PC Smalltalk und Frageecke

[Scorcher24_]

Oder http://leakedsource.com

[Lumilicious]

Ah, die kannte Ich nicht. Danke!

Die scheint sogar besser zu sein, da bei nem Usernamen von mir 3 Ergebnisse auftauchen, anstatt nur eins wie bei der Seite von mir.

[Levi]

Nett. Nur der patreon Vorfall. Für eine seit 15 jahren aktiv genutzte email Adresse erstaunlich gut

[Scorcher24_]

Nett. Nur der patreon Vorfall. Für eine seit 15 jahren aktiv genutzte email Adresse erstaunlich gut

[adventureFAN]

Zum Glück hab ich für meine sensiblen Sachen andere Passwörter =D

Mittlerweile hat meine eMail 4 Breaches gesammelt! oO
Nexus Mods
Trillian
Abandonia.com
UnrealEngine.com

[Scorcher24_]

Einer der Gründe warum ich für meine EMail einen USB Dongle habe. Da kann geleaked werden was will, in meine Mail kommt keiner rein ohne den Stick, denn das ist der Dreh- und Angelpunkt aller Accounts.

https://www.amazon.de/Yubico-Y-123-FIDO ... B00NLKA0D8

[Eirulan]

Ups, von dem Trillian Breach wusste ich noch gar nichts - verdammt!

... bei der Gelegenheit, welchen Passwort-Manager könnt ihr denn so empfehlen?

[adventureFAN]

Wie funktioniert das denn mit dem Stick? Ist der wirklich so sicher?

[Scorcher24_]

Wie funktioniert das denn mit dem Stick? Ist der wirklich so sicher?

Momentan funktioniert es nur mit GMail und Chrome. Denn das Gerät bzw das Verfahren muss vom Email Anbieter und dem Browser unterstützt werden. Ich hab es einfach in den Google Einstellungen unter Second Factor aktiviert. Dazu ist die Angabe einer Telefonnummer nötig, damit man zur Not ohne den Stick reinkommt, per SMS. Bei der Aktivierung erstellt der Stick ein Key Pair (public/private) das auf dem Stick gespeichert wird und der Public Key wird, in dem Fall, an Google übermittelt. Ausserdem wird das Zertifikat des Servers gespeichert bzw dessen Signatur. Beim einloggen muss man den Stick aktiv anfassen, damit der Stick die Daten preisgibt. Ausserdem tut er das auch nur, wenn die Server Challenge mit dem auf dem Stick gespeicherten Zertifikat übereinstimmt.

Dadurch ist die Sicherheit sehr hoch und mir persönlich ist bisher kein Hack dieses Systems bekannt. Zumindest nicht für den FIDO Key selbst. Die Schwachstelle hier ist das Telefon und es gab dort schon einen Vorfall bei dem SIM Karten von der Telekom nachbestellt wurden für Kunden, indem man sich als Telekomshop ausgab. Dadurch wurde von den Kunden das mTAN Verfahren der Bank geknackt und Geld gestohlen. Passwörter und Kontonummern sowie Telefondaten hat man sich schon vorher durch Social Engineering beschafft. Ich habe seitdem bei meinem Anbieter (Klarmobil) eine Sperre für neue SIM Karten einrichten lassen, solange nicht das Passwort genannt wird. Kein Shop kann für mich eine SIM Karte anfordern.
Es hebelt nicht alle Angriffe aus, aber typisches Phishing, Cookie Stealing und Keylogger sowie Leaks sind damit eliminiert. Aber darum gehts ja bei Sicherheit: Es so aufwändig wie möglich zu machen, damit der Angreifer die Lust verliert.

Links:
http://www.golem.de/news/onlinebanking- ... 02363.html
http://security.stackexchange.com/quest ... u2f-tokens

Das ist halt die Sache. Um solche Dinge erfolgreich zu benutzen, muss man die Schwachstellen kennen und sich informieren. Und das ist oft zuviel für Otto Normalverbraucher. Der will das Internet benutzen, aber sich um Sicherheit keine Gedanken machen müssen. Die typische "Ich hatte noch nie Probleme" Einstellung halt. Mir geht kein anderer Satz so aufn Keks wie der .

