Werte Regenten,

zu unserem Bedauern mussten wir feststellen, daß auch unsere email adresse in den als "Collection eins bis
fünf" bezeichneten Datensammlungen enthalten ist.

Nach allem, was wir gelesen haben, besteht die sicherste Methode, möglichen Missbrauch zu vermeiden darin,
alle Passwörter zu ändern, die mit einer geleakten email adresse verbunden sind.
Hier nun fängt unser Problem an.

Als technischer Illiterat verwenden wir seit 20 (?) Jahren eine (!) email adresse für alles (Online Banking,
Amazon bis irgentwelche Forenaccounts). Immerhin haben wir nicht ständig dasselbe Passwort benutzt; zudem sind
die verwendeten Passwörter im Laufe der Jahre auch immer etwas ausgefallener geworden.

Fragen:
1.) ist es wirklich nötig alle Passwörter zu ändern. Habe mal gecheckt, da sind Accounts dabei, die ich seit
Jahren nicht mehr nutze etc.

2.) wie sinnvoll ist ein Passwort Manager? Bisher alles handschriftlich notiert (habe auch alleinigen Zugang
zum PC), und nutze zudem Chromes Passwort Speicherfunktion (für Foren, nicht für Finanzielles).

3.) wenn ich mehrere email adressen nutze, wie sieht die beste Aufteilung aus? Finanzielles für sich, getrennt
von allem anderen, oder müsste auch z.B. Matrix oder Steam mit zum finanziellen Teil hinzugefügt werden?

4.) alte email adresse komplett einschlafen lassen?

Für sachdienliche Hinweise bedanke ich mich im Voraus. :)

Bei uns sind zwei email Adressen mit insgesamt fünf leaks betroffen. aber nur moneybooker.com hätte uns gefährlich werden können. Nur haben wir seit rund sieben Jahren keine Kreditkarte mehr, also entstand auch kein grösserer Schaden. wir werden trotzdem einige Passwörter ändern.

Hohenlohe...:(

Ein Passwort Programm ist (IMHO) grundsätzlich sinnvoller als ein Papierzettel.

1. Hast du in der Regel auch einen Passwortgenerator dabei. Du musst dir also nicht selbst immer irgendwas aus den Fingern saugen.
2. Die Datenbankdatei kannst du bei einem Rechnerumzug einfach auf den neuen Rechner kopieren. Du musst also nicht hoffen das in der Browsersicherung auch die Passwortgeschichte enthalten ist.
3. Wer sagt die das Chrome, etc nicht doch mal deine Daten zu google transferieren? Natürlich nur für den Kunden mit anderem Rechner und so. Spätestens hier greift dann in der Regel auch die US Gesetzgebung und die besagt alles was irgendwie auf US Servern liegt, muss bei Bedarf zur Verfügung gestellt werden. Und alle Beschwörungen zum trotz glaube ich halt immer noch nicht, das Sadya Nadella oder Saydur Pichai lieber in den Knast gehen, als meine Daten herauszurücken.

ICh selbst habe eine Webseite und eine Domain mit bis zu 10.000 Mailadressen (bei 500 Konten). Brauche ich nie im Leben, aber ermöglicht es mir für wichtige Dienste und WEbseiten jeweile eine eigenen Mailadresse anzulegen und die auf 1 Konto (Postfach) zu schicken. So sehe im Notfall welcher HErsteller mal gehackt wurde, oder meine Mailadresse weitergeleitet hat. im Notfall wird das Konto (beim hersteller) oder die Mailadresse gelöscht ... - Ruhe im SChiff

Nur eine Mailadresse zu verwenden stellt an sich kein Problem dar, wenn man nicht immer das gleiche PW verwendet.
Heutzutage würde ich aber vermutlich mindestens 2 Benutzen. Eine für private Kommunikation und eine für Foren,...
Wenn eine Mailadresse erst einmal öffentlich bekannt ist (wie in diesem Fall) ist Sie in der Regel verbrannt. Sprich ihr werdet regelmässig SPAM darauf bekommen. Die Chance das es mal aufhört, liegt bei so ziehmlich ... 0
In sofern behaltet die jetztige für Foren und Spam und erstellt eine neue für private Kommunikation.

Wichtige Seiten (Bank, Shopingseiten etc) da würde ich das PW ändern. Gleich zufallsgeneriert aus einer Keydatei heraus.

Die Collection PWs stammen vielfach aus früheren Leaks und sind einfach nur eine Kollektion.

Dazu stammen die PWs ja nicht von eurem Email account, sondern von einem irgendwo angemeldeten Account, der mal diese Email genutzt hat.

