PCE-Forum

Das Thema gehackte Accounts lässt uns nicht in Ruhe und erreicht immer wieder neue Dimensionen. Nachdem in den letzten Wochen darüber berichtet wurde, dass Passwörter von ca. 700 Millionen Accounts im Umlauf sind, wurde nun einer neuer Daten-Leak von ca. 2,2 Milliarden Accounts bekannt. Daher sollte man dringend prüfen, ob die eigene E-Mail-Adresse betroffen ist. Ist dies der Fall, sollte man zwingend allen seine Passwörter ändern. Hier kann man prüfen, ob die eigene E-Mail-Adresse betroffen ist: https://sec.hpi.de/ilc/search?

Grundsätzlich wird empfohlen, unterschiedliche Passwörter zu verwenden und diese regelmäßig zu ändern.

Danke dafür. Also bei mir war nur meine Email Adresse drin wo ich auch andauernd Spam bekomme. Habe gleich mal das PW geändert.
Mittlerweile habe ich fast alles wichtige auf 2 Faktor Authentifizierung umgestellt. Mal sehen wann dort die ersten Meldungen kommen, das es nicht mehr sicher ist. Aktuell habe ich damit jedenfalls ein besseres Gefühl.

Ich habe für jeden Dienst ein individuelles Passwort. Habe mir einen "Algorithmus" ausgedacht, der aus einem statisch sichern Bestandteil und einem dynamischen Bestandteil in Abhängigkeit zum Dienst ist. Damit glaube ich, fahre ich ganz sicher. Glaube nicht, dass ein Hacker 600 GB Daten manuell sichtet und dann nach Rätsel lösen will, um meinen Algorithmus zu knacken.

Außerdem habe ich alle Accounts in Keepass notiert (ohne das Passwort wegen Single Point of Failure), damit ich alle Accounts schnell aktualisieren kann. Mit der Zeit hat man dann doch eine Menge Accounts angesammelt.

Ich nutze auch einen PW–Manager und 2Step wombs geht. Wer mit Passwörtern wie 123abc lebt und dies für alle Accounts nutzt ist selber Schuld wenn man ins Fadenkreuz gerät. Der Hack an Sicht ist Wahnsinn.

PW-Manager sehe ich persönlich etwas kritisch,wenn man dort seine Passwörter ablegt. Wenn ein Hacker das Passwort des PW-Managers herausfindet, hat einen Freischein für alle Accounts.

Ich schreibe mir mir nur Passwort-Hinweise dort rein. Also gekürzte Passwörter.

Ja da gebe ich dir recht, wenn man im PW Manager seine Passwörter sehr stark einstellt aber das Master-Passwort abc123 oder admin lautet gehört man aber auch gesch*****. Dann hat sich der Hacker den Freifahrtschein verdient.
Man kann es ja noch mit einer Datei doppelt absichern und den Rechner absichern wo es drauf liegt. Was ich nicht mache ist die PW-Manager Datei auf irgendeinen USB Stick zu kopieren und diesen rumliegen zu lassen.

Also ich habe in meinem Keepass 2 eine zufällige Datei im Dateisystem als Teil des Schlüssels benutzt. 16 Zeichen, die ich nur im Kopf habe und eben diese Datei. Ich denke damit sollte ich relativ sicher fahren.

Ich habe auch schon über Keepass nachgedacht, aber wie machst du es dann wenn du auf dem Smartphone einen Account öffnen willst und du nicht in der Nähe vom PC bist? Oder was macht man wenn man mehrere PCs hat, dann kommt wahrscheinlich eine Cloud ins Spiel und auch das ist wieder relativ unsicher dort alle PW zu speichern.

Ich nutze Enpass und synchronisiere es mit meiner eigenen Nextcloud (crypted). Damit kann ich dann auf alle anderen Geräte problemlos die PW's abrufen und verwenden.

Passwort im Kopf haben. Klar, da kommt kein Hacker dran. Spätestens wenn Du das Passwort für keepass eingibst und der Keylogger das Passwort mitliest. und wenn der Hacker auf dem System ist, dann findet er auch die "geheime" Datei.

Deswegen meine Taktik: nirgendwo steht ein Passwort vollständig, nur Passwort-Hinweise. Und durch meinen "dynamischen Passwort Algorithmus" hat jeder Online-Account ein individuelles Passwort.

Letzteres hat auch den Vorteil, dass ich eigentlich niemals in Keepass schauen muss, weil es keine Zufallsgenerierten PAsswörter sind.

So lange dein Algorithmus nicht folgender ist: ABCD1234@papypal.

So einfach ist er nicht :-) Ich würde gerne einmal erzählen, wie ich es gemacht habe, aber das wäre natürlich sinnfrei. Man muss sich was einfallen lassen, wie man Inhalte gedanklich verschlüsseln kann.

Ein Beispiel: Paypal ist ein amerikanisches Unternehmen. Man könnte jetzt ein A (Amerika) in das Passwort mit aufnehmen.

Ich hoffe du hast jetzt nur mein Beitrag bearbeitet

Was meinst Du jetzt? Was habe ich bearbeitet?

Das was in meinem Beitrag steht ist nicht von mir geschrieben, nur ein Teil was im Quote steht ist von mir geschrieben gewesen.

Mir ist wohl bewusst das kein Passwort oder Methode 100 Sicher ist. Aber ich versuche es dem Angreifer so unangenehm wie möglich zu machen. Am besten kleine Schritte einbauen, so das man denkt gleich hat man es und dann kommt die nächste Hürde. Angreifer wenden sich dann schnell ab und richtigen den Blick auf "leichtere Ziele" wo man im Endeffekt auch an etwas kommt was man verwerten kann und von nutzen ist.

Fragen wäre hier meinerseits, wie oft wechselt ihr da Passwort zum PW Manager? Ich versuche es 1x im Quartal (spätestens). Wenn der PW-Container einmal offen war übernimmt Touch ID die Entsperrung im Alltag. Leider fehlt mir dir Zeit das PW zwischen 20 und 60x am Tag einzuhacken. Für Projekte mir Kunden denke ich tatsächlich über eine Self-hosted CloudLösung nach, wie Bitwarden. Hat jemand mit dem Thema Erfahrung (PW-Safes im Web/online self-hosted und nicht mit dem Tool selber)?