zu paranoid oder noch ok?

[azereus]

moin zusammen
wollte mal eure meinung zu folgendem sachverhalt wissen

hab mir gedacht nachdem ich meine eigene domain habe:
- ach machste mal ne default-weiterleitung
- guckst dir dein keepass durch nach logindaten
- meldest dich mit den aktuellen daten auf den diversen seiten an und aktualisierst mal wie folgt

- neuer benutzername: amazon.de@meinedomain.com; 20stelliges kennwort (klein, GROß, zahl, sonder, mixed)
- paypal.com@meinedomain.com ...
- und so weiter und so weiter

grundsätzlich nichts zu merken außer dem masterpasswort vom keepass welches verschlüsselt in regelmäßigen und unregelmäßigen abständen an mehreren orten lokal (hdd, ext1, ext2) und nicht lokal (dropbox, owncloud) gesichert wird

bin ich inzwischen paranoid weil ich das so handhabe?
oder passt das schon so?
ja etwas mehraufwand am anfang aber "sichererer" (paypal lässt grüßen)

bin mal ab ins bett
schon späht/früh

/edit: achja die begründung:
um eventuell heruszufinden wer meine maiadresse "verkauft"

 

[Yuuri]

Mach ich genauso. Zusätzlich (vielleicht meinst du das damit, versteh ich nicht ganz) bekommt jeder Dienst (allerdings nicht pro Domain wie bei dir) ne eigene Mail-Adresse mit unterschiedlichen Kontodaten. Bei mir wird dann auch alles per Lastpass synchronisiert auf dem Desktop daheim, Notebook, auf Arbeit und Handy. Ist teilweise eine Heidenarbeit (bspw. ein Konto für eine einzige Bestellung in einem Shop), lohnt sich imho aber, denn dann hat man evtl. Spam (nach Kompromittierung des Servers des Betreibers) nicht im Haupt-/Privatkonto und wenn ich was zu Amazon wissen will, muss ich mich nur in mein amazon@tld-Konto einloggen und hab gleich alles vor mir.

 

[cruse]

ich verwende primär 1 email.
hab aber auch ausweich adressen (die aber eher alt sind)
hab auch mehrere domains

ich benutze filter um die mails gleich in diverse ordner zu verteilen
spam gibts sogut wie 0
wenn mal was ist such ich bei den "newsletter" mails unten den link zum abmelden und benutze den.
wenn es keinen abmelden button gibt kommt der absender auf den "index" - wird direkt gelöscht

ist auch sehr spammfrei und das ohne viel aufwand

 

[Trefoil80]

Prinizipiell gute Idee, aber schlecht umgesetzt.

Ich würde den Namen des Diensteanbieters nicht ausschreiben, sondern nur willkürliche Teile davon verwenden.

 

[|SoulReaver|]

Ich habe 4 normale E-Mail Adressen (für Paypal/Ebay, Freunde Kumpels und Allerlei) , zusätzlich 2 für meine Spieleaccounts, und Forenpasswörter. Alles in Allem 14 Passwörter die sehr lange sind und die letzten 4 Zeichen jeweils anders. Alles habe ich im Kopf, und wenn doch mal eines fehlt steht das auf einem Blatt Papier bei mir gut versteckt.

So......bin ICH jetzt paranoid?

 

[azereus]

Prinizipiell gute Idee, aber schlecht umgesetzt.

Ich würde den Namen des Diensteanbieters nicht ausschreiben, sondern nur willkürliche Teile davon verwenden.

guter hinweis.
bin selbst noch nicht ganz zufrieden mit meiner lösung

eventuell alles über einen anderen freien mailanbieter. dann muss ich aber dort immer eine weiterleitung einrichten. das wollte ich mit der default-weiterleitung vermeiden.

Zusätzlich (vielleicht meinst du das damit, versteh ich nicht ganz) bekommt jeder Dienst (allerdings nicht pro Domain wie bei dir) ne eigene Mail-Adresse mit unterschiedlichen Kontodaten.

also bei euch beiden dann zusammengefasst:
amazon2014-konto1@gmail.com -> weiterleitung auf das richtige konto
onlineshop2014-nummer1@gmx.net -> weiterleitung
...

das ist ja noch mehr arbeit als die aktuelle lösung...
naja. ich denk mir mal was aus

 

[Yuuri]

also bei euch beiden dann zusammengefasst:
amazon2014-konto1@gmail.com -> weiterleitung auf das richtige konto
onlineshop2014-nummer1@gmx.net -> weiterleitung

Nein, bei mir ist es wie folgt:

amazon@tld -> eigenes Mailkonto, gilt für amazon.com, amazon.de, amazon.co.uk, amazon.* -> nicht wie bei dir per domain amazon.com@tld
paypal@tld -> eigenes Mailkonto
ebay@tld -> eigenes Mailkonto
steam@tld -> eigenes Mailkonto
usw.

