Wie sicher sind Passwörter in Hotel-WLANs von autoritären Staaten?

[linuxnutzer]

Wie sicher sind Passwörter in Hotel-WLANs von autoritären Staaten?

Ich frage mich, ob autoritäre Staaten die Passwörter von ihren Touristen abfragen (können).

Vermutlich dürfte es egal sein, ob man das Hotel-WLAN verwendet oder nationale SIM mit mobilen Daten.

Gibt es eine Chance die Email-PW oder einen Hash davon auszulesen, wenn sich eine Handy via Gast-WLAN verbindet? Konkrete Apps wären Fair-Email, K-9 oder Thunderbird

Wie sieht es bei Messengern aus, die Passwörter verwenden? zB Conversations oder Jami?

Macht es Sinn die PW nach dem AUfenthalt zu ändern?

 

[kieleich]

wenn du mails im klartext überträgst hast du auch hierzulande schon verloren, jeder der ein wlan betreibt kann mitlesen

solange du überall, ssl https usw aktiv hast, passiert da nicht viel. im zweifel halt noch ein eigenes vpn, wireguard, odgl dazwischen setzen (ohne zusätzliche ssl verschlüsselung, kann dann aber der vpn betreiber mitlesen)

 

[Bruzla]

Naja, erstmal sind die Verbindungen ja Ende-zu-Ende verschlüsselt, da sollte ja schon kein Passwort im Klartext übertragen werden.

Außerdem: 2-Faktor-Authentifizierung

 

[kachiri]

Gibt es eine Chance die Email-PW oder einen Hash davon auszulesen

Hast du Sorge das dein Passwort abgegriffen wird oder Sorge, dass deine E-Mail mitgelesen wird? E-Mails sind Postkarten und jeder Server, über den die E-Mail geht, kann mitlesen. Bei Passwörtern ist es halt... Nun ja. Viel Spekulatius.
Das man in Gast-Netzwerken grundsätzlich etwas vorsichtiger sein soll, gilt nicht nur für autoritäre Staaten.

 

[Madcat69]

Deswegen verwendet man idealerweise ein VPN. Schwierig wird es, wenn die in den Ländern verboten und/oder geblockt sind, dann sollte man IMHO aber überlegen ob man da wirklich hin möchte.
Mein iPhone verbindet sich bei verlassen des heimischen WLAN grundsätzlich über VPN mit meinem Server zu Hause. Da geht nichts grundsätzlich nichts unverschlüsselt über das Mobilfunknetz oder andere WLAN.

 

[dermoritz]

wichtig ist nur dinge zu benutzen die E2E verschlüsselt sind - das ist ein wichtiger Grund warum Browser und auch Services mehr oder weniger https only sind - früher konnte jeder dazwischen alles auslesen.

Messenger: nimm nur welche die E2E verschlüsselt sind.

Ein VPN kann bei nicht verschlüsselten Endpunkten (gibt es kaum noch) helfen.

Sobald man E2E Verschlüsselung hat kommt man nur noch an die Daten wenn man dein Handy unter Kontrolle bringt (Software darauf installiert).

Indizien die du kennen solltest: bestimmte Messanger und vor allem Seiten (insbesondere zum Info Austausch) sind in solchen Daten verboten

Die europäischen Polizeibehörden heulen seit Jahren rum weil sie nicht mitlesen können.

 

[BFF]

Macht es Sinn die PW nach dem AUfenthalt zu ändern?

Es macht mehr sinn sich mit VPN zu beschäftigen.

Z.B. so

Mein iPhone verbindet sich bei verlassen des heimischen WLAN grundsätzlich über VPN mit meinem Server zu Hause.

Exakt das mache ich auch.

 

[kachiri]

Na ja... Ich muss ja auch erstmal zum Server des VPN-Anbieters kommen

 

[Madcat69]

Ist halt die Frage wie die blockieren, portbasiert oder mit deep packet inspection. Rein portbasiert kann man gerade wenn man den VPN selbst betreibt sehr gut lösen. Bei DPI wird es schwierig…

 

[sedot]

Wie sicher sind Passwörter (…)?

Wenn ein autoritärer Staat bzw. dessen Angestellten deine Daten will wirst du wenig Chancen haben. Ist völlig egal was du dir ausdenkst. Im Zweifel stehst du bei Ein oder Ausreise ohne Gerät(e) da.

 

[Aduasen]

Wie wäre es denn, wenn man grundsätzlich in einem Hotel ein anderes Kennwort verwendet als Zuhause?

 

[linuxnutzer]

Hast du Sorge das dein Passwort abgegriffen wird oder Sorge, dass deine E-Mail mitgelesen wird?

Das ist genau meine Frage. Die können gerne den Inhalt von Emails, Chats, etc mitlesen, solange ich im Land bin. Aber das soll nicht mehr sein, wenn ich wieder zu Hause bin.

Es geht also um das Auslesen des PW und nicht des Inhalts.

VPN ist auch so eine Sache, habe ich wieder aufgehört. Schon einen vertrauenswürdigen zu finden ist sehr schwierig. Also VPN soll nicht Schwerpunkt der Diskussion sein.

Sobald man E2E Verschlüsselung hat

Das ist der Punkt, aber ist eigentlich auch nicht meine Frage, es geht um das Auslesen des PW und spätere Überwachung.

Soviel ich weiß hat gmail E2E und die anderen Email-Provider in der Regel auch. Conversations hat OMEMO, Jami verwendet TLS und hat keinen Server dazwischen. Aber wie schon geschrieben, es geht nicht um Inhalte, die im Ausland übertragen werden.

Dem einzigen, dem ich vertraue, ist ein Messenger, der kein PW verwendet.

Ergänzung (Donnerstag um 13:31)

grundsätzlich in einem Hotel ein anderes Kennwort verwendet als Zuhause

Wie soll das gehen? Jedesmal ändern ist ein großer Aufwand, gibt zu viele unterschiedliche PW: In der EU verwende ich grundsätzlich nur den eigenen Handy-Provider und kein fremdes Handy-WLAN.

Wenn ein autoritärer Staat bzw. dessen Angestellten deine Daten will wirst du wenig Chancen haben.

Ich glaube nicht, dass die mich gezielt angreifen, aber die Frage ist, was alles automatisiert möglich ist. Wie schon geschrieben, es geht um das PW und nicht um den Inhalt.

Gehen wir mal davon aus, dass das PW nicht mit Gewalt erpresst wird. Da wäre ich tot, denn ich weiß es im Ausland selber nicht. Das ist zu Hause verschlüsselt.

 

[Madcat69]

Vertrauenswürdig ist in der Hinsicht nur das selbstgehostete VPN, wenn man ansatzweise weiß, was man tut.

PW sofern möglich immer per 2FA absichern, nach der Rückkehr sofort wechseln. Je nachdem wo man ist und wie interessant man ist darf man jedoch nicht außer acht lassen, dass staatliche Akteure u.U. Möglichkeiten haben, die die Öffentlichkeit nicht kennt.

Alternativ: Wergwerfmail einrichten, von der normalen Mail auf den Server der Wegwerfmail weiterleiten und nach der Rückkehr wieder zurückstellen. Dann ist nur das Passwort der Wegwerfmail gefährdet.

Edit: bedenke, öffentliche WLAN können immer eine Gefahr darstellen. Nur weil die SSID gut klingt muss dahinter nicht zwangsläufig der erwartete seriöse Betreiber stehen. Da sind wir dann wieder bei VPN als Gegenmaßnahme.

 

[frazzlerunning]

Soviel ich weiß hat gmail E2E und die anderen Email-Provider in der Regel auch.

Nein. Die meisten können E2E, aber solange man das nicht einrichtet, wirds nicht verwendet.

Edit: Sorry, vielleicht falsch kommuniziert. Ja, Gmail usw. online verwendet https zur Anmeldung usw.
Aber die Emails sind deswegen nicht verschlüsselt.

 

[Sir_Sascha]

Oder du kaufst dir ein "Urlabus-Handy" mit einem Brand neuen Account drauf der keine Rückschlüsse zu deinem "normalen" Leben zulässt. Dann ist das mit dem PW auch egal, das kannst du ja nach dem Urlaub alles wieder löschen.

 

[linuxnutzer]

öffentliche WLAN können immer eine Gefahr darstellen. Nur weil die SSID gut klingt muss dahinter nicht zwangsläufig der erwartete seriöse Betreiber stehen.

Das verstehe ich jetzt nicht. Normalerweise bekommt man im Hotel die Zugangsdaten. Nehmen wir jetzt mal an, das ist dann ein staatlicher Hotspot, der mithört. Wie soll bei E2E das PW geholt werden? Das ist der Kern meiner Frage.

Ergänzung (Donnerstag um 13:43)

Nein. Die meisten können E2E, aber solange man das nicht einrichtet, wirds nicht verwendet.

Genau deswegen habe ich die Clients Fairemail, K9 und Thunderbird angegeben. IMHO verwenden die automatisch E2E.

Aber die Emails sind deswegen nicht verschlüsselt.

Drum geht es auch nicht, wie schon geschrieben, der Inhalt kann im Ausland mitgelesen werden. Primär geht es nicht um Email, sondern um Messenger. So einfach ist das Deaktivieren eines Email-Kontos nicht, habe bei Fairemail nichts gefunden, außer löschen.

Oder du kaufst dir ein "Urlabus-Handy"

Auch schon überlegt, ist im Detail aber kompliziert und macht viel Aufwand.

 

[Sir_Sascha]

da ist nix kompliziert dran. hatte mir letztes Jahr ein Samsung A55 besorgt, das als neues Handy mit neu zu erstellender email eingerichtet, fertig.

 

[Madcat69]

Es gibt ja auch offene WLAN ohne Zugangsseite mit Captcha auf dem Browser. Und auch mit Zugangsdaten könnte alles mitgeloggt werden, wenn dahinter jemand böswilliges sitzt. Das Passwort eines E2E-verschlüsselten Dienstes sollte da ungefährdet sein, aber kann man das bei jedem Dienst, den man nutzt sicher selbst sagen?

 

[Helge01]

Wird hier E2E mit Transportverschlüsselung verwechsel? Eine TLS Verbindung zum Anbieter ist kein E2E.

 

[Fatal3ty]

Wer autoritäres Land besuchen möchte als Tourist, würde ich lieber altes oder Dumbphones mit Prepraid Simkarten besorgen, was alles nichts wichtiges drin sind. Und wichtiges Handy bleibt einfach daheim. Fürs Fotografieren einfach normale Fotoapparat mitbringen