Wie sicher ist man wirklich?

st.pauliblau · 19 Mai 2009

Hallo.

Wie sicher ist man wirklich?

Mit einem mehr als 20 stelligen Passwort sollte man sich doch relativ sicher fühlen oder?

Das dachte ich auch, bis ich letzte Woche erfahren durfte, wie es ist, wenn man alles verliert, was man Monate lang hart aufgebaut hat.

Mehr als 4 MRD durften bei mir dran glauben.

Und mein PW von klamm wurde nichtmal geknackt, sondern mein E-Mail Passwort und das hatte auch mehr als 20 Stellen.

Da ist eben das Problem, dass man überall mit dem E-Mail Zugang alles bekommt.

Doch wie das verhindern?

Ich wäre ja dafür, dass man sein Passwort nicht mehr via E-Mail bekommt, sondern eine bestimmte Frage, die NUR der User wissen kann beantworten muss und DANN das Passwort bekommt.

Z.b. So Fragen wie " Wie heißt dein Haustier " , "Was ist deine Lieblingszahl"

Denn das kann ein Faker nicht rausbekommen (wenn man es keinem sagt)

Und wie ich gehört hatte, war der "Überfall" auf mein Konto kein Einzelfall.

Würde mal gerne eure Meinungen zu dieser Idee hören.

Gruß st.pauliblau

DaBu33 · 19 Mai 2009

Ich finde die Idee ganz nett, nur werden dann sage ich mal viele Leute "Meine Lieblingsfarbe" nehmen und es mindestens 1.000 mal im Forum posten.

theHacker · 19 Mai 2009

www.keepass.info - sollte das 20stellige Passwort auf 50 weiteren Seiten auch eingesetzt werden sein oder die 20 Stellen einfach nur 12345678901234567890 waren.

Normal knackt niemand ein derartig langes Passwort, wenn es nicht im Wörterbuch steht oder das Passwort anderweitig schon irgendwo im Netz steht.

raven · 19 Mai 2009

DaBu33 schrieb:
Ich finde die Idee ganz nett, nur werden dann sage ich mal viele Leute "Meine Lieblingsfarbe" nehmen und es mindestens 1.000 mal im Forum posten.

Das ist ein durchaus berechtigter Gedanke, allerdings müssen die Fragen ja nicht so einfach sein - die letzten fünf Stellen seiner Sozialversicherungsnummer beispielsweise wird wohl niemand hier im Forum posten

.

Prinzipiell muss zwar jeder selbst auf seinen E-Mail Account achten (z.B. mittels des von theHacker erwähnten KeePass), jedoch wäre eine zusätzliche Sicherheitsüberprüfung ggf. wirklich keine verkehrte Sache.

DaxDony · 19 Mai 2009

st.pauliblau schrieb:
Z.b. So Fragen wie " Wie heißt dein Haustier " , "Was ist deine Lieblingszahl"

Dagegen.
Die Antwort auf die "eine bestimmte Frage, die NUR der User wissen kann" werden die meisten vergessen,
und dann gehen die Probleme erst richtig los.
Man kontaktiert Mone. Sie weiß aber nicht ob ein Passwort wiederhergestellt werden soll, da es auch jemand anders sein kann.

DelphiKing · 19 Mai 2009

st.pauliblau schrieb:
Z.b. So Fragen wie " Wie heißt dein Haustier " , "Was ist deine Lieblingszahl"

Den Namen des Haustieres findet man doch schnell raus, fast jeder hat den mal in irgendeinem Forum oder Profil erwähnt. Google hilft.

Bei der Lieblingszahl werden wohl 50% der User eine von vielleicht 5 Zahlen (1, 7, 13, 23, 42, ...) nehmen. Da hat man auch eine hohe Trefferchance, vor allem wenn man ein paar Versuche oder wahlweise auch viele Accounts zum Durchprobieren hat.