 

[Wasserquelle]

LoL da hat jemand das Prinzip Sicherheit und Datenschutz nicht verstanden. Warum der ganze Aufwand um am Ende das MasterKennwort in die Cloud zu synchronisieren. Datenschutz : 6

 

[Yuuri]

Lastpass überträgt nur den verschlüsselten Container ins Netz, das Masterpasswort wird nur zum Entschlüsseln gebraucht und das passiert alles lokal. Jaja, aber lieber erstmal die Propagandakeule schwingen, statt sich mit der Thematik auseinanderzusetzen... Thema verfehlt: 6

 

[azereus]

LoL da hat jemand das Prinzip Sicherheit und Datenschutz nicht verstanden. Warum der ganze Aufwand um am Ende das MasterKennwort in die Cloud zu synchronisieren. Datenschutz : 6

es wird nicht das kennwort übertragen
sondern die verschlüsselte keepass-datei

/edit: kann dir ja mein file geben. kannst ja versuchen zu entschlüsseln

Nein, bei mir ist es wie folgt:
amazon@tld -> eigenes Mailkonto, gilt für amazon.com, amazon.de, amazon.co.uk, amazon.* -> nicht wie bei dir per domain amazon.com@tld
paypal@tld -> eigenes Mailkonto
ebay@tld -> eigenes Mailkonto
steam@tld -> eigenes Mailkonto
usw.

achso. so meinst du das. ja stimmt.
könnt ich nachbessern
gute idee

 

[mauorrizze]

@Wasserquelle, @Yuuri
Wie immer eine Vertrauens- und Glaubensfrage. Aber ich gehör zu der Religion, die lieber für jedes Konto ein eigenes kompliziertes Passwort verwendet und all die 50+ Passwörter durch ein laaaanges Masterpasswort gesichert lastpass anvertraut, als mir wenige Passwörter selber zu merken. News über Adobe, EA und aktuell ebay geben bisher meiner Überzeugung recht, über die Passwortdienste sind noch keine Horrormeldungen nach außen gedrungen.

Bei Software wie KeePass müsste man natürlich keinem Anbieter vertrauen und hätte somit das Problem gelöst, wenn wir nicht auch von unterwegs Zugriff bräuchten, natürlich möglichst komfortabel
€: Azereus' Lösung mit verschlüsseltem Container in der Cloud ist bei hinreichend gutem Passwort sicherer als lastpass, weil man nur lokal/'offline' entschlüsselt, und ebenfalls für mehrere Geräte geeignet, mir fehlt allerdings Komfort auf dem Handy/Tablet. Da arbeite ich noch an mir ^^

 

[Yuuri]

Aber ich gehör zu der Religion, die lieber für jedes Konto ein eigenes kompliziertes Passwort verwendet und all die 50+ Passwörter durch ein laaaanges Masterpasswort gesichert lastpass anvertraut, als mir wenige Passwörter selber zu merken.

Anzahl geprüfter Seiten
494
Durchschnittliche Passwortlänge
14.4 characters

Schön für deine wenigen Passwörter, aber wenn bei mir ein Konto kompromittiert wurde, änder ich das Passwort fix und es hat sich. Du kannst dann gut und gern bei 20+ das Passwort ändern. Übrigens hat Lastpass noch ne nette Kombination mit dem Google Authenticator.

Aber gut, wird sicherlich nichts bringen mit dir hier darüber zu diskutieren. Ist außerdem eh gäznlich Offtopic...

Bei Software wie KeePass müsste man natürlich keinem Anbieter vertrauen

Klar, dem Entwickler und dass es bei der Implementierung keine Schwachstellen gibt.

Azereus' Lösung mit verschlüsseltem Container in der Cloud ist bei hinreichend gutem Passwort sicherer als lastpass, weil man nur lokal/'offline' entschlüsselt, und ebenfalls für mehrere Geräte geeignet, mir fehlt allerdings Komfort auf dem Handy/Tablet.

