Darin schreibt er, dass die Mailadresse mit der Handynr. die wichtigsten Identifier sind, weshalb man möglichst für jedes Online-Konto eine eigene Mailadresse verwenden soll, zB über den Dienst addy.io, den ich auch nutze.
Nun zu meiner Frage, wie geht ihr mit Altlasten um? Ich habe Beispielsweise in der Vergangenheit immer die gleiche, Mailadresse für alle Shops hinterlegt bzw zwischen 3 Aliasen aufgeteilt.
Wie ändere ich diese Mailadressen nun auf eine von addy.io, ohne dass klar ist, das ich es bin? Meine Mailadresse ist dem Shop ja bekannt und wenn ich einfach nur die Login-Daten ändere, können vermutlich Rückschlüsse zu mir gezogen werden, oder?
Als Mailprovider nutze ich Posteo
Wenn bereits eine E-Mail-Adresse zusammen mit anderen Realdaten (z.B. bei Shop) angegeben wurde, würde ich wahlweise nichts machen (wenn davon auszugehen ist, das es nochmal benötigt wird) oder die Daten bei einmaligen Vorgängen löschen lassen.
Bleibt der Account unverändert und es wird nur die E-Mail-Adresse geändert, fügt man im Backend sehr wahrscheinlich einfach nur eine Adresse hinzu und markiert diese als aktuell gültige. Man hat also im Hinblick auf Privacy meist nichts erreicht oder gar mehr Spuren gelegt.
Schön, dass ich nicht der einzige Bekloppte bin, der das die letzten Tage gemacht hat
Ich finde es erstaunlich, wie schlecht manche Portal-Softwares sein müssen!
Bei einigen hat mein jeweiliges Passwort nicht mehr funktioniert, wobei ich zu 100% sicher bin, das korrekte Passwort gewählt zu haben (dank Passwortmanager).
Bei manchen vergibt man ein neues Passwort, welches zunächst akzeptiert wird, dann aber beim normalen Login-Versuch scheitert. Da fehlt wohl eine Prüfung auf nicht zugelassene Sonderzeichen in der Eingabemaske, wo das Passwort festgelegt wird.
Manche Portale haben völlig überzogene Richtlinien. Natürlich ist ein Passwort mit 15 Zeichen Länge ausreichend lang, aber wo ist das Problem, mehr Zeichen zu erlauben?! Ich reize es halt immer aus, so weit es geht.
Naja, aber die Frage war ja, wie wir mit Altlasten umgehen. Hab es bissl anders gehandhabt als @bingbing:
addy.io nutze ich nur bei unkritischen Seiten. Faktisch bekommt die Seite ja zunächst einmal meine E-Mails und die könnten die ja grundsätzlich auslesen. Also z.B. eine E-Mail für die Bank oder den Arbeitgeber mache ich sicherlich nicht darüber, aber den Zugang zu einem Forum wie dem hier mache ich sehr gern darüber. Trotzdem ist das im Prinzip ein MITM (kann man doch so sagen oder?). Schade, dass E-Mail-Anbieter eine solche Funktionalität wie addy.io sie bietet, bei sich nicht einbauen. Dafür würde ich sogar sehr gerne bezahlen!
Künftig bekommt jede Webseite eine eigene E-Mail-Adresse von mir. Entweder über addy.io oder über Aliase vom E-Mail-Anbieter. Warum?
– Nur so kann ich nachvollziehen, wer meine Daten weitergegeben hat, falls plötzlich Spam daher kommt.
– Und ich schiebe jede E-Mail gleich in einen dafür vorgesehenen Ordner. Dadurch minimiere ich die Gefahr für Phishing. Dafür bin ich eh kaum anfällig, aber eine E-Mail von meiner Bank kann dann eben nur in dem dafür vorgesehenen Ordner landen.
Die E-Mail zum Anmelden beim E-Mail-Anbieter ist künftig eine E-Mail, die ich nirgendwo nutze. Alles läuft also über Aliase. Dadurch wird mein Postfach noch sicherer, weil man neben dem Passwort ja auch noch die E-Mail-Adresse erraten muss. Die hat dann natürlich die Struktur eines Passworts, also z.B. $PASSWORT@web.de ← nutze ich natürlich nicht! Durch Aliase ist es auch leicht möglich, die genutzte E-Mail-Adresse zu ändern, ohne sein komplettes Postfach aufgeben zu müssen.
