Bitcoin Forum
October 28, 2020, 11:38:19 PM *
News: Latest Bitcoin Core release: 0.20.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: [Guide] Protect your Crypto: Sicherheitstipps für den Heimcomputer/ das Heimnetz  (Read 349 times)
aundroid
Legendary
*
Offline Offline

Activity: 1176
Merit: 1235



View Profile
September 13, 2019, 09:46:05 AM
Merited by qwk (5), Halab (2), Nestade (2), Buchi-88 (1), CoinEraser (1), tyKiwanuka (1), 1miau (1)
 #1

Mein Ziel ist es hier einen Leitfaden zu erstellen bzw. grundlegende Verhaltensweisen aufzuzeigen, um die PC- Sicherheit zu erhöhen.

Ist jedenfalls ein Schritt in die richtige Richtung um euer Netzwerk/PC/Wallets vor fremdem Zugriff zu schützen.   Smiley




ÜBERSICHT (klickbar)






WLAN NETZWERK

Ich starte gleich mit dem (für mich) wichtigsten Punkt, da zugleich auch der kritischste.


- WPS Deaktivieren

Grundsätzlich unterscheidet man zwei verschiedene Möglichkteiten wie man mittels WPS eine Verbindung herstellen kann.

PIN:

Hier wird um eine Verbindung herzustellen ein 8-stelliger PIN eingeben.
Der Router überprüft den 8- stelligen PIN hier aber nicht auf einmal, sondern zuerst die ersten vier und anschließend die letzten vier Ziffern.

Reaver bietet zum Beispiel eine sehr einfache Möglichkeit einen brute- force Angriff auf den WPS Pin zu starten.

Achtung: Die WPS Pin Funktion haben viele Modelle standardmäßig aktiviert.

Push- Button:
Dies ist die wesentlich sicherere Version, da hier eine physische Taste am Router gedrückt werden muss und die Verbindung nur für wenige Minuten hergestellt werden kann.


- Wifi- Passwort und Admin- Passwort ändern

Bei Netgear Routern setzt sich ein Default- (WiFi) Passwort zum Beispiel wie folgt zusammen:

Adjektiv + Nomen + 3 Ziffern

Sollte also mit einem Dictionary + Hashcat mit GPU nicht all zu schwer ausfindig gemacht werden können. Wink
Eine Übersicht zu den WiFi Passwort- Standards gibts es zum Beispiel hier: https://forums.hak5.org/topic/39403-table-of-wifi-password-standards/

Bei der Gelegenheit bitte auch das default Admin Passwort ändern!
Falls euch euer Default Passwort nicht einfällt, wird man z.B. hier fündig: https://default-password.info/


- Netzwerk NICHT(!) verstecken

Die SSID (der Name) des Netzweks wird als Broadcast ausgestrahlt um von anderen Geräten entdeckt werden zu können.

Den SSID Broadcast zu unterdrücken ist KEIN Security Feature!

Was geschieht nun wenn man den SSID Broadcast deaktiviert:
Nun müssen die Clients aktiv nach den vertrauten Netzwerken suchen, indem sie einen broadcast des vertrauten SSIDs aussenden.
Angreifer können diese SSID- Information nun verwenden um sich gegenüber dem Client als vertrauenswürdiger AP ausgibt.

Sogar Windows Boardmittel sind in der Lage die versteckten Netzwerke anzuzeigen (wlan show networks mode=bssid).
Die SSID selbst bekommt man mit Kali Linux und airmon-ng relativ einfach heraus.


- Nur WPA oder WPA2 verwenden (Wichtig!!)


- MAC- Adressen NICHT filtern (optional)

MAC Adressen zu filtern gilt allgemein NICHT als Sicherheitsfeature und ist eher ein Feature zur Netzwerkadministration.
Alles was ein Angreifer tun muss, ist den Datenverkehr zu überwachen und ein Datenpaket zu untersuchen.

Dieser Filter bietet jedenfalls keinen Nachteil in Bezug auf die Sicherheit und kann dehalb trotzdem ohne Bedenken eingerichtet werden.



PASSWÖRTER


- Verwende einen offline Passwort- Manager

Bitte keine Browser- Extensions verwenden!

Meine Empfehlung: KeePass

Tipp: KeePass kann auch in Verbindung mit einem yubikey genutzt werden.

Hier das offizielle Tutorial: https://www.yubico.com/why-yubico/for-individuals/password-managers/keepass/?s=


2 FAKTOR AUTHENTIFIZIERUNG

Zusätzlich zu Passwörtern ist zu empfehlen 2FA zu aktivieren (wo immer dies möglich ist).

Der Google Authenticator ist hier vermutlich das bekannteste Tool.