Und wie wunderbar du meinen Post gelesen hast, sieht man sehr schön an diesem Quote. Fein gemacht. Lies dich bitte erst in die Thematik ein, bevor du dir irgendein Urteil zu bilden versuchst oder nur rumstänkern willst. Übrigens hat Lastpass in den letzten paar Versionen eine Autofill Funktion auf Android für Apps bekommen, wo kurz ein Overlay aufpoppt und dir die Möglichkeit gibt, deine Login-Daten direkt einzufügen.

 

[Green Mamba]

Grundsätzlich ein gesundes Konzept, handle ich ähnlich. Was ich nicht verstehe ist der Zusammenhang der verschiedenen Mail-Adressen im Bezug auf die Sicherheit? Wer deine Mail-Adressen verkauft bekommst du so auch nur bedingt heraus. Und selbst wenn, unternehmen kannst du in dem Fall wohl in der Praxis schlichtweg nichts.

 

[mauorrizze]

@Yuuri, hab ich so doof geschrieben oder du zu schnell gelesen?
Ich nutze lastpass sehr aktiv und find's schon mal sinnvoller dem Anbieter zu vertrauen als zu versuchen sich Passwörter selbst zu merken, weil die Gefahr zu groß ist zu einfache, zu systematische Passwöëter zu verwenden und dann bei Hacks aus Bequemlichkeit eben nicht das Passwort mal eben (schon wieder) ändern will.

Habe lediglich ausgedrückt, dass ich eine lokale Lösung wie KeePass abzüglich des Komforts besser finde. Ja, auch da gibt's sicherheitstechnisch Angriffspunkte, aber lastpass und co hätte nun mal rein technisch problemlos Zugriff auf das Masterpasswort. Das kann kein Mensch von außen überprüfen, ob sie selbst oder durch Druck von außen (US-Unternehmen?) den Servercode oder die Mobile-Apps derart abändern, dass sie das Masterpasswort abfangen können.

 

[Wasserquelle]

Impressum
LastPass ist ein in Privatbesitz befindliches Unternehmen, registriert in Delaware, mit Sitz in Virginia, USA
LastPass Unternehmenszentrale
8315 Lee Hwy Suite 501
Fairfax, VA 22031, USA
Telefon: 703.712.8315

Merkste was ?
Zudem ist es soweit ich das gerade gesehen habe closed Source / Unfrei in der Lizensierung also umso fragwürdiger was die Übertragung und den Speicherort betrifft.
Ich erinnere an das US amerikanische Datenschutzgesetz.
Die können dir viel erzählen. Es ist kein Problem im Hintergrund die Masterdaten zu übertragen. Es geht nicht darum das es jemand tut, sonder das es geht.
Das ist aus meiner Sicht Grund genug zur Vorsicht .

Grüße

 

[Yuuri]

hab ich so doof geschrieben oder du zu schnell gelesen?

Hm anscheinend. Naja, wenigstens mein kleiner USB-Ventilator kühlt noch die Birne...

edit: Ach seh es gerade, hab wohl deinen Post irgendwie mit dem von Wasserquelle in Verbindung gebracht. Sorry.

aber lastpass und co hätte nun mal rein technisch problemlos Zugriff auf das Masterpasswort. Das kann kein Mensch von außen überprüfen, ob sie selbst oder durch Druck von außen (US-Unternehmen?) den Servercode oder die Mobile-Apps derart abändern, dass sie das Masterpasswort abfangen können.

Das kannst du wunderbar nachprüfen, indem du einfach den Netzwerktraffic überwachst oder alles durch einen Proxy schleust, der auch SSL Verbindungen auftrennt. Lastpass arbeitet wie gesagt so, dass nur der verschlüsselte Container synchronisiert wird. Das Passwort selbst bleibt immer bei dir im Kopf. Und in sechs Jahren der Existenz hätte zumindest irgendjemand irgendwelche Anomalien feststellen müssen. Irgendwelche Leaks gab es bisher aber noch nicht.

Ergänzung (22. Mai 2014)

Merkste was ?

Und du kaufst deine Hardware von Herstellern aus welchen Ländern? ... USA-Bashing ist seit Snowden mal wieder angebracht, stimmt...

 

[Wasserquelle]

Ich mache Lobbyarbeit für Freie Software verzeih mir das steckt mir halt im Blut. Auch vor Snowden ^^.

Abgesehen davon argumentierst du sinnbildlich so :

Du gehst bei Rot über die Ampel.
Polizei fragt sich warum du das tust.
Du sagst weil die anderen es auch machen.

Das macht es aber nicht besser . Das Grundprinzip ist immer noch sehr Fragwürdig. Weil etwas von der Masse getan wird, heißt es nicht dass es richtig ist.
Hat mal ein schlauer Mann gesagt.

Grüße

 

[Green Mamba]

Ich möchte hier mal pwSafe für iOS in den Raum werfen. Das ist Open Source und synchronisiert auch über verschiedene Cloud-Services. Aber grundsätzlich schützt auch freie Software nicht vor Sicherheitslücken, siehe Headbleed.
Wenn man es auf einen Nenner bringt, geht es um Vertrauen und weniger um technische Spezifikationen. Wenn also jemand das hier angsprochene System knacken will, muss er zunächst den Cloud-Account knacken, und dann den Container. Es sei denn, das Programm hat eine Backdoor. Davor schützt wie gesagt auch OpenSource nicht wirklich, es sei denn ihr begutachtet die Sourcen tatsächlich selbst. Und die Kompetenz wird hier kaum jemand mitbringen und für mich selbst wäre das zu viel Aufwand.

 

[Yuuri]

Ich mach Lobbyarbeit für Freie Software verzeih mir das steckt mir halt im Blut

Ja und ich für Sachen, die mir Komfort ermöglichen. Da ist es mir Schnurzegal, ob das Ding OSS, Freeware, Donationware oder CSS ist.

Abgesehen davon argumentierst du sinnbildlich so :

Und du steckst alles in eine Schublade, was aus der USA kommt und/oder wo du nicht in den Quellcode blicken kannst. Abgesehen davon ist es überhaupt fraglich, ob du es denn machst und dir alle Binaries aus selbst kompilierst oder ob du hier genauso jemand anderem (vielleicht sogar einem Amerikaner) vertraust. Das passt aber nicht zu deinem Schubladendenken.

 

[azereus]

ich verwende primär 1 email.
hab aber auch ausweich adressen (die aber eher alt sind)
hab auch mehrere domains

ich benutze filter um die mails gleich in diverse ordner zu verteilen
spam gibts sogut wie 0
wenn mal was ist such ich bei den "newsletter" mails unten den link zum abmelden und benutze den.
wenn es keinen abmelden button gibt kommt der absender auf den "index" - wird direkt gelöscht

ist auch sehr spammfrei und das ohne viel aufwand

primäre adresse hab ich beinahe alle 2 jahre eine neue. die alten werden integriert bzw weitergeleitet
wenn es nur newsletter sind ist mir das doch egal. die sind ja kaum böse. nur diese...
bsp:

Privet my friend
I have sincere smile and sparkle in my eyes. I am optimistic person and I
try to see good things in everything. I love nature, animals, sunrises
and sunsets http://zensiert.in.ua 
I lead an active lifestyle and enjoy outdoor activities. I want to create
serious relationship with the right man.
Hope we can connect soon
Sofy

Sehr geehrte Frau oder sehr geehrter Herr!
Ich möchte diese Möglichkeit benutzen und Sie zum Bewerbungsprozess einzuladen und die Vorteile von diesem Stellenangebot zu beschreiben. Unser Stellenangebot passt Ihnen, wenn Sie vor kurzem in die Rente gegangen sind oder einfach nach einem Nebenjob such Tätigkeit: flexibler Zeitplan 2-5 Stunden pro Tag, wir können mindestens zwanzig Arbeitsstunden pro Woche garantieren. Entlohnung: Anfangsentlohnung beträgt zweitausend Dollar pro Monat plus monatlicher Kommissionsgebühr. Arbeitszeit: Nebenjob.
Bitte beachten Sie, dass keiner Anfangsgebühr nötig ist, um mit Ihrer Arbeit für uns anzufangen. Um ein Bewerbungsformular zu und mehr Information zu bekommen, bitte besuchen Sie http://zensiert.in.ua/de/
Mit den besten Grüßen,
Vollziehender Vizepräsident der Abteilung für Arbeitskräfte
Willy Walter

freu mich jedes mal über ein jobangebot

oder die hier. die gefällt mir

Violates our policies for Battle.net
Dear customer,

Because you are involved in the trading of gold and equipment, legitimately means playing with an unaltered game client. Doing otherwise violates our policies for Battle.net, and it goes against the spirit of fair play that all of our games are based on. We strongly recommend that you avoid using any hacks, cheats, bots, or exploits. Suspensions and bans of players that have used or start using cheats and hacks.