– Hier ist z.B. mailbox.org super, da kannst einen Alias zur Haupt-E-Mail machen.
Sämtliche E-Mails sollen bei mir verschlüsselt ankommen. Zu erwarten, dass mir Menschen direkt eine verschlüsselte E-Mail schicken, habe ich aufgegeben, das wird nix mehr. Daher nutze ich in addy.io die Funktion, dass vor der Weiterleitung die E-Mail verschlüsselt wird. Und mein E-Mail-Anbieter verschlüsselt die E-Mails ebenfalls beim Eingang und speichert sie dann entsprechend verschlüsselt (Posteo kann das). Dann habe ich wenigstens diesen Teil abgesichert, also falls z.B. der Server mal geknackt wird. Wichtig: Auch der Betreff muss verschlüsselt werden! Kann man bei addy.io einstellen.
Aber klar: Accounts, die ich nicht mehr nutze, fliegen raus. Falls es keine Lösch-Option auf der Seite gibt, dann schreibe ich die Anbieter an. Die reagieren bisher alle sehr flott
Übrigens, der Vollständigkeit halber:
disroot.org hab ich mal angeschaut. Gefällt mir grundsätzlich gut, aber bezüglich Aliase ist dieser Anbieter nicht gut, also für mich leider ungeeignet.
dismail.de erlaubt aktuell keine neuen Registrierungen, fällt also raus.
mailbox.org gefällt mir eigentlich am besten, es gibt die Eingangsverschlüsselung, aber mehr Aliase erst ab einem teureren Abomodell.
Posteo bietet Eingangsverschlüsselung und pro Alias, der über die zwei, welche im Preis drin sind, zahlt man 10 Cent mehr pro Monat. Aliase benötige ich 6 Stück, wird dann also 1,40 € pro Monat. Völlig in Ordnung!!!
Ist jetzt nicht als Werbung gedacht! Posteo und Mailbox passen perfekt zu mir, wobei ich Mailbox rein subjektiv mehr vertraue. Falls jemand ähnliches plant wie ich oder mein Vorgehen gut findet, kann sich dem ja anschließen und weiß gleich, welcher der von Mike empfohlenen Anbietern hierfür in Frage kommen.
Das mit den Passwörtern kann ich voll unterschreiben und auch ich lege diese mit einem PW Manager fest, der diese dann auch haargenau so wieder einfügt, wie sie erstellt wurden, komisch
Als Paranoiker denkt man so… Da könnte sich jemand Zugriff verschafft haben!
Ging mir aber auch so mit den Passwörtern.
Dass die manchmal nur eine sehr begrenzte Anzahl an Zeichen nehmen hängt wohl an der Unvernunft oder Kurzsichtigkeit der WebDevs, als die die Datenbank Tabellen erstellt haben. Ich habe da früher auch viel zu kurz gedacht.
Jupp, und mit Browser-Fingerprinting ziehen sich manche Unternehmen ohnehin genug Daten, um einen User eindeutig identifizieren zu können. Egal welche Addy.
edit
Was nicht heißen soll, dass damit eh alles egal wäre.
Genau deshalb frage ich mich eben auch, ob es sinnvoll ist unterschiedliche Mailadressen bei Online -Shops zu verwenden, die meine Postadresse, Bankverbindung, etc. haben, weil ich ein Geschäft mit ihnen eingehen und die Ware zu mir nach Hause geliefert haben will.
Der Alias bei Shops denen man namentlich bekannt, hat i.d.R. ein anderes Ziel als privacy:
Aufdecken, wer von den Shops deine E-Mail-Adresse „teilt“ oder „verliert“. Dazu macht ein Alias auch dann Sinn, wenn alle Alias die selbe Domain haben.
Hat man keine eigene, teilt eine mit anderen oder hat gar einen Anbieter dessen Domain genutzt wird (wie im obigen Beispiel mit mailbox.org o.anderen) so hilft das nicht unbedingt beim Tracking.
Es hilft aber zur Leak-Erkennung und das man eine „verbrannte“ Adresse möglichst nur an einer Stelle ändern muss.