Meine Empfehlung: Authy

Authy bietet die Möglichkeit für sämtliche Authenticator Accounts ein Backup zu erstellen und mehreren Geräten den Zugriff darauf zu gewähren.
Das Backup wird hier verschlüsselt in der Cloud gespeichert.
Jeder der schonmal seinen Google Authenticator auf ein neues Smartphone übersiedelt hat, weiß den Vorteil vermutlich zu schätzen  Wink

Die Backup- Funktion muss hier aber nicht aktiviert werden.
(Muss jeder für sich selbst entscheiden, ob er die Backup Funktion nutzen möchte)

Eine Hardware-Authentifizierung mittels FidoU2F ist noch sicherer!
Empfehlenswert ist hier zum Beispiel ein yubikey!

Wie das ganze mit einem Ledger funktioniert, könnt ihr in einem anderen Thread von mir lesen:
[Howto] Ledger Nano als Security Key verwenden


MAIL ADRESSE

- Ist  Mail- Adresse Teil eines Daten- Leaks?

Einfach auf https://haveibeenpwned.com/ navigieren, E- Mail Adresse eingeben und auf die Schaltfäche "pwned?" rechts klicken.
Es wird automatisch geprüft, ob die E-Mail Adresse und damit verbundene Konten gefährdet sind.


- Richtigen Anbieter wählen

Meine Empfehlung: ProtonMail


- Phishing Mails

Mit solchen Mails versuchen böswillige Akteure persönliche Daten oder Gelder zu stehlen.

Hier ein paar gängige Methoden:

- Du hast gewonnen
Du bist der Gewinner eines Wettbewerbs, einer Lotterie o.ä., um den Betrag zu erhalten sollst du zuvor noch eine Gebühr oder anfallende Steuern bezahlen.

- Mails die dich auffordern dein Passwort zurückzusetzen

- Sextortion SCAM
Hier behauptet der Täter im Besitz von Webcam- Aufnahmen zu sein, als man eine Pornoseite besucht hat.
Häufig wird auch ein Passwort mitgeschickt, dass mit der E-Mail Adresse verknüpft war/ist.
Dies stammt meistens aus einem Daten- Leak (siehe: Ist  Mail- Adresse Teil eines Daten- Leaks?)

Tipp: Verwende generell für jeden Dienst ein eigenes Passwort und verwende einen Passwort- Manager.


VPN VERWENDEN

Als zusätzlichen Schutz empfiehlt es sich, einen VPN Dienst zu verwenden, der keine privaten Daten protokolliert.
Insbesondere dann, wenn man sich nicht im eigenen Heimnetz befindet.

Meine Empfehlung: AirVPN (nativer Client auch für LINUX!!) oder NordVPN

                     █████
                    ██████
                   ██████
                  ██████
                 ██████
                ██████
               ██████
              ██████
             ██████
            ██████
           ██████
          ██████
         ██████
        ██████    ██████████████████▄
       ██████     ███████████████████
      ██████                   █████
     ██████                   █████
    ██████                   █████
   ██████                   █████
  ██████
 ███████████████████████████████████
██████████████████████████████████████
 ████████████████████████████████████

                      █████
                     ██████
                    ██████
                   ██████
                  ██████
                 ████████████████████
                 ▀██████████████████▀
.LATTICE - A New Paradigm of Decentralized Finance.
PRESALE
ONGOING
 

                   ▄▄████
              ▄▄████████▌
         ▄▄█████████▀███
    ▄▄██████████▀▀ ▄███▌
▄████████████▀▀  ▄█████
▀▀▀███████▀   ▄███████▌
      ██    ▄█████████
       █  ▄██████████▌
       █  ███████████
       █ ██▀ ▀██████▌
       ██▀     ▀████
                 ▀█▌
 

             ▄████▄▄   ▄
█▄          ██████████▀▄
███        ███████████▀
▐████▄     ██████████▌
▄▄██████▄▄▄▄█████████▌
▀████████████████████
  ▀█████████████████
  ▄▄███████████████
   ▀█████████████▀
    ▄▄█████████▀
▀▀██████████▀
    ▀▀▀▀▀
1603928299
Hero Member
*
Offline Offline

Posts: 1603928299

View Profile Personal Message (Offline)

Ignore
1603928299
Reply with quote  #2

1603928299
Report to moderator
1603928299
Hero Member
*
Offline Offline

Posts: 1603928299

View Profile Personal Message (Offline)

Ignore
1603928299
Reply with quote  #2

1603928299
Report to moderator
1603928299
Hero Member
*
Offline Offline

Posts: 1603928299

View Profile Personal Message (Offline)

Ignore
1603928299
Reply with quote  #2

1603928299
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1603928299
Hero Member
*
Offline Offline

Posts: 1603928299

View Profile Personal Message (Offline)

Ignore
1603928299
Reply with quote  #2

1603928299
Report to moderator
Nestade
Sr. Member
****
Offline Offline

Activity: 756
Merit: 346


View Profile
September 15, 2019, 03:37:27 PM
Merited by aundroid (1)
 #2

Hi,

Super Leitfaden! Smiley


PASSWÖRTER


- Verwende einen offline Passwort- Manager

Bitte keine Browser- Extensions verwenden!