Alchemist · 19 Mai 2009

Absolute Sicherheit kann und wir es nicht geben. Nur zu einfach sollte man es den "Hackern" auch nicht machen.
Solche Sicherheitsfragen sind zwar durchaus nützlich (wird doch bei vielen Emailanbietern benutzt), aber zum einen sollten sie so einfach sein, dass man sich die Antwort gut merken kann. Zum anderen aber nicht zu einfach, sonst können auch andere (wie schon erwähnt) die Antwort einfach erraten. Ist die Frage zu schwer, wird die Antwort darauf quasi zu einem Zweitpasswort, welches man sowieso vergisst da man es im Regelfall nicht braucht.
Ich find die Idee mit den letzten Stellen der Sozialversicherungsnummer gut! Nja wobei da die Frage ist was der Datenschutz dazu sagt...

DaBu33 · 19 Mai 2009

ha bin gerade auf eine perfekte Lösung gekommen, wie ich finde.

Also der User muss 3 Sachen angeben.

1. Altes Passwort (ist ja normal)
2. Sicherheitsfragen (Sowas wie "Wo wurde dein Vater geboren")
3. Personalausweisnummer (Aber nur die ersten 4-5 oder letzten 4-5)

raven · 19 Mai 2009

DaBu33 schrieb:
ha bin gerade auf eine perfekte Lösung gekommen, wie ich finde.

Ich habe da so meine Bedenken ... :roll:

DaBu33 schrieb:
1. Altes Passwort (ist ja normal)

Schon unpraktisch, wenn man ein Passwort angeben soll, dass man mit dieser Sicherheitsabfrage rauszukriegen versucht

.

Desweiteren bin ich der Meinung, dass eine Sicherheitsabfrage ausreichen sollte, wenn so etwas überhaupt umgesetzt würde. Dort dann eine Information auszuwählen, die man nicht mit Google und/oder Social Engineering erhalten kann, ist dann die Verantwortung des einzelnen Users ...

DaxDony · 19 Mai 2009

raven schrieb:
Desweiteren bin ich der Meinung, dass eine Sicherheitsabfrage ausreichen sollte, wenn so etwas überhaupt umgesetzt würde. Dort dann eine Information auszuwählen, die man nicht mit Google und/oder Social Engineering erhalten kann, ist dann die Verantwortung des einzelnen Users ...

Folgende Situation:
Ein User meldet sich neu bei Klamm.de an. Nach 3 Monaten entdeckt er die Vorzüge der Community sowie der Lose, und nimmt aktiv an dieser Teil.
Nachdem man dann gleich mal eine mrd Lose zum zocken gekauft hat, vergisst/verliert man das Passwort.
Die Sicherheitsfrage die man am Anfang eingegeben hat weiß man nicht mehr, denn 90% der User geben irgendeinen Schwachsinn an, der später nicht mehr zu beantworten ist.

In so einem Fall hätte der User ein Problem, da kein Admin einfach hingehen kann und dass Passwort wiederherstellen kann, da die Sicherheitsfrage sonst überflüssig wäre.

Miadeso · 19 Mai 2009

Das mit der Sicherheitsfrage finde ich ganz gut....

Habe da ein eigenes System für,z.B.:

Auf die Frage : "Wo wurde dein Vater geboren" gebe ich ganz andere Antworten ein (z.B. VordenOpelhatteereinenAudi)

Somit bin ich sehr viel sicherer,weil man die Antwort einfach nicht googlen kann.

Wie ich mir die Antworten merke ist ganz einfach:

Dafür benutze ich ein Büchlein und Kugelschreiber....also speichere das auch NIRGENDS auf dem PC ab...

Leider macht sich kaum jemand die Mühe...(dauert ja auch nur ne Minute....ach Mist,habe ja noch soviel andere Sachen zu tun....PW oder die Antwort bekommt doch eh keiner raus).

Ist nur ne Idee von mir ;-)

MfG

Mia

Benutzer-2472 · 20 Mai 2009

Die Frage sollte eher sein, wie jemand in den Mailaccount kam, oder seh ich das als einziger anders? Ein zwanzigstelliges Passwort "errät" man nicht so einfach.

Also man braucht Mailadresse + Passwort, würde mich interessieren, wie man da rankommt. Die Sicherheitsstufe ist schon hoch genug denke ich, mit jeder weiteren Stufe setzt man halt woanders an und diese Fragen sind recht sinnfrei, die Antworten werden sicherlich zu 70% wieder vergessen, was nur Arbeit macht.

