ComputerBase Menü
Aktuelles

Gmail gehacked, was nun?

  • Ersteller Ersteller Basileus
  • Erstellt am Erstellt am
Google's zwei Wege Authentifizierung ist echt klasse. Bei Login an Gmail usw. muss ein Code einer Android App von Google eingegeben werden. Falls ein anderer Dienst ein Google Konto benötigt, der diese 2-wege Authentifizierung nicht unterstützt, wird ein anwendungsspezifisches Kennwort vergeben, welches dann nur einmal verwendet wird. Somit kennt die Anwendung dann nicht das Hauptpasswort.
 
@Basileus: Ich stand vor dem selben Problem wie du mit dem Passwortsafe und verschiedenen Rechnern. Auch den Passwortsafe auf einem USB-Stick zu speichern war nicht gut genug da ich den Stick nicht immer dabei hab.

Letztenendes bin ich dazu übergegangen meinen Passwortsafe in der Dropbox zu speichern. So komme ich von überall an den Safe, er ist überall gleich, man kann ihn wieder herstellen und sollte ihn jemand in die Finger bekommen, wird ihn mein ellenlanges, kryptisches Passwort daran hindern an meine Passwörter zu kommen. Fahre mit dieser Lösung seit einigen Monaten richtig gut und fühle mich insgesamt deutlich besser.

Solltest du diese Idee ausprobieren wollen, schreib mir doch bitte eine PM, dann würd ich dich zu dropbox einladen, hat Vorteile für dich und für mich ;)
 
Klueze, wie genau funktioniert dann der Zugriff darauf? Kann man den Dropbox Speicher als Share einbinden? Oder hat Keepass direkt eine Schnittstelle zu Dropbox?
 
Du lädst dir die portable Version von Keepass, meldest dich bei Dropbox an und speicherst die portable Version von KeePass in dem Dropbox ordner. Da dieser sich automatisch auf jeden Rechner synchronisiert wo Dropbox installiert ist, hast du z.B. direkt mal auf allen Privaten rechnern KeePass drauf.

Solltest du nun an einem Rechner sitzen wo Dropbox nicht installiert ist, kannst du dich einfach bei Dropbox einloggen, den Keepass ordner runterladen (ohne Dropbox zu installieren) und hast dann auch dein keepass da. Nach gebrauch dann einfach löschen und alles ist gut.

Wenn noch fragen sind, immer her damit.

PS: Danke für den Tipp mit der 2-Wege authentifizierung des Google Kontos, hab ich direkt eingerichtet ;)
 
Das tönt doch nicht schlecht, ich kannte Dropbox, ich kannte Keepass, aber nicht in Verbindung :D Werd ich wohl mal einrichten und dann kann ich 20 Zeichen lange generierte Passwörter verwenden :D

Gern geschehen, aber hast du die Option gleich selber gefunden? Ist ja bei uns in Europa offenbar nicht verfügbar, nur wenn man die Sprache der Kontenübersicht auf Englisch stellt...
 
Ich möchte mal ein paar Gedanken einwerfen.

1. Bei Safes gibt es ein Masterpasswort, das man sich merken muss und sehr stark sein muss. Warum nicht gleich dieses sehr starke Masterpasswort für alle Dienste/Fälle verwenden? Weil es vielleicht zu unsicher ist? :rolleyes:

Wenn man sich selber drei Sicherheitsstufen und 3 gute bis sehr starke Passwörter ausdenkt für Foren, Online-Shops/Steam und eines für Mail/Banking/Paypal/Ebay, dann passen die wirklich auf ein Stück Papier und nach einer Zeit hat man die auch im Kopf oder in der Brieftasche, neben der Kreditkarte.

gut: exmuk3
sehr stark: 1Oo$+0,1$=1Oo,2$ 0der? (naja, leicht übertrieben)


2. Ändern, warum? Vielleicht jedes Jahr zu Weihnachten.

Dieses Gegengel in Firmen entsteht nur, weil Mitarbeiter zum Beispiel "Hans12" wählen. Auch das wäre kein Problem, wenn der PDC nur ein Hashwert aus Benutzerpasswort+Zusatz akzeptieren würde, z.B. "Hans12$%=MG8.". Ein Sicherheitssystem würde dann den Zusatz ändern, nicht der Benutzer.
 
quityper: Ich erkläre dir gerne wo das Problem liegt: Sagen wir mal, du hast 3 Passwörter, alle 3 sind 10000 Zeichen lang und stark cryptisch (nur angenommen) also super sicher.

Jetzt gehst du auf Seite1, der Admin ist lieb und verschlüsselt alle Passwörter. Du logst dich ein, jemand stielt die Daten und da sie verschlüsselt sind kommt er nicht an dein Passwort. Alles gut.

