Privatsphäre und IT-Sicherheit

[Turbartuluk]

~

Es handelt sich im Wesentlich um eine sinngemäße Übersetzung des Fadens "Let's talk about Privacy" von Bitmover aus dem Internationalen Bereich. Da für mich der Inhalt im Vordergrund steht behalte ich mir vor zu kürzen, ergänzen, paraphrasieren oder sonst wie zu verändern, wenn es in meinen Augen der Verständlichkeit zuträglich ist. Diskussionen hinsichtlich einer guten/schlechten Übersetzung sind hier nicht gewünscht, ich nehme entsprechende Hinweise aber gerne per PM auf.



Kryptowährungen und Datenschutz/Privatsphäre sind eng miteinander verbunden. Deshalb interessieren sich viele Leute hier auch für solche Themen und dennoch gibt es viele Nutzer im Forum die selbst grundlegende Werkzeuge wie AdBlocker nicht nutzen.

Dies ist eine einfache Anleitung für solche Nutzer.

Leute die sich nicht um Privatsphäre kümmern sagen normalerweise: "Ich hab ja nichts zu verbergen."
Aber wenn man ins Badezimmer geht schließt man ja auch die Tür, obwohl man nichts zu verbergen hat.

Hier sind ein paar Werkzeuge die dabei helfen die Privatsphäre zu schützen und Tracking und Datenschutzverletzungen zu vermeiden, während man im Internet unterwegs ist.

• Vermeidet alle Google Produkte. Bei allen Produkten ist davon auszugehen, dass Google die Verläufe nachvollziehen und Daten an Anbieter von Werbung verkauft.
  
  
• Browser Empfehlung:
  Firefox / Brave browser / Tor Browser
  
  
• Browser Erweiterungen: (funktioniert auch mit Firefox Mobile)
  UBlock (ein adblocker) - Ein AdBlocker sind auch wichtig um phishing vorzubeugen.
  Decentraleyes (blockiert Bereitstellung von Inhalten)
  HTTPS Everywhere
  
  
• E-mail provider:
  Überlegt euch zu einem Verschlüsselten e-mail service zu wechseln, kein U.S Anbieter
  ProtonMail / Tutanota
  
  
• Suchmaschinen:
  Ich weiß es ist hart Google nicht zu nutzen. Die beste private Alternative ist Duckduckgo .
  Wenn du auf Google nicht verzichten kannst/willst überlege zumindest Verschlüsseltes Google zu nutzen (ich weiß nicht ob es wirklich verschlüsselt ist)
  
  
  
• Verschlüssel dein Android Gerät - Schützt deine Musik, Fotos, persönliche Daten so, dass sie nur mit Passwort geöffnet werden können.
  
  
• Ändere Windows 10 Datenschutzeinstellungen, um das Datensammeln durch Microsoft zu verhindern.
  
  
• Einige gute VPN (schützt deine Verbindungsdaten und ermöglicht geografisch eingeschränkte Inhalte):
  Proton VPN - kostenfreie Version verfügbar.
  Tunnel Bear - kostenfreie Version verfügbar.
  Nord VPN - kostenfreie Version verfügbar. Um es dauerhaft zu nutzen benötigt man allerdings das kostenpflichtige Abo.
  
  
• Private Kryptowährungen:
  Monero (die bekannteste), PIVX, Dash, Zcash, Particl, und viele weitere.
  

• Open Source und Datenschutzorientierte Betriebssysteme  (OS) basierend auf Android mobile.
  LineageOS, Replicant and Copperhead.
  

• Datenschutzorientierte Dokumenten-Manager.
  Standard Notes.
  Die Anwendung erlaubt es Dokumente zu synchrosieren im web, android app, windows, mac and linux. Sehr nett. Simpelbund respektiert deine Privatsphäre.
  

- Alternative Speicher

• ownCloud: Open source, self-hosted cloud Plattform, verfügbar für Unternehmen
• Syncthing: Open source, P2P
• Nextcloud: Open source, self-hosted

- Kalender Alternativen

• Etar: Open source
• Fruux: Open source

- Google Docs / Sheets / Slides Alternative

• CryptPad: Zero Knowledge Cloud
• Etherpad: Open source

- Domain Registrierung

•  Njalla
  Sie wollen nicht wissen wer du bist und stellen keine Fragen dazu. Man braucht also nichtmal den Whois Guard.
  