Meine Empfehlung: KeePass

Tipp: KeePass kann auch in Verbindung mit einem yubikey genutzt werden.

Hier das offizielle Tutorial: https://www.yubico.com/why-yubico/for-individuals/password-managers/keepass/?s=


Sicherheitshalber nochmal der Hinweis,, dass man für JEDEN Account ein individuelles, am besten zufällig generiertes Passwort benutzen sollte (dafür ja auch der Passwort-Manager).
Immer wieder kommt es zu Datenbank-Leaks und ein potentieller Angreifer würde sich sicherlich darüber freuen, wenn die Login-Daten auch für den E-Mail-Account etc. funktionieren Wink
Übrigens war Bitcointalk 2015 ebenfalls von einem Leak betroffen und die E-Mail-Adressen + tausende entschlüsselte Passwörter wurden veröffentlicht - darunter war auch eines meiner alten Passwörter (9 Zeichen, Groß- und Kleinbuchstaben & Zahlen); war ziemlich verwundert, dass das Passwort tatsächlich entschlüsselt wurde.

haveibeenpwned.com wurde ja bereits erwähnt - dort kann man theoretisch auch überprüfen, ob ein Passwort in einem der bekannten Leaks schon einmal entschlüsselt wurde.

Zu haveibeenpwned.com gibts hier noch ein nettes Video von Computerphile:
https://www.youtube.com/watch?v=hhUb5iknVJs


EDIT:
Oops... Völlig übersehen...  Embarrassed

Tipp: Verwende generell für jeden Dienst ein eigenes Passwort und verwende einen Passwort- Manager.
asche
Legendary
*
Offline Offline

Activity: 1036
Merit: 1309


I forgot more than you will ever know.


View Profile
September 16, 2019, 08:24:14 AM
 #3

Am besten gar kein WLAN, sondern nur LAN Smiley


Das ist NICHT empfehlenswert.

Mit einem Ledger reset, bekommst du nicht die selben Auth Codes zurück.

Dafür gibt es seit kurzem den Google Titan in Deutschland. 55€ für 2 Keys.

https://bitcointalk.org/index.php?topic=5174579.msg52130301#msg52130301


VPN VERWENDEN

Als zusätzlichen Schutz empfiehlt es sich, einen VPN Dienst zu verwenden, der keine privaten Daten protokolliert.
Insbesondere dann, wenn man sich nicht im eigenen Heimnetz befindet.

Meine Empfehlung: AirVPN (nativer Client auch für LINUX!!) oder NordVPN

Ein VPN ist KEIN Sicherheitsfeature. Jeder der den selben VPN benutzt kann deine Daten analysieren. Genauso wie im Lokalen Netwerk.

VPN ist NUR interessant wenn der Staat, bzw dein Internetanbieter nicht wissen soll das du BTC hast. Ansonsten ist es nur zusätzliches Risiko.

aundroid
Legendary
*
Offline Offline

Activity: 1176
Merit: 1235



View Profile
September 16, 2019, 09:39:17 AM
Merited by HeRetiK (1)
 #4


Am besten gar kein WLAN, sondern nur LAN Smiley

Stimmt zwar schon aber ein bisschen realistisch müssen wir hier schon bleiben.
Ich will hier schließlich Tipps für den richtigen Umgang geben und "Nimm ein Netzwerkkabel" gehört nicht dazu.

Das ist NICHT empfehlenswert.

Bitte sorgfältiger lesen.
Meine Empfehlung ist ein yubikey.
Ich wollte nur aufzeigen, dass es auch möglich ist den Ledger als Security Key zu verwenden.
Deshalb der Verweis auf den anderen Thread.
(Hattest du den Thread nicht sogar ins franz. übersetzt?  Grin)


Ein VPN ist KEIN Sicherheitsfeature.

Es wird ein Tunnel zwischen zwei Netzwerken erstellt und die Daten können auch über ein Netzwerk geleitet werden, das möglicherweise nicht sicher ist.
VPNs bieten daher mehr Sicherheit bei der Nutzung von WiFi-Verbindungen.

Jeder der den selben VPN benutzt kann deine Daten analysieren. Genauso wie im Lokalen Netwerk.

VPN ist NUR interessant wenn der Staat, bzw dein Internetanbieter nicht wissen soll das du BTC hast. Ansonsten ist es nur zusätzliches Risiko.

Auch das stimmt nicht. (jedenfalls nicht in dem Kontext hier)

Bei privaten VPNs, wenn du dich z.B. von unterwegs mit deinem Heimnetzwerk verbindest oder 'Arbeitsplatz- VPNs' mit denen du dich aus der Ferne mit dem zentralen LAN verbindest,
können dich andere Nutzer natürlich sehen.