Blomberger · 20 Mai 2009

Alchemist schrieb:
Ich find die Idee mit den letzten Stellen der Sozialversicherungsnummer gut! Nja wobei da die Frage ist was der Datenschutz dazu sagt.

Der Datenschutz hat damit schon mal gar nichts zu tun würde ich sagen.

Aber:

Angenommen normalerweise ist mein Passwort sanaboa%&/43kl. Die letzten fünf Stellen meiner Sozialversicherungsnummer sind 38762. Welches Passwort bzw. Sicherheitsabfrage bekommt man nun leichter raus?

Wer also ein 20-stelliges Passwort mit einer zufälligen Kombination aus Buchstaben, Sonderzeichen und Ziffern hat, der ist nahezu optimal geschützt. Denn da gibt es derart viele Kombinationen, dass es einfach nicht möglich ist, auf die richtige Kombination zu kommen. Egal mit was für einem Bot.

Cybo schrieb:
Also man braucht Mailadresse + Passwort, würde mich interessieren, wie man da rankommt. Die Sicherheitsstufe ist schon hoch genug denke ich [...]

Eben!

raven · 20 Mai 2009

DaxDony schrieb:
In so einem Fall hätte der User ein Problem, da kein Admin einfach hingehen kann und dass Passwort wiederherstellen kann, da die Sicherheitsfrage sonst überflüssig wäre.

Zugegeben - in diesem Fall hätte der User ein Problem, jedoch keins, das nicht selbst verschuldet wäre.
Es gäbe aber immernoch die Möglichkeit des Scans eines beliebigen persönlichen Dokuments ...

Blomberger schrieb:
Angenommen normalerweise ist mein Passwort sanaboa%&/43kl. Die letzten fünf Stellen meiner Sozialversicherungsnummer sind 38762. Welches Passwort bzw. Sicherheitsabfrage bekommt man nun leichter raus?

Zusätzlich zu dieser Extra-Sicherung würde man ja erstmal Zugang zu deinem E-Mail-Account benötigen, um überhaupt an die Möglichkeit zu gelangen, dein Passwort zu erhalten - und außerdem sollte das Kontingent an Antworten auf die Sicherheitsfrage natürlich beschränkt sein

.

Priorität ist zwar, wie Cybo schon sagt, der Schutz des E-Mail-Accounts, aber trotzdem muss man es ja nicht zu einfach machen, in den klamm-Account zu gelangen. Ich schätze mal, der Threadersteller hat sich einfach auf irgendeinem unseriösen PC in seinen E-Mail-Account eingeloggt, und ist dabei in die Falle getreten - oder, wahrscheinlicher: hat einen verseuchten PC - oder, oder...

Blomberger · 20 Mai 2009

raven schrieb:
Zusätzlich zu dieser Extra-Sicherung würde man ja erstmal Zugang zu deinem E-Mail-Account benötigen [...]

Wenn für jemanden mein 20-stelliges Passwort für meinen E-Mail-Account keine Hürde ist, dann knackt er ein fünfstelliges Passwort bzw. eine Sicherheitsabfrage auch noch eben...

Ich fände das echt überflüssig, hier noch eine weitere Sicherung einzubauen. Und mir ist es im Moment auch noch ein Rätsel, wie in diesem einen Fall ein so langes Passwort geknackt werden konnte, wenn es aus zufälligen Zeichen und Ziffern bestand.

DelphiKing · 20 Mai 2009

Blomberger schrieb:
Wenn für jemanden mein 20-stelliges Passwort für meinen E-Mail-Account keine Hürde ist, dann knackt er ein fünfstelliges Passwort bzw. eine Sicherheitsabfrage auch noch eben...