Viel spannender als ob eure Email mal in einer Kollektion auftaucht, ist ob eure aktuellen PWs dort auftauchen: https://haveibeenpwned.com/Passwords
Ist eines eurer PWs dabei, solltet ihr es ändern. Egal ob es zufällig jemand anders ebenso benutzt oder ob es wirklich von euch stammt. Sobald ein PW einmal geleaked ist, sollte es vermieden werden.

Grundsätzlich mehr Sicherheit liefert die 2 Faktor Autorisierung. Google und Amazon schicken uns jedes mal eine SMS, wenn wir uns an einem unbekannten Gerät/Browser anmelden.

2 Faktor muss man aber auch gut aufpassen. Ich komme zB. Nicht mehr in meinen Apple-Account. Habe 2F aktiviert, aber noch die Telefonnummer ohne Ländervorwahl eingegeben. Das iPhone von damals ist inzwischen resetet. Somit kann ich mich derzeit nicht einloggen, weil mir die SMS nicht zugestellt werden kann andererseits kann ich somit auch nicht die Handynummer ändern.

Der Vorteil einer Password Verwaltung ist natürlich auch, das Ihr wirklich überall andere Passwörter verwenden. In sofern ist evtl ein Login betroffen. Aber halt nur einer. Die wichtigen kann man dann immer noch schauen.

Wir geben bei der 2Faktor immer noch eine Ersatztelefonnummer an.
Würden wir sowieso jedem empfehlen, entweder ein billiges Pre-Paid 2 Handy für Notfälle/Sicherheit oder aber jemanden, den man kennt und vertraut (Eltern, Partner, Geschwister)

Auf die PW Verwaltung stehen wir garnicht. Außer vielleicht auf einem externen Stick oder über FreeODP.

Unsere PW Verwaltung ist auf unserem Server verschlüsselt in der Cloud abgelegt. Die PW App greift auf die DB zu und ich muß nur mein langes und schwieriges Passwort (oder den Daumen) eingeben und kann dann auf dem Handy und dem PC die Passwörter nutzen.
Keepass können wir empfehlen und der hat auch einen Generator für die Passwörter.
Und wie Aith Anar schon schrieb, nimmt 2 Email Adressen. Am besten ganz neu Anfangen. Eins für die normale Post und eins für Foren oder sonstiges. Wir haben bspw. 15 Für Banking und Amazone, etc. eine eigene.

Und ein billiges Pre-Paid 2 Handy für Notfälle/Sicherheit/ebay haben wir auch noch.... und 2Faktor nutzen wir auch. Wenn wir das Lesen, denken wir gerade, was für ein Freak wir sind.... Aber ehrlich, wir sind ganz normal... oder???!!! :D

Erstmal vielen Dank für die nützlichen und hilfreichen Anregungen.

Wir haben inzwischen 3 neue Email Adressen angelegt, benutzen einen Password-Manager ("Enpass"), und haben die wichtigsten Verbindungen mit neuer Email und neuen Passwörtern versehen. 2 Faktor wurde auch aktiviert, wo es möglich ist.
Dieser Vorgang ist zwar öde und mühsam, aber wir haben auch wieder etwas gelernt: Diceware Verfahren um Pw`s zu generieren.

Wie würden gerne noch 2 weitere Fragen an die Werte Regentschaft richten:

a) @ Kiwi: wie funktioniert das im Alltag, 15 verschiedene Email Adressen zu checken? Soweit wir uns informiert haben, gibt es ja die Möglichkeit, sich die Emails verschiedener Provider auf einem Email Account anzeigen zu lassen. Nur -verunsichert, wie wir momentan sind- schrecken wir davor zurück, weil damit jeweils eine PW Abfrage verbunden ist.

b) gibt es Möglichkeiten, den Online Banking Account zusätzlich zu schützen.
Derzeit: PW limitiert auf 5 Zeichen, Email habe ich garnicht hinterlegt, von 2 Faktor ist gar keine Rede???

Wie schon geschrieben, habe ich eine eigenen Domain.

Für fast alles erstelle ich eine eigene Mail-Adresse. Aufschalten tue ich die auf jeweils auf das gleiche Mailkonto. Einloggen tue ich mich im Prinzip mit einer Hauptmail-Adresse und Kontrolle das Konto.

Alternativ nimmt man halt ein Mailprogramm wie Outlook, Thunderbird etc. Die können auch mehrere Mailkonten abfragen.

B)
Sieht vermutlich schlecht aus. Wenn nicht die Bank da Änderungen anbietet, könnt ihr eigentlich nur die Bank wechseln. Oder Ihr verwendet einen zweiten Rechner (oder VM) nur für Bankangelegenheiten.

