Tipps zum Schutz der Privatsphäre im Netz

[Member]

@gelegentlich und all, ich habe das Thema mal in einen passenderen Thread ausgelagert, weil es mit Nachrichten aus Thailand nichts mehr zu tun hat.

Kennt google deine Mobilphon-Nummer?
Das ist die UIN (Unique Identification Number – Wikipedia), egal, wie deine Pseudonyme lauten.

In dem beschriebenen Fall, wo es darum geht sich gegenüber Lesern von Bewertungen zu anonymisieren, spielt dieser hohe Grad des Schutzes keine Rolle. Egal ob Google deine persönlichen Daten kennt oder nicht, sie werden diese nicht herausgeben, weil es gegen ihr Geschäftsmodel ist.

Wenn man sich direkt gegenüber Google anonymisieren möchte, dann kannst du das zum Beispiel so machen, dass diese UIN oder andere unikaten Merkmale, nicht mit einen echten Daten in Verbindung gebracht werden können. Man kann sein Urlaubsphone mit anonymen Sim-Karten betreiben. Vielleicht braucht man auch gar keine Sim-Karte, weil Wifi ausreicht usw. Es gibt Möglichkeiten! Wie gesagt, braucht man diesen hohen Schutz in den meisten Fällen gar nicht.

 

[Member]

Es lohnt sich mal wieder seine Accounts (Login E-Mail Adressen) bei Have I been pawned zu checken. Über Telegram wurden 361 Mio. neue Datensätze "eingesammelt".

Have I Been Pwned: Check if your email has been compromised in a data breach

Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.

haveibeenpwned.com

Ein guter Zeitpunkt sich auch mal über seine Passwortsicherheit Gedanken zu machen. Passwort-Manager benutzen und lange Wortphrasen verwenden. Länge schlägt Komplexität

361 million stolen accounts leaked on Telegram added to HIBP

A massive trove of 361 million email addresses from credentials stolen by password-stealing malware, in credential stuffing attacks, and from data breaches was added to the Have I Been Pwned data breach notification service, allowing anyone to check if their accounts have been compromised.

www.bleepingcomputer.com

 

[Member]

Ein guter Zeitpunkt sich auch mal über seine Passwortsicherheit Gedanken zu machen. Passwort-Manager benutzen und lange Wortphrasen verwenden. Länge schlägt Komplexität

Da hätte ich eine Verständnisfrage-nutze bisher auch keinen-weis nicht wie da die praktische Anwendung ist. Aber so ein Passwortmanager läuft ja auch nur auf dem Server oder in einer Cloud von "irgendwem". Ist das dortige Passwort mit dem dementsprechenden Account verknüpft weil sonst brauch ich ja wieder irgendwas um mir zu merken welches PW für welchen Account/Login. Wie safe ist das denn für mich?

Auch ne Cloud kann jemand knacken. Persönlich lad ich da auch keine Bilder oder Dokumente hoch, weil ich im Endeffekt die dadurch aus der Hand gebe und keinen Einfluss mehr habe was damit geschieht….

Nachtrag:
Diese Leake Checks stell ich mir auch nicht unkritisch vor-kann ja auch ne unseriöse Seite (oder eine die gehakt wurde) erwischen und dann haben die auf alle Fälle schon mal meine E - Mail Adresse und können sich mit der beschäftigen, oder?

 

[Member]

Auch ne Cloud kann jemand knacken. Persönlich lad ich da auch keine Bilder oder Dokumente hoch, weil ich im Endeffekt die dadurch aus der Hand gebe und keinen Einfluss mehr habe was damit geschieht….

Sehe ich genauso wie du und überlege mir daher einen eigenen NAS Sever zuzulegen um dann über meinen Router Zugriff auf die Dokumente zu haben.

 

[Member]

Da hätte ich eine Verständnisfrage-nutze bisher auch keinen-weis nicht wie da die praktische Anwendung ist. Aber so ein Passwortmanager läuft ja auch nur auf dem Server oder in einer Cloud von "irgendwem". Ist das dortige Passwort mit dem dementsprechenden Account verknüpft weil sonst brauch ich ja wieder irgendwas um mir zu merken welches PW für welchen Account/Login. Wie safe ist das denn für mich?

Auch ne Cloud kann jemand knacken. Persönlich lad ich da auch keine Bilder oder Dokumente hoch, weil ich im Endeffekt die dadurch aus der Hand gebe und keinen Einfluss mehr habe was damit geschieht….

Du musst dich von dem Gedanken verabschieden, dass die Cloud sicher sein muss. Die meisten Passwort-Manager verfolgen dem Security by Design Gedanken. Das heißt, du musst niemandem vertrauen. Auch keinem Cloudanbieter. Selbst wenn du es auf dein NAS ablegst, könnte der Zugang zu deiner private Cloud gehackt werden. Was wahrscheinlicher ist, als dass Google Drive gehackt werden würde.

Die Passwort-Datenbank ist mit einem 256 Bit Schlüssel gesichert. Du kannst die Datei also ruhig offen ins Internet legen. Google einfach mal danach. Es ist der gleiche Standard mit dem geheime US Dokumente oder Banken ihren Access sichern.

Neben einem sicheren Passwort, schützt du den Zugriff mit einem weiteren Faktor, einem Kryptokey.

