Hi, Leider ist´s mir jetzt auch passiert, das bei meinem Email Anbieter diese (scheinbar) "hack-bots" versuchen mein Passwort zu klauen (und es zum Glück nicht geschafft haben). Ich hatte, obwohl ich in der Arbeit war und zu dieser Zeit nicht am PC, als ich Abends Heimkam und meine emails abholen wollte, mehrmals "fehlgeschlagene Login Versuche" auf meinem Email Konto. Durch recherchieren im Internet bin ich auf die Gründe gekommen, die diese Meldung verursachen, und da stand auch was von Programmen die gezielt versuchen die Email Adressen zu hacken (Das währe in meinem Fall der wohl am ehesten zutreffende Grund). Ich habe natürlich gleich das Passwort geändert, dennoch, das gibt einem schon zu denken, denn wenn jemand die Email Daten rausbekommt, kann er damit sehr großen Schaden anrichten (ebay und co sobald man Email Zugang hat hat man auch dort die Benutzerdaten). Bei vielen Online Spielen gibts ja mittlerweile schon einen Authenticator. Das ist ein kleines Gerät oder eine App das / die man sich dazukaufen kann - zum Spiel - und man dann beim einloggen in das Spiel zusätzlich einen Code eingeben muss, den das Gerät generiert. Das heist, selbst, wenn soein Hacker/Hacker-Programm dann irgentwie die Zugangsdaten vom Spiel herausbekommt, bringt das nichts, weil der Code der ja zusätzlich zum einloggen benötigt wird von einem Gerät / einer App generiert wird die der Hacker ja nicht hat. Das ist ein geniales Sicherheits Feature. Ich frage mich nur, warum gibts das nicht bei Email Anbietern? Natürlich optional, und das Gerät kostet ja auch was aber die paar Euro hab ich gerne in eine Passwort Sicherheit investiert!!! Gerade, wenn es um so sensible Zugangsaten geht, die wirklich nur einen selbst was angehen.
Google bietet eine zusätzliche Authentifizierung über SMS-Code an. http://support.google.com/accounts/bin/answer.py?hl=en&answer=180744 Andere auch, wie etwa Yahoo.
Machs dir selbst, oder hau dir ein langes secret auf deinen Imap Account, wird ja sowieso im Client gespeichert,
Ach ja, und DNS, worauf die ganze Mail Geschichte basiert, ist völlig ungesichert.
DIY schrieb: > Ach ja, und DNS, worauf die ganze Mail Geschichte basiert, ist völlig > ungesichert. Was den eigenen Zugriff auf die Mailbox angeht ist das irrelevant, wenn SSL/TLS verwendet wird und der Mailclient bzw. Browser das Zertifikat kontrolliert. Zertifikate sich zwar auch nicht so sicher, wie man das gerne hätte, aber der Aufwand steigt mit jedem solchen Mechanismus. Dass die Zustellung von Mails ebenso unsicher ist, wie ihr Inhalt offen, dürfte bekannt sein. Wer da sicher gehen will, der muss Verschlüsselung mit Absendersignatur verwenden, vgl. PGP.
DIY schrieb: > Ach ja, und DNS, worauf die ganze Mail Geschichte basiert, ist völlig > ungesichert. ganz davon abgesehen, dass auch das nicht mehr so allgemeingültig stimmt... Was genau meinst du?
Wozu soll das gut sein? Wenn man ein sicheres Passwort wählt, dann ist das auch nicht "hackbar". Diese Script Kiddies testen halt ein paar übliche Passwörter wie 12345678, password, usw. Wenn man ein gutes Passwort hat, dann können einem solche "Hackversuche" egal sein. Hier mal ein paar Sicherheitsgrundlagen: 1. Sichere Passwörter verwenden bzw. generieren lassn (pwgen unter Linux). 2. Für jeden Account ein anderes Passwort verwenden! 3. Keine Email Anhänge öffnen! 4. Bei Sicherheitsfragen keine einfach zu ermittelnden Informationen benutzen (z.B. welche Grundschule und dann im Lebenslauf auf der Webseite die Grundschule angeben). Für die Sicherheitsfragen am besten auch generierte Passwörter benutzen.
nasd schrieb: > DIY schrieb: >> Ach ja, und DNS, worauf die ganze Mail Geschichte basiert, ist völlig >> ungesichert. > > ganz davon abgesehen, dass auch das nicht mehr so allgemeingültig > stimmt... Was genau meinst du? Mailer schicken die Mail dahin wo der DNS hinzeigt, und DNS ist überhaupt nicht gesichert. DNSSEC wird sich wieder verabschieden sobald auch der Rest der Welt gemerkt hat das es sich wunderbar für Amplification Attacks eignet.
