Aber ich habe diesen Monat viel in S3 geschoben. Dafür liebe ich den Cyber Quack.
Das längste Thema
- fLoo
- Unerledigt
-
-
Ey geil. Ein Teil meines Nachnames ist eine TLD (gerade rausgefunden). Und der andere Teil war noch frei. Hab jetzt voll die geile Domain im Stil --> nach.name
würde ich auch gerne machen, meine ist noch frei , aber 103,44€ pro Jahr ist mir das nicht wert
-
wenn Du mit 'beides' hier auch das jeweilige Passwort meinst,
ist das eine ganz schlechte idee, weil damit das ganze sich wieder reduziert und bloß zu einem Faktor wird,
welcher bei unerwünschter Kenntnis von Dritten sogar zum Super-Gau eskaliert;
Hängt davon ab, um welches Szenario es geht.
Das mit Abstand häufigste Problemszenario ist nunmal, dass eMailadressen/Benutzernamen und mehr oder weniger gut verschlüsselte Passwörter bei gehackten Websites oder Diensten eingesammelt werden, also im Prinzip https://haveibeenpwned.com/ . Hier hilft das geschilderte Vorgehen:
- Jeder Account hat seine eigene eMailadressen/Benutzernamen und Passwortkombi, es kommt zu keinem Cross-Service Hacking, da jedes Passwort nur einmal vergeben ist. Man ändert auf Hinweis das eine Passwort und fertig.
- 2FA ist nicht unüberwindlich, stellt aber trotzdem einen höheren Aufwand dar, der selbigen meist nicht wert ist, wenn es nicht-2FA geschützte Ziele gibt, die deutlich weniger Aufwand bedeuten. In diesem Kontext kann auch schon ein, im Passwortmanager gespeicherter 2FA Code mehr schützen als ohne 2FA.
- Manche 2FA Code Methoden haben ein Risiko, dass einem das eingetragene 2FA Code Gerät abhanden kommt (z.B. Handy geht verloren, wird geklaut). Klar gibt es Backup Codes, aber diese müssen ja auch irgendwo sicher liegen und stellen einen anderen potentiellen Vektor dar. Zudem ist die Handhabung so umständlich, dass man wohl kaum für Dutzende oder noch mehr Accounts 2FA verwendet. Macht man dies nicht, ist die Sicherheit dieser Accounts jedoch deutlich niedriger.
- Verwendet man für den eigenen Passwortmanager auch 2FA (unbedingt!!), dann wird dessen zweiter Faktor nicht im Passwortmanager gespeichert. Wer also Accounts über den Passwortmanager hacken will, kann sich auf keinem neuen Gerät in den Safe einloggen, selbst wenn Benutzername und Passwort des PW Manageraccounts bekannt sind.
Ja, der 2FA Code wird zu einem weiteren Eintrag im Passwortmanager, wird jedoch durch die "echte" 2FA Authentifizierung des Passwortmanagers abgesichert. Das Vorgehen macht die Handhabung auch einer großen Anzahl von 2FA Accounts sehr einfach, die 2FA Codes können nicht verloren gehen und werden auf allen Browsern / Anwendungen / Plattformen synchronisiert. Daher ist das unter Berücksichtigung aller Risiken für mich der akzeptable Kompromiss, andere können und werden das sicher anders sehen. So oder so sind Passwortmanager (ob mit 2FA oder ohne) der absolut simpelste Weg, die eigene digitale Sicherheit zu erhöhen. Ich bin immer wieder überrascht, wie wenige Leute welche einsetzen.
-
Dass MS die Mails des eigenen Postmaster-Supports als Junk einstuft, ist immer wieder lustig.
Aber schnell sind sie mittlerweile, weniger als 3 Stunden zum Entfernen einer IP-Sperre.
-
Dass MS die Mails des eigenen Postmaster-Supports als Junk einstuft, ist immer wieder lustig.
Aber schnell sind sie mittlerweile, weniger als 3 Stunden zum Entfernen einer IP-Sperre.
Schön das nun Sperren schneller aufgehoben werden. Beruflich bin ich leider gezwungen M365 zu nutzen. Ich zweifle dieses wilde IP Sperren an. Das scheint ja in einem riesigen Umfang zu passieren, trotzdem ist meine M$ Inbox immer voller $cheiße. Kosten-Nutzen scheint da offenbar nicht zu interessieren
-
Hängt davon ab, um welches Szenario es geht.
eigentlich nicht; 2FA ist nur dann 2FA wenn es auch wie 2FA gehandhabt wird;
Dein vorgehen ist wie das Aufbwahren der Geldkarte gemeinsam mit dessen PIN;
so wie dann jemand das "Masterpasswort" braucht, braucht jemand dann auch nur die Geldkarte - beides ist nur EINE Hürde;
dass man den PIN nicht mit der Geldkarte aufbewahrt ist jedem einleuchtend;
aber dass man auch den 2ten Faktor - die H/TOTP-Geschichte - getrennt von den Zugangsdaten aufbewahrt wär auf einmal was völlig absurdes?
wobei bei der ganzen Geschichte die einzelnen Implementierungen¹ Aufholbedarf haben;
¹ hier nicht die Passwortsafes, ... gemeint, sondern die tatsächlichen Sites wo man diese Anmeldedaten verwendet;
-
Mit den heutigen Anforderungen an Passwörter sind Passwörter und TOTP die gleiche Faktor-Kategorie: "etwas, das man hat". Damit unterliegen beide sowieso den gleichen Risiken. Die Aufbewahrung am selben Ort steigert das Risiko nur minimal, da immer beide gemeinsam benötigt werden. Der Vorteil des TOT-Passwort-Geheimnisses ist nicht so sehr, dass es ein zweiter Faktor ist, sondern dass es im Anmeldevorgang nicht übertragen und nicht eingegeben wird. Wenn man das Zurücksetzen von TOTP-Secrets kostenpflichtig macht, braucht man sich über die Ablage in Passwortmanagern nicht zu wundern.
-
Mit den heutigen Anforderungen an Passwörter sind Passwörter und TOTP die gleiche Faktor-Kategorie: "etwas, das man hat