Wichtiger Hinweis: Datenschutz ist eine endlose Aufgabe, weil es immer etwas gibt, was man mehr tun kann. Starte mit den Dingen die für dich persönlich einfach umzusetzen sind. Es gibt noch viel mehr nützliche Add-Ons, Programme, etc.
Das ist nur eine sehr grundlegende Anleitung, weil viele Leute nichtmal adblocker verwenden.

Wenn du mehr Informationen über den Schutz deiner Daten willst gehe auf: https://www.privacytools.io/




Gerne möchte ich das Thema auch noch um IT-Sicherheit erweitern und fragen wie denn eure IT-Infrastruktur so aussieht, also auch im Hinblick auf Verschlüsselung, Passwörter/Passwortmanager, 2-Faktor-Authetifizierung und alles was euch sonst noch so einfällt und thematisch hier rein passt. Ziel wäre es für mich hier durch den Austausch zu einer Art best-practice zu gelangen.

[1714486452]

1714486452

[1714486452]

1714486452

[1714486452]

1714486452

[1714486452]

1714486452

[willi9974]

+merit
Guter Beitrag und würde mich freuen wenn hier noch mehr ihren Beitrag dazu leisten und ihre Ideen mit einbringen. Da gibts bestimmt noch viel wissen bei uns im Forum, dass man nutzen kann.

Sehr coole Idee und viele Grüße
Willi

[Cricktor]

Vielleicht sollte man IT-Sicherheit in ein eigenes Thema auslagern, da es sonst leicht ausufert. Für nicht-IT-affine Menschen ist IT-Sicherheit auch nicht leicht zu vermitteln bzw. zu erklären, weil die die Zusammenhänge nur schwer verstehen oder nachvollziehen können.

Ein erster Anfang wäre aber:

• sicheren Passwort-Manager benutzen, dessen Zugangspasswort sollte "gut" sein und sicher dokumentiert werden
• der Passwort-Manager generiert dann nur noch für jeden Zweck individuelle komplexe Passwörter
• Passwörter sollten nicht wiederverwendet werden, damit ein Leak nicht mehrere Konten kompromittiert
• 2FA verwenden für alle wichtigen oder mit Werten verbundenen Konten, insbesondere für Email-Konten die für die Wiederherstellung anderer Konten verbunden sind
• keine Software aus dubiosen Quellen installieren oder ausführen
• wenn etwas zu gut klingt um wahr zu sein, dann nicht draufklicken
• vor einem Klick auf einen Link stets sorgfältig prüfen, wohin der Klick einen führt; im Zweifel, nicht anklicken
• Zurückhaltung beim Posten in (a)sozialen Medien: macht euch nicht zu einem interessanten Zielobjekt für Angriffe

...

[bitmover]

Using google translate:

Danke für die Übersetzung meines Themas. Ich habe im ursprünglichen Thread einen Verweis darauf hinzugefügt.

[Turbartuluk]

Vielleicht sollte man IT-Sicherheit in ein eigenes Thema auslagern, da es sonst leicht ausufert. Für nicht-IT-affine Menschen ist IT-Sicherheit auch nicht leicht zu vermitteln bzw. zu erklären, weil die die Zusammenhänge nur schwer verstehen oder nachvollziehen können.

Ein erster Anfang wäre aber:

• sicheren Passwort-Manager benutzen, dessen Zugangspasswort sollte "gut" sein und sicher dokumentiert werden
• der Passwort-Manager generiert dann nur noch für jeden Zweck individuelle komplexe Passwörter
• Passwörter sollten nicht wiederverwendet werden, damit ein Leak nicht mehrere Konten kompromittiert
• 2FA verwenden für alle wichtigen oder mit Werten verbundenen Konten, insbesondere für Email-Konten die für die Wiederherstellung anderer Konten verbunden sind
• keine Software aus dubiosen Quellen installieren oder ausführen
• wenn etwas zu gut klingt um wahr zu sein, dann nicht draufklicken
• vor einem Klick auf einen Link stets sorgfältig prüfen, wohin der Klick einen führt; im Zweifel, nicht anklicken
• Zurückhaltung beim Posten in (a)sozialen Medien: macht euch nicht zu einem interessanten Zielobjekt für Angriffe

...

Na das ist doch wirklich mal ein guter Anfang...

Welche passwortmanger gelten denn als gut? Ich nehme mal an, damit meinst du nicht die browserbasierten bei Firefox oder Chrome?! Welche Programme sind empfehlenswert?