Bei öffentlichen VPNs (die hier Thema sind) gibt es keine Möglichkeit andere User zu sehen.

AirVPN verwendet z.B. einen 256 Bit AES-verschlüsselten Tunnel mit 4096 Bit RSA-Schlüsseln

Machen wir einen kleinen Test, du holst dir AirVPN und dann analysierst du meine Daten ok?  Tongue

                     █████
                    ██████
                   ██████
                  ██████
                 ██████
                ██████
               ██████
              ██████
             ██████
            ██████
           ██████
          ██████
         ██████
        ██████    ██████████████████▄
       ██████     ███████████████████
      ██████                   █████
     ██████                   █████
    ██████                   █████
   ██████                   █████
  ██████
 ███████████████████████████████████
██████████████████████████████████████
 ████████████████████████████████████

                      █████
                     ██████
                    ██████
                   ██████
                  ██████
                 ████████████████████
                 ▀██████████████████▀
.LATTICE - A New Paradigm of Decentralized Finance.
PRESALE
ONGOING
 

                   ▄▄████
              ▄▄████████▌
         ▄▄█████████▀███
    ▄▄██████████▀▀ ▄███▌
▄████████████▀▀  ▄█████
▀▀▀███████▀   ▄███████▌
      ██    ▄█████████
       █  ▄██████████▌
       █  ███████████
       █ ██▀ ▀██████▌
       ██▀     ▀████
                 ▀█▌
 

             ▄████▄▄   ▄
█▄          ██████████▀▄
███        ███████████▀
▐████▄     ██████████▌
▄▄██████▄▄▄▄█████████▌
▀████████████████████
  ▀█████████████████
  ▄▄███████████████
   ▀█████████████▀
    ▄▄█████████▀
▀▀██████████▀
    ▀▀▀▀▀
asche
Legendary
*
Offline Offline

Activity: 1036
Merit: 1309


I forgot more than you will ever know.


View Profile
September 16, 2019, 10:08:54 AM
 #5

Stimmt zwar schon aber ein bisschen realistisch müssen wir hier schon bleiben.
Ich will hier schließlich Tipps für den richtigen Umgang geben und "Nimm ein Netzwerkkabel" gehört nicht dazu.

Wieso nicht? Mein ganzes Haus ist mit RJ45 ausgestattet.



Das ist NICHT empfehlenswert.

(Hattest du den Thread nicht sogar ins franz. übersetzt?  Grin)

Hatte ich, und habe dann dieses Problem erfahren. Warne nun dagegen. Nicht gegen den Yubikey. Nur gegen ledger als FIDO.


Ein VPN ist KEIN Sicherheitsfeature.

Es wird ein Tunnel zwischen zwei Netzwerken erstellt und die Daten können auch über ein Netzwerk geleitet werden, das möglicherweise nicht sicher ist.
VPNs bieten daher mehr Sicherheit bei der Nutzung von WiFi-Verbindungen.

Ein VPN mag sicherer sein als ein öffentlicher hotspot. ABER es IST und bleibt ein Privates Netzwerk wo andere user den "56 Bit AES-verschlüsselten " kennen und diesen nützen können für ein MITM zB.

Was ein VPN 100% bietet ist anonymität von aussen. Es wird also schwieriger dich als Person zu zielen. Wenn jemand aber das ganze VPN abhören will für BTC user zB, WIRD er dich finden.

Bei öffentlichen VPNs (die hier Thema sind) gibt es keine Möglichkeit andere User zu sehen.

Vielleicht nicht direkt in Windows, aber du kannst ziemlich einfach daten schnüffeln Smiley Kannst dich gerne dazu belesen.

fronti
Legendary
*
Offline Offline

Activity: 2576
Merit: 1196



View Profile
September 16, 2019, 12:01:58 PM
 #6




Ein VPN mag sicherer sein als ein öffentlicher hotspot. ABER es IST und bleibt ein Privates Netzwerk wo andere user den "56 Bit AES-verschlüsselten " kennen und diesen nützen können für ein MITM zB.

Was ein VPN 100% bietet ist anonymität von aussen. Es wird also schwieriger dich als Person zu zielen. Wenn jemand aber das ganze VPN abhören will für BTC user zB, WIRD er dich finden.




auch bei der 100% ist skepsis angesagt.
So kann man einen User immer noch z.B. über ein Browser Fringerprinting identifizieren oder über schlecht konfigurierte dienste die evtl alle Netzwerkeinstellungen in der Welt herumposaunen. (und sei es durch eine Lücke im Browser)
Man kann dies schön an Fällen sehen in denen auch Tor User enttarnt wurden.

