Sicherheits-FAQ
- Ersteller andy_m4
- Erstellt am
I
IRON67
Gast
Kronos60 schrieb:
Das alleine wäre ja schon schlimm genug. Ich kann mich aber auch an richtige Probleme erinnern, insb. im Zusammenhang mit dem "Echtzeitschutz" TeaTimer, der wohl zum Speicherfresser mutierte und zusammen mit anderen AVs Probleme machte. Gibts den noch?
Zuletzt bearbeitet:
- Registriert
- Aug. 2015
- Beiträge
- 7.011
Ergänzend sollte man vielleicht noch dazu sagen, dass solche Passwort-Regeln sicherheitstechnisch immer ein Kompromiss darstellen.SouthFace schrieb:
Der ideale Fall wäre, wenn man für jeden Dienst jeweils ein wirklich komplexes und langes Passwort nehmen würde. Die Realität sieht aber so aus, das sich das kein "normaler Mensch" merken kann.
Es geht hier also darum solchen Nutzern eine akzeptable Möglichkeit in die Hand zu geben die auch benutzt wird, damit es eben nicht dazu kommt, dass der Name des Haustieres genommen wird und ähnliche Geschichten.
Wenn jemand bessere oder andere Ideen hat, wie man das "Passwort-merken" - Problem angehen kann, dann immer her damit.
Gruß
Andy
I
IRON67
Gast
andy_m4 schrieb:
Sehr richtig. Theorie und Praxis klaffen hier dermaßen weit auseinander, dass es kaum Sinn hat, die Leute zu belehren.
Du kannst nicht viel mehr tun, als von password oder 123456 abzuraten und das tun tausend andere Seiten auch nebst Erklärung. Letztlich ist die Hauptbedrohung nicht das Erraten oder Knacken von Passwörtern, sondern das Ausspionieren während der Eingabe durch laufende Malware oder Phishing. Darauf solltest du dich konzentrieren.
Andauernd liest man von namhaften Firmen, deren Datenbanken samt Kundendaten gehackt wurden und die nun erpresst werden usw. Wenn selbst DIE es nicht hinbekommen, wie soll es da ein durchschnittlicher Nutzer schaffen?
M@rsupil@mi
Vice Admiral
- Registriert
- Jan. 2013
- Beiträge
- 6.238
Dafür gibt es Passwortmanager.andy_m4 schrieb:
Es ist sicherlich besser, als "passwort", "12345" oder der Name des Hundes, allerdings ist es IMO leichtsinnig hoch 10 Leuten zu raten ein System zu verwenden. Das ist minimal besser, aber mehr auch nicht. Ansonsten gaukelt man zu 99% nur Sicherheit vor, wo keine vorhanden ist.
Dann doch lieber ein altmodisches PW-Büchlein, was man verwendet. Das ist - wie so viele Lösungen - keine 100%tige Sicherheit, aber auch nur für den erreichbar, der etwa ins Haus einbricht. Die ganzen I-Net-Täter fallen da schon einmal raus.
So ganz ohne "sichere Ablage" (sei es in einem Programm oder über Stift & Zettel) geht es eh nicht. Passwörter sind ja längst nicht alles. Je nach Account und Absicherung gibt es diverse Zusatzmechanismen von alternativer Mail, einer Telefonnummer, Sicherheitsfragen, 2-Faktor-Anmeldungen, Rücksetzcodes, etc. Allein deswegen bringt es auch nix ein Passwort mit System zu haben, weil es für viele Dienste einen ganzen Rattenschwanz an zusätzlichen Sachen gibt, die man sich "merken" muss bzw. die irgendwo festzuhalten sind.
brianmolko
Lieutenant
- Registriert
- März 2014
- Beiträge
- 1.015
M@rsupil@mi schrieb:
Das ist genauso (un)sicher. Schonmal was von Keylogger gehört?
- Registriert
- Aug. 2015
- Beiträge
- 7.011
Passwortmanager, Passwort aufschreiben
Aber auch ein Passwort-Manager ist nur ein Kompromiss. Denn immerhin legst Du alle Deine Passwörter an einer Stelle ab und lieferst somit ein ideales Angriffsziel.
Fällt einem bösen Buben eine solche Datenbank in die Hände, nützt ihm das erstmal noch nix. Er muss zunächst den Hash knacken was letztlich bedeutet, er muss alle Zeichenkombinationen durchprobieren, bis der passende Hashwert raus kommt. Das wird natürlich automatisiert gemacht, kostet aber dennoch Zeit. Mehr Zeit, je länger ein Passwort ist und je größer der potentielle Zeichensatz ist. Deshalb auch der Hinweis, Zahlen und Sonderzeichen mit einzubauen.
