habe des öfteren die Diskussionen in der Familie warum denn starke Passwörter verwendet werden sollten, oder auch 2FA. Die meisten Aussagen sind ja meistens: ach was wollen die denn mit meiner Mail Adresse denn anstellen. Amazon ist hier ein gutes Bespiel wo die Menschen dann auch verstehen das wenn ihr Web Account gehakt wurde, man auch das Passwort von Amazon zurücksetzen kann (sofern kein 2FA eingestellt ist) usw …
Ich suche eine Dau freundliche Beschreibung/Liste/Bericht was denn alles passieren könnte wenn ein Mail Account oder etwas anderes gehackt wurde.
Ebenfalls versuche ich dann auch den Einsatz von Passwort Managern näher zubringen (nutze seit Jahren 1Password und bin mehr als zufrieden).
Also etwas Munition für die Sicherheit wird gesucht
Professionelle bzw. sinnvolle und solide Empfehlungen zur Vermeidung der genannten Risiken würden die skizzierte Lösung gleich mit ausschließen.
Hinweis auf partielle und subjektive Zufriedenheit würde hieran wohl nichts ändern
Befürchte, dass man die Munition bei diesem Ziel mühsam suchen muss.
da muss ich widersprechem. Wenn dienstspezifische starke Passwörter verwendet werden (und das ist nur mit Passwortmanager praktikabel), dann ist 2FA/MFA unnötig. 2FA/MFA/multi-step-authentication ergibt nur Sinn, wenn ich nicht daran glaube dass die Benutzer dienstspezifische starke Passwörter verwenden, und ist nur deswegen populär, weil keine Organisation (oder die Schule) den Schulungsaufwand stemmen will. Und wenn jemand den Schulungsaufwand stemmen wollte, dann kann er auch gleich Clienzertifikate propagieren, das wäre dann der Traum…
Also bitte bei Fakten bleiben und eingestehen, dass wir als Enthusiasten nicht alle Lücken der fehlenden Grundausbildung schultern können. Und dann Etappensiege anstreben: Meine Freundin hat inzwischen einen verschlüsselten Laptop und Datensicherung (natürlich von mir eingerichtet). Der Passwortmanager folgt dann irgendwann. Verstanden hat sie es glaube ich schon, jetzt ist Geduld angesagt…
@witty Ich will dich nicht demotivieren, aber meine Erfahrung zeigt, dass sehr viele Menschen nicht für das Thema zugänglich sind. Und warum ist das meiner Erfahrung nach so? Weil zum einen viele Menschen nach dem Motto
„Heiliger Sankt Florian / Verschon’ mein Haus, zünd’ and’re an!“
handeln und zum anderen einfach die Faulheit gesiegt hat.
Meiner Meinung nach gibt es aber eine Lösung: Passkeys. Gehe direkt wo möglich vom klassischen Benutzer / Kennwort zu Passkeys über.
Das ist nicht ganz korrekt, da die Komplexität eines Passworts keine Auswirkung auf anderen Gefahrenquellen wie Phishing oder Datenlecks hat. Eine Absicherung mittels 2FA bietet daher in jedem Fall eine zusätzliche Sicherheitsebene.
es gibt auch Phishing-Attacken auf den 2. Faktor, und bei einem Leak sind die shared-Secrets für den 2. Faktor dann auch in Gefahr. Kannst Du also als Benutzer nicht ernsthaft beeinflussen, außer dadurch dass Du sowieso nie das gleiche Passwort bei verschiedenen Diensten verwendest.
wenn ich das keinem Anbieter wir Google anvertrauen muss sondern meine eigene Kopie verwalten kann - das ist der Plan.
Eigentlich wissen wir mit Client-Zertifikaten seit gut 20 Jahren dass das der richtige Weg ist, nur dass niemand den Benutzern beibringt, dass man auch Sicherungskopien braucht.
verstehe ich. Genau deswegen halte ich nichts davon Techniken zu empfehlen, die nur etwas bringen und dann eher vielleicht als gewiss, wenn die Verantwortlichen versagen.
Habe noch keine gesehen, werde aber mal weiter suchen …
Zurück zum Thema, den einfachen Hilfen und weitere Erfahrungen die ich gemacht habe:
In meiner Firma habe ich zur Passwortsicherheit Präsentation und Workshop für nicht-Techniker gehalten. Die Teilnahme war freiwillig. Die Erfolgsquote (sprich wer hat danach angefangen einen Passwordmanager einzusetzen) war praktisch Null. Man kann jetzt spekulieren, ob die KollegInnen nur gekommen sind, um nicht arbeiten zu müssen, ob meine Präsentation, Demo und Workshop nicht gut gemacht waren, etc.
Fakt ist: Selbst wenn man das Thema „nicht missionarisch“ angeht und auf die Selbsterkenntnis der TeilnehmerInnen setzt, bzw. deren Suche nach Sicherheit triggert, erreicht man meiner Erfahrung nach ganz wenig Menschen.
Daher bleibe ich wie oben geschrieben dabei, dass wohl nur Passkeys die Leute werden schützen können, und zwar in der Implementation wie sie uns GAFAM vorgeben. Da muss man dann auch so ehrlich sein und akzeptieren, dass für 99% der NutzerInnen die Option
wenn doch wünschenswert so doch nicht praktikabel ist.
Wenn die Leute internet-affin sind (und das sind sie, sonst würden sie im Jahr 2024 keine Computer benutzen), könntest Du ihnen vorschlagen, einmal „Doxing“ in die Suchmaschine ihres Vertrauens einzutippen.
IMHO sind beim Thema „stärkere Passwörter“ auch die Dienste in der Pflicht: Wie wär’s, wenn die Mindestlänge mal auf 25 Zeichen heraufgesetzt würde? Das erzwingt dann sozusagen Passphrasen und wäre auch ein starker Motivator, auf PW-Manager zu setzen. Meine Spekulation: Das würde manche User dermaßen nerven, dass die Dienste kalte Füße bekommen und auf so etwas (wie auch das Erzwingen von MFA) leider verzichten, um nur ja keine Kunden zu verlieren.
Vielen Dank für die vielen Antworten. Im privaten Umfeld habe ich oftmals die: mir wird schon nix passieren oder was können die bei mir schon holen. Wenn man dann mal anhand Amazon und einem gehakten Mail Konto anspricht und was theoretisch möglich ist, werden zumindest der ein oder andere nachdenklich und interessieren sich etwas mehr für die Materie. Es bleibt wie so oft das man erst durch einen Schaden dazulernt … leider.
Was Laien nicht verstehen und die dann auch von Passwort Managern und Co abhält: Sicherheit geht oftmals zu Lasten des Komforts. Was 2FA … warum ist doch unbequem… oder ich kann mir nicht viele Passwörter merken usw .
letztens bekam ich eine Mail von einem Hotel wo wir letztes Jahr in Urlaub waren … ein genauerer Blick zeigt direkt das die gehackt wurden (Absender war schlecht gefakt) und auch eine vermeintliche Excel Datei zum anklicken war dabei. Habe das Hotel angerufen und denen auch Screenshots geschickt. Die Aussage: wurde bei der Polizei bereits gemeldet und auch bei hosting europe (oder so ähnlich) würde daran gearbeitet. Habe gefragt ob sie denn schon versucht haben die Passwörter zu ändern konnten sie mir keine Antwort geben. Man sieht an diesem Beispiel das Laien sehr wohl überfordert sein können mit solchen Situationen.
scheut Euch die Urteile LG Mosbach 1 O 271/21 vs. OLG Karlsruhe 19 U 83/22 an. Könnten gegensätzlicher nicht sein, letztendlich musste aufgrund einer gefälschten Rechnung ein Gebrauchtwagen dreimal bezahlt werden: einmal an einen Angreifer, einmal an den Verkäufer, Rest geschätzte Verfahrenskosten. Und es war vermutlich nicht der billigste Gebrauchtwagen.
Wer wirklich schuld war oder seine Sorgfaltspflichten wie gute Passwörter oder Verschlüsselung nicht erfüllt hat haben die Gerichte nicht aufgeklärt. ZPO halt.
warum nicht? Oder zumindest dass jeder selbst auswählen kann, wem erdiese Daten anvertraut (ganz im Sinne des DMA).
Ich persönlich hätte gerne so wie du eine Wahlmöglichkeit, die großen Player werden daran aber kein Interesse haben, sondern die Nutzer an sich binden wollen und es mit dem Argument der Einfachheit und All In One Lösung verkaufen. Es ist doch schon vielsagend, dass Apple, Google, Microsoft und Co. Passkeys im Grunde genommen als ihre Erfindung darstellen und eben nicht als ihre Implementierung von FIDO-2. Der Weg der Nutzung wird selbstredend über die Programme / Plattformen eben dieser Firmen dargestellt.
Ich kenne zwei Fälle aus meinem beruflichen Umfeld, wo die Personen Betrügern auf den Leim gegangen sind und Zugänge zu Ihren Konten verloren haben und ich bin mir zu 99,99% sicher, dass sie ihr Verhalten danach nicht geändert haben. Warum? Ich denke: Bequemlichkeit und/oder dass man denkt, dass es beim nächsten Mal einen anderen treffen wird, also Sankt Florians Prinzip 2.0.
Meiner Erfahrung nach ist im Jahr 2024 der Umgang vieler Menschen mit Passwörtern weiterhin unterirdisch und kaum jemand ist lernfähig.
Ein starkes Passwort könnte so definiert werden: es wird als unknackbar durch Brute-Force Attacken angesehen. Wie kann das erreicht werden? Ein solches Passwort sollte nach Expertenmeinung mindestens 125 Bit Entropie (entspricht einer 125 Zeichen langen Kette von willkürlichen 0 und 1) aufweisen. Das erreicht man z.B. durch eine mit Diceware erzeugten Passphrase von ca.30 Stellen, die um der Handhabbarkeit willen nur aus Kleinbuchstaben besteht. Damit erhält man über 140 Bit Passwortstärke. Das gesamte Szenario könnte in etwa so aussehen: Dieses Passwort gilt als Masterpasswort z.B. für KeepassXC. Als Passphrase lernt man es auswendig und kann es mit einiger Übung bei jeder Sitzung in ca. 6 Sekunden eintippen (so jedenfalls meine Messung), um die Datenbank zu entschlüsseln. (Im Zweifingersuchsystem geht das natürlich nicht so schnell). Innerhalb der Keepass-Datenbank lässt man für alle relevanten Zugänge Passwörter mit der Länge von mindestens 25 Zeichen erzeugen, bestehend aus Klein/Großbuchstaben/Zahlen/Sonderzeichen. Damit erreicht man ebenfalls eine Entropie von > 140 Bit. Eine Browserintegration von Keepass ist natürlich Voraussetzung, damit das handhabbar wird. Entscheidend ist nicht so sehr der Zeichenvorrat sondern die Passwortlänge. Hat man einen erkleckliche Zahl von „unsicheren“ Passwörtern bereits im Einsatz ist das mit einigem Aufwand verbunden, da man jeden Account angehen muss. Sind solche Idealvorgaben immer umsetzbar? Natürlich nicht! Nicht jeder Online-Anbieter, unter ihnen auch Banken, lässt solch langen Passwörter zu und man ist z.B. auf zwölf Zeichen limitiert, womit man bei ca. 76 Bit Passwortstärke landet, was nicht schlecht, aber diesseits der Knackbarkeit ist.
Der zweite Faktor schützt doch wohl beim Verlust des Passwortes. Beispielsweise wenn ein keylogger mein Passwort während der Eingabe mitliest. Hier schützti mch der zweite Faktor… also ich würde empfehlen, da wo es geht einen 2FA einzurichten.
1Password unterstützt auch Passkeys. Diese sind sicher und vor allem einfach zu benutzen mit einem Passwortmanager. Wenn du den Daus zeigst, wie einfach man sich registrieren kann und anmelden kann, wäre das evtl. eine Motivation.
Das hatten wir weiter oben schon. Kam von mir Ich nutze deinen Hinweis aber mal, um nochmal auf den Ursprungspost einzugehen, wo steht:
Wenngleich @witty seiner Familie einen Passwordmanager näherbringen will, du auch einen Passwordmanager in die Waagschale geworfen hast, ich das grundsätzlich für eine gute Idee halte und gestern heise geschrieben hat, dass KeePassXC jetzt auch Passkeys unterstützt (Link), so denke ich, dass wenn man Passwortsicherheit in der Breite haben will, dass man sich dann auch auf Lösungen von Apple, Google, Microsoft und Co. wird einlassen müssen. Man wird viel mehr Menschen erreichen, wenn diese zur Nutzung auf Ihrem Smartphone beim Einloggen in einen Service mit Passkeys z.B. de Fingerabdruck nutzen und fertig. Und ich behaupte mal, dass die nächste Generation von IT NutzerInnen damit direkt aufwachsen wird. Die Nerds, Aluhutträger, Freaks, Hochsicherheits-ITler, etc. können ja weiterhin Passkeys über einen Passwordmanager oder andere Wege (HW-Key) machen, die Masse werden wir darüber aber nicht erreichen. Und letzteres sollte das Ziel sein.
Da hast Du Recht. Aber wenn Du einen Keylogger oder anderen Trojaner auf Deinem System hast, hast Du noch ganz andere Probleme, sprich das zu vermeiden ist noch wichtiger als sinnvolle Passwörter. Zumal Du da nur bei Diensten mit MFA etwas gewinnst, und die sind ja in der Minderheit.
A propos Passkeys … wenn ich mir so anschaue wie das stellenweise Implementiert ist (oder ist es absicht) … Beispiel Paypal: hier habe ich meinen Passkey in 1 Passwort gespeichert. Melde ich mich nun mit dem Passkey an, so werde ich trotzdem zusätzlich mit der 2 FA aus der Authenticator App gefragt. ich kann mich dann trotz allem noch mit Passwort anmelden. Sinn wäre es doch (für mein Verständnis) das Anmelden mit Passwort abzuschalten und den 2FA auch auszuschalten. Habe ich das falsch verstanden und wie mache ich das dann mit der Anmeldung mit Passwort? Ähnlich ist es doch bei Amazon und co.