Und gibt es da eventuell direkt gute Kombinationen direkt mit 2FA? Was hälst du von Keepass+YubiKey?

Nutzt du für jeden Service neben eigenen Passwörtern ggf. auch eigene Mail-Adressen bzw. Aliase?!

[willi9974]

Keepass würde ich auch empfehlen. Benutzen wir bei uns in der IT auch und haben nie Probleme gehabt. Ging bei jedem Audit durch, ohne irgendwelche findings zum Thema Sicherheit.

Viele Grüße
Willi

[BSSI]

Und z.B. nicht bei Bitcoin-Treff.de mit einer E-Mail-Adresse nach dem Muster Vorname.Nachname@tld Anfragen versenden.

[Cricktor]

Welche passwortmanger gelten denn als gut? Ich nehme mal an, damit meinst du nicht die browserbasierten bei Firefox oder Chrome?! Welche Programme sind empfehlenswert?

Ich nutze noch einen hauptsächlich browser-basierten Passwort-Manager und bin etwas träge damit, meine Geheimnisse zu Keepass und Derivaten davon vollständig zu migrieren. Ihr könnt mich gerne hauen, aber es ist LastPass, das auch nicht frei von Hacks usw. ist. Ich habe aber nicht das wirkliche Gefühl, daß andere Anbieter soo viel besser sind. Ich benutze LastPass einfach schon sehr lange und bin nicht unzufrieden und ich habe keine Hinweise, daß mir meine Passwörter abhanden gekommen sind. Das ist weder Pro noch Contra zu LastPass.
Ich bin kein Freund von Software-Abos, deswegen habe ich keinen Bock, für ein Produkt dauerhaft zu zahlen, wo die erwartete Nutzungsdauer, den Wert des Produkts deutlich übersteigen wird. Die kostenlose Version von LastPass hat für mich ausreichend Funktionalität, wo ich bisher nicht mehr gebraucht habe. Blöd ist für mich, daß ich mich für die Desktop- oder Mobilversion festlegen muss (gilt nur für die kostenlose Variante). Das kann man mit Trickserei womöglich auch umgehen, muss dann aber für die Synchronisierung durch zuviele Reifen hüpfen. Danke, nein, ist mir dann doch zu blöd und fehleranfällig.

Letztlich werde ich aber von primär browser-basierten Lösungen weggehen, weil mir Browser zu komplexe Software-Ungetüme geworden sind, die zu viele Angriffsflächen haben und bieten. Da glaube ich nicht mehr an eine beherrschbare Sicherheit und somit halte ich auf längere Sicht auch Browser-Plugins als zu sehr mitgefährdete Angriffsziele.

Und gibt es da eventuell direkt gute Kombinationen direkt mit 2FA? Was hälst du von Keepass+YubiKey?

Möchtest du auch 2FA mit im Passwort-Manager unterbringen? Das halte ich für keine gute Idee, falls doch auch der Passwort-Manager angegriffen werden sollte wg. irgendwelcher Lücken darin. Der Sicherheitsgewinn von 2FA beruht darauf, ein weiteres unabhängiges Gerät im Besitz zu haben, das möglichst unabhängig von den Passwörtern ein zusätzliches Geheimnis abliefert.

YubiKey fand ich immer schon interessant, nur habe ich mir bis jetzt keinen besorgt. Ich möchte eine Lösung haben, die für Alles funktioniert und möglichst universell einsetzbar ist. Es nützt mir nicht so viel, wenn ich nur einen, wenn auch vielleicht recht großen Prozentsatz, mit 'nem YubiKey erschlagen kann, dann aber doch ein nicht unwichtiger Prozentsatz eine andere Lösung benötigt.

Vielleicht sind PassKeys eine Lösung mit Zukunft... (muss ich mich noch intensiver mit beschäftigen und verstehen lernen).

Nutzt du für jeden Service neben eigenen Passwörtern ggf. auch eigene Mail-Adressen bzw. Aliase?!

Ja, ich mache das in der Tat ziemlich viel, um erkennen zu können, wenn ein Service meine Login-Daten nicht schützen kann oder diese sogar verhökern sollte. Mein Email-Anbieter und auch mein eigener Mailserver können das: <Links-vom-Ät>+Servicename@<Mailserver-Domäne>
Der Teil +Servicename wähle ich dann jeweils passend aus, daß ich später bei einem Leak oder Emails von ganz woanders her erkennen kann, wer da meine Login-Daten verschlampert hat.