Auch sollte man nicht vergessen das man durchd as VPN auch einer weiteren Person (Firma) vertrauen muss.
Daher auch trotz VPN nur https seiten aufrufen ansonsten sitzt eben der VPN anbieter an der schnüffelschnittsellte.



If you like to give me a tip:  bc1q8ht32j5hj42us5qfptvu08ug9zeqgvxuhwznzk

"Bankraub ist eine Unternehmung von Dilettanten. Wahre Profis gründen eine Bank." Bertolt Brecht
aundroid
Legendary
*
Offline Offline

Activity: 1176
Merit: 1235



View Profile
September 16, 2019, 12:07:12 PM
 #7

Stimmt zwar schon aber ein bisschen realistisch müssen wir hier schon bleiben.
Ich will hier schließlich Tipps für den richtigen Umgang geben und "Nimm ein Netzwerkkabel" gehört nicht dazu.

Wieso nicht? Mein ganzes Haus ist mit RJ45 ausgestattet.

Same here.
Hat aber in einem Leitfaden nichts zu suchen, der die Sicherheit des eigenen WLAN- Netzwerks zum Thema hat.

Man antwortet auf die Frage "Welche Maßnahmen können ergriffen werden um die Verkehrssicherheit zu erhöhen?" ja auch nicht mit "Fahr mit dem Zug".
Verstehste  Wink


Ein VPN mag sicherer sein als ein öffentlicher hotspot. ABER es IST und bleibt ein Privates Netzwerk wo andere user den "56 Bit AES-verschlüsselten " kennen und diesen nützen können für ein MITM zB.

Ganz in Gegenteil: Eine VPN Verbindung bietet (vor allem in öffentlichen Netzwerken) Schutz vor MITM.
Auch wenn du dich mit einem falschen Access Point verbindest, ist bei Verwendung eines VPN der gesamte Datenverkehr verschlüsselt und somit unlesbar.

Trotzdem sollte man natürlich sichere HTTPS Verbindungen verwenden (wenn möglich) und bei potentiellen Phishing Mails aufpassen.

Wenn ist der VPN Provider der Man in the Middle.

Ich für meinen Teil vertraue (m)einem VPN mehr als (m)einem ISP.

Was ein VPN 100% bietet ist anonymität von aussen. Es wird also schwieriger dich als Person zu zielen. Wenn jemand aber das ganze VPN abhören will für BTC user zB, WIRD er dich finden.

Auch da bin ich mal wieder anderer Meinung.
Ein VPN erhöht die Privatsphäre und Sicherheit im Internet, macht einen aber nicht anonym.

Bei öffentlichen VPNs (die hier Thema sind) gibt es keine Möglichkeit andere User zu sehen.
Vielleicht nicht direkt in Windows, aber du kannst ziemlich einfach daten schnüffeln Smiley Kannst dich gerne dazu belesen.

Kannst ruhig schnüffeln, ändert nichts daran dass die Daten 256-bit verschlüsselt sind  Grin

                     █████
                    ██████
                   ██████
                  ██████
                 ██████
                ██████
               ██████
              ██████
             ██████
            ██████
           ██████
          ██████
         ██████
        ██████    ██████████████████▄
       ██████     ███████████████████
      ██████                   █████
     ██████                   █████
    ██████                   █████
   ██████                   █████
  ██████
 ███████████████████████████████████
██████████████████████████████████████
 ████████████████████████████████████

                      █████
                     ██████
                    ██████
                   ██████
                  ██████
                 ████████████████████
                 ▀██████████████████▀
.LATTICE - A New Paradigm of Decentralized Finance.
PRESALE
ONGOING
 

                   ▄▄████
              ▄▄████████▌
         ▄▄█████████▀███
    ▄▄██████████▀▀ ▄███▌
▄████████████▀▀  ▄█████
▀▀▀███████▀   ▄███████▌
      ██    ▄█████████
       █  ▄██████████▌
       █  ███████████
       █ ██▀ ▀██████▌
       ██▀     ▀████
                 ▀█▌
 

             ▄████▄▄   ▄
█▄          ██████████▀▄
███        ███████████▀
▐████▄     ██████████▌
▄▄██████▄▄▄▄█████████▌
▀████████████████████
  ▀█████████████████
  ▄▄███████████████
   ▀█████████████▀
    ▄▄█████████▀
▀▀██████████▀
    ▀▀▀▀▀
asche
Legendary
*
Offline Offline

Activity: 1036
Merit: 1309


I forgot more than you will ever know.


View Profile
September 16, 2019, 12:11:04 PM
 #8

ändert nichts daran dass die Daten 256-bit verschlüsselt sind  Grin

Das bringt dir aber nichts wenn du nicht als einziger den Schlüssel hast Cheesy

Ist auch egal. VPN ist an sich besser als kein VPN, man sollte einfach nicht glauben das es Bombenfest ist.

