Hab gerade auf 2-Faktor umgestellt. Das ist zwar etwa unbequemer, aber auf jeden Fall deutlich sicherer. Ich wusste gar nicht, dass es auch hier geht sonst hätte ich das schon eher gemacht. Daher vielen Dank für diesen Thread 
Viele Grüße
Michael
Vielleicht ist folgendes auch nicht jedem klar:
Man muß sich nicht jedes mal mit seiner 2-fach Autorisierung anmelden.
Man braucht den Code nur, wenn man ein weiteres Gerät zur Einwahl nutzt oder nach 30 Tagen.
Gruß Horst
> Man durchsucht die Mails nach Forenkonten Konten und Ähnlichem, läßt per Mail das PW dieser Konten zurücksetzen
...wird nicht funktionieren. Dazu mußt du auch wissen, wo die Kontenverwaltung die Rücksetz-Mail hinschickt.
...und dazu mußt du wiederum den geamten Datenverkehr zwischen User und Konto im Klartext (!) abgreifen.
Einige Mailer haben sehr lange die Mails unverschlüsselt rausgeschickt - ich weiß noch, daß in unserer Redaktion seinerzeit die gesicherte Outlook-Variante erst um 2013 herauskam. Andere - besonders Web- - Mailer waren ebenfalls lange offen wie ein Scheunentor. Das war wie Postkartenschreiben - da konnte jeder im Datenstrom mitlesen.
Hallo Winnie,
wenn ich Zugriff auf Dein E-Mail-Konto habe ist es ein leichtes das Passwort zurückzusetzen.
Ich brauche dazu noch nicht mal zu wissen welchen Nutzernamen du im Forum nutzt...
Gruß Horst
Man muß sich nicht jedes mal mit seiner 2-fach Autorisierung anmelden.
Man braucht den Code nur, wenn man ein weiteres Gerät zur Einwahl nutzt oder nach 30 Tagen.
na ja, ich benutze auch Zugänge bei denen jedes mal die 2FA benötigt wird - da gibt es unterschiedliche Varianten.
wichtig ist das allemal - wenn es auch lästig sein kann - aber Nutzerdaten sollen immer gut geschützt sein, auch wenn es nicht gleich an's Geld gehen muss....
viele Grüße, Martin
...wird nicht funktionieren
"Der Anfang jeder Katastrophe ist eine beschissene Vermutung." 
Aber im Ernst, es geht schneller als gedacht und wenn es passiert kannst Du froh sein, wenn es 'nur' der Astrotreff ist. In einem Forum wurde ein alter, lange nicht genutzt Account auf dieser Weise übernommen und für betrügerische Angebote genutzt. Da habe Leute ihr Geld verloren und das hatte verhindert werden können, wenn 2-Faktor aktiv gewesen wäre.
Viele Grüße
Michael
wichtig ist das allemal - wenn es auch lästig sein kann - aber Nutzerdaten sollen immer gut geschützt sein, auch wenn es nicht gleich an's Geld gehen muss....
viele Grüße, Martin
Das Blöde ist: Nicht derjenige, dessen Account gehackt wurde, wird finanziell geschädigt, sondern derjenige, der ein vermeintliches Schnäppchen machen wollte und dabei etwas unvorsichtig wurde.
Gruß Horst
Kommt immer drauf an welches Konto geackt wird, bei meiner Tochter was das Amazon-Konto - da kann einen der Schaden dann schon selber treffen....
Bei meinem Kleinanzeigenkonto (wurde auch schon gehackt) da traf es dann andere - egal wie rum - nervt immer - und wenn es "nur" darum geht das eigene Nutzerkonto wieder zu kontrollieren, daher lieber auf Nummer sicher...
Gruß, Martin
Es ist ein riesen Unterschied zwischen einem Forum, Shops, Ebay und Co, PayPal und Co und dem EMail Accound.
Letzterer ist am kritischsten und Wichtigsten. Mit Ihm läßt sih die komplette Identität klauen und alle anderen Paßwörter ändern.
Bei einem Forum ist das Ganze noch recht irrelevant und auch nicht kritisch. Ausser beim Admin.
Daher würde ich die Paßwörter entsprechend gewichten.
Zum Phishing. Geht z.B. schon über die Aktivierung der Laptop Kamera oder Schadsoftware.
Gruß Play
Was ich nicht so toll finde ist das man hier wieder mal verschiedene Möglichkeiten nutzen muss, der eine Anbieter macht es über Email Faktor, der andere über eine App, dann wieder Handynummer, SMS... sowas sollte mal irgendwie einheitlich geregelt werden..