[Lakai01]

Ihr könnt mich gerne hauen, aber es ist LastPass, das auch nicht frei von Hacks usw. ist. Ich habe aber nicht das wirkliche Gefühl, daß andere Anbieter soo viel besser sind.

Ich habe Lastpass bis zum vor kurzem stattgefundenen Hack auch sehr gerne genutzt. Nachdem denen aber die verschlüsselten Passwortdaten ihrer Nutzer gestohlen wurden und gleichzeitig auch User von übernommenen Konten berichtet haben, hab ich alle Passwörter geändert und Lastpass gelöscht.

Bin noch auf der Suche nach einer Alternative, ein Dienst, der meine Passwörter online speichert, wirds aber nicht mehr!

[Cricktor]

<snip>

Ja, dieser letzte Hack und die Geschichte dazu haben mich auch bewogen, letztlich von LastPass (langsam) Abschied zu nehmen. Immerhin berichtete LastPass (gefühlt) einigermaßen transparent, wie es zum Hack gekommen ist. Der wäre vermeidbar gewesen und wie so oft spielte der Faktor Mensch und einige andere Aspekte eine entscheidende Rolle.

Mein LastPass-Passwort ist mehr als ausreichend lang und nicht über Wörterbuch-Attacken o.ä. angreifbar, daher denke ich, keine Not für einen schnellen Ausstieg zu haben.

Bei mir wird es in Richtung Keepass o.ä. mit geräteübergreifender Synchronisierung per Syncthing o.ä. gehen. Eine selbstgehostete Bitwarden-Lösung lokal Zuhause auf einem Raspi hat für mich auch genügend Charme. Kann mich noch nicht entscheiden. Ich möchte den Komfort ungern aufgeben, von überall einen verlässlichen Passwort-Tresor (Open-Source bevorzugt!) nutzen zu können.

[Turbartuluk]

Und gibt es da eventuell direkt gute Kombinationen direkt mit 2FA? Was hälst du von Keepass+YubiKey?

Möchtest du auch 2FA mit im Passwort-Manager unterbringen? Das halte ich für keine gute Idee, falls doch auch der Passwort-Manager angegriffen werden sollte wg. irgendwelcher Lücken darin. Der Sicherheitsgewinn von 2FA beruht darauf, ein weiteres unabhängiges Gerät im Besitz zu haben, das möglichst unabhängig von den Passwörtern ein zusätzliches Geheimnis abliefert.

YubiKey fand ich immer schon interessant, nur habe ich mir bis jetzt keinen besorgt. Ich möchte eine Lösung haben, die für Alles funktioniert und möglichst universell einsetzbar ist. Es nützt mir nicht so viel, wenn ich nur einen, wenn auch vielleicht recht großen Prozentsatz, mit 'nem YubiKey erschlagen kann, dann aber doch ein nicht unwichtiger Prozentsatz eine andere Lösung benötigt.

So wie ich das verstanden habe lassen sich YubiKey sowohl als Passwortmanager als auch für 2FA nutzen.

So beschreibt KeePass selbst im help center wie man YubiKey nutzen kann um das sichere (ellenlange) Passwort per "Knopfdruck" einzugeben: https://keepass.info/help/kb/yubikey.html
Wenn man im Yubikey aber die Passwörter speichert, dann ist es natürlich kein 2FA mehr sondern nur eine etwas komfortablere Passworteingabe. Also so richtig was mit anzufangen kann ich damit auch noch nicht...

Was die gesuchte Lösung angeht bin absolut bei dir, ich bin auch auf der Suche nach einer Lösung die möglichst komfortabel und ausreichend sicher auf mehreren Geräten funktioniert. Evtl gingen ja sogar browserbasierte Lösungen in Kombination mit 2FA, dann sind die Passwörter auf den einzelnen Geräten abgespeichert und als "Passwortersatz" nutzt man ein zentrales 2FA (muss nur auf Redundanz achten).

Aber nen richtigen Plan hab ich da selbst nicht, deswegen hab ich hier ja nen bissl auf die Schwarmintelligenz des Forums gehofft.

[Turbartuluk]

Was in Sachen Privatsphäre noch ein Thema sein dürfte wären Telefonnummern, die ja auch oft für die Registrierung von Onlinediensten (Bestätigungs-SMS) verwendet werden müssen. Wenn man dann nur eine Nummer hat, lassen sich ja auch viele Dienste und Accounts miteinander verknüpfen.