... Dieser Vorgang ist zwar öde und mühsam, ...

Das finden wir auch, wir müssen dann immer aus dem Keller laufen und auf das Handy schauen. Aber es ist uns dann doch sicherer und wir machen es trotzdem. Ist ja auch nur für 3 sehr wichtigen Accounts.




a) @ Kiwi: wie funktioniert das im Alltag, 15 verschiedene Email Adressen zu checken? Soweit wir uns informiert haben, gibt es ja die Möglichkeit, sich die Emails verschiedener Provider auf einem Email Account anzeigen zu lassen. Nur -verunsichert, wie wir momentan sind- schrecken wir davor zurück, weil damit jeweils eine PW Abfrage verbunden ist.


U.a. aus diese Forum und weil wir .unsereStadt als Domain haben wollten, haben wir uns auch eine eigene Domain (sowie der werte Alith Anar) angelegt. Dann noch einen extra Email-Account für Foren und Shops.
Bei beiden haben wir dann Alias Email Adressen. Deswegen haben wir nur 2 Hauptaccounts und unter den liegen dann die anderen 10-20 Email-Adressen, wie z.B. Bernd-kann-gelöscht-werden@XXX.de
Wenn es uns zu bunt wird, löschen wir einfach diese Alias-Adresse und gut ist.




b) gibt es Möglichkeiten, den Online Banking Account zusätzlich zu schützen.
Derzeit: PW limitiert auf 5 Zeichen, Email habe ich garnicht hinterlegt, von 2 Faktor ist gar keine Rede???

Aber ist es nicht so, dass ihr das Passwort nur 3 mal eintragen dürft, danach wird der Account gesperrt? So ist es bei uns.
Wir nutzen aber dafür nicht den Browser, sondern haben eine Banking Software. Hat den Vorteil, dass diese nur Depp-Kiwi benutzt und die Hacker sich auf die Browser stürzen, die Software wäre viel zu aufwendig. Das haben wir mal in der c`t und woanders gelesen.

Da fällt uns ein, die c`t hatte da mal ein Image für eine CD. Die startete man, anstatt sein Betriebssystem und konnte sicher Banking machen. Aber DAS war sogar uns zu umständlch. Das soll was heißen *LACH*

Wir benutzen nun seit längerem keypass für die Verwaltung Unserer Passwörter. Das Ganze wird "gesichert" durch die Eingabe eines Master-Passworts und dem Laden einer key-Datei, die Wir auf einem USB-Stick aufbewahren.
Ansonsten verfahren Wir ähnlich wie diverse Herren hier, Wir haben Emailkonten bei outlook, web.de, freenet und gmx, ernsthaft nutzen Wir aber nur web.de und outlook, die anderen Konten sind wegwerfadressen mit entsprechenden alias wie z.b. kannweg@ oder fuerspammails@ usw.
Wichtige Konten wie Paypal, banking, steam usw. haben Wir zusätzlich mit Handycodeabfragen gesichert, und bisher fahren Wir sehr gut damit.

Ein wichtiger Hinweis, der wenig beachtet wird, aber eigentlich logisch ist: Gelegentlich die Passwörter ändern.

Ich gehöre da selbst zu den nicht so fleissigen. :o

Wir haben heute unsere erste Spamemail auf Basis der "Collection" bekommen.
Jetzt wissen wir wenigstens, dass das dortige Passwort auf einen Accountleak von 2016 zurück geht (wie alle Leaks zu unserer Email Adresse), nie unser Email Passwort war und seit 2016 nicht mehr genutzt wird.

Diese Collections sind aber auch nicht DIE Erkenntnis schlechthin, denn wir haben mal unsere vier Mailadressen gecheckt und alle waren diesbezüglich sauber!
Trotzdem werden zwei davon seit einiger Zeit mit Spam nur so zugeschüttet, das kommt dann wahrscheinlich über den Account von irgendeinem unserer Kontakte, der dann wohl gehackt wurde?

Ein wichtiger Hinweis, der wenig beachtet wird, aber eigentlich logisch ist: Gelegentlich die Passwörter ändern.

Ich gehöre da selbst zu den nicht so fleissigen. :o

Kein wichtiger, in der Tendenz sogar kontraproduktiver Hinweis.
Nicht wichtig, weil er zu spät ansetzt. Man verhindert damit auf gut Glück, dass ein vllt. geknacktes Passwort genutzt werden kann. Das Knacken verhindert es nicht.
Kontraproduktiv aus mehreren Gründen.
Zunächst gibt es die Tendenz, bei regelmäßigen Wechseln simplere Passwörter zu nutzen.
Ebenso gibt es die Tendenz, die Passwörter nur leicht abzuändern, was im Falle eines tatsächlich geknackten Passworts kaum was bringt. Denn für die Änderung gibt es Vorhersage-Tools.
Dann gibt es Listen mit geknackten/häufig verwendeten Passwörtern. Zusammen mit dem Simpel-Aspekt kann es also durchaus passieren, dass man von einem ungeknackten, sicheren zu einem geknackten, unsicheren wechselt.
Man kommt eher mit Passwörter durcheinander, was entweder den Effekt hat, dass man auch selber nicht mehr reinkommt oder man schreibt sich das Passwort irgendwo auf, wo es dann potenziell ausgespäht werden kann.

PW ändern ist nur Pflicht, wenn man weiss oder begründet vermutet, dass das PW geknackt wurde.

Ein gutes Passwort ist eigentlich simpel zufinden und muss zwei Anforderungen erfüllen:
1. Muss es lang sein, das schützt vor brute force attacks.
2. Darf es nicht "erratbar" sein, also keine einem Angreifer zugänglichen Informationen enthalten. Das betrifft zum einen Angriffe durch einen menschlichen Hacker, zum anderen automatisierte, die auf Datenbanken, z.B. Facebook-Datensätze oder Sprichwörtersammlungen zugreifen.

Wenn man aber z.B. Keepass als Key Generator nutzt, dann sollten doch auch die neuen 20 stelligen sicher sein.

Nicht, wenn sie ausgespät wurden.

Wenn man aber z.B. Keepass als Key Generator nutzt, dann sollten doch auch die neuen 20 stelligen sicher sein.

Ist die einzige Konstellation wo ein PW-Wechsel was bringt.
Allerdings ist hier was anderes fraglich:
Wenn Ihr einen PW-Manager nutzt, ist ein zufälliges Entschlüsseln unwahrscheinlich. Verwendet man nur 70 Zeichen (A-Z groß und klein, Ziffern 0-9, plus, Minus, Mal, Geteilt, Komma, Punkt, Ausrufe- und Fragezeichen) in einem 20stelligen PW, dann brauch ein 3 GHz Quadcore 1.694.851.494.000.000.000.000 Jahre um alle Kobinationen durchzugehen.

Vielmehr sind die PW dann anders kontaminiert worden:
1. Ihr seid infiziert.
2. Der Weg ist infiziert.
3. Der Accountanbieter ist infiziert.
Egal was davon, Ihr könnt die PW minütlich ändern, sie sind immer kontaminiert.

Interessante Einsichten die man hier zu lesen bekommt, evtl. sollten Wir das ein oder andere davon mal beherzigen :eek: auch wenn wir nicht zu den "Opfern" der Collections gehören.

Kein wichtiger, in der Tendenz sogar kontraproduktiver Hinweis.
Nicht wichtig, weil er zu spät ansetzt. Man verhindert damit auf gut Glück, dass ein vllt. geknacktes Passwort genutzt werden kann. Das Knacken verhindert es nicht.
Kontraproduktiv aus mehreren Gründen.
Zunächst gibt es die Tendenz, bei regelmäßigen Wechseln simplere Passwörter zu nutzen.
Ebenso gibt es die Tendenz, die Passwörter nur leicht abzuändern, was im Falle eines tatsächlich geknackten Passworts kaum was bringt. Denn für die Änderung gibt es Vorhersage-Tools.
Dann gibt es Listen mit geknackten/häufig verwendeten Passwörtern. Zusammen mit dem Simpel-Aspekt kann es also durchaus passieren, dass man von einem ungeknackten, sicheren zu einem geknackten, unsicheren wechselt.
Man kommt eher mit Passwörter durcheinander, was entweder den Effekt hat, dass man auch selber nicht mehr reinkommt oder man schreibt sich das Passwort irgendwo auf, wo es dann potenziell ausgespäht werden kann.

PW ändern ist nur Pflicht, wenn man weiss oder begründet vermutet, dass das PW geknackt wurde.

Ein gutes Passwort ist eigentlich simpel zufinden und muss zwei Anforderungen erfüllen:
1. Muss es lang sein, das schützt vor brute force attacks.
2. Darf es nicht "erratbar" sein, also keine einem Angreifer zugänglichen Informationen enthalten. Das betrifft zum einen Angriffe durch einen menschlichen Hacker, zum anderen automatisierte, die auf Datenbanken, z.B. Facebook-Datensätze oder Sprichwörtersammlungen zugreifen.

Das ganze wird in diesem Video schön erklärt.

https://www.youtube.com/watch?v=3NjQ9b3pgIg

Echt interessant zu schauen.

Grüße