Schafft der Angreifer ca. 1 Mrd Passwörter pro Sekunde durchzuprobieren, dann braucht er bei einem 8-stelligen reinen Buchstabenpasswort 15 Stunden. Sind in dem Passwort auch Zahlen drin, sind es schon mehrere Tage. Sind da sogar noch Sonderzeichen drin, braucht er schon 2 Monate. Verwendest Du nicht 8 sondern 9 Zeichen sind wir schon bei über 20 Jahren.
Ein gut gewähltes Passwort ist also definitiv ein Sicherheitsgewinn, selbst wenn dahinter eine simple Methodik steckt.
Mit der von mir beschrieben Methode kommt man aber aus ohne das Passwort aufzuschreiben, zu speichern usw. Hier ist sozusagen der Zeichensalat am Anfang der Masterkey.
Du hast also die Vorteile des Passwort-Managers ohne deren Nachteile.
Bis auf das Szenario, dass jemand die Passwort-DB deines Diensteanbieters in falsche Hände gerät und diese keinen guten Hash-Algorithmus oder gar im Klartext speichert.
Irgendwas ist eben immer. :-)
Gruß
Andy
Hab ich ja auch genannt als Alternative zu den Passwort-Regeln.M@rsupil@mi schrieb:
Aber auch ein Passwort-Manager ist nur ein Kompromiss. Denn immerhin legst Du alle Deine Passwörter an einer Stelle ab und lieferst somit ein ideales Angriffsziel.
Der Hintergrund ist ja der, dass Passwörter in der Datenbank des Dienstes üblicherweise (es gibt ja leider Ausnahmen davon) nicht im Klartext gespeichert werden, sondern als Hash. Also Einwegverschlüsselung.M@rsupil@mi schrieb:
Fällt einem bösen Buben eine solche Datenbank in die Hände, nützt ihm das erstmal noch nix. Er muss zunächst den Hash knacken was letztlich bedeutet, er muss alle Zeichenkombinationen durchprobieren, bis der passende Hashwert raus kommt. Das wird natürlich automatisiert gemacht, kostet aber dennoch Zeit. Mehr Zeit, je länger ein Passwort ist und je größer der potentielle Zeichensatz ist. Deshalb auch der Hinweis, Zahlen und Sonderzeichen mit einzubauen.
Schafft der Angreifer ca. 1 Mrd Passwörter pro Sekunde durchzuprobieren, dann braucht er bei einem 8-stelligen reinen Buchstabenpasswort 15 Stunden. Sind in dem Passwort auch Zahlen drin, sind es schon mehrere Tage. Sind da sogar noch Sonderzeichen drin, braucht er schon 2 Monate. Verwendest Du nicht 8 sondern 9 Zeichen sind wir schon bei über 20 Jahren.
Ein gut gewähltes Passwort ist also definitiv ein Sicherheitsgewinn, selbst wenn dahinter eine simple Methodik steckt.
Kann durchaus auch eine Möglichkeit sein.M@rsupil@mi schrieb:
Mit der von mir beschrieben Methode kommt man aber aus ohne das Passwort aufzuschreiben, zu speichern usw. Hier ist sozusagen der Zeichensalat am Anfang der Masterkey.
Du hast also die Vorteile des Passwort-Managers ohne deren Nachteile.
Bis auf das Szenario, dass jemand die Passwort-DB deines Diensteanbieters in falsche Hände gerät und diese keinen guten Hash-Algorithmus oder gar im Klartext speichert.
Irgendwas ist eben immer. :-)
Ja. Es ging aber hier explizit um Passwörter. Aber dennoch ein guter Hinweis. Evtl. lasse ich das noch mit einfließen.M@rsupil@mi schrieb:
Gruß
Andy
AW: Passwortmanager, Passwort aufschreiben
Das ist mMn aber das heutzutage wahrscheinlichste Szenario und vor allem auch eins, dass selbst den paranoidesten Anwender mit Live System ohne persistenten Speicher (also keyloggerfrei) betrifft.
Passwörter mit System sind keine gute Lösung. In einer Rangliste würden sie direkt hinter Standardpasswörtern wie 123456 kommen.
Für ein FAQ, das ansonsten durchaus solide Vorgehensweisen beschreibt ist dieser Punkt einfach eine erhebliche Schwäche.
andy_m4 schrieb:
Das ist mMn aber das heutzutage wahrscheinlichste Szenario und vor allem auch eins, dass selbst den paranoidesten Anwender mit Live System ohne persistenten Speicher (also keyloggerfrei) betrifft.
Passwörter mit System sind keine gute Lösung. In einer Rangliste würden sie direkt hinter Standardpasswörtern wie 123456 kommen.
Für ein FAQ, das ansonsten durchaus solide Vorgehensweisen beschreibt ist dieser Punkt einfach eine erhebliche Schwäche.
- Registriert
- Aug. 2015
- Beiträge
- 7.011
AW: Passwortmanager, Passwort aufschreiben
Vor allem, weil man das "System" ja noch abwandeln kann. So kann man ja z.B. nur den ersten und letzten Buchstaben der Domain nehmen. Dann ist dem Passwort nicht mehr so leicht anzusehen, dass es einfach nur ein Masterpasswort + Dienstname ist. Oder man jagt das ganze selbst vorher noch durch eine Einwegverschlüsselung deren Ergebnis dann als Passwort genutzt wird. So sieht man dem Passwort das verwendete Schema nicht mehr so ohne Weiteres an.
Vielleicht sollte man auf Vor- und Nachteile der jeweiligen Varianten hinweisen und was es eben noch für Kniffe gibt, sein Passwort noch sicherer zu machen.
Generell ist so etwas natürlich immer ein Spagat. Schreibt man zu viel in eine solche FAQ oder zu kompliziert, liest sie sich keiner durch bzw. befolgt die Tipps nicht. Schreibt man zu wenig fehlen evtl. wichtige Informationen.
Gruß
Andy
Die Frage ist ja die, wie bringt man einen Anwender dazu ein Nicht-Triviales Passwort zu nehmen, ohne das er es sich aufschreibt weil er es sich nicht merken kann. Das ist bei einem Dienst schon schwer. Aber heutzutage muss man ja meisten mehrere Dienste abdecken. Und bevor er auf die schlaue Idee kommt gar nur ein Passwort für alle Dienste zu nehmen, find ich dass noch eine akzeptable Lösung.tiash schrieb:
Vor allem, weil man das "System" ja noch abwandeln kann. So kann man ja z.B. nur den ersten und letzten Buchstaben der Domain nehmen. Dann ist dem Passwort nicht mehr so leicht anzusehen, dass es einfach nur ein Masterpasswort + Dienstname ist. Oder man jagt das ganze selbst vorher noch durch eine Einwegverschlüsselung deren Ergebnis dann als Passwort genutzt wird. So sieht man dem Passwort das verwendete Schema nicht mehr so ohne Weiteres an.
Wie das? Die bestehen ja hauptsächlich aus einer Zufallszeichenkette.tiash schrieb:
Ja. Ich werde den Bereich auf jeden Fall noch mal überdenken.tiash schrieb:
Vielleicht sollte man auf Vor- und Nachteile der jeweiligen Varianten hinweisen und was es eben noch für Kniffe gibt, sein Passwort noch sicherer zu machen.
Generell ist so etwas natürlich immer ein Spagat. Schreibt man zu viel in eine solche FAQ oder zu kompliziert, liest sie sich keiner durch bzw. befolgt die Tipps nicht. Schreibt man zu wenig fehlen evtl. wichtige Informationen.
Gruß
Andy
Deine weiteren Vorschläge (System unerkennbar machen, Systemergebnis hashen) sind wesentlich besser, als das was du aktuell in deinen FAQ stehen hast. Natürlich sollst du nicht so viel oder kompliziert schreiben, dass es dann eh keiner mehr liest, aber du willst eben auch gute Vorschläge anbieten. In Anbetracht der Tatsache, dass es viele bessere Varianten gibt, ist es einfach nicht so gut gelöst, dass du ausgerechnet die präsentierst, die durch das System eine erhebliche Schwachstelle hat. Passwortmanager mit langen erzeugten Zufallspasswörtern haben z.B. auch eine Schwachstelle, auf einem vernünftig gesicherten System (zu dem du durch deine FAQ ja gerade verhelfen willst) ist eine Kompromittierung des Passwortmanagers aber sehr viel unwahrscheinlicher als ein Passwortleak auf einer der genutzten Webseiten.
In einer Traumwelt ist jedes Passwort online mit einem gut konfigurierten PBKDF2 gehasht gespeichert und damit selbst bei Diebstahl der Datenbank für immer unwiederherstellbar. In einer solchen Traumwelt leben wir aber eben nicht. Eine Vielzahl von Vorfällen in den letzten Jahren zeigt, dass entweder schwache Verfahren (md5 oder sogar Klartext) angewendet wurden oder dass die guten Verfahren falsch implementiert wurden. Ein Nutzer der überall sonst sicher ist muss damit nach wie vor Vorkehrungen treffen und seine Passwörter so gestalten, dass sie völlig unabhängig voneinander sind. Dieses Wissen solltest du in deinen FAQ vermitteln.