Nutzt ihr da auch separate Telefonnummern/Prepaidkarten (ggf. ohne KYC) oder habt ihr da andere Lösungen?
 
Ich hab das mal bei einem Anbieter (bei dem ich nicht wollte, dass er meine echte Telefonnummer bekommt) ausprobiert. Prepaid SIM gekauft (SMS Empfang und mobiles Internet gingen sofort, selber telefonieren/ SMS verschicken erst nach Registrierung), vom Anbieter die SMS bekommen und seither läuft alles reibungslos online, die SIM hab ich auch schon ne weile nicht mehr.

Also in Einzelfällen bzw. zum Rumspielen/Ausprobieren geht das wohl schon, aber ein flächendeckender Einsatz von immer verschiedenen SIM-Karten wäre mir dann wohl zu aufwendig/kostspielig. Aber vielleicht gibts ja einfache Alternativen um online Nummern zu emulieren oder so?!

[sam00]

Nutzt ihr da auch separate Telefonnummern/Prepaidkarten (ggf. ohne KYC) oder habt ihr da andere Lösungen?

Für diejenigen, die Dual-Sim am Handy nutzen können, wäre das sicherlich manchmal eine feine Sache. Ich persönlich nutze aber nur eine Nummer.
Bezüglich Prepaid ist es doch mittlerweile so, dass man jede Karte mit Video-Ident oder Post-Ident erstmal freischalten muss oder irre ich mich da?
Bei Aldi-Talk war es zB früher recht einfach und heute muss man sich für jede Karte identifizieren.
Der Vorteil bei einer Nummer, welche man schon einige Jahre besitzt, ist halt, dass man sie im Zweifelsfall easy zurück bekommen kann. Handy/Karte verloren -> Anbieter kontaktieren und neu ausstellen lassen. Bei dubiosen Prepaidkarten wird das wahrscheinlich nicht (so einfach) möglich sein.

[Turbartuluk]

Nutzt ihr da auch separate Telefonnummern/Prepaidkarten (ggf. ohne KYC) oder habt ihr da andere Lösungen?

Bezüglich Prepaid ist es doch mittlerweile so, dass man jede Karte mit Video-Ident oder Post-Ident erstmal freischalten muss oder irre ich mich da?

Ne du irrst nicht, grundsätzlich ist das schon so. Aber das setzt auch jeder Anbieter unterschiedlich "professionell" um. Der Anbieter den ich dafür genutzt hatte, der fordert Kunden per SMS auf, auf die Website des Anbieters zu gehen, um sich dort zu identifizieren.
SMS-Empfang und mobile Daten sind also vorher schon aktiv und bleiben es auch, selbst wenn man sich nicht identifiziert. SMS empfangen konnte ich auch noch lange nachdem mein Guthaben schon aufgebraucht war.
Ob der Anbieter da gesetzeskonform agiert kann ich aber nicht sagen, interessiert mich aber eigentlich auch nicht.

[Cricktor]

Nutzt ihr da auch separate Telefonnummern/Prepaidkarten (ggf. ohne KYC) oder habt ihr da andere Lösungen?

Ich habe ein Dual-SIM-Smartphone, was dann ganz praktisch aber nicht unbedingt notwendig ist. Keine meiner beiden SIM-Karten ist allerdings KYC-frei, also mein Prepaid-SIM-Kartenanbieter kennt mich mit Namen und Adresse.

Wenn ich mich nicht falsch erinnere, habe ich der Veröffentlichung meiner Nummern und Namen in öffentlichen Rufnummernverzeichnissen widersprochen. Für Anmeldungen, die die Angabe einer Mobilnr. für SMS oder sonstwas benötigen und wo ich mir etwas Sorgen um meine Privatsphäre mache, verwende ich in der Regel nicht meine Hauptnummer, mit der ich normalerweise telefoniere, simse und Messenger wie Signal usw. nutze. Die Nebenkarte benutze ich fast ausschließlich für den Empfang von Irgendetwas oder für seltene Telefonate mit Kontakten, die ich vermutlich nur einmalig oder höchst selten anrufen werde und bei denen es mir ganz recht wäre, wenn die nicht meine Hauptnummer zu sehen bekämen. Diese Nummer schreibe ich auch nicht in der Öffentlichkeit z.B. in Signaturen oder so.