Am besten ist als einziger auf einem VPN zu sein, bzw das Privat mit einem Server zu machen. Das bringt zwar keine extra Anonymität, dafür aber mehr Sicherheit als ein "öffentlicher" service.

Frank37
Sr. Member
****
Offline Offline

Activity: 770
Merit: 250

CryptoTalk.Org - Get Paid for every Post!


View Profile
October 03, 2019, 01:42:23 PM
 #9

Da LAN anstatt WLAN schon abgeschmettert wurde, Smiley weiss ich nicht ob mein Vorschlag passt.

Man sollte ein extra Notebook mit sicherem OS nur für Crypto benutzen (Spiele, Internet surfen, social media auf anderer Kiste betreiben).

 
                                . ██████████.
                              .████████████████.
                           .██████████████████████.
                        -█████████████████████████████
                     .██████████████████████████████████.
                  -█████████████████████████████████████████
               -███████████████████████████████████████████████
           .-█████████████████████████████████████████████████████.
        .████████████████████████████████████████████████████████████
       .██████████████████████████████████████████████████████████████.
       .██████████████████████████████████████████████████████████████.
       ..████████████████████████████████████████████████████████████..
       .   .██████████████████████████████████████████████████████.
       .      .████████████████████████████████████████████████.

       .       .██████████████████████████████████████████████
       .    ██████████████████████████████████████████████████████
       .█████████████████████████████████████████████████████████████.
        .███████████████████████████████████████████████████████████
           .█████████████████████████████████████████████████████
              .████████████████████████████████████████████████
                   ████████████████████████████████████████
                      ██████████████████████████████████
                          ██████████████████████████
                             ████████████████████
                               ████████████████
                                   █████████
CryptoTalk.org| 
MAKE POSTS AND EARN BTC!
🏆
o_solo_miner
Legendary
*
Offline Offline

Activity: 1694
Merit: 1229


-> morgen, ist heute, schon gestern <-


View Profile
October 06, 2019, 10:28:33 AM
 #10


Quote
PASSWÖRTER
- Verwende einen offline Passwort- Manager
Bitte keine Browser- Extensions verwenden!
Meine Empfehlung: KeePass
Tipp: KeePass kann auch in Verbindung mit einem yubikey genutzt werden.


Mein Tipp: Verwende KEIN Passwort-Manager!
Warum:
1. dieser kennt deine Passwörter
2. du hast nicht immer und Überall zugriff darauf
3. Nutze deinen Verstand

Um sich einzelne Sichere Passwörter zu merken gibt es viele möglichkeiten.
Vollständige Sätze z.B. diese müßen keinen Sinn ergeben, sollten aber zur besseren Zuordnung
eine Bezug/NichtBezug haben  Wink
Sonderzeichen sowie Groß/Kleinschreibung Einarbeiten.

Vorteil dieser Methode:
sehr Sicher da es eine Brute Force möglichkeit anhand der Länge bereits Ausschließt
einfaches Merken möglich macht und immer zur Hand ist.

einfaches Beispiel, man möchte sein Passwort für ein Kochforum Erstellen:
Paßwort: LirumLarumlöffelstielhatnichtszubackenin"2019"

46 Zeichen Groß/klein Zahlen Sonderzeichen (sehr Sicher)

Natürlich kann man auch jeden "Liebgewonnen" Text aus Filmen / Lyrics / Büchern usw. Abwandeln und Verwenden. Nur Erinnern muß man sich können.










from the creator of CGMiner
http://solo.ckpool.org for Solominers
asche
Legendary
*
Offline Offline

Activity: 1036
Merit: 1309


I forgot more than you will ever know.


View Profile
October 06, 2019, 10:43:41 AM
 #11

Paßwort: LirumLarumlöffelstielhatnichtszubackenin"2019"

46 Zeichen Groß/klein Zahlen Sonderzeichen (sehr Sicher)

Natürlich kann man auch jeden "Liebgewonnen" Text aus Filmen / Lyrics / Büchern usw. Abwandeln und Verwenden. Nur Erinnern muß man sich können.

Da ist die Entropie immer noch sehr viel geringer als bei einem Passwortmanager erstellten Passwort.

Ich bin also nicht mit dir einverstanden.

Ein offline passwordmanager ist kein Problem. Mann muss halt nur sich halt nur an eine Passphrase erinnern.

Mit deiner Technik wirst du dich kaum an 50-60 unterschiedliche Passwörte die so lang sind erinnern.

o_solo_miner
Legendary
*
Offline Offline

Activity: 1694
Merit: 1229


-> morgen, ist heute, schon gestern <-


View Profile
October 06, 2019, 11:06:03 AM
 #12

Die Entropie ist bei 46 Zeichen aus dem Vollen Umfang von 256 Bytes mehr als Ausreichend.
Kein Hacker bei klarem Verstand wird mehr als 14 Zeichen lange Passwörter Brute Forcen.
Selbst Wörterbücher helfen nicht bei der Lösung.

