für die Mails selber. So habe ich es z.B. gemacht, da ich eben bei GMX mehrere E-Mail-Adressen haben kann. Somit kennt letzten Endes keiner die E-Mail-Adresse, die zum Anmelden notwendig ist.

 

[aurum]

Doppelte Anmeldesicherheit bei Gmail + sichere Sicherheitsfrage ...

 

[Masamune2]

Ich sehe den Knackpunkt eher bei der Sicherheitsfrage und nicht beim Passwort

Und die Sicherheitsfrage ist doch auch nur ein Passwort.... wenn ich da hfg7586SD! angebe kommt keiner mehr drauf. Ich muss nur dafür sorgen das ich selbst noch weiß wo ich die Sachen aufgeschrieben habe falls ichs selbst mal brauche...