Das ist jetzt bestimmt kein besonders schlaues Schema. Ich finde es ganz angenehm, eine gewisse Trennung haben zu können zwischen meiner doch mehr privaten Hauptnummer und einer Mobilnr. für Anmeldungen und Nicht-Gesprächs-Zeugs.

[Turbartuluk]

Bei mir wird es in Richtung Keepass o.ä. mit geräteübergreifender Synchronisierung per Syncthing o.ä. gehen. Eine selbstgehostete Bitwarden-Lösung lokal Zuhause auf einem Raspi hat für mich auch genügend Charme. Kann mich noch nicht entscheiden. Ich möchte den Komfort ungern aufgeben, von überall einen verlässlichen Passwort-Tresor (Open-Source bevorzugt!) nutzen zu können.

Wenn du für dich eine Lösung gefunden hast dann berichte gerne darüber. Die RasPi Bitwarden Lösung würde mich auch mal interessieren.

In der Zwischenzeit hätte ich mal eine Frage an alle, die sich in der Materie auskennen:
Was ist der Unterschied zwischen KeePass, KeePassX und KeePassXC und welche Version meint Ihr, wenn ich von keepass redet?!

[Cricktor]

KeePass - https://keepass.info/ - ist für mich irgendwie das Original und kenne es auch nur für Windows (läuft auch unter Wine), etwas altbackene Oberfläche, dafür aber funktional und verständlich. Ich brauche da kein Chichi.

KeePassX - https://www.keepassx.org/ - habe ich mir nie wirklich angesehen, da es seit längerer Zeit nicht weiter entwickelt wird. War mal ein Port auf unixoide Systeme, hieß wohl früher KeePass/L (für Linux), wurde dann aber zu KeePassX umbenannt, nachdem es "cross-platform" wurde.

Die Weiterentwicklung von KeePassX ist dann KeePassXC - https://keepassxc.org/ - das du auf Windows, Linux und macOS benutzen kannst.

Inwiefern z.B. die Datenbanken von KeePass und KeePassXC zueinander kompatibel sind, muss ich auch erst noch im Detail herausfinden. Auf meinem Android habe ich Keepass2Android, das zumindest bisher keine Schwierigkeiten hatte, KBDX Dateien von KeePass zu lesen und zu verwenden.

Ich möchte aber eigentlich vermeiden, daß die Versionen auf Desktops von den Versionen für Mobilgeräte zu sehr divergieren. Im Idealfall läuft die Entwicklung parallel und alles ist kompatibel zueinander.

Auch sehr interessant, aber nicht kostenlos, ist Enpass - https://www.enpass.io - das es für alle Plattformen gibt, also iOS, Android, Linux, macOS, Windows. Abomodelle kämen für mich nicht infrage, Enpass hat aber auch eine Lebenszeit-Lizenz für 'nen fairen Taler. Könnte mein Favorit werden, was ich bisher dazu gesehen habe.

[Danydee72]

Sehr viele Inputs sind bereits eingeflossen, trotzdem noch ein paar Ansätze von mir - ich hoffe, keine Doppelposts.

• Es gibt Umstände, wo man trotz allem mehrere Logins offline braucht (z.B. Logins in Passwortmanager, Logins in PC's): eventuell mag eine Passwortregel helfen
• Passwörter regelmässig ändern, bzw. nicht verwendete Konten löschen (ist aber nicht immer klar, ob zweiteres was bringt)
• Aus meiner Sicht zentral: Private Mailaccounts regelmässig prüfen. Auch wenn man ihnen vertraut: Firmen werden regelmässig gehackt und das ganze kann im dümmsten Fall zu Identitätsdiebstahl führen. Bei Unregelmässigkeiten PW sofort ändern.
• Wichtige Dinge nicht irgendwo machen. (das muss ich mir selber auf die Fahne schreiben)
• auf unnötige Handyapps verzichten. Das Beispiel sagt eigentlich alles: Manche - wenn nicht alle - Bank- und Kreditkartenapps müssen auf Android immer noch via "Playstore" runtergeladen werden.   Auch da gilt: Nicht alles muss überall gemacht werden können.
• aus eigener Erfahrung: Bekannte Links nicht in Suchmaschinen suchen, sondern speichern und darüber aufrufen. Suchmaschinen nehmen sehr gerne auch Scamseiten auf und zeigen sie an der Stelle an, wo davor die wirkliche Seite war.
• Mein Liebling: Bargeld statt Karte.