In einer Traumwelt ist jedes Passwort online mit einem gut konfigurierten PBKDF2 gehasht gespeichert und damit selbst bei Diebstahl der Datenbank für immer unwiederherstellbar. In einer solchen Traumwelt leben wir aber eben nicht. Eine Vielzahl von Vorfällen in den letzten Jahren zeigt, dass entweder schwache Verfahren (md5 oder sogar Klartext) angewendet wurden oder dass die guten Verfahren falsch implementiert wurden. Ein Nutzer der überall sonst sicher ist muss damit nach wie vor Vorkehrungen treffen und seine Passwörter so gestalten, dass sie völlig unabhängig voneinander sind. Dieses Wissen solltest du in deinen FAQ vermitteln.
Boogeyman
Vice Admiral
- Registriert
- März 2005
- Beiträge
- 6.816
andy_m4 schrieb:
Für Verbesserungen, gibt es eine Diskussion, wo jeder seine eigenen Vorschläge einbringen kann. Daran kann sich jeder beteiligen.
Auch für Verbesserungen zum Satzbau und Rechtschreibung in der Anleitung/FAQ, wäre ich zumindest sehr dankbar. [Diskussion] Windows Rechner sicher einrichten und wichtige Verhaltensregeln
Zuletzt bearbeitet:
- Registriert
- Aug. 2015
- Beiträge
- 7.011
Naja. Es geht ja nicht ums belehren. Aber wenn jemand ein Tipp sucht, wie er sich ein sicheres Passwort basteln kann, dann ist er sicherlich für Hinweise dankbar.IRON67 schrieb:
Diejenigen die sich gar kein Kopf machen wollen die lesen sich ohnehin so etwas wie eine Sicherheits-FAQ nicht durch. Und letztlich kann es auch nur den Anspruch des Tipp gebens haben. Was der Leser daraus macht, ob er jetzt sagt ich mach nur dies und jenes oder alles als Quatsch abtut, das das ist dann ohnehin immer seine Sache.
Ich bilde mir ein, das ich das auch getan habe. Wenn auch nicht explizit noch mal bei der Passwort-Thematik erwähnt.IRON67 schrieb:
Das ist ja eher ein Argument für gute Passwörter.IRON67 schrieb:
Passwörter für Authentifizierung sind suboptimal. Aber sie sind nun mal verbreitet und dementsprechend sollte man zumindest versuchen im Rahmen der eigenen Möglichkeiten, das Beste draus zu machen.IRON67 schrieb:
Gruß
Andy
Ergänzung ()
Ja. Ich hatte auch inzwischen schon überlegt es mit aufzunehmen.tiash schrieb:
Was gäbe es denn sonst noch außer Passwort-Manager? Oder meintest Du das?tiash schrieb:
Sehe ich genau so.tiash schrieb:
Das Problem bei einem Passwort-Manager ist aber, dass er auf einem Rechner fest installiert ist. DIe Leute gehen aber heutzutage auch viel mit dem Smartphone online. Oder mal in der Firma schnell private Mails abrufen usw.
So lange Du nur ein Gerät hast ist alles paletti. Bei mehreren Geräten hast Du schon mal ein Sychronisationsproblem. Klar ließen sich die Passwörter auch in einer Cloud speichern, aber dann hast Du wieder genau das Problem mit Servereinbrüchen usw. was Du ja schön beschrieben hast.
Passwort-Manager wird nicht für jeden eine Lösung sein. Die Frage ist, wie deckt man die Fälle ab, wo ein Passwort-Manager nicht greift? Oder vielleicht gibt es ja auch ein Passwort-Manager der das leistet, sicher ist und den ich einfach nur nicht kenne. Für Anregungen bin ich immer dankbar.
Ja. Ich werde es versuchen, stärker zu berücksichtigen. Evtl. noch mal die Vorteile und Nachteile der möglichen Varianten herausstellen.tiash schrieb:
Und richtig dankbar wäre ich für einen Tipp die eine praktikable und zugleich sichere Alternative der von mir geschilderten Ansätze wäre.
Gruß
Andy
I
IRON67
Gast
andy_m4 schrieb:
Doch, geht es immer. Nur leider verbinden viele mit diesem Begriff etwas Negatives. Belehren - und zwar eines Besseren, war nie, ist nicht und wird nie falsch.