Ob man sich die Passwörter merken kann liegt an der Methode die sich jeder selber Suchen muß.
Als Tip habe ich den Bezug/Nicht Bezug genannt. Je nach Vorliebe und Fähigkeit.
Alles ist möglich solange man sich daran erinnert.

Ich selber benutze dieses System mehr al 12 Jahre und habe mich selbst nach 5 Jahren noch an ein
nur zwei mal genutztes Paßwort erinnern können. Aber das ist ja von Mensch zu Mensch anders.
Ich benötige dazu keine Software.

Es ist als Tip gedacht, wer es mal Ausprobiert für sich selber kann dann ja immer noch Entscheiden ob er einen
Paßwortmanager Vorzieht.








from the creator of CGMiner
http://solo.ckpool.org for Solominers
asche
Legendary
*
Offline Offline

Activity: 1036
Merit: 1309


I forgot more than you will ever know.


View Profile
October 06, 2019, 11:56:09 AM
 #13

Die Entropie ist bei 46 Zeichen aus dem Vollen Umfang von 256 Bytes mehr als Ausreichend.

Es ist als Tip gedacht, wer es mal Ausprobiert für sich selber kann dann ja immer noch Entscheiden ob er einen
Paßwortmanager Vorzieht.


Entropie =/= Zeichenanzahl, es sei denn du suchst diese Zeichen zufällig aus. Ist bei dir nicht der Fall.

Und ja Lyrics usw werden bei brute force schon benutzt, und das bei viel mehr als 14 Zeichen.

Dazu noch die Sache das du das Passwort gerne schnell eintippst und ohne Tippfehler. Letztendlich gibt es auch Services die so lange Passwörter nicht akzeptieren.

o_solo_miner
Legendary
*
Offline Offline

Activity: 1694
Merit: 1229


-> morgen, ist heute, schon gestern <-


View Profile
October 06, 2019, 02:31:02 PM
Last edit: October 06, 2019, 02:56:17 PM by o_solo_miner
 #14

Der Algo der Brute Force Attake ist selbst bei genauer Kenntnis der Verwendeten Sprache
und unter Verwendung von Wörterbüchern nicht in der Lage in unser beiden Lebenszeit zusammen
dieses Paßwort zu Entschlüßeln.
Ich nenne das mal hinreichend sicher.
Entropie hin/her (Auch wenn du natürlich Recht hast, kommt es dabei nicht darauf an)

Zum Thema Entropie hier auch mal ein Link:
https://www.grc.com/haystack.htm

Quote
Letztendlich gibt es auch Services die so lange Passwörter nicht akzeptieren.
Das ist richtig und stellt ein Problem dar.

Dann läßt man sich etwas kürzeres Einfallen, ist dann eben nur so sicher wie lang.

Bei den Schreibweisen kann man natürlich auch noch tricksen: Leutz, 3rich usw. der Phantasie
sind keine Grenzen gesetzt.  

Natürlich nimmt man auch keinen Liedtext 1:1 oder einen Wahlspruch, das setzte ich jetzt mal vorraus.

Alles in allem: Sicher ist gar nichts, es kommt nur auf die zur Verfügung stehenden Mittel und Zeit an.
Auch wenn ich mir die Mühe für einen gehackten Account in einem Kochforum nicht machen würde.
Meist Zielt es darauf ab das dieses Passwort dann ebenfalls für Facebook Twitter oder sonst was verwendet wird,
und deshalb versuchen es Hacker auch an der schwächsten Stelle  Wink dem User.

Wichtig ist bei all dieser Diskussion, immer ein anderes Passwort für jeden Service zu Verwenden
und das sollte möglichst lang sein (max. Zulässige Zeichen).




from the creator of CGMiner
http://solo.ckpool.org for Solominers
aundroid
Legendary
*
Offline Offline

Activity: 1176
Merit: 1235



View Profile
October 06, 2019, 08:57:43 PM
 #15

Wichtig ist bei all dieser Diskussion, immer ein anderes Passwort für jeden Service zu Verwenden
und das sollte möglichst lang sein (max. Zulässige Zeichen).

Hier bin ich ganz bei dir, aber um auf deine ursprünglichen Kritikpunkte zurückzukommen:

Mein Tipp: Verwende KEIN Passwort-Manager!
Warum:
1. dieser kennt deine Passwörter
2. du hast nicht immer und Überall zugriff darauf
3. Nutze deinen Verstand

1. Niemand "kennt" hier deine Passwörter, wir sprechen hier von einem offline Passwort- Manager. Solange du ein sicheres Master- Passwort hast, bist du safe. Oder alternativ einen yubikey  Smiley
2. Kommt darauf an. Wenn du das .kdbx file mit deinem privaten owncloud server synchronisierst, dann schon  Tongue
3. Klar, wenn du dir 100+ Passwörter merken kannst/willst, sicher. Aber du hast es ja selbst gesagt

Nur Erinnern muß man sich können.