Jetzt gehst du auf Seite2, der Admin ist böse und verschlüsselt alle Passwörter nicht, sondern legt sie im Klartext in einer Datenbank ab. Stielt jemand nun diese Datenbank, hat er dein Passwort + deinen Nutzernamen und kann damit nun lustig rumprobieren, wo du überall angemeldet bist. Da du nur 3 Passwörter hast, wird er irgendwann auf eine Website stoßen wo er sich einloggen kann.

Jetzt gehst du auf Seite3, dieser Admin ist extra böse und verschlüsselt Passwörter nicht nur, sondern nutzt selbst die Datenbank und geht dann wie der Admin von Seite2 vor.

Egal wie sicher dein Passwort ist, irgendwann wiederholt es sich und dieser jemand bekommt Zugriff auf deine anderen Konten. Mit Keepass passiert das nicht, er hat dann zwar deinen Usernamen, aber da du bei JEDER Seite eine andere Kombination aus sicherem Passwort und Usernamen hast (dieser kann sogar gleich sein) hilft es ihm garnichts und er kann nur auf der Seite, von wo er das Passwort hat, Schabernack treiben. Und bei deinem Beispiel ist es sogar noch schlimmer. Stiehlt jemand die ebay Datenbank, hat er damit Zugriff auf alle wichtigen Konten von dir: Mail/PayPal/OnlineBanking/Ebay, das kann nicht sein was du willst.

@Basileus: Sofort gefunden hatte ichs nicht, weils eben nur auf der englischen Seite sichtbar ist, aber mit ein wenig googlehilfe hat es dann sofort funktioniert =) Und ich fühle mich jetzt eine ganze Ecke sicherer.

Wenn du noch ein Dropbox konto brauchst schreib mir bitte ne PM; dann bekommen wir beide mehr speicher ;)
 
Zuletzt bearbeitet:
Klueze, woher will ein PW-Dieb meine anderen Benutzernamen kennen?
Ich habe überall andere Benutzernamen, sozusagen ein 2tes "PW".

Nachtrag:
Ist ja auch egal, ist nur eine Überlegung gewesen ;). Mail- und Banking-PW sollte trotzdem getrennt sein, dann wären wir bei 4 oder 5 PWs und die haben auch Platz auf einem Zettel in der Brieftasche.
 
Zuletzt bearbeitet:
Klueze, woher will ein PW-Dieb meine anderen Benutzernamen kennen?
Ich habe überall andere Benutzernamen, sozusagen ein 2tes "PW".
Zum Vergrößern anklicken....
Der Benutzername ist bei vielen Diensten eine Email Adresse. Es lässt sich bei vielen Diensten auch das Passwort wiederherstellen und dir wird der Benutzername mit dem neuen Passwort mitgeteilt. Da du schon eine Mail Adresse zur Wiederherstellung hast, ist dieses oft leicht möglich ;)

Es gibt eigentlich vier Nutzertypen im Umgang mit Passwörtern:

Erster Nutzertyp; Susisorglos:

Hat ein Passwort das sehr kurz ist und es besteht Wörtern aus dem Lexikon, mit ev. einer Zahlenkombination, z.B. Maxl78 und ist bei jedem Dienst gleich. Ich denke, das dies bei weit über 50% der Nutzer so ist.

Zweiter Nutzertyp; Informierter Nutzer:

Hat ein Passwort mittlerer Länge, das aus komplexen Wörtern, Zahlen und ev. Sonderzeichen besteht, dieses Passwort ist aber bei fast allen angemeldeten Diensten gleich.

Dritter Nutzertyp; Neunmalklug Nutzer

Nutzt ein zwanzig stellig, oder längeres Passwort, das sehr komplex ist. Dieses ist aber bei fast allen Diensten gleich, wieso auch überall ein anderes verwenden, denn das Passwort ist ja sicher. :rolleyes:

Vierter Nutzertyp; Nerd:

Verwendet ein Passwort, das mindestens 8 Stellig und komplex ist (z.B.: eT?}22Qn) und hat überall ein anderes Passwort. Dieser Nutzertyp dürfte sich im niedrigen einstelligen Prozent Bereich bewegen.

Wie man sich ein sicheres Passwort, das auch noch überall ein anderes ist und man sich gut merken kann, steht hier:

sicheres Passwort...
 
Zuletzt bearbeitet:
Boogeyman schrieb:
Der Benutzername ist bei vielen Diensten eine Email Adresse. Es lässt sich bei vielen Diensten auch das Passwort wiederherstellen und dir wird der Benutzername mit dem neuen Passwort mitgeteilt. Da du schon eine Mail Adresse zur Wiederherstellung hast, ist dieses oft leicht möglich ;)
Zum Vergrößern anklicken....

Wo sind denn hier bitte die Zusammenhänge zwischen gestohlenem PW und PW reset bei einem anderen Dienst?

