Sicherheitskonzept für zuhause und unterwegs (auf Reisen)

[DavidTed]

​Bitte um Korrektur und Tipps, falls ich was übersehen habe

insbesondere unter dem Gesichtspunkt, dass ich in 10 Tage für insgesamt 3 Wochen verreise und mein Handy mitnehmen werde (!).
​

Fangen wir mal mit dem wichtigsten an und arbeiten uns weiter vorran - der Einstellung des passwordmanagers (Dashlane). Dem sind die ersten drei Punkte gewidmet. Schließlich Sicherheit mobil auf dem Telefon und Sicherheit beim Surfen (u.a. Mailware, Keylogger, WLAN-Zugriff usw.)



A) DASHLANE



Master-PW:

nur mal beispielhaft: ich hatte vormals ein 13-stelliges PW das aus einem Begriff besteht (falsch geschrieben...), dahinter 2 Zahlen und 3 Sonderzeichen. Also in etwa so: Elefannt17++# Da ich dieses PW zuvor schon u.a. für meinen E-Mail Account benutzt hatte, habe ich das PW sicherheitshalber geändert, und schau in etwa so aus: BEBEwemabe++#5
Mir ist bewusst, dass das Master-PW ein Kompromiss zwischen Sicherheit und Komfort ist. Ich muss schließlich ein PW wählen, dass ich mir gut merken kann.

2-Faktor Authentifzierung:

- hier nutze ich das Handy (sprich beim Einloggen in Dash wird ein einmaliger Sicherheitscode über die Google Auth. App generiert), eingestellt ist die 2FA für neue Geräte
- als Backup Möglichkeit habe ich die Handynummer meiner Mutter eingegeben und ein Code-File generiert, dass ich auf dem externen FP-Speicher abgelebt habe

Passwörter:

- leider funktioniert der "password-changer" nicht, das future womit der Anbieter gegenüber Mitbewerbern punktet...., weil in meiner PW-liste Anmeldedaten von Seiten sind, die nicht unterstützt werden.
- mein PW für mein E-Mail Postfach habe ich generiert und kann es mir somit nicht merken, vielleicht sollte ich dieses umändern in eins, dass ich mir merken kann, weil der Zugriff über meinen E-Mail-Account eine Schwachstelle ist
- über Google PW-Wiederherstellung ist eine zweifelhafte E-Mail aufgeführt, die ich irgendwann erstellt aber kaum benutzt habe < wäre ganz gut, wenn ich nur meine Handy-nr wählen könnte?



B) Sicherheit mobil + Internet




Telefonsperre (= Moto G4 Plus):

- SIM-Sperre
- Statt Muster (Displaysperre) nutze ich nun ein 13 stelliges Passwort
- Smart Lock ist aktiviert, jedoch nur Angabe des Ortes (zuhause) und ein Gerät (BT-Kopfhörer), Stimmen-, Träger-, und Gesichtserkennung nutze ich nicht.
- Fingerabdrucksensor ist aktiviert (nutze ich für Dashlane Login)
- Display-Sperreneinstellung: 2 Min nach Aktivierung des Ruhezustands, Fingerabdrucksensor kann Display an-und ausschalten, Sperrbildschirmnachricht keine.
- Passwörter sichtbar aktiviert
- Verschlüsselung (Telefon verschlüsseln) keine.

Netzwerk-Sicherheit:

besitze eine Fritz.Box und zwei Rechner (und 2 Handys) zuhause:

A Router- WLAN PW ändern
- Netzwerk für neue Geräte schließen (sprich keine neuen Geräte akzeptieren)
- PW zum Login fürs FB Interface ändern (kann ich ja Dash machen lassen)

B Internet, PC
- Windows Defender "nachschalten"
- Programm gegen Keylogger?
- Programm gegen Mailware?

C Handy, Urlaub
- Umgang mit dem Hotel-WLAN?
- Sicherheit der neuen SIM-Karte vorort?
- Worstcase Szenario Diebstahl: Kann der Angreifer die 2FA umgehen bzw. auf sensible Daten zugreifen?


6. Zahlungsinstrument und anderes:

- Bargeld oder Kreditkarte?
- Diebstahlschutz-Versicherung abschließen?
- IMEI Nr. aufschreiben?
- ....