Absolut richtig.
In der aktuellen TR gibts einen Bericht über eine Studie zu dem Thema: Wenn geheime Fragen nicht geheim sind

:arrow:

17% der Fragen können von völlig Fremden korrekt beantwortet werden. Das entspricht einem Passwort, das nur aus einer einzigen Zahl zwischen 1 und 6 besteht, die der Angreifer dann erwürfelt :roll:

Benutzer-2472 · 20 Mai 2009

raven schrieb:
[...]
Priorität ist zwar, wie Cybo schon sagt, der Schutz des E-Mail-Accounts, aber trotzdem muss man es ja nicht zu einfach machen, in den klamm-Account zu gelangen. Ich schätze mal, der Threadersteller hat sich einfach auf irgendeinem unseriösen PC in seinen E-Mail-Account eingeloggt, und ist dabei in die Falle getreten - oder, wahrscheinlicher: hat einen verseuchten PC - oder, oder...

Der Zugang zu Klamm ist nicht "erleichtert". Du brauchst das Passwort. Sitze ich an einem konterminierten PC, dann ist es egal wie viele Passwörter ich eingebe, da ALLE abgefangen werden können. Brauche ich die Zusatzabfrage für XYZ, dann benutze ich es täglich, somit gibts ne hohe Chance das mitzuloggen. Nutze ich es "nur" für Mail oder Passwortwechsel stört es mich nicht weiter, da ich auf die Lose weiterhin Zugriff hab.

Das ist im Prinzip so, wie mit dem Losepasswort. Das Teil ist unsicher wie hulle, da JEDE Webseite das locker speichern kann. Die meisten werden es nicht tun, bei einigen weiß ich, dass das PW gespeichert wird!

Soviel zur Sicherheit am Morgen.

da_freak · 20 Mai 2009

DelphiKing schrieb:
17% der Fragen können von völlig Fremden korrekt beantwortet werden. Das entspricht einem Passwort, das nur aus einer einzigen Zahl zwischen 1 und 6 besteht, die der Angreifer dann erwürfelt

Hier vergleichst du aber grade Äpfel mit Birnen.
Laut deiner Ausführung erhält der Angreifer mit einer Wahrscheinlichkeit von 0,17 eine Geheimfrage, die er mit einer Wahrscheinlichkeit von 1 beantworten. Kann. Wie leicht die restlichen 83% der Fragen beantwortet werden können ist offen.
Ich hoffe es ist klar geworden, auf was ich hinaus will.

DelphiKing · 20 Mai 2009

da_freak schrieb:
Hier vergleichst du aber grade Äpfel mit Birnen.
Laut deiner Ausführung erhält der Angreifer mit einer Wahrscheinlichkeit von 0,17 eine Geheimfrage, die er mit einer Wahrscheinlichkeit von 1 beantworten. Kann. Wie leicht die restlichen 83% der Fragen beantwortet werden können ist offen.
Ich hoffe es ist klar geworden, auf was ich hinaus will.

OK, das Beispiel ist vielleicht doof, aber da es ja in den allermeisten Fällen nicht darum geht, einen speziellen Account zu hacken, knackt man eben bei jedem 6. Account (oder öfter, da ja, wie du schon gesagt hast, die Wahrscheinlichkeiten der anderen 83% unbekannt sind) die Sicherheitsabfrage und hat immernoch eine ganz gute Ausbeute.

klamm · 20 Mai 2009

Die Frage ist doch "Wie wird das PW des Email-Kontos geknackt?".
Das hat aber nichts mit klamm zu tun ...

Ist das Emailkonto sicher und das PW auf klamm auch, dann braucht man absolut keine weitere Absicherung. Oder wieso werde ich nie "gehackt"?

Wie sicher ist man wirklich?

st.pauliblau

klammwerbung.de

DaBu33

Well-known member

theHacker

sieht vor lauter Ads den Content nicht mehr

raven

Well-known member

DaxDony

LoseTrader.de

DelphiKing

King with a crown

Alchemist

Member

DaBu33

Well-known member

raven

Well-known member

DaxDony

LoseTrader.de

Miadeso

Well-known member

Benutzer-2472

Blomberger

klamm-Lipper

raven

Well-known member

Blomberger

klamm-Lipper

DelphiKing

King with a crown

Benutzer-2472

da_freak

Well-known member

DelphiKing

King with a crown

klamm

Chef