Grundsätzlich: Betriebssysteme sind Feindesland. Tönt nach Aluhut. Damit ist aber nur gemeint, dass man sich wirklich schützen sollte. Die meisten Betriebssysteme kommen aus Ländern, die die Privatsphäre mit Füssen treten.

[Cricktor]

• Es gibt Umstände, wo man trotz allem mehrere Logins offline braucht (z.B. Logins in Passwortmanager, Logins in PC's): eventuell mag eine Passwortregel helfen
• Passwörter regelmässig ändern, bzw. nicht verwendete Konten löschen (ist aber nicht immer klar, ob zweiteres was bringt)

Trotzdem auf ausreichend lange und "gute" Passwörter achten, besonders bei denen, die man noch braucht, bevor ein Passwort-Manager aktiv ist bzw. assistieren kann. 12 Zeichen, besser ab 14 sollten mittlerweile das untere Minimum sein.

Ansonsten möchte ich dir aus eigener Erfahrung beim Thema "Passwörter regelmäßig ändern" gerne widersprechen. Gute und lange Passwörter braucht man eigentlich nicht zu ändern, außer man muss sie in Umgebungen einsetzen, deren Sicherheit man nicht kontrollieren kann. Ich habe jahrelang unter so 'nem Firmen-Schwachsinn wie erzwungene Passwortwechsel alle 60 oder 90 Tage gelitten. In vermutlich 99% der Fälle führt das zu unsichereren Passwörtern, weil Fragmente des Passworts konstant bleiben und nur noch eine Zahlenkombi hochgezählt wird, außer die Admins sind besonders sadistisch und erzwingen weitreichendere notwendige Änderungen von alt zu neu.

So'n Blödsinn empfiehlt auch nicht mal mehr das BSI, auf das ich aber auch eh nicht soviel geben würde. Nur meine unmaßgebliche Meinung aus der IT-Praxis.

[Danydee72]

Ansonsten möchte ich dir aus eigener Erfahrung beim Thema "Passwörter regelmäßig ändern" gerne widersprechen. Gute und lange Passwörter braucht man eigentlich nicht zu ändern, außer man muss sie in Umgebungen einsetzen, deren Sicherheit man nicht kontrollieren kann. Ich habe jahrelang unter so 'nem Firmen-Schwachsinn wie erzwungene Passwortwechsel alle 60 oder 90 Tage gelitten. In vermutlich 99% der Fälle führt das zu unsichereren Passwörtern, weil Fragmente des Passworts konstant bleiben und nur noch eine Zahlenkombi hochgezählt wird, außer die Admins sind besonders sadistisch und erzwingen weitreichendere notwendige Änderungen von alt zu neu.

So'n Blödsinn empfiehlt auch nicht mal mehr das BSI, auf das ich aber auch eh nicht soviel geben würde. Nur meine unmaßgebliche Meinung aus der IT-Praxis.

Da hast Du natürlich Recht. Aber um die Fälle geht es mir auch nicht, vielleicht muss ich meinen Satz da erheblich präzisieren. Du sagst es ja eigentlich auch selber schon: es gibt Orte, wo man nicht Herr der eigenen Sicherheit ist. Für mich stellt dieser Ort mein privater Mailaccount dar, den ich für manche schützenswerte Dienste bzw. Korrespondenz nutze. Hast Du 2FA, genügt das allenfalls auch. Wenn aber nicht, dann würde ich einen PW Wechsel ab und zu anraten (oder allenfalls zu einem Anbieter wechseln, der 2FA anbietet). Ich halte Dir da wiederum entgegen, dass ich in dem Falle ein wechselndes PW für wichtiger erachte als die Komplexität. Es kommen leider immer wieder Fälle zu Tage, wo Daten gestohlen wurden mit PW's in Klartext - manchmal liegt das Jahre zurück. Ein Mitarbeiter von mir hat das erlebt. Da spielt die Komplexität keine Rolle mehr. Das ist der Grund, warum ich gerade dieses PW regelmässig (z.B. jedes Jahr mal) ändere. Bei Logins auf Geräte oder ähnlichem werden keine Passwörter in Klartext gespeichert, soviel Vertrauen habe ich dann auch noch. Für die Fälle reicht es aus, eine gewisse Komplexität einzuhalten.