Ich mein manchmal gibt es div. Faktoren wie wenn es um eine App geht die einen 2. Faktor benötigt das hier dann das Handy nicht geht sondern das Email Postfach.. aber derzeit finde ich das zu kompliziert weil es zu viele Möglichkeiten an 2. Faktor funktionen gibt.. (ähnlich wie beim Secure Bild wo man entweder was zurecht schieben oder klicken muss.. warum nicht einheitlich?).
einfach mal als Beispiel, Email Anbieter macht es über autentificator App, Browser Anbieter macht es über SMS Einmalcode, Krankenkasse hingegen macht es wiederrum über Email Sicherheitscode.. 
ich frage mich ja die ganze zeit ob eine sicherung der Datenbank von der app Sinn macht wenn diese auf einem NAS liegt der mit 2fa gesichert ist... Am ende ist es doch auch wie ein rattenschwanz das man die sicherungsdatei an einen NICHT 2fa Ort sichern muss weil der sonst verloren ist da keine 2fa beim neu installation der App möglich ist. Wisst ihr was ich meine?.
Da kann man lange philosphieren und sich dabei rastlos verfilzen - jedoch Fort Knox-Standard kriegen wir nicht hin und werden wir auch nie. In letzter Instanz sind wir user wieder die Sicherheitslücke und durchaus auch schlau genug, Daten zu versemmeln, offen herumliegen zu lassen, wichtige USB-Sticks zu verlieren oder einfach nur mit dem Smartphone lauthals auszuquatschen, dass jeder im Umkreis von acht Metern über den neuesten Tratsch gleich mit informiert wird. Will man es etwas sicherer haben, sollte man sich Disziplin aneignen und regelmäßig seine Kennwörter ändern. Nur, wer macht das schon...?
Auf den Apple-Geräten hab ich den Fingerprint aktiv, auf den Windows-Geräten ein meterlanges Password, beim Onlinebanking dito und 2FA. NAS ist kennwortgesichert und wird bei Nichtgebrauch heruntergefahren. Die anderen Kennwörter stehen auf einem Zettel und die kann nur ich lesen. Meistens.
interessant ist wahrscheinlich ein geschützter usb stick zum daten sichern, also ranstecken ans handy synchronisieren fertig.
ich gehe noch eins weiter: wer Funktastaturen benutzt, sollte darauf achten, dass sie eine Verschlüsselung bieten.
ich habe nun so gut wie überall 2fa angewendet, ist gar nicht so mühselig wie anfangs gedacht.
Einzig bei Mailbox.org musste ich durch das 2fa ein applicationspassword generieren damit DavX5 bzw. Email apps wieder zugriff hatten.
Mit der Aegis App lege ich die schlüssel via QR Code an und sichere die Datenbank dann einfach auf einem usb C stick als Backup zum wiederherstellen falls man mal das handy verliert oder zurücksetzt.
Hallo Zusammen
Ich finde Sicherheit sollte einfach Routine sein, deshalb über all 2FA. Wenn wir unterschiede und Ausnahmen machen, wird es schwierig. Es ist wie Händewaschen vor dem Essen. Wir machen es immer und nicht nur wenn es sich lohnt
BTW: 2FA ist nicht phishing resistent. Es ist ein zusätzlicher Faktor, mehr aber nicht. Wer sicher sein will, sollte wo möglich immer Passkeys verwenden und sich auch immer von den Seiten abmelden (Sessioncookie). Leider ist die Verbreitung noch nicht so gross, aber gerade für Mail und Cloudkonten eigentlich ein Muss und bei den grossen auch einfach machbar.
CS, Seraphin
Ein Passwortmanager ist hier eine große Hilfe. Dort speichere ich wichtige Sachen einschließlich OTP ab. Fast alle Dienste die ich nutze bieten mittlerweile OTP an, und per Verschlüsselung der Passwortdatenbank und Master-Passwort ist die Datei per Cloud-Sync auch auf allen Geräten verfügbar. Für mich reicht es an Sicherheit vollkommen. Gleichzeitig um ein vielfaches komfortabler, als sich alle Sachen selber zu merken oder unterschiedliche Apps zu nutzten.
Im nachheinin hätte ich mich vor der Umstellung nicht scheuen sollen, der Mehrwert ist enorm. Auch andere wichtige Sachen wke Kartennummern, Zertifikate, PINs etc ist alles drin.
Auf 6 Geräten per Cloud und jährlich ein Backup auf eine CD. Damit bin ich sehr entspannt und muss keine Sorgen haben, etwas zu verlieren. Nur das Master-Passwort, dass ist lang und gut gehütet.
Nur vergessen darf ich es nicht, was mir beim ersten mal übertragen ohne anschließende Nutzung passiert ist. Beim zweiten mal war ich schlauer.. 
Viele Grüße
Clemens
Don’t have an account yet? Register yourself now and be a part of our community!