Keepass ist ein Open Source Passwortmanager und deshalb besonders sicher. Sieht etwas old style aus, aber man ist super flexibel damit. Es gibt natürlich auch eine App, dann kann man das Passwort durch Biometrie ersetzen. Auch Passkey wird unterstützt. Da sollte man sich auch mal reinlesen, weil das wohl die Zugangssicherung der nächsten Jahre darstellen wird.

Nachtrag:
Diese Leake Checks stell ich mir auch nicht unkritisch vor-kann ja auch ne unseriöse Seite (oder eine die gehakt wurde) erwischen und dann haben die auf alle Fälle schon mal meine E - Mail Adresse und können sich mit der beschäftigen, oder?

Ja, wie überall wo man seine Daten eingibt, sollte man der Seite vertrauen. Nach meinem Wissen gibt es nur diese beiden.

Anhang anzeigen 1717842283041.png

Anhang anzeigen hp.png

 

[Member]

Keepass ist ein Open Source Passwortmanager und deshalb besonders sicher. Sieht etwas old style aus, aber man ist super flexibel damit.

Nutze ich auch. Es gibt auch modernere Ableger wie

KeePassXC Password Manager

KeePassXC Password Manager

keepassxc.org

oder für Android auch noch

KeePassDX

www.keepassdx.com

noch besser auf den Einsatz der Passwörter verzichten und stattdessen passkeys nutzen:

Drei Fragen und Antworten: Mit Passkeys aus dem Passwörter-Elend?

Sichere und bequeme Anmeldung ohne Passwort und zusätzliche Hardware-Token – wir erklären, wie das mit Passkeys möglich ist.

www.heise.de

 

[Member]

Hab mich noch nicht intensiv mitbedachte Thema befasst. Gibt es einem password Manager der über Ecosystemgrenzen hinweg zuverlässig arbeitet, also für android und iOS und nicht nur im Browser sondern auch bei den Apps?

 

[Member]

Es lohnt sich mal wieder seine Accounts (Login E-Mail Adressen) bei Have I been pawned zu checken. Über Telegram wurden 361 Mio. neue Datensätze "eingesammelt".

Have I Been Pwned: Check if your email has been compromised in a data breach

Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.

haveibeenpwned.com

Ein guter Zeitpunkt sich auch mal über seine Passwortsicherheit Gedanken zu machen. Passwort-Manager benutzen und lange Wortphrasen verwenden. Länge schlägt Komplexität

361 million stolen accounts leaked on Telegram added to HIBP

A massive trove of 361 million email addresses from credentials stolen by password-stealing malware, in credential stuffing attacks, and from data breaches was added to the Have I Been Pwned data breach notification service, allowing anyone to check if their accounts have been compromised.

www.bleepingcomputer.com

Hallo!
Wenn die entsprechenden Server, bei mir Linkedin, gehackt werden, kann ein (Linkedin-)Passwort doch so lang sein wie es will?
VG

 

[Member]

Hallo!
Wenn die entsprechenden Server, bei mir Linkedin, gehackt werden, kann ein (Linkedin-)Passwort doch so lang sein wie es will?
VG

Richtig. Früher hat man empfohlen alle paar Wochen seine Passwörter zu erneuern. Heute empfiehlt man einmalig ein besonders sicheres Passwort zu wählen und auf die Wechsel zu verzichten. Dafür sollte man allerdings checken ob Zugriffsdaten durch einen Hack geleaked wurde. Dafür nutzt man dann HIBP. Firmen haben oft Verträge mit MIBP und werden so aktiv auf Leaks in Verbindung mit Firmen E-Mail-Adressen hingewiesen.

Außerdem sollte man für jeden Account ein anderes Passwort wählen. Und natürlich MFA aktivieren.

 

[Member]

noch besser auf den Einsatz der Passwörter verzichten und stattdessen passkeys nutzen:

Auch wir werden nach dem Update Passkeys anbieten. Allerdings wird es noch etwas dauern aber bestimmt noch in diesem Jahr kommen.

So, with all that being said, let's take a look at passkeys support in XenForo 2.3!

What is a passkey?​

Passkeys are a secure replacement for passwords and/or second factor authentication. They take many forms ranging from physical devices (e.g. Yubikeys) to biometric authentication built in to your phone or computer. Some types of passkeys can even be synced across all of your devices, for example I can setup a passkey using my fingerprint on my MacBook Pro which is then synchronised with my iPhone and authenticated using FaceID. Or you may have a password manager such as Bitwarden or Proton Pass which synchronise your passkeys across different browsers and devices.

They are extremely secure, extremely easy to set up and extremely easy to use.

Adding a passkey in XF 2.3​

Passkeys can be managed for your account under Account > Password and security. To kick the process off you simply click "Add passkey" which, in supported browsers, will invoke some sort of interface, usually served by your browser, device, or password manager.

Let's look at the process in more detail via an iPhone:
Anhang anzeigen 299477-1e3b08daa54f0885f77338caf17e11a2.mp4

It's that easy! From that point forward, not only will you be able to use your passkey for logging in, it also enables any of your current or future passkeys to be used as two-factor authentication.

Passwordless login​

It's just as easy using a passkey as it is to add one. Let's take a look at the login flow with the passkey I just created:

Anhang anzeigen 299491-521baca6431cff43e8efb6459bf27e54.mp4

No need to enter your password. No need to even enter your username! Just tap "Log in using: Passkey" and follow your device's prompts and you'll be logged in!

We've just rolled this out here so have a play around and let us know your thoughts!