You can confirm that you are the original owner of the account to this secure website with:

http://www.blizzar_____dmory.com/login/KEINLOGIN.aspx?ref=https%3A%2F%2Fwww.VERFREMDET.com%2Faccount%2F&app=wam

Login to your account, In accordance following template to verify your account.

* Account Name and Password
* Secret Question and Answer

Show * Please enter the correct information

If you ignore this mail your account can and will be closed permanently.
If you wish to review our current Rules and Policies for World of Warcraft and Battle.net, they can be found at:

http://www.blizzar_____dmory.com/login/KEINLOGIN.aspx?ref=https%3A%2F%2Fwww.VERFREMDET.com%2Faccount%2F&app=wam

For further security tips, please visit:

http://www.blizzar_____dmory.com

Regards,

Customer Services
Account Administration Team
Blizzard Entertainment

Impressum
LastPass ist ein in Privatbesitz befindliches Unternehmen, registriert in Delaware, mit Sitz in Virginia, USA
LastPass Unternehmenszentrale
8315 Lee Hwy Suite 501
Fairfax, VA 22031, USA
Telefon: 703.712.8315

Merkste was ?
Zudem ist es soweit ich das gerade gesehen habe closed Source / Unfrei in der Lizensierung also umso fragwürdiger was die Übertragung und den Speicherort betrifft.
Ich erinnere an das US amerikanische Datenschutzgesetz.
Die können dir viel erzählen. Es ist kein Problem im Hintergrund die Masterdaten zu übertragen. Es geht nicht darum das es jemand tut, sonder das es geht.
Das ist aus meiner Sicht Grund genug zur Vorsicht .

Grüße

schubladendenken
amerika ist böse. in europa nicht anders aber das ist ein anderes thema.

wollte hier keinen fedekrieg vom zaun brechen.
bitte wieder zum thema.

konzept gut? verbesserungen? was anders machen? wie anders machen?

Grundsätzlich ein gesundes Konzept, handle ich ähnlich. Was ich nicht verstehe ist der Zusammenhang der verschiedenen Mail-Adressen im Bezug auf die Sicherheit? Wer deine Mail-Adressen verkauft bekommst du so auch nur bedingt heraus. Und selbst wenn, unternehmen kannst du in dem Fall wohl in der Praxis schlichtweg nichts.

zusammenhang: wenn ich weiß an welche mailadresse spam geschickt wird weiß ich wer "verkauft" hat.
somit wer für mich vertrauenswürdiger ist und wen ich meiden sollte

@Wasserquelle, @Yuuri
Wie immer eine Vertrauens- und Glaubensfrage. Aber ich gehör zu der Religion, die lieber für jedes Konto ein eigenes kompliziertes Passwort verwendet und all die 50+ Passwörter durch ein laaaanges Masterpasswort gesichert lastpass anvertraut, als mir wenige Passwörter selber zu merken. News über Adobe, EA und aktuell ebay geben bisher meiner Überzeugung recht, über die Passwortdienste sind noch keine Horrormeldungen nach außen gedrungen.

dito. je mehr unterschiedliche zugriffe desto sicherer.
hatte bis vor dieser diskussion auch nur ein "meine-eine-alles-anmelde-mailadresse"

Bei Software wie KeePass müsste man natürlich keinem Anbieter vertrauen und hätte somit das Problem gelöst, wenn wir nicht auch von unterwegs Zugriff bräuchten, natürlich möglichst komfortabel
€: Azereus' Lösung mit verschlüsseltem Container in der Cloud ist bei hinreichend gutem Passwort sicherer als lastpass, weil man nur lokal/'offline' entschlüsselt, und ebenfalls für mehrere Geräte geeignet, mir fehlt allerdings Komfort auf dem Handy/Tablet. Da arbeite ich noch an mir ^^

lastpass hatte ich auch mal im einsatz. das ist mir dann aber zu "unsicher" geworden.
auf den mobile-devices wird nur mail genutzt. da brauch ich sonst nichts.