Warum man Passwortsicherheit ernst nehmen sollte.

[Klausmong]

Ich bekomme ja immer wieder die Info, das wer versucht hat meine Passwörter zurückzusetzen.

Und da ich immer Passwörter verwende, die lang und mit Sonderzeichen ausgestattet sind, hatte ich bisher Glück.
Ebenso macht es Sinn, die ab und an mal zu wechseln.

und nicht überall ein Passwort zu verwenden.

Hier mal ein Beispiel, wie oft versucht wird, einen Microsoft Office Account zu hacken.

Der "Erfolgreiche Anmeldeversuch" von den Seychellen war nicht erfolgreich.

Der hacker hat zwar die richtige email gehabt, aber das war es dann auch schon.
Ich habe die Meldung bekommen, das ich eine Passwortänderung angefordert habe.
War ich aber nicht.

Also einfach aufpassen, und vernünftige (und immer wieder mal wechselnde) Passwörter verwenden.

 

[Andi#87]

Damit ich nicht doof sterbe: Was macht man mit einem gehackten MS Account, wenn dort keine Zahlungsmittel hinterlegt sind?
Was hat man dann für einen wirtschaftlichen Schaden?

 

[Klausmong]

Das würde mich auch interessieren.

Aber ich vermute, man kann doch Zahlungsdaten angreifen.
Denn es sind ja welche hinterlegt.
Ist bei mir zB ein Abo von office365

 

[SQ18]

Ich habe u.a. eine gewisse Identität?
Im Office Account ist auch eine Verfifizierungs Telefonnummer hinterlegt, oder?
Ich habe eine funktionierende Benutzer Passwort/Kombi die ich auch bei anderen Diensten durchtesten kann.
Egal wie, wenn ich bei einer Person einen Zugang habe kann ich micht evt. weiterhangeln...

Bestimmte Dienste sind echt im Fokus - geil ist auch wenn man an einem Anschluss Ports für VoIP direkt freimacht (5060) - das hatte ich einmal testweise gemacht um einen Fehler einzugrenzen und das VPN auszuschließen.

 

[zyklotrop]

Ich nutze seit geraumer Zeit einen PW Manager. Bei mit wurde es NordPass. Bitwarden soll aber wohl auch recht gut sein.

 

[Andi#87]

Der in Mozilla implementierte Passwortmanager ist auch recht gut. Man muss dann halt Mozilla mögen

 

[zyklotrop]

Der in Mozilla implementierte Passwortmanager ist auch recht gut. Man muss dann halt Mozilla mögen

Klar. Nur sind externe Manager unabhängig vom Browser. Sie funktionieren auch wenn du dich auf deinem Handy in einer App einloggst. Norton hat übrigens auch einen im 360 Premium Abo enthalten. Den habe ich nur nicht getestet weil ich nicht alles vom Nord umkrempeln wollte.

 

[GSler1973]

Sämtliche meiner Logins sind durch die 2 Faktorenauthentifizierung zwar aufwändig, aber möglichst sicher gestaltet.

 

[ChrisAUT]

Ich nutze seit vielen Jahren Roboform (Passwortmanager) - ist zwar kostenpflichtig, aber das ist es mir wert.

 

[kreuzer]

Servus,
es kommt halt auch immer drauf an, wie so ein Konto benannt ist. Mein Konto bei Google hat eine E-Mailadresse wo alle Leute drüber lachen, aber hey, bisher kein SPAM, keine Versuche das Konto zu hacken oder was auch immer.

Konten, oder E-Mailadressen, welche in der Regel aus Vor- & Zunamen bestehen sind halt ein leichtes Ziel.

Und wie oben beschrieben, 2FA ist eine gute Möglichkeit, seine Konten sicherer zu machen. Bedenkt bitte nur, habt auch ein Backup für 2FA, sollte man euer Handy abhanden kommen.
Ich nutze auch Bitwarden, weil es sicher ist, weil es auch via Browser zu erreichen ist, und weil es mir die Kopfarbeit abnimmt, Passwörter zu merken.

Beste Grüße

Andreas

 

[Nordisch]

Keepass für Windows bzw. KeePassDroid für Android ist für mich 1. Wahl. Wirklich kennen tue ich eigentlich nur 3 Kennworte (Privat, Arbeit und Keepass-Datenbank). Alle anderen sind sowas von kompliziert, die stehen in der Datenbank.

Dazu noch, wo möglich, 2FA mit Aegis unter Android.

 

[FlowRider]

Was macht man mit einem gehackten MS Account

Die verkauft man über "Shops" als "1 Jahr Office 365 gültige Lizenz" für ein paar Cents automatisiert. Die Menge macht's.

Ich rate zu einem guten Passwortmanager : Guter Test hier von der FAZ: Test: Der beste Passwort-Manager

Passwörter mit 40 Zeichen, für jedes Konto ein anderes, 2FA wo immer möglich (auch hier!)

Der Passwortmanager schützt indirekt auch vor Phishing: Bei einer Fake-Seite bietet er kein Login bzw. Passwort an.

Man kann dann noch doppelt paranoid werden und für jedes Konto eine eigene Email-Adresse verwenden. So mache ich das

 

[FlowRider]

Bitte auch hier schauen (oder in meiner Signatur )

Schütze dein Mitgliedskonto: Aktiviere Zwei-Faktor-Authentifizierung ( 2FA )

 

[lederkombi]

Erstaunlich. Ich arbeite ja auch in der IT und habe bislang noch nie solche Meldungen erhalten!

 

[kreuzer]

Hm,
hab jetzt mal bei Microsoft geschaut, bei mir waren es 2 Anmeldungen, einmal Brasilien und Urugay.

Aber hey, mit 2FA bin ich da schon fast beruhigt.

Grüße

Andreas

 

[Willem66]

Hier kann man gucken, ob eigene accountdaten bekanntermaßen im Umlauf sind:

Have I Been Pwned: Check if your email has been compromised in a data breach

Infos dazu:
Have-I-Been-Pwned-Projekt nimmt jetzt auch Infostealer-Daten auf

 

[qtreiber]

Ich habe meine "Einkaufs- und Forenadressen" getestet:

 

[Andi#87]

Hier kann man gucken, ob eigene accountdaten bekanntermaßen im Umlauf sind:

Have I Been Pwned: Check if your email has been compromised in a data breach

Das blöde hieran ist: Selbst wenn dein Passwort vor 10 Jahren aus einer Datenbank (z.B. Adobe) geklaut wurde und du es zwischenzeitlich zig mal geändert hast, bekommst immer wieder ne Warnmeldung. Auch nach 15 Jahren noch. Deswegen gebe ich da nicht allzuviel drauf

 

[lederkombi]

Man muss zu diesen Checkern aber auch ganz krass Vertrauen haben...die sammeln ja so massiv Logindaten!

 

[FlowRider]

Man muss zu diesen Checkern aber auch ganz krass Vertrauen haben...die sammeln ja so massiv Logindaten!

Die erfordern nur eine Email-Eingabe.
Die anderen Daten haben sie ja von den bösen Jungs, sind also bereits öffentlich.

Und zur Domain (etwa haveibeenpwned) kann man vorher virustotal.com fragen.
Im Beispiel sagt er auch (zuletzt vor 1 Stunde geprüft) "no malicious intent".