... bei der Gelegenheit, welchen Passwort-Manager könnt ihr denn so empfehlen?

Ich benutze KeePass. Ist Open Source und kostenlos.

[Eirulan]

... bei der Gelegenheit, welchen Passwort-Manager könnt ihr denn so empfehlen?

Ich benutze KeePass. Ist Open Source und kostenlos.

Danke, werde ich mir mal anschauen...
Ich hatte LastPass im Auge, deren mobile App kostet aber leider was...
Wichtig wäre mir v.a. eine App auf allen Geräten (mehrere PCs und mobile (Android) Geräte) die sich automatisch syncen.
Wenn es dann noch 2FA gibt wäre das ideal.
Kann KeePass das?

[Scorcher24_]

Das weiss ich gerade leider nicht, ich benutze es nur als Desktop App, sorry.

[johndoe774091]

Ist auch die Frage, ob es so schlau ist seine Passwörter in die "Cloud" zu laden.

Ich benutze Passwordsafe. Die Safe-File liegt auf einem USB, den ich stecke wenn ich ein Passwort benötige. Wenn ich Passwörter außerhalb meines Heims benötige, hab ich halt Pech.

[Eirulan]

Ist auch die Frage, ob es so schlau ist seine Passwörter in die "Cloud" zu laden.

Ich benutze Passwordsafe. Die Safe-File liegt auf einem USB, den ich stecke wenn ich ein Passwort benötige. Wenn ich Passwörter außerhalb meines Heims benötige, hab ich halt Pech.

So wie du das machst, ist es natürlich sicherer, klar
Ist halt eine QoL Frage... Ich würde davon ausgehen, dass die gesyncten Daten hochverschlüsselt sind, sonst gäbe es diese Programme ja nicht.
Ist denke ich sicherer, als überall ähnliche oder gar gleiche PW zu verwenden.
Ich habe zwar überall ein anderes Passwort, aber der innere Kern der Passwörter ist überall gleich und die Ergänzung vorne und hinten für mich nachvollziehbar. So komme ich ohne viel Nachdenken immer aufs Passwort.

Nächste Woche hab ich Urlaub und Zeit, da wollte ich das ganze System mal mit wirklichen Random-Passwörtern umstellen (+ frische E-Mail Adresse). Das Keepass schau ich mir mal an dann.

[johndoe774091]

Ja, neuerdings lasse ich mir auch die Passwörter generieren. Dementsprechend brauche ich dann auch den Passwordsafe. Klar wäre es praktischer dann auch unterwegs darauf zuzugreifen, aber mir wäre es dann doch zu heikel die irgendwo auf einem Server abzulegen.

Am Schlimmsten war bei mir mal: Pin der EC-Karte vergessen. Zuhause wollte ich nachschauen. Ordner in die Hand genommen und dann ist sie mir wieder eingefallen

[Scorcher24_]

Ich brauch ein neues Headset nachdem mein G35 dauernd kaputt war und Amazon es endlich zurückgenommen hat.
Hier eine Auswahl was ich im Auge habe:

Astro Gaming A40 Headset Stereo
https://www.amazon.de/dp/B00E0239V6/

Corsair Gaming VOID RGB USB Carbon 7.1
https://www.amazon.de/dp/B013N07AW4

Corsair Gaming H2100 USB Wireless Dolby 7.1
https://www.amazon.de/dp/B00NHJQ8CA/

Vorneweg, ich bin nicht audiophil, ich suche einfach nur was das stabiler ist als das G35 und in Spielen vernünftig klingt. Ich muss sagen, ich hab schon ein wenig ein Auge auf das Astro Gaming A40, weil mir das ermöglichen würde mal wieder eine dedizierte Soundkarte einzubauen und könnte die damit auch abends/nachts nutzen.
Falls hier jemand ein starkes Veto oder Pro für eines dieser Headsets hat, bin ich aber ganz Ohr. Von Logitech bin ich kuriert was Headsets angeht.