Boogeyman schrieb:
Dritter Nutzertyp; Neunmalklug Nutzer

Nutzt ein zwanzig stellig, oder längeres Passwort, das sehr komplex ist. Dieses ist aber bei fast allen Diensten gleich, wieso auch überall ein anderes verwenden, denn das Passwort ist ja sicher. :rolleyes:
Zum Vergrößern anklicken....

Oh Man :D, wenn ich das Masterpasswort eines Safes habe, habe ich zig PWs inklusive Benutzernamen und Notizen wo diese gültig sind. :rolleyes: Auch ein Safe ist nicht 100% sicher. Wenn er geöffnet ist, und du darauf zugreifen kannst, kann es auch eine Schadsoftware.

Ich sagte doch, es ist ein Gedankenspiel, ich habe natürlich auch überall verschiedene PWs. So einfach anhand eines PWs einen Dienst zu finden und den Benutzernamen dazu ist gar nicht so einfach.
Wenn du genau überlegst, dann ist dir bestimmt schon mal passiert, dass du die offensichtlich richtige Kombination aus deiner eigenen Liste nicht mehr zusammen bekommen hast, obwohl alles schön aufgelistet war.
 
quityper schrieb:
Wo sind denn hier bitte die Zusammenhänge zwischen gestohlenem PW und PW reset bei einem anderen Dienst?
Zum Vergrößern anklicken....
Ok, noch mal zum besseren Verständnis.

Ein Dienst beim dem du angemeldet bist, wird gehackt. Jetzt hat man dein Passwort für den Dienst und auch deine Email Adresse, mit der du dich Registriert hast.

Wir gehen jetzt davon aus, das du fast überall dieses Passwort verwendest. Wie du ja schon selber gemerkt hast, hilft einem nur das Passwort recht wenig, wenn man sich bei einem anderen Dienst anmelden möchte, da man den Benutzernamen nicht kennt.

Viele Dienste bieten einen Passwort Reset Service an, bei dem du nur deine Mailadresse angeben musst und an diese wird dein neues Passwort geschickt.

Da du ja überall das gleiche Passwort verwendest (auch beim Mail Anbieter), kann man sich beim Mail Provider einloggen und hat jetzt auch das Neue Passwort mit Benutzernamen, der oft noch in der Mail genannt wird. Sonst ist der Zugriff auf ein Email Postfach eigentlich Worst Case, ev. liegen da noch Registrierungs Mails mit dem Benutzernamen rum. :stacheln:
Klingelt es jetzt?

quityper schrieb:
Oh Man :D, wenn ich das Masterpasswort eines Safes habe, habe ich zig PWs inklusive Benutzernamen und Notizen wo diese gültig sind. :rolleyes: Auch ein Safe ist nicht 100% sicher. Wenn er geöffnet ist, und du darauf zugreifen kannst, kann es auch eine Schadsoftware.
Zum Vergrößern anklicken....
Das Masterpasswort ist aber nirgendwo Online, bzw. sonst wo hinterlegt, das ist ein gravierender Unterschied.
Auch ist Malware auf dem Rechner ein ganz anderes Thema und hat mit der besprochenen Thematik recht wenig zu tun.
 
Wenn du mehrere verschiedene Mail Provider verwendest, minimiert sich die Wahrscheinlichkeit nur etwas, du wirst aber nie so viele Mail Provider haben, wie du Accounts bei verschiedenen Diensten hast. Das ist in der Praxis einfach nicht praktikabel, wer möchte hundert Mail Accounts verwalten. :lol:

Auch habe ich niemals erwähnt, das man zur Verwahrung seiner Passwörter eine Datenbank (z.B. KeePass Password Safe) nutzen muss. Es ist auch möglich, überall andere Passwörter zu haben, die man sich sogar alle merken kann. (siehe Link sicheres Passwort)
Wer dann auf Nummer "sicher" gehen will, kann seine Passwörter auf Papier verewigen.

Ganz abgesehen davon, geht es hier nicht darum, das Masterpasswörter (Passwortsafe) von Trojanern ausgespäht werden können. Tatsache ist einfach, das du selbst mit einen zu 100% Trojaner sicheren System (was es nicht geben kann) und nur einem Passwort nicht gerade sicher unterwegs bist.

Sonst müssen Dienste wie das z.B. bei Playstation Network erst gar nicht gehackt werden, wer z.B. seine Login Daten unverschlüsselt überträgt (keine https), kann die Benutzer Passwort Kombination von "jedem" mitgelesen werden, was z.B. in öffentlichen Wlan Netzen (Internet Cafe, Hotel usw.) sehr leicht möglich ist.

heise.de: Passwörter

Firefox-Erweiterung klaut Sitzungen bei Facebook, Twitter und Co.
 
Zuletzt bearbeitet:
Nicht falsch verstehen, ich habe auch immer verschiedene PWs, war ja nur ein Gedankenspiel.

Zu
1. Es gibt Aliase, 10 bei T-Online Free. So hat man auch Spammail auch besser im Griff. Bei T-Online kann man sich zum Beispiel nicht mit einem Alias anmelden.
2. genau, ich bin auch nicht gerade für Safes und schon gar nicht im Internet gespeichert. :D Auch nicht wenn supersicher (http://keepass.info/features.html#lnksec).
3. Ich rede aber von mindestens 3 Sicherheitsstufen (3 PWs). Für Mail wäre eine eigene 4. auch nützlich.

"...Die nächste Stufe ist ein externer Passwort-Safe wie Keepass . Damit hat man die schutzbedürftigen Geheimnisse schon mal aus der Risikozone Browser entfernt. Allerdings bleibt der Safe ein sehr lohnenswertes und prinzipbedingt anfälliges Ziel. Denn irgendwann müssen Sie ja mal das Master-Passwort eintippen – und dann kann ein eventuell mitlauschendes Spionageprogramm im Hintergrund abräumen.

Wer es also Ernst meint mit der Sicherheit, geht noch einen Schritt weiter und speichert die Passwörter nicht auf dem anfälligen PC sondern merkt sie sich mit einem Trick: Man merkt sich eine möglichst lange, komplexe Zeichenkette und kombiniert die mit einer im Zweifelsfall leicht zu erratenden für jede einzelne Site. Da kommt dann etwa heis%fgHao6CE4 heraus. %fgHao6CE4 brennt sich im Gedächtnis ein, wenn man es ein paar Dutzend Mal eingetippt hat und etwas wie "heis" für den heise-Account kann man sich grade noch merken. Zu knacken ist diese Art von Passwort jedoch kaum. "

Den Trick verwende ich seit Jahren, ohne den Text vorher gelesen zu haben.:D
 
quityper schrieb:
Den Trick verwende ich seit Jahren, ohne den Text vorher gelesen zu haben.:D
Zum Vergrößern anklicken....
Das ist ja genau das, was ich dir die ganze Zeit vermitteln wollte. (siehe Link sicheres Passwort) :D Wenn du es so machst, ist das schon mal sehr gut und viel besser, als seine Passwort Safes im Internet zu verwalten. :freaky:
 
Und mir ging es darum, nur für wichtige Konten verschiedene PWs zu haben und nicht für jeden Mist ein eigenes PW. Mein Gedankenspiel wurde aber leider Missverstanden.
 
Interessanter Thread, ich nutze jetzt mal eure Argumente um eure eigene Sicherheit zu demontieren ;)

Mein Passwortsafe verschlüsselt die im Arbeitsspeicher abgelegten Daten und somit kann ein Spionageprogramm auf diese nicht ohne weiteres zugreifen.

Ihr sagt, jemand mit einem Programm das mein Passwort ausspäht ist eine Gefahr. Wirklich? Ja! Für eure Lösung aber auch. Mit dem selben Programm könnte er ein Passwort von euch auslesen (oder 2) und kommt dann ruck zuck auf die Weise, wie ihr euer Passwort generiert, da ihr ja eine einfache Variation nutzt und hat dann auch wieder Zugriff auf alle eure Konten.

Bei mir ist es z.B. so, dass ich den Passwortsafe für extrem wichtige Konten wie online Banking nicht nutze, sondern das passwort von da im Kopf hab um den Super-Gau zu verhindern, und nichteinmal dieses einzigartige, niergends notierte Passwort ist vor einem Keylogger nicht geschützt.
 
Ändere erstmal die Sicherheitsfrage (das größte Einfallstor für Social Hacking...).
 
Hallo @Klueze
--Bei mir ist es z.B. so, dass ich den Passwortsafe für extrem wichtige Konten wie online Banking nicht nutze, sondern das passwort von da im Kopf hab um den Super-Gau zu verhindern, und nichteinmal dieses einzigartige, niergends notierte Passwort ist vor einem Keylogger nicht geschützt. --
Da haben wir was gemeinsam und bin ganz deiner Meinung.
mfg
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
Email Kontoklau gehacked
Antworten
12
Aufrufe
2.555
.one
.one
A
Router gehacked?
Antworten
17
Aufrufe
2.092
X-Worf
X-Worf
Gladiator6
Gmail Passwort gehackt
Antworten
18
Aufrufe
9.402
Punctum Maximum
P
Bloodwalker
[Diskussion]Seriöser Email anbieter? Wechsel von GMail nötig?
2
Antworten
28
Aufrufe
8.734
paxtn
paxtn
petepow
Gmail Account Aliase / Gmail Account gehackt?
Antworten
15
Aufrufe
1.928
petepow
petepow
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz