Wie sicher sind Passwörter in Hotel-WLANs von autoritären Staaten?

[frazzlerunning]

Primär geht es nicht um Email, sondern um Messenger.

Dann brauchst du dir mit Signal (und ja: WhatsApp solange keine Gruppenchats genutzt werden) keine Sorgen machen.

 

[mcdexter]

Also: schwere Frage
Würde Fragen: Wie sicher soll es sein?

Hotel‑WLAN oder öffentliches WLAN sind nicht sicher. Jeder kann Daten abgreifen, wenn er will. VPNs und/oder verschlüsselte Kommunikation reduzieren das Risiko, sind aber keine Garantie, vor allem bei kompromittierten Endgeräten oder Honey pot VPN‑Providern (DNS/Browser‑Leaks und manipulierte Datenpakete) können Daten anfallen

Tipp: Niemals private Smartphones oder das Diensthandy mitnehmen. Nutze nur ein Smartphone, auf dem so wenig wie möglich installiert ist. SMS und normale Anrufe sind immer unsicher, vor allem in autoritären Staaten. Wenn du Geheimnisträger bist und dich in einem autoritären Staat, so wie in den USA (das konnte ich mir nicht verkneifen) aufhältst, können Behörden mitlesen; wenn sie bei dir mithören wollen, tun sie das. Du schläfst ja auch mal im Hotel. Ein Trojaner ist schnell installiert.

Was ich sagen will: Absolute Sicherheit gibt es nicht. Du musst entscheiden, wie hoch die Hürden sein sollen und wie wichtig dir (oder anderen) die Sache ist.

 

[kieleich]

Die können gerne den Inhalt von Emails, Chats, etc mitlesen, solange ich im Land bin.

???

Ich bleibe lieber zuhause!

 

[sedot]

Signal ist in verschiedenen Ländern geblockt.
https://en.wikipedia.org/wiki/Signal_(software)#Blocking

 

[JumpingCat]

Gibt es eine Chance die Email-PW oder einen Hash davon auszulesen, wenn sich eine Handy via Gast-WLAN verbindet? Konkrete Apps wären Fair-Email, K-9 oder Thunderbird

Ich nutze nicht die genannten diese Apps sondern AquaMail. Jedesmal wenn mein Mailanbieter das Zertifikat wechselt gibt es einen Warnung und die ganze App stoppt. Das ist um zu verhindern das da jemand für den Zielserver sich irgendwie ein Zertifikat besorgt und dann das SSL aufbricht.

Hintergrund: https://www.heise.de/news/Gefaelschte-SSL-Zertifikate-auf-Reiseflughoehe-2512310.html

Ansonsten wie hier im Thread vorgeschlagen, alles durch ein VPN wie Wireguard über Zuhause oder den Arbeitgeber in Deutschland tunneln.

 

[Leap]

Je nach E-Mail Provider hast du die Möglichkeit sogenannte Anwendungspasswörter zu erstellen. Die gelten dann für bestimmte Apps und Geräte. Dh deine Apps, wie Thunderbird, greifen mit einem jeweils eigenen Passwort auf das Postfach zu. Mit diesem Passwort ist es nicht möglich, sich in deinen E-Mail Account einzuloggen und diese Passwörter lassen sich auch leicht ändern. Das Verwenden von Anwendungspasswörtern ist auch abseits von autoritären Staaten eine gute Praxis. Ansonsten hilft nur VPN.

 

[Tornhoof]

Dem autoritären Staat gehört die Infrastruktur, d.h. er ist potentiell in der Lage, diverse Man-in-the-middle Attacken zu fahren, dazu gehört Ersetzen und/oder Forcieren von anderen Zertifikaten bei der Verschlüsselung der Kommunikation, Downgrade der Algorithmen und diverser anderer Sachen.
Ein paar Applikationen haben ihre eigenen Mechanismen um sowas zu erkennen, via Certificate Pinning oder ähnlichem, aber eher auf Handy als auf PC.
Z.b. Google macht extrem viel Certificate Pinning für ihre Zertifikate, für Youtube etc., teils auch als Schutz gegen Werbeblocker (AdGuard o.Ä.).
Da bei der Einreise in solche Staaten auch häufig(er) dein Handy kontrolliert wird und/oder ein staatlich Kontrollierter Mobilfunkprovider im Spiel ist, hast du praktisch da auch wenig Sicherheit.

Kurze Antwort: Gegen einen Angreifer mit staatlichen Resourcen hast du wenig Chancen. Daher potentiell die Passwörter danach ändern und grundsätzlich davon ausgehen, dass der alles Mithören/schneiden kann.

 

[xxMuahdibxx]

.
, es geht um das Auslesen des PW und spätere Überwachung.

Wozu sowas?

Bei den meisten E-Mail Anbietern hast du doch die Info wann jemand zuletzt eingeloggt war. Und passt das nicht mit deinem Nutzerverhalten ist es total auffällig.

Was soll denen dann ein Passwort bringen wenn sie offensichtlich Spuren hinterlassen..

Zu viele dumme Gedanken ob so ein Staat dich total überwacht.

Da fängst dir eher einen Trojaner ein als das ein verschlüsseltes Passwort durch WLAN geklaut wird.

Ergänzung (12. Februar 2026)

Dann brauchst du dir mit Signal (und ja: WhatsApp solange keine Gruppenchats genutzt werden) keine Sorgen machen.

Genau da muss man sich je nach Staat gar keine Sorgen machen.. die gehen dann einfach nicht.

 

[CoMo]

Genau deswegen habe ich die Clients Fairemail, K9 und Thunderbird angegeben. IMHO verwenden die automatisch E2E.

Die verwenden nur dann E2E, wenn du entsprechende Keys / Zertifikate eingerichtet hast. Automatisch kann das nicht funktionieren. Höchstens via Autocrypt, aber auch dann müssen alle Kommunikationspartner über gültige Keys verfügen.

Thema VPN-Blockade: Auch da gibt es Lösungen. AmneziaWG obfuskiert VPN-Verbindungen und auch Tor lässt sich für maximale Zensurresistenz konfigurieren https://computerscot.github.io/tor-obfs4-bridge-iat-mode-2.html

 

[Carrera124]

Neues Handy, einrichten mit komplett neuer Mailadresse und neuen Useraccounts (Google, Apple, Samsung, whatever).
Alles andere ist halbgar.

 

[Sir_Sascha]

Um welches Land geht es hier eigentlich?

 

[BeBur]

Gibt es eine Chance die Email-PW oder einen Hash davon auszulesen, wenn sich eine Handy via Gast-WLAN verbindet? Konkrete Apps wären Fair-Email, K-9 oder Thunderbird

Nein.

Wie sieht es bei Messengern aus, die Passwörter verwenden? zB Conversations oder Jami?

Eigentlich schickt niemand mehr Klartextdaten zu/von Nutzern, bei Apple ist das glaube ich komplett verboten, bei Android muss ein App Entwickler schon aktiv was umbiegen, damit Daten unverschlüsselt verschickt werden.

Burner phone anstelle des Geschäftshandy mitnehmen ist aber soweit ich weiß ziemlicher Standard gegen Industriespionage.

 

[linuxnutzer]

das als neues Handy mit neu zu erstellender email eingerichtet, fertig

Glück gehabt. Wenn die Google-KI glaubt, dass du böses tust oder zu jung bist, kann dich Google zum Wahnsinn treiben. 2x das gleiche Handymodell, auf dem einen Handy kein Problem eine "technische" App zu installieren, auf dem anderen riesige Probleme (Handy wird nicht unterstützt, etc). Das waren Apps aus dem Fotobereich, Messenger, Netzwerkanalyse, etc. Letztlich wurde es nur ein wenig besser, als eine Kreditkarte hinterlegt wurde.

Wird hier E2E mit Transportverschlüsselung verwechsel?

Hast recht, ich denke aber primär an PW-Diebstahl. Bei TLS sollte das PW im Normalfall auch schon verschlüsselt übertragen werden.

mit Signal (und ja: WhatsApp solange keine Gruppenchats genutzt werden) keine Sorgen

Das sehe ich nicht so. Einersetis:

Wie sieht es bei Messengern aus, die Passwörter verwenden? zB Conversations oder Jami?

Das sind also Messenger wo man keine Tel-Nr angeben muss.

Ich frage mich aber, welche Messenger mir Unannehmlichkeiten bereiten könnten.

https://signal.org/docs/specifications/doubleratchet/#the-sparse-post-quantum-ratchet

Ich nehme mal an, dass ein Regime keine Freude mit Verschlüsselung hat, die quantum-resistent ist. Ich werde daher so was nicht am Handy haben:

https://simplex.chat/transparency/
In 2025 we received 12 requests from law enforcement of different countries.

Andererseits wäre das ideal, solange kein PW, kann das auch nicht geklaut werden.

Hotel‑WLAN oder öffentliches WLAN sind nicht sicher.

Bei welchen Daten? Das ist die entscheidende Frage. Die Diskussion ergibt bisher, dass Email- und Messenger-PW nicht so leicht zu holen sind. Ich kann nicht verhindern, dass über Email unwichtiges Zeug daher kommt. Darf jeder gerne mitlesen.

Beim Browsen kann ich ohne VPN nicht verhindern, dass mitgeloggt wird, soll mir aber egal sein, wenn ich mich über ein touristisches Ziel informiere.

Ich gehe mal davon aus, dass man bei einem Touristen nicht so leicht versucht physisch an ein Gerät zu kommen. Aus der Ferne ist das was anderes.

Ein Trojaner ist schnell installiert.

Gerüchteweise habe ich gerhört, dass in manchen Ländern bei Leuten, die per Flugzeug einreisen, kein Trojaner installiert wird, bei Einreisen über Land wird ein Trojaner ganz offiziell installiert, du musst das Handy abgegeben. Aber ganz so tragisch sind meine Zielländer nicht.

Je nach E-Mail Provider hast du die Möglichkeit sogenannte Anwendungspasswörter zu erstellen. Die gelten dann für bestimmte Apps und Geräte. Dh deine Apps, wie Thunderbird, greifen mit einem jeweils eigenen Passwort auf das Postfach zu.

Auch bei gmail? Mir fiel neuerdings auf, dass man bei Thunderbird / K9 sich nicht mehr mit App-PW registrieren kann. Es wird das Standard-PW verlangt und dann 2FA.

Es werden über 90% der Emails an die Email-Adresse des Android-Handys weitergeleitet und das verwendet FairEmail. K9 und Thunderbird sind Clients für spezielle Email-Anlässe, sehr unwahrscheinlich, dass ich die im Ausland brauche, nervt aber die App zu löschen und neu einzurichten.

und diese Passwörter lassen sich auch leicht ändern.

Finde ich nicht, bei mehreren Handys ist das ganz schön Arbeit mehrere verschiedene PW zu ändern.

Ich nutze nicht die genannten diese Apps sondern AquaMail.

Aqua Mail ist zur Zeit ungenutzt, das verwende ich normalerweise für Firmen-Emails. Am PC bekomme ich bei Claws-Mail auch immer einen Hinweis, dass sich das Zertifikat geänndert. die Prüfung ist aber nervig.

dazu gehört Ersetzen und/oder Forcieren von anderen Zertifikaten

Guter Hinweis, die ganzen Zertifikate blockieren, die Frage ist nur, ob ich mir da den Ast absäge auf dem ich sitze.

Gegen einen Angreifer mit staatlichen Resourcen hast du wenig Chancen. Daher potentiell die Passwörter danach ändern

Das war ja auch meine Idee.

Was soll denen dann ein Passwort bringen wenn sie offensichtlich Spuren hinterlassen.

Dem Durchschnittuser fällt das nicht auf.

Neues Handy, einrichten mit komplett neuer Mailadresse und neuen Useraccounts

Das möchte ich ja vermeiden.

welches Land

Will ich nicht sagen, mehrere asiatische. Ich sollte nach Nordkorea ;-) Da brauche ich mir über Internet keine Gedanken machen.

 

[BeBur]

Ich kann nicht verhindern, dass über Email unwichtiges Zeug daher kommt. Darf jeder gerne mitlesen.

Das wurde hier sehr misstverständlich beschrieben bzw. falsch verstanden. Abrufen und Senden von E-Maills ist verschlüsselt (man sollte aber kein STARTTLS verwenden.. ka ob das irgendwo noch eingesetzt heutzutage. Zeigen Apps aber meist an, was sie verwenden).
Der Weg von E-Mail Server zu E-Mail wenn du eine E-Mail verschickst/empfängst, der ist nicht unbedingt verschlüsselt. Dabei ist es aber irrelevant, wo du selbst dich aufhältst.

dass in manchen Ländern bei Leuten, die per Flugzeug einreisen, kein Trojaner installiert wird, bei Einreisen über Land wird ein Trojaner ganz offiziell installiert, du musst das Handy abgegeben. Aber ganz so tragisch sind meine Zielländer nicht.

Würde mich eher wundern, aber klar gibt schon verrückte Dinge manchmal. Üblicherweise ist das aber eher ein Glücksspiel, ob du eine "Sonderbehandlung" erhältst, wobei die Chance eher gering ist. Ich bin allerdings wenig in Asien gewesen, da mag es anders sein.

Ergänzung (12. Februar 2026)

Beim Browsen kann ich ohne VPN nicht verhindern, dass mitgeloggt wird, soll mir aber egal sein, wenn ich mich über ein touristisches Ziel informiere.

Du könntest mal in Richtung DoT/DoH schauen - DNS over TLS / HTTPS.

 

[linuxnutzer]

Der Weg von E-Mail Server zu E-Mail wenn du eine E-Mail verschickst/empfängst, der ist nicht unbedingt verschlüsselt. Dabei ist es aber irrelevant, wo du selbst dich aufhältst.

Das ist mir klar. Wie schon geschrieben, sollen die doch sehen was ich surfe.

Würde mich eher wundern, aber klar gibt schon verrückte Dinge manchmal

Las ich bei Google Maps Kommentaren, wo das Leute behaupteten.

Du könntest mal in Richtung DoT/DoH schauen - DNS over TLS / HTTPS.

Da geht es aber auch mehr um die Seiten, die ich besuche.



Ich hoffe, das funktioniert mit LineageOS automatisch ganz brauchbar.

Ich mache mir Gedanken darüber, was ich unbrauchbar mache, wenn ich ohne Nachdenken sämtliche asiatischen Zertifikate deaktiviere. Sofern man das überhaupt erkennen kann, was "autoritäre / behördliche" Zertifikate sind.



Mir fällt gerade ein, vielleicht ist auch klug den Tor-Browse zu entfernen.

PS: Falls sich wer über die Handy-Symbole wundert, das ist der lokale VPN von DuckDuckGo.

 

[BeBur]

Da geht es aber auch mehr um die Seiten, die ich besuche.

Vielleicht habe ich da ein falschen Konzept zu im Kopf, aber soweit ich weiß sind mit DoT / DoH die abgefragten Domains nicht sichtbar. Die DNS-Anfragen laufen dann ja über TLS, also verschlüsselt.

 

[chrigu]

Das ist relativ egal in welchem Land du emails oder Passwörter ins Internet schickst, solange im Browser https oder ssl (im mailtool) steht wird von deinem Gerät zum Zielserver alles verschlüsselt geschickt. Einzige Ausnahme: verbindest du mit einem Zwischenserver (z.b. vpn oder staatlich kontrollierten Server) zum eigentlichen Server (Website oder Mail usw.) kann die Verschlüsselung aufgehoben werden.
Mein Tipp: ist dir im fremden Land unwohl was datensicherheit angeht, nutze kein Internet.

 

[Sir_Sascha]

@linuxnutzer: In dem Fall würde ich alles auf ein absolutes Minimum reduzieren. Also neues Handy und eigenes VPN. je ach Router kannst du das VPN zu dir nach Hause aufmachen.

​

 

[Ranayna]

Wie sicher sind Passwörter in Hotel-WLANs von autoritären Staaten?

Ich frage mich, ob autoritäre Staaten die Passwörter von ihren Touristen abfragen (können).

Das allerwichtigste in diesen Situationen ist, dass du Zertifikatswarnungen im Browser ernst nimmst.

Es gibt Staaten, in denen die ISPs eine SSL Inspection durchfuehren muessen. Damit dass funktioniert, werden die originalen Zertifikate durch selbstsignierte erstetzt. Staatsbuerger muessen/sollen dann den entsprechenden Rootzertifkaten vertrauen.

 

[linuxnutzer]

Es gibt Staaten, in denen die ISPs eine SSL Inspection durchfuehren muessen.

Dann müsste ich doch diesem Zertifikat vertrauen und das bestätigen? Vgl.

Ich mache mir Gedanken darüber, was ich unbrauchbar mache, wenn ich ohne Nachdenken sämtliche asiatischen Zertifikate deaktiviere

Die Gefahr habe ich doch immer, dass Internet aufgrund der Einstellungen nicht funktioniert, aber dann weiß ich wenigstens, das da was faul ist.

Also neues Handy

Ja, neu ist sehr wichtig, sonst kommst die KI wegen Diebstahl, etc ins Spiel.

je ach Router kannst du das VPN zu dir nach Hause aufmachen.

Ich verwende openwrt, da wäre schon einiges möglich, aber lieber ist mir, wenn die Ports zu bleiben.

solange im Browser https oder ssl (im mailtool) steht

Ich habe mal nachgeschaut. Aus K9/Thunderbird:





Da ist also OAUTH2 im Spiel, keine Ahnung was das bei Mail bedeutet, Identifikation über Web erstmalig und dann Token?

Ich habe TLS bei FairEmail auch noch gehärtet.



Nur, ob das bei Google was bringt? Die sollten doch sowieso aktuell sein.