 

[robertsonson]

interessante vorgehensweise mit dem passwort, nur solltest du diese nicht unbedingt rausposaunen, denn praktisch jeder der dich kennt, kann problemlos rausfinden wie deine familienmitglieder heissen und damit ist dein passwort bis auf die paar sonderzeichen offengelegt. du solltest das also nochmal überdenken

master-pws dürfen gern noch ein paar stellen länger sein, und nach ein paarmal eintippen auch problemlos zu merken sein.

 

[j3tho]

Dein Sicherheitskonzept hat eine erhebliche Schwachstelle:
Du hast gerade den Algorithmus offen gelegt, mit dem du dein Masterpasswort auswählst.

 

[charly_]

Ich merke mir meine Passwörter so:

Sprichwort oder Zitat.

„Der Bart als Geschlechtszeichen mitten im Gesicht ist obszön. Daher gefällt er den Weibern.“ ―Arthur Schopenhauer

=DBaGmiGioDgedW

+ 1337 speak

=DB4Gm1G10Dg3dW

 

[Nitschi66]

@Metalfreaky
+1

@TCrazyJam:
Machst du dir nicht einen ganz schönen Aufriss für 3 Wochen Urlaub?^^ Es ist Israel... nicht der Dschungel im Kongo.

 

[DavidTed]

Gut, das geht auf meine Kappe (werde ich genau überdenken und wie robertsonson schreibt weiter verkomplizieren). Falls euch zu dem Punkt MPW nichts mehr einfällt, würde ich vorschlagen wir arbeiten uns weiter durch die Liste ;-)... Denn was nützt ein starkes MPW, wenn das System oder die Modifikation fehlerhaft ist, beispielsweise das Zurücksetzen des Mail-Zugangs und somit indirekten Zugriff zu meinem passwordmanager, daneben hatte ich ein ziemliches Unbehagen bei der 2FA, da ein Dieb somit indirekt unmittelbar Zugriff hat - hier müssen wir die Worstcaszenarien einmal durchspielen, z.B. wenn der Dieb die Telefonsperre irgendwie umgeht. Leider ist das Problem sehr abstrakt und fast alle Faktoren hängen miteinander zusammen, weshalb wir m.E. die schwächsten Glieder in der Kette anschauen müssen. dazu gehört schließlich auch der WLAN-Zugriff im Hotel, die fehlende Kontrollmöglichkeit im Ausland (Backup zur Deaktivierung der 2FA inländische Handy-Nr. von meiner Mutter, und passwordfile werde ich nicht mitnehmen). Schwierig wird das Ganze, wenn man bedenkt, dass mein früher MPW bereits unsicher war, weil ich es mal für meinen Mail-Account verwendet habe -und wir somit davon ausgehen sollte, dass das Systems bereits geknackt wurde o.ä.! Ich hatte 2015 einen Trojaner und/oder Keylogger im System, der Angreifer hat in der Folge Zugriff auf Amazon und eBay gehabt.

Sorry für die ausschweifende Erklärung, aber so wird offensichtlich, weshalb ich so gründlich vorgehen will.

Ergänzung (23. Oktober 2017)

@Metalfreaky
+1

@TCrazyJam:
Machst du dir nicht einen ganz schönen Aufriss für 3 Wochen Urlaub?^^ Es ist Israel... nicht der Dschungel im Kongo.

In Anbetracht der Tatsache, dass ich in der Vergangenheit viel falsch gemacht habe und bis auf wenige Dinge kaum Wert auf Sicherheit legte (i.d. Folge dann der Hackerangriff), isses kein "ganz schöner Aufriss". Klar, Konto usw. wäre nochmal komplett ein anderes Sicherheitsrisiko, aber bedenke, dass ich im Prinzip alle Zahlungen per Handy abwickle. So z. B. Kreditkarte, PayPal, Onlinebanking. Mal vom Zugriff auf Amazon und eBay abgesehen. Und bis vor einigen Tagen hatte ich nicht mal ne richtige Tel-Sperre (sprich nur Wischen/ Muster), ein altes Windows aufm PC, ein schlecht konfigurierter pw-manager bzw. bis vor zwei Monaten gar keinen, usw.

 

[chip273]

"- Verschlüsselung (Telefon verschlüsseln) keine."
Damit sind alle Passwörter die du setzt sinnlos. Jeder Angreifer kann das OS umgehen und deine privaten Daten direkt aus dem Speicher auslesen.

"2-Faktor Authentifzierung: [...] die Google Auth. App [...]"
Das deutet auf TOTP hin, was im prinzip nur einem unsicheren 2. Passwort gleichkommt.
Damit TOTP funktioniert muss der Seed für die Generierten Codes in klartext am Server liegen, sollte die DB also gelakt werden (siehe Yahoo) dann hilft dir dein Google-Auth TOTP nicht weiter.
TOTP = Time based One Time Password

"ein Gerät (BT-Kopfhörer)"
Dies deutet darauf hin das du Bluetooth benutzt. Bluetooth ist aktuell kritisch unsicher.
Siehe "BlueBorne"

"Router- WLAN PW"
Dies deutet darauf hin das du WLan/WiFi benutzt. Dies ist aktuell kritisch unsicher.
Siehe "Krack" (Key Reinstallation Attack)

Nachtrag:
Laut wikipedia "List_of_password_managers" ist "Dashlane" Proprietary software. Das allein sollte reichen einen Passwort Manager auszusortieren. Auch würde ich keinem Pass Manager vertrauen der Cloud-Based ist.

 

[cartridge_case]

wie schützt du eigentlich die wohnung?

 

[U-L-T-R-A]

Ganz schön viel Aufwand mMn.

Ich würd auf der Fritzbox n VPN aufmachen mit dem Du Dich dann vom Urlaub aus verbindest übers WLAN.
Ansonsten einfach Handy immer am Mann, dann kann auch schlecht einer was installieren oder Daten abziehen.

 

[DavidTed]

"- Verschlüsselung (Telefon verschlüsseln) keine."
Damit sind alle Passwörter die du setzt sinnlos. Jeder Angreifer kann das OS umgehen und deine privaten Daten direkt aus dem Speicher auslesen.
Verschlüsselt.

"2-Faktor Authentifzierung: [...] die Google Auth. App [...]"
Das deutet auf TOTP hin, was im prinzip nur einem unsicheren 2. Passwort gleichkommt.
Damit TOTP funktioniert muss der Seed für die Generierten Codes in klartext am Server liegen, sollte die DB also gelakt werden (siehe Yahoo) dann hilft dir dein Google-Auth TOTP nicht weiter.
TOTP = Time based One Time Password
Die Alternative wäre eine zusätzliche Investition. Weißt du, ob das zweite zum "Klartext-Code" bei Dashlane zutrifft?

"ein Gerät (BT-Kopfhörer)"
Dies deutet darauf hin das du Bluetooth benutzt. Bluetooth ist aktuell kritisch unsicher.
Siehe "BlueBorne"
Ja, jedoch ist Bluetooth ist deaktiviert.

"Router- WLAN PW"
Dies deutet darauf hin das du WLan/WiFi benutzt. Dies ist aktuell kritisch unsicher.
Siehe "Krack" (Key Reinstallation Attack)
Zuhause weniger als im Hotel in Israel. Die Alternative zum WLAN wäre eine Daten-SIM-Card. Kann man sich nicht irgendwie absichern, wenn man Zugriff auf ein öffentliches WLAN (hier im Hotel) hat?

Nachtrag:
Laut wikipedia "List_of_password_managers" ist "Dashlane" Proprietary software. Das allein sollte reichen einen Passwort Manager auszusortieren. Auch würde ich keinem Pass Manager vertrauen der Cloud-Based ist.
Wieso denn das? Bitte erläutern, wenn es geht.

Danke

Ergänzung (24. Oktober 2017)

Ich würd auf der Fritzbox n VPN aufmachen mit dem Du Dich dann vom Urlaub aus verbindest übers WLAN.

Was bringt das in Bezug auf Sicherheit?

 

[Snowiron]

VPN der FritzBox sorgt dafür, dass in einem WLAN im Ausland der Datenverkehr nicht abgehört werden kann.

Ansnsten hier noch was: https://www.computerbase.de/forum/t...richten-und-wichtige-verhaltensregeln.212393/

Und beim Smartphone hast Du ja schon ein Kennwort. Nun fehlt noch die Verschlüsselung. Zusätzlich dann noch auf dem Handy ein Werbeblocker installieren für das Surfen und man hat schon einen guten Grad an Sicherheit.

 

[Faultier]

VPN an sich schützt aber nicht vor Rückschlüsse über deine Anschluss IP und ist auch nicht unbedingt zwingend encrypt was den Traffic der durch geht anbelangt.

Dafür müssen andere Techniken her wie Bar bezahlter RAM Server / Life BS VPN beim Anbieter um Log Frei zu agieren

 

[DavidTed]

Grüßt Euch,

morgen geht es nach Israel und ich habe den Verdacht, dass mich jemand gehackt hat über den Chrome-Browser, kann es aber nicht begründen. Was ich sehe ist allerdings, dass der Auto-Login meines PW-Managers Dashlane vor einiger Zeit problemlos auf einigen Seiten wie Amazon und live.com funktionierte, und nachdem ich das Programm erneut installierte, nicht mehr geht. Was aber heftiger ist, ist die Tatsache, dass häufig einige Schaltflächen auf websites über Chrome bei einem Mausklick nicht reagierten (Sicherheitslücke?), über Edge IE jedoch schon (am Laptop). Gestern hatte ich überhaupt keinen Internetzugriff über Chrome, über IE jedoch schon.

Außerdem habe ich über mein Handy, wo auch Dashlane für Android installiert ist, gesehen, dass Chrome das Auto-Fill für Formulare nicht deaktiviert, obwohl eingestellt ist, dass Dashlane diese Funktion übernimmt - und ohne mein Zutun waren auch viele PW beim Login sichtbar. Ich hab nun sehr schnell reagiert und Chrome auf dem handy rausgeschmissen und nutze nur noch den Dashlane Browser. Dann habe ich mein Masterpasswort geändert, und auch die wichtigsten Seiten wie Paypal, Amazon, eBay usw. Zudem habe ich bei meinem Hauptmailkonto Googlemail die Alternativemailadresse geändert, die war leicht zu knacken (!) (zum zurücksetzen des PW für den GMAIL-Account), habe dann die 2 Faktor Aufthentifzierung so eingestellt, dass sie bei jedem (!) Login greift, Smartlock auf dem Handy ausgeschaltet, WLAN PW geändert, und auch die Displaysperre von einem längeren 13stelligen PW auf eine normale PIN, hier allerdings aus Komfortgründen. Telefon war schon vorher verschlüsselt, Bluetooth aus.

Ich mache mir extrem Sorgen, weil mein Handy "überladen" mit relevanten Infos ist wie z.B. die App für meine Kreditkarte, Onlinebanking, Amazon & eBay, PayPal, E-Mail Account - um nur die wichtigsten zu nennen. Und na klar auch die PW-Datenbank + Authentifizierungsapp, sodass ich mir erst gar keine Gedanken mehr um meine Rechner mache, sondern um das Telefon. Ihr versteht? Und alles, was dazwischen steht bei einem Diebstahl ist das bißchen Sicherheit für die PIN / Displaysperre und das Master-Passwort, dass ein guter Hacker irgendwie umgehen oder knacken kann, so meine Befürchtung. Login wurde per Fingerabdruck aktiviert.

Die Änderungen traten erst nach deinstallieren des anfälligen Chromebrowsers auf meinem Handy in Kraft.
Seid doch so lieb und geht das noch einmal mit mir durch - ich hab getan , was ich konnte - und der Dashlane Support (Chat) ist nicht anwesend. Bitte geht vom schlimmsten aus. Wie ich bereits gesagt habe, wurde ich vor 2 jahren bereits gehackt und ebay/amazon Daten wurden gestohlen. Außerdem war ich so doof bis vor einigen Monaten sehr häufig Warez-Datein runterzuladen und auf fraglichen Portalen unterwegs gewesen zu sein.

Und, hat vielleicht nichts zu bedeuten, aber über die Sicherheitseinstellungen von Google sehe ich ein unbekanntes Gerät (Samsung Note).

​Danke.

 

[M@rsupil@mi]

Wenn man vom schlimmsten ausgehen soll, dann müsste man schlicht alle entsprechenden Geräte neu aufsetzen und überall neue Passwörter vergeben.

Generell würde ich ein Konzept der Art "weniger ist mehr" verwenden. Du hast dir sicherlich so einige Gedanken gemacht und da ein extrem komplexes System aufgebaut, aber am Ende steht & fällt alles mit dem schwächsten Glied in der Sicherungskette. Auf der einen Seite 2-Faktor-Anmeldung und Verschlüsselung aber dann Auto-Login, Fingerabdruck und Besuch von Warez-Seiten...