ComputerBase Menü
Aktuelles

Email-Konto absichern (Mechanismus, Erfahrungen, Tipps)

K

keyx

Cadet 3rd Year
Registriert
Sep. 2007
Beiträge
40
Hallo,

ich besitze momentan ein hotmail und ein googlemail Konto. Weil immer mehr wichtige Sachen per Mail geregelt werden, möchte ich diese Konten nun besser schützen. Dazu möchte ich die langfristig eine Zwei-Faktor-Authentifizierung mit Passwort+Handy einrichten. Im Moment ist ein Zugriff einfach per Passwort möglich.

Sowohl bei einem einfachen Schutz durch Passwort als auch bei einer Zwei-Faktor-Authentifizierung ergeben sich aber jeweils folgende Fragen:
  • Falls eine fremde Person mein Konto übernimmt (durch Erraten des Passworts, etc), welche Möglichkeiten habe ich, mein Konto wieder zurückzugewinnen?
  • Falls ich meine Zugangsdaten (oder ggf. mein Handy) verliere, wie komme ich wieder an mein Konto heran?

Ist die letzte Sicherheitsinstanz lediglich eine Sicherheitsfrage, ein Code per SMS (dürfte ja bei einer Zwei-Faktor-Authentifizierung nicht als Notlösung angeboten werden), etc...?

Leider kann ich auf den diversen verschachtelten Hilfeseiten der Anbieter nicht erkennen, wie eine Kontowiederherstellung im Ernstfall ablaufen würde - davon hängt jedoch ab, für welche Sicherheitsmethode ich mich zukünftig entscheide und welche Sicherheitsinfos ich hinterlege.

Vielleicht hat jemand von euch bereits Erfahrungen damit oder einen besseren Einblick in das Thema! Ich würde mich auch sehr über andere generelle Tipps zu diesem Thema freuen!

Vielen Dank!

keyx
 
Servus,
also ich betreibe meinen eigenen Mail-Server -und selbst ich lasse meine Mails nicht am Server gespeichert.
Ich kann Dir nur raten, dir einen vernünftigen email-Client zu besorgen (Outlook zB) und die Mails mindestens einmal pro Woche per POP3 runterzuladen und offline zu archivieren und dabei alle Mails älter als (zB) 3 Monate vom Server zu löschen.

Damit hat ein Angreifer nicht unmittelbar Zugriff auf dein gesamtes Archiv. Wenn er keinen Zugriff auf deine alten Mails hat, weiß er auch nicht, wo Du mit diesen emailadressen registriert bist und hat somit auch keine Möglichkeit sich dort ein neues Passwort zusenden zu lassen (außer durch raten vlt.) und Dich aus deinen anderen Accounts auszuschließen.

Dein Handy sollte durch irgendeine Maßnahme geschützt sein (Pattern, PIN,...) sodass jemand nicht unmittelbar dein Passwort aus dem Gerät auslesen kann.

Dein Konto bekommst Du im Schlimmstfall über den Support wieder zurück.

MfG, Thomas
 
Genereller Tip:

Emails sind perse nicht sicher. Wenn der Inhalt der Email verschlüsselt ist und der nötige Schlüssel nur dem Empfänger bekannt ist, so ist davon auszugehen, dass die Hürde für Dirtte sehr hoch ist an die Informationen zu kommen. Es werden die Metadaten aber IMMER im Klartext für Dritte abfangbar sein. Daher als Minimum: Quelle, Ziel, Zeitstempel


Was die Passwortsicherheit angeht, hier gilt es ein sicheres Passwort zu wählen und dies Aussschließlich sicher verschlüsselt zu übermitteln. Daher nur Verbindungen zu wählen, die auf Verschlüsselungsalgorithmen aufbauen, die als "bisher nicht geknackt" gelten. Zudem um komplett sicher zu gehen sollte nur Schlüssel/Zertifikate genutzt werden, die Dritten unbekannt sind (was im Falle Google, Hotmail und anderen Anbietern eher nicht der Fall ist). Zudem solltest du sicher stellen, dass die Emails zwischen den Mailservern nur verschlüsselt übertragen werden (wie willst du das bei Hotmail/Google sicherstellen? Nachvollziehen kannst du das wohl kaum).

Zudem sollten, Passwörter entweder jedesmal von Hand eingegeben werden, oder wenn sie auf dem Gerät gespeichert werden unbedingt verschlüsselt werden (hier brauchs dann wieder ein sicheres Passwort, welches bei jedem Zugriff eingegeben werden muss...).
Was ansonsten eine Zweifaktorautentifizierung angeht, solang die über SMS erfolgt ist es recht Witzlos. Phishing geht trotzdem und SMS sind auch immer unverschlüsselt. Der Sicherheitsgewinn ist damit sehr trügerisch.
Verschlüsselungen auf Telefonen sind für normale Diebe unumgänglich, für entsprechend versierte Angreifer mitunter aufgrund grober Schnitzer bei der Implementation kein unüberwindbares Hinderniss.

Mit unverschlüsselten auf dem Handy gespeicherten Passwörtern bettelt man aber geradezu danach, dass im Falle eines Verlustes Dritte Zugriff erhalten können.


edit: Da da gerade jemand schneller war. Wenn es einen Emailanbieter gibt, der Accounts über den Support wieder zugänglich macht sollte man sich fragen, ob nicht auch Dritte diese Möglichkeit haben. Imo ist das einer der beliebtesten "Hacks" überhaupt Sicherheitsmaßnahmen über Admins bzw. Supportcenter zu umgehen. Wo es möglich ist Passwörter durch einen "simpel" Anruf zurücksetzen zu lassen und wenn man rumheult, dass man das Handy verloren hat noch die Handynummer (falls du 2Faktorauth nutzen willst) ändern zu lassen, so kann man sich jedweden Aufwand sparen.

Wenn man Gründe hat derart viel Aufwand in Sicherheit zu stecken bringt es nix, wenn der Emailprovider derartige Lücken ins Konzept reißt.
 
Zuletzt bearbeitet:
@Piktogramm:
Es geht wohl um generellen unbefugten Zugriff auf das Mail-Konto, nicht um email-Sicherheit. Dass emails generell im Klartext übertragen werden und im Klartext auf dem Server liegen ist eine Tatsache, die man akzeptieren muss und nur per PGP umgehen kann -was aber für viele Einsatzzwecke nicht oder nur bedingt möglich ist (Passwort-Resets).
Aber ja, das mindeste worauf man achten sollte ist starkes Passwort (Buchstaben, Zahlen, Sonderzeichen) und eine anständige Verbindungsverschlüsselung. Also HTTPS (Webmail) mit brauchbaren Verschlüsselungsalgorithmen. Zu diesem Zwecke empfiehlt sich zB der Chrome oder Firefox, die modernere Algorithmen unterstützen. Für den Zugriff auf dem Handy kannst nur hoffen, dass die Server entsprechende Algorithmen unterstützten und auch vom Client unterstützt werden.
Der Zugriff sollte niemals über fremde Rechner stattfinden (internet-terminals in Flughäfen und Hotels zB).
Piktogramm schrieb:
Zudem solltest du sicher stellen, dass die Emails zwischen den Mailservern nur verschlüsselt übertragen werden
Zum Vergrößern anklicken....
Was Du meinst ist Start-TLS -und das is leider ein Blender. Es ist praktisch nicht möglich Start-TLS zu forcieren ohne zu riskieren, dass emails nicht zugestellt werden. Start-TLS ist allerdings so oder so protokolltechnischer Schwachsinn. Für diesen Einsatzzweck wurde SMTPS entwickelt...
 
HighTech-Freak schrieb:
Dein Konto bekommst Du im Schlimmstfall über den Support wieder zurück.
Zum Vergrößern anklicken....

Piktogramm schrieb:
Wo es möglich ist Passwörter durch einen "simpel" Anruf zurücksetzen zu lassen und wenn man rumheult...
Zum Vergrößern anklicken....

Richtig. Wenn ich so durch die Konzepte von google oder Microsoft schaue, beschleicht mich das Gefühl, dass man irgendwie immer Zugriff auf das Konto bekommt, wenn man lange genug anruft. Konkrete Infos dazu findet man aber nicht. (Und aus Interesse den Ernstfall simulieren ist mir zu viel Aufwand^^)

Insgesamt sehe ich die Gefahr für mich weniger beim direkten Auslesen der Infos aus Mails. Vielmehr habe ich Angst, dass ich zusammen mit dem Mailkonto auch Zugriff auf andere wichtige Konten verliere, die mit der Emailadresse abgesichert sind. [€dit: Letztlich ist das natürlich das selbe Problem!]

Nicht zu verachten ist bei solchen ausgeklügelten Systemen auch die Gefahr, mich selbst aus dem System auszusperren, deswegen die Fragen in diese Richtung.

Danke für die Infos soweit, ich bin gespannt auf mehr!
 
Zuletzt bearbeitet:
Wenn es wirklich nur um sicheren Zugriff geht, so sollte man zum Beispiel bei FireFox RC4 als Verschlüsselungsalgorithmus deaktivieren.

Beim Handy ist es noch problematischer, Verbindungen per GSM, UMT und LTE lassen sich vergleichsweise simpel abhören. Entsprechend muss das Handy die Passwörter und Daten zwingens verschlüsselt übermitteln. Hier ist aber meist nicht dokumentiert welchen Algorithmen genau verwendet werden. Ne Verschlüsselte Verbindung mit als geknackt zählenden Verfahren ist schlicht nichts wert.
 
keyx schrieb:
Richtig. Wenn ich so durch die Konzepte von google oder Microsoft schaue, beschleicht mich das Gefühl, dass man irgendwie immer Zugriff auf das Konto bekommt,[...]
Zum Vergrößern anklicken....
Es gibt mehrere Sicherheitskonzepte/Verfahren/Systeme, die man vlt. kurz anschneiden sollte um das hier vernünftig abzuhandeln:
  1. Intrusion Prevention: Versuchen, das überhaupt niemand in das System eindringen kann, ist logischerweise immer das oberste Ziel.
  2. Intrusion Detection: Einen Einbruchsversuch feststellen -und das möglichst zeitnah.
  3. Damage Containment: Zu gut Deutsch: Schadensbegrenzung
  4. (Disaster) Recovery: Wiederherstellung des Normalzustandes
_____________________________________

  1. Kannst Du nur betreiben, in dem Du sicherstellst, dass Dein Passwort geheimgehalten bleibt. Die Sicherheit des Servers liegt beim Betreiber. => Sicheres Passwort nur über sichere Endgeräte nur übers sichere Verbindungen schützt. Passwörter nicht in Browsern speichern, vorallem nicht ohne Masterpasswort.
  2. Für Dich in den meisten Fällen nur schwer möglich, zumindest solange nichts gelöscht wird. google bietet über den Account Activity Report ein Tool an, dass die Orte auflistet, von denen Du Dich angemeldet hast. Steht irgendwas fern ab der Heimat heißts schnell handeln. => Regelmäßiges Prüfen auf Fremdzugriffe schützt.
  3. Angenommen, jemand bekommt Zugriff auf dein Konto: WAS kann der damit anrichten? Er kann zumindest mal alle emails löschen. Schlimmer wäre aber, alle emails zu analysieren, herauszufinden wo Du registriert bist und auch deine anderen Accounts zu übernehmen. => Offline-Speichern schützt hier. Damit kennt der Angreifer nicht alle deine anderen Accounts. Verlass Dich außerdem nicht auf das Passwort-Reset Tool diverser Websites, nutze einen Passwordsafe ala KeePass oder klassisches Papier. Damit bist DU im Schlimmstfall in der Lage auf den anderen Accounts die Mail-Addy zu ändern, auch dann wenn Du keinen Zugriff mehr auf den Mail-Account hast.
  4. Jemand hat in Deinen Account eingebrochen, ihn übernommen und alles was dort gespeichert ist. Wie easy kommst Du wieder zum vorigen Zustand zurück? Welche Folgen bleiben eventuell?
Ich kann Dir nur empfehlen davon auszugehen, dass #1 fehlschlägt. Es reicht sich einmal bei einer Feier bei einem Freund/Bekannten/Kollenge über dessen mit einem Trojaner verseuchten Laptop einzuloggen, um Dein Passwort zu kompromittieren. Wenn Du das Passwort noch wo anders verwendest umso schlimmer. D.h. Passwörter variieren, schon ein anderes Zeichen kann reichen. 2-Faktor Authentifizierung is eine super Sache, verwenden wenn möglich. Es stellt IMMER eine Verbesserung dar. #2 Steht Dir zu beschränkt zur Verfügung. Für Dich als google/hotmail-user quasi hinfällig, womit wir zu #3 kommen: Davon ausgehend, dass #1 fehlschlägt ist Schadensminimierung alles was Dir bleibt. Wie Du das handhabst musst Du entscheiden. Je nachdem wie gut Du dabei bist wird #4 einfacher oder schwerer...

IT-Sicherheit ist kein Konzept, dass bei deinen mail-accounts anfängt oder aufhört. Anfangen tut es bei der Hardware und den Betriebsystemen und deren Konfiguration. Arbeitet man zB aus Bequemlichkeit mit einem Admin-Account, hat's ein Schädling gleich viel leichter. Firewall und Antiviren-Programme komme irgendwo in der Mitte, aber am Ende steht meist der Anwender, der irgendein Passwort verwendet, das mit den billigsten Passwortlisten geknackt wird ala 123456 oder qwerty... Ebenfalls ein Trauerspiel sind mittlerweile dämliche Sicherheitsfragen bzw. deren Antworten. Diese sollte man möglichst nur und ausschließlich mit privaten Informationen beantworten können und nicht erraten werden können. Von Lieblingsfarben sollte man zB Abstand nehmen, die sind leicht zu erraten... zumindest sofern es nicht aquamarinblau oder sowas is.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz