E-Mail Datenleaks (Paste-Listen)

[Anakin94]

Hi zusammen,
In den letzten 2 Wochen gab es bei meinem E-Mail Postfach pro Tag etwa 3 fehlgeschlagene Login Versuche.
Ich hatte mein Passwort immer richtig eingegeben, also konnten es nur Fremdeingriffe sein.
Heute bekam ich jedenfalls eine E-Mail von Have I Been Pwned? , das meine E-Mail Adresse in einer "Paste" Liste aufgetaucht ist.
Ich denke öffentlich posten darf ich die Links zu den Listen hier nicht, da Passwörter enthalten sind.

Wer testen möchte ob seine E-Mail schonmal in einem Leak aufgetaucht ist kann auf der Have I Been Pwned? Seite seine E-Mail-Adresse eingeben und dies prüfen.
Alternativ kann man auch auf "Passwords" klicken und prüfen, ob das eigene Passwort schonmal in einem Leak aufgetaucht ist.
Ich hatte mich schon vor einer Weile auf der Seite in die "Notify me" Liste eingetragen, damit ich im Fall wie heute informiert werde.

[Takeshi]

Die Idee ist ja glaube ich, dass du das Passwort, das du für dein E-Mail-Konto verwendest, auch wo anders benutzt, wo du die E-Mail-Adresse hinterlegt hast. Ich bin zum Beispiel in dem Hack von PSX-Scene mit drin. Bringt aber niemandem was, da ich ein anderes Passwort benutzt habe. Aber das machen viele nicht, also probiert man das Passwort auch bei meinem E-Mail-Konto. Ich denke daher die Login-Versuche bei dir.

Generell gilt: überall ein anderes Passwort benutzen, am besten mit Passwort-manager, wie KeePass2. Wer das absolut nicht will, der sollte zumindest beim E-Mail-Konto ein einmaliges Passwort verwenden. Vielen Menschen sind E-Mails zu altbacken, also behandeln sie ihre Konten stiefmütterlich und nutzen unsichere Passwörter. Aber fast alles läuft auf dem E-Mail-Konto zusammen.

[Anakin94]

Zu der Anfangszeit als ich Zugang zum Internet hatte war das auch der Fall mit einem Passwort.
Hat sich aber schon seit Jahren geändert.

Immer noch bin ich mir unschlüssig was sicherer ist.
Also ob man Passwörter im Browser speichern sollte, oder immer eintippen sollte.
Da frage ich mich wie sicher sind die Passwörter verschlüsselt, sollte jemand Zugriff auf meinen Rechner haben?
Beim eintippen denke ich mir was wenn ich mir heute einen Keylogger eingefangen habe und der jedentag meine Tasteneingabe aufzeichnet

Einen externen Passwortmanager benutze ich nicht.

[Takeshi]

Anfangs hatte ich natürlich auch nur wenige Passwörter. jede war mal unerfahren und früher war die Gefahrenlage eine andere. Es gab Zeiten, da war 0ce391 ein sicheres Passwort.

Im Browser speichern ist schlecht(er). Bist du gehackt, sind gleich alle Passwörter bekannt. Beim Eintippen hast du zwar die Gefahr, dass ein Keylogger das Passwort abgreift. Aber wenn ein Keylogger etwas abgreift, ist die Browser-Datenbank auch weg, aber eben komplett.

Ich kann dir nur KeePass empfehlen. Du hast die größte Sicherheit und gleichzeitig den größten Komfort. Es wirkt anfangs etwas abschreckend kompliziert, aber das Gegenteil ist eigentlich der Fall. Wenn du ein wenig technikaffin bist (und das ist bei dir der Fall), dann wirst du damit gut zurechtkommen. So war zumindest meine persönliche Erfahrung und ich konnte es bei anderen beobachten.
Vorteil KeePass: Du kannst beliebig lange und komplizierte Passwörter benutzen, ohne dass es den Komfort beeinflusst. Auch kannst du für jede Seite ein anderes Passwort nutzen, ebenfalls kein Einfluss. Du musst dir die Passwörter auch nicht ausdenken, das geht automatisch und sie sind maximal sicher, was statistische Angriffe angeht. Du musst kein Passwort eintippen, du kannst sie ohne nennenswerten Sicherheitsverlust synchronisieren. Einziger Nachteil: Wenn du Passwörter auf Geräten brauchst, auf denen du die Passwörter NICHT synchronisiert hast, wird es blöd. Kommt bei mir quasi nie vor, daher egal.

[Anakin94]

Ok dann hast du mich überzeugt.
Ich habe die Portable Version heruntergeladen und mir den Generator angeguckt.
Sieht viel versprechend aus.
Die Datenbank ist ja auch verschlüsselt und die kann ich somit sicher auf USB-Sticks als Backup kopieren.
Ich gucke mir das alles aber noch genauer an.

[Takeshi]

Genau, die Datenbank ist verschlüsselt, weshalb ich sie auch mit NextCloud synchronisiere. Ich könnte sie jedem hier schicken, niemand kann etwas damit anfangen, ohne den Schlüssel dafür zu haben. Ein Passwort wäre dafür natürlich zu unsicher, weshalb man eine Key-Datei anlegen kann, deren Inhalt ein extrem langes Passwort ist, das aber automatisch abgefragt wird. Das kann man mit Brutefore nicht mehr knacken. Der Anwender muss das ewig lange Passwort aber auch nicht immer eingeben, es reicht ein zusätzliches, kürzeres Passwort.