Nein. Es ist eher ein Argument gegen zu viel Vertrauen in vermeintliche Profis mit vollmundigen Sicherheitsversprechen an die Kunden. Vielleicht habe ich es nicht ausführlich genug formuliert. Also nochmal. Passwortfindung, -verwaltung und -nutzung bekommt ein Laie ganz sicher nicht besser hin, als eine von sogenannten oder tatsächlichen IT-Profis geleiteten Abteilungen in einer Firma, die ihre Kunden schützen will. Trotzdem gibts einen GAU nach dem nächsten in solchen Firmen. Teils wegen eben doch lascher Passwortwahl oder Umsetzung, teils aber auch wegen ganz anderer Sicherheitslücken. Wenn jemand ernsthaft an Passwörter heran will, dann kommt er auch an die heran und kann sie mit dem nötigen - teils mietbaren Know-How und Equipment - knacken.
Bei Laien ist die erste Hürde meist auch die einzige, nämlich social Engineering, das eine Malwareinstallation erleichtert. Und es gibt beim Laien niemanden, der ihn ständig daran erinnert, sich an bestimmte Regeln zu halten. Selbstdisziplin ist eher selten. Man kann ihm ein paar Methoden für Passwortfindung anbieten, aber letztlich werden die von jedem zugunsten der Bequemlichkeit vereinfacht.
Sich so an Passwörtern festzubeißen, halte ich für einen Fehler. Viel wichtiger ist es, den Leuten unmissverständlich und belegt klarzumachen, dass alles, was sie bisher über Sicherheit zu glauben wussten (Firewall und Virenscanner als "wichtigste Maßnahme) komplett falsch ist und sie dieser Software nicht weiter vertrauen dürfen als sie einen Bus werfen können.
Ich hab grad in den letzten zwei Tagen wieder so einen Fall beobachtet. Der Hansel hatte Avira, McAfee, Spybot und MBAM drauf und trotzdem wurde ihm vor 3 Wochen ein Trojaner installiert und auf seine Rechnung im Internet eingekauft. Nur wegen der Rechnungen hat er was gemerkt, wurde trotzdem erst vorgestern aktiv und nun ist es amtlich. Und keine Software hat ihn gewarnt oder warnt zumindest jetzt.
- Registriert
- Aug. 2015
- Beiträge
- 7.011
Vorschläge einbringen ist gut und schön. Aber letztlich habe ich keinen Einfluss drauf, was da wirklich mit reinkommt und was nicht.Boogeyman schrieb:Für Verbesserungen, gibt es eine Diskussion, wo jeder seine eigenen Vorschläge einbringen kann. Daran kann sich jeder beteiligen.
Abgesehen davon: Nimm das als Vorschlagliste und was Du meinst übernehmen zu wollen (von mir aus auch Wort für Wort abzüglich aller Rechtschreibfehler *g*), dann tue das.
Der Hintergrund für diese FAQ ist Folgende. Es tauchen ja immer wieder zu Computersicherheit diverse Fragen auf. Viele Fragen wiederholen sich. Daher auch FAQ. Wenn so eine Frage kommt, kann man einfach darauf verlinken. Aber wenn ich schon auf etwas verlinke, dann soll es auch dem entsprechen, was ich mir vorstelle.
Im Klartext: ich möchte da 100%ig hinter stehen. Und das kann ich nur, wenn ich sozusagen den Inhalt selbst in der Hand habe. Und es gibt ja durchaus auch Differenzen. Die Große ist, dass ich nicht allein Windows abhandele, sondern eben auch Linux.
Aber es gibt auch im Detail Unterschiede. Ein Beispiel der Passwort-Checker. Ansich ne nette Idee, aber bringt den Nutzer eigentlich genau das zu tun, was er eben (zumindest versuche ich das zu vermitteln) nicht tun sollte. Seine Passwort quasi ins Internet an "irgendeine" Seite rauszublasen.
Bei anderen Sachen bin ich noch am überlegen die zu übernehmen, aber evtl. anders aufzubereiten.
Letztlich stehe ich aber immer noch am Anfang. Ich hab die Seite noch nicht einmal verlinkt. Zunächst soll sie erst einmal "reviewed" werden, wozu ja auch dieser Thread dient. Und dann mal gucken ob eine brauchbare FAQ draus wird.
Gruß
Andy
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 11.928
Ich hab nur kurz Zeit, darauf einzugehen, weil's schon wieder recht spät ist. Dennoch die wichtigen Punkte:
1.) Gut finde ich z.B., dass bei der Reihenfolge der Maßnahmen Backups und Updates an den ersten Positionen stehen, denn gerade diese werden von dem meisten Usern am ehesten vernachlässigt.
2.) Gut ist ebenfalls, dass Du Empfehlungen und Beispiele für verschiedene Betriebssysteme listest und zudem darauf hinweist, welche Betriebssysteme heutzutage nicht mehr (online) verwendet werden dürfen.