Außerdem sollte man ja auch hin- und wieder ein Passwort ändern. Wenn ein Service Opfer eines Data Breach wurde zum Beispiel.

                     █████
                    ██████
                   ██████
                  ██████
                 ██████
                ██████
               ██████
              ██████
             ██████
            ██████
           ██████
          ██████
         ██████
        ██████    ██████████████████▄
       ██████     ███████████████████
      ██████                   █████
     ██████                   █████
    ██████                   █████
   ██████                   █████
  ██████
 ███████████████████████████████████
██████████████████████████████████████
 ████████████████████████████████████

                      █████
                     ██████
                    ██████
                   ██████
                  ██████
                 ████████████████████
                 ▀██████████████████▀
.LATTICE - A New Paradigm of Decentralized Finance.
PRESALE
ONGOING
 

                   ▄▄████
              ▄▄████████▌
         ▄▄█████████▀███
    ▄▄██████████▀▀ ▄███▌
▄████████████▀▀  ▄█████
▀▀▀███████▀   ▄███████▌
      ██    ▄█████████
       █  ▄██████████▌
       █  ███████████
       █ ██▀ ▀██████▌
       ██▀     ▀████
                 ▀█▌
 

             ▄████▄▄   ▄
█▄          ██████████▀▄
███        ███████████▀
▐████▄     ██████████▌
▄▄██████▄▄▄▄█████████▌
▀████████████████████
  ▀█████████████████
  ▄▄███████████████
   ▀█████████████▀
    ▄▄█████████▀
▀▀██████████▀
    ▀▀▀▀▀
o_solo_miner
Legendary
*
Offline Offline

Activity: 1694
Merit: 1229


-> morgen, ist heute, schon gestern <-


View Profile
October 06, 2019, 09:59:22 PM
 #16


3. Klar, wenn du dir 100+ Passwörter merken kannst/willst, sicher. Aber du hast es ja selbst gesagt

Nur Erinnern muß man sich können.

Außerdem sollte man ja auch hin- und wieder ein Passwort ändern. Wenn ein Service Opfer eines Data Breach wurde zum Beispiel.

Ich dachte es geht hier um 'Sicherheitstipps für den Heimcomputer/das Heimnetz'
Da benötige ich so ca. 10-15 Passwörter.

Wenn man in anderen Kategorien denken muß, z.B. Systemadmin in einer Hochschule ( o/ gruß an Michi )
ja dann sieht die Welt ganz anders aus und der Shitload von Server/Router/und sonst was für Passwörter die zudem noch mit Kollegen geteilt werden müßen wollen sicher Verwaltet werden, ja dann bin ich bei euch und sage ebenfalls her mit dem Passwortmanager. Nur ging es hier eben nicht darum.

Nochmals, es war nur ein Tipp, mit einer Methode die jeder einfach für sich Probieren kann.
Ich lasse das nun so stehen, denn es gibt immer Gründe dafür oder dagegen.






from the creator of CGMiner
http://solo.ckpool.org for Solominers
Nestade
Sr. Member
****
Offline Offline

Activity: 756
Merit: 346


View Profile
October 08, 2019, 07:27:05 PM
 #17

Das Video hier von Sempervideo (heute released) zu "gehackten" Account könnte eventuell auch jemanden Interessieren:
https://www.youtube.com/watch?v=QPaWKJdgKnM

Die im Video gezeigte Website ist:
https://monitor.firefox.com/
moogboot
Newbie
*
Offline Offline

Activity: 2
Merit: 1


View Profile WWW
October 13, 2019, 02:25:17 PM
 #18

Ich hab in meiner Podcast-Nachlese/Blog auch noch ein paar Punkte aufgelistet und diese noch näher beschrieben:

1.) Legt ein Backup an
2.) Schützen Eure Daten!
3.) Verwendet Sicherheitssoftware!
4.) Betriebsystem und Programme updaten!
5.) Sichere Passwörter verwenden!
6.) Finger weg vom Admin-Account!

https://www.minds.com/kryptokabinett/blog/folge-6-1-sicherheit-am-pc-906886841893912576


7.) Der Browser – Freund oder Feind?
8.) Fremdgehen mit fremden Geräten!
9.) Router zur Festung ausbauen!
10.) Fremde Dateien!
11.) Fremde Netze!
12.) Die Qual der Wahl des Betriebsystems!

https://www.minds.com/kryptokabinett/blog/folge-6-2-sicherheitstipps-teil-2-906893258870665216


Zur Inspiration  Smiley

Podcast unter:  http://kryptokabinett.at
Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!