Heisenberg schrieb: > Wozu soll das gut sein? Wenn man ein sicheres Passwort wählt, dann ist > das auch nicht "hackbar". Daß das nur die Hälfte des Tellers ist, sollte klarwerden, wenn man sich die "Passwortrücksetzmechanismen" ansieht, die die Betreiber etlicher Dienste verwenden. Dazu ist z.B. der Artikel in der aktuellen c't (vom letzten Montag) interessant, in der jemandem die "digitale Identität" geklaut wird. Gegen so etwas hilft ein sicheres Passwort alleine erstmal überhaupt nicht.
Rufus Τ. Firefly schrieb: > Daß das nur die Hälfte des Tellers ist, sollte klarwerden, wenn man sich > die "Passwortrücksetzmechanismen" ansieht, die die Betreiber etlicher > Dienste verwenden Was auch per Mail passiert, und Mail benutzt DNS. Und leider geht SSL/TLS am Kapitalismus zugrunde.
ihde schrieb: > DNSSEC wird sich wieder verabschieden sobald auch der Rest der Welt > gemerkt hat das es sich wunderbar für Amplification Attacks eignet. Oder die Server gehen dazu über mit UDP-Antworten nicht so großzügig zu sein und auf TCP zu bestehen für alles was Keys enthält.
ihde schrieb: > Mailer schicken die Mail dahin wo der DNS hinzeigt, und DNS ist > überhaupt nicht gesichert. Per DNS den Weg zu hacken, den eine Password-Recovery-Mail von beispielsweise Amazon zu GMX nimmt, ist nicht ganz so einfach.
Wie der von mir bereits erwähnte c't-Beitrag zeigt, ist ein Herumbasteln am DNS überhaupt nicht erforderlich, um richtig Mist anzustellen.
nasd schrieb: > ihde schrieb: >> DNSSEC wird sich wieder verabschieden sobald auch der Rest der Welt >> gemerkt hat das es sich wunderbar für Amplification Attacks eignet. > > Oder die Server gehen dazu über mit UDP-Antworten nicht so großzügig zu > sein und auf TCP zu bestehen für alles was Keys enthält. Bye bye Internet, es war schön mit dir.
Mein E-Mail-Anbieter mail.de hat einen Authenticator, und dadurch fühle ich mich relativ sicher vor Brute-Force-Attacken. Dann können die Hacker gern mein Passwort abfischen oder mit einem Trojaner keyloggen, sie kommen nicht rein. https://mail.de/blog/2012-10-mehr-sicherheit-durch-den-mailde-authenticator!/ Zusätzlich zum Authenticator kann man bei mail.de auch einen anderen Benutzernamen wählen. D.h. ich muss mich nicht mit meiner E-Mail-Adresse einloggen sondern mit einem von mir festgelegten Benutzernamen. Nochmal mehr Sicherheit, denn mein Benutzername ist geheim, meine E-Mail-Adresse nicht. Angucken und ausprobieren, ich würde nie wieder zurück zu GMX wechseln.
Hi, vielen Dank für die vielen Antworten. Das mit dem Authenticator ist ja super, allerdings besitze ich derzeit kein Handy...
Rufus Τ. Firefly schrieb: > Daß das nur die Hälfte des Tellers ist, sollte klarwerden, wenn man sich > die "Passwortrücksetzmechanismen" ansieht, die die Betreiber etlicher > Dienste verwenden. Dazu ist z.B. der Artikel in der aktuellen c't (vom > letzten Montag) interessant, in der jemandem die "digitale Identität" > geklaut wird. > > Gegen so etwas hilft ein sicheres Passwort alleine erstmal überhaupt > nicht. Meinst du das hier? http://www.heise.de/ct/artikel/Risiko-Identitaetsklau-1740579.html Das bestätigt mein Vorurteil dass Journalisten nicht besonders intelligent sind. Wegen solchen Geschichten sollte man, wie oben angedeutet, auf diesen Wiederherstellungskram verzichten. Dann wäre REIN GAR NICHTS passiert. Desweiteren ist es sinnvoll, für JEDEN Account wie eBay, PayPal, Amazon, etc. eine eigene Mailadresse einzurichten. Nur unwichtigen Kram wie uC.net etc. kann man unter einer (separaten) Mailadresse zusammenfassen. Realnamen und Adresse sollte man nur da angeben wo es unbedingt nötig ist (wenn man Post bekommen soll). Und auch da sollte man möglichst den Namen verfälschen (z.B. Schmid statt Schmidt, Walther statt Walter, etc.) und auch immer ein anderes Geburtsdatum angeben, falls das gefragt wird. Und da haben wir noch nichtmal die Grundlagen von sicherem Surfen (Tor, Live Systeme), sicherer Kommunikation (PGP) und weiteren Massnahmen wie Live-Systeme angesprochen. Vielleicht sollte ich mal Schulungen anbieten ...
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.