3.) Wichtig ist der Passwortbereich, jedoch der Tipp zur Bildung eines Passwortes zur Nutzung bei verschiedenen Diensten kann so nicht stehen bleiben, denn das gewählte Muster ist sehr gefährlich. Erlangen Angreifer z.B. Zugriff auf das Passwort
4.) Zum Thema Firewall fehlt der Hinweis, dass es sich dabei um ein Konzept handeln muss, um wirksam zu sein:
-> http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/Firewall.html#PF
5.) Essentiell sind heutzutage zudem Empfehlungen, die Routerfirmware tunlichst aktuell zu halten bzw. verwundbare Modelle, die nicht mehr mit Aktualisierungen seitens der Hersteller versorgt werden, durch neue Produkte zu ersetzen bzw. ersatzweise Produkte zu wählen, die ggf. mit alternativer Firmware wie z.B. dd-wrt betrieben werden können. Zur Routersicherheit gehört ferner u.a. das Setzen eines individuellen Konfigurationspasswortes, sowie eine gescheite WLAN-Verschlüsselung (WPA2 AES mit langer individueller Passphrase).
Weiteres dazu:
-> http://www.heise.de/netze/artikel/Router-Angriffen-vorbeugen-2572923.html
-> http://www.heise.de/security/artikel/Angriffe-auf-Router-271002.html
-> http://www.heise.de/security/meldung/Angreifer-kapern-Router-1963578.html
-> http://www.heise.de/security/meldun...er-DNS-Einstellungen-manipuliert-2132674.html
-> http://www.heise.de/security/meldung/Trojaner-konfiguriert-Router-um-214097.html
Wie man sieht, ist die Router-Manipulation durch Malware schon seit Jahren gang und gäbe.
6.) Der Schutz durch Updates vor Drive-by-Infektionen ist der eine Punkt, der andere liegt in einem Härten von System und Anwendungen, um auch Zero-Day-Exploits entgegenzuwirken. Diese Punkte sind wichtiger als Virenscanner, daher stellt die Reihenfolge, Virenscanner auf Seite 1 zu nennen, die wichtigeren und vor allem wirksameren Maßnahmen hingegen erst auf Seite 2, keine gute Gewichtung dar. Der Bereich "Programme abschotten/absichern" sollte also besser auf Seite 1 rutschen.
Neben der wichtigen Blockade von Werbeservern, die eine gern genommene Plattform zu Drive-by-Infektionen darstellen, ist die Deaktivierung von Scripten, gerade über Drittanbieter-Webseiten, in iframes, etc. mit ein wichtiges Element zum Schutz von Zero-Day-Exploits. Auf Seiten des Betriebssystems (Windows) kann die zusätzliche Verwendung und Konfiguration mittels EMET helfen, auch ein eingeschränktes Benutzerkonto ist heute noch von Vorteil, da z.B. auf das UEFI nur mit Adminrechten zugegriffen werden kann (eingeschränkt wird dieser Schutz jedoch durch Sicherheitslücken, die eine privilege escalation ermöglichen).
Und: Die Erkennungsrate insbesondere bei neuer Malware durch Virenscanner liegt oft bei Null. (Ein) Grund (von mehreren) dafür sind nicht zuletzt solche Dienste:
-> http://www.heise.de/security/meldung/Online-Virenscanner-vice-versa-971180.html
Soweit erstmal, zwar nicht vollständig, jedoch einige Punkte behandelt.
1.) Gut finde ich z.B., dass bei der Reihenfolge der Maßnahmen Backups und Updates an den ersten Positionen stehen, denn gerade diese werden von dem meisten Usern am ehesten vernachlässigt.
2.) Gut ist ebenfalls, dass Du Empfehlungen und Beispiele für verschiedene Betriebssysteme listest und zudem darauf hinweist, welche Betriebssysteme heutzutage nicht mehr (online) verwendet werden dürfen.
3.) Wichtig ist der Passwortbereich, jedoch der Tipp zur Bildung eines Passwortes zur Nutzung bei verschiedenen Diensten kann so nicht stehen bleiben, denn das gewählte Muster ist sehr gefährlich. Erlangen Angreifer z.B. Zugriff auf das Passwort
... beim Diensteanbieter A, so werden sie es spätestens beim zweiten Versuch beim Diensteanbieter B mit der Kombination....
versuchen. Mit anderen Worten: Das ist eine zu unsichere Variante, die man so keinesfalls empfehlen darf.
4.) Zum Thema Firewall fehlt der Hinweis, dass es sich dabei um ein Konzept handeln muss, um wirksam zu sein:
-> http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/Firewall.html#PF
5.) Essentiell sind heutzutage zudem Empfehlungen, die Routerfirmware tunlichst aktuell zu halten bzw. verwundbare Modelle, die nicht mehr mit Aktualisierungen seitens der Hersteller versorgt werden, durch neue Produkte zu ersetzen bzw. ersatzweise Produkte zu wählen, die ggf. mit alternativer Firmware wie z.B. dd-wrt betrieben werden können. Zur Routersicherheit gehört ferner u.a. das Setzen eines individuellen Konfigurationspasswortes, sowie eine gescheite WLAN-Verschlüsselung (WPA2 AES mit langer individueller Passphrase).
Weiteres dazu:
-> http://www.heise.de/netze/artikel/Router-Angriffen-vorbeugen-2572923.html
-> http://www.heise.de/security/artikel/Angriffe-auf-Router-271002.html
-> http://www.heise.de/security/meldung/Angreifer-kapern-Router-1963578.html
-> http://www.heise.de/security/meldun...er-DNS-Einstellungen-manipuliert-2132674.html
-> http://www.heise.de/security/meldung/Trojaner-konfiguriert-Router-um-214097.html
Wie man sieht, ist die Router-Manipulation durch Malware schon seit Jahren gang und gäbe.
6.) Der Schutz durch Updates vor Drive-by-Infektionen ist der eine Punkt, der andere liegt in einem Härten von System und Anwendungen, um auch Zero-Day-Exploits entgegenzuwirken. Diese Punkte sind wichtiger als Virenscanner, daher stellt die Reihenfolge, Virenscanner auf Seite 1 zu nennen, die wichtigeren und vor allem wirksameren Maßnahmen hingegen erst auf Seite 2, keine gute Gewichtung dar. Der Bereich "Programme abschotten/absichern" sollte also besser auf Seite 1 rutschen.
Neben der wichtigen Blockade von Werbeservern, die eine gern genommene Plattform zu Drive-by-Infektionen darstellen, ist die Deaktivierung von Scripten, gerade über Drittanbieter-Webseiten, in iframes, etc. mit ein wichtiges Element zum Schutz von Zero-Day-Exploits. Auf Seiten des Betriebssystems (Windows) kann die zusätzliche Verwendung und Konfiguration mittels EMET helfen, auch ein eingeschränktes Benutzerkonto ist heute noch von Vorteil, da z.B. auf das UEFI nur mit Adminrechten zugegriffen werden kann (eingeschränkt wird dieser Schutz jedoch durch Sicherheitslücken, die eine privilege escalation ermöglichen).
Und: Die Erkennungsrate insbesondere bei neuer Malware durch Virenscanner liegt oft bei Null. (Ein) Grund (von mehreren) dafür sind nicht zuletzt solche Dienste:
-> http://www.heise.de/security/meldung/Online-Virenscanner-vice-versa-971180.html
Soweit erstmal, zwar nicht vollständig, jedoch einige Punkte behandelt.
Zuletzt bearbeitet:
- Registriert
- Aug. 2015
- Beiträge
- 7.011
So gesehen hast Du natürlich Recht.IRON67 schrieb:
Ich verstehe, was Du sagen willst.IRON67 schrieb:
Klar. Es geht bei Sicherheit immer nur darum Hürden aufzubauen. Umso mehr, umso größer ist die Chance das der Angreifer davon absieht oder man zumindest Zeit gewinnt z.B: um sein Passwort zu ändern, bevor der Angreifer es nutzen kann.IRON67 schrieb:
Ja. Leider. Deswegen halte ich ja Passwörter in der Praxis sicherheitstechnisch für suboptimal.IRON67 schrieb:
Ja. Wenn man aber nur den Tipp gibt "Nimm kein Passwort a-la "12345", was ist dann die Alternative? Passwort-Manager kann so eine sein. Ist aber nicht immer praktikabel. Was dann? Das Passwort-System mit quasi integrierten Masterkey ermöglicht einerseits ein brauchbares Passwort zu haben, andererseits aber auch leicht merkbar zu sein.IRON67 schrieb:
Man könnte höchstens noch darüber nachdenken den "Masterkey" einfacher zu gestalten, wenn man davon ausgeht das der nur Trivialpasswörter verhindern soll und nicht noch einen sicheren Hashwert auf der Anbieterseite abgeben zu müssen.
Ich bin da komplett bei Dir.IRON67 schrieb:
Ja. Schutzsoftware ist ein kontrovers diskutiertes Thema. Ich gehöre auch eher zu den Skeptikern, finde es aber als Kompromisslösung für den viel zitierten Otto-Normal akzeptabel. Natürlich mit dem Hinweis auf die Schwächen solcher Software.IRON67 schrieb:
Gruß
Andy
I
IRON67
Gast
andy_m4 schrieb:
Das spielt wirklich kaum eine Rolle in der PRAXIS, denn wie ich schon schrieb, kommt man IMMER an die Passwörter, wenn man will. Und der ONU wird sich IMMER für die bequemste Lösung entscheiden - von der Wahl des Passwortes selbst bis hin zu dessen Verwaltung. Er muss nicht vor der Wahl schlechter Passwörter (mal abgesehen von den ganz offensichtlichen) oder schlechter Passwort-Tresore geschützt werden, sondern davor, dass Malware aufs System kommt oder er auf Phishing-Versuche hereinfällt. Er ist schon gut bedient, wenn er wenigstens kapiert, nicht überall dasselbe Passwort zu verwenden. Viel mehr wirst du nicht erreichen. Sobald du mit Fachbegriffen wie Hash, Salting usw. kommst, bekommt ONU glasige Augen und beginnt mit der Urlaubsplanung.
chrigu
Fleet Admiral
- Registriert
- Mai 2012
- Beiträge
- 31.811
ach du meine güte... dieser beitrag ist eine zitatenflut sondergleichen. zum glück ist ein bestimmter forenbetreuer nicht online.. sonst gäbe es hier ein schloss an die tastatur...
mein tipp für sicherheit: das grosse ding zwischen den ohren benutzen und nicht alles glauben was der kollege des onkel sein schwager so erzählt.
mein tipp für sicherheit: das grosse ding zwischen den ohren benutzen und nicht alles glauben was der kollege des onkel sein schwager so erzählt.
- Registriert
- Aug. 2015
- Beiträge
- 7.011
Ja. Und sind ja letztlich auch am Wichtigsten und quasi die Basis für alle weiteren Sicherungsmaßnahmen.Dr. McCoy schrieb:
Ja. Aber trival ist das Ganze für den Angreifer trotzdem nicht. Er muss ja erst mal mitbekommen, dass in seiner großen Datenbank ein Passwort nach dem Schema vorhanden ist. Üblicherweise wird er einfach nur die Passwörter nehmen so wie sie da drin stehen und dann automatisiert Login-Versuche unternehmen.Dr. McCoy schrieb:
Aber grundsätzlich ist die Kritik natürlich berechtigt.
Die Frage ist ja, wie kriegt man einen Anwender dazu ein einigermaßen sicheres Passwort zu wählen und was er sich aber gleichzeitig gut merken kann.
Du hast Recht, allerdings richtet sich gerade der erste Teil an Computerlaien. Und die sollen mit wenigen Handgriffen einfach nur das Sicherheitslevel erhöhen können und das auch mit Begriffen, die geläufig sind.Dr. McCoy schrieb:
Das das ein Profi anders sieht und anders aufzieht ... klar. Aber das kann ich Lieschen Müller nicht zumuten bzw. wenn, dann wird sie es nicht machen und auch auf die einfachen Handgriffe verzichten.
Guter Hinweis, denn das Thema W-LAN und Router hatte ich bisher ausgespart. Ist aber auf jeden Fall zu wichtig, um da gar nicht drauf einzugehen. Dementsprechend wenn ich das in der Aktualisierung berücksichtigen.Dr. McCoy schrieb:
Danke auch für die weiterführenden Links.
Auch hier wieder: Du hast recht. Allerdings dient die Unterteilung in zwei Seiten weniger der Wichtigkeit, sondern viel mehr:Dr. McCoy schrieb:
Was kann ich Lieschen Müller zumuten ohne das die gleich wegen Überforderung weg klickt und was kann man dem ambitionierten User zumuten.
Was man auf Seite 1 ziehen könnte wäre vielleicht der Abschnitt mit den Browser-Addons.
Evtl. noch ergänzt um eine gute Browser-Appliance.
Die Konto-Geschichte würde ich auch auf Seite 2 (also der "Profi"-Site *g*) belassen.
Der Tipp mit EMET ist gut und den werde ich vermutlich auch mit einfließen lassen.
Ja. Wie schon im vorherigen Posting geschrieben sehe ich Antivirensoftware auch eher skeptisch und ich hab auch echt ne Weile überlegt, ob ich sie überhaupt in die FAQ mit aufnehme und nicht gleich sage "Lasst es".Dr. McCoy schrieb:
Daher auch die Vor- und Nachteilaufzählung. Letztlich muss es jeder selbst entscheiden.
Aber war schon ein gutes Posting mit vielen wichtigen Anregungen.Dr. McCoy schrieb:
Vielen Dank!
Gruß
Andy
Ähnliche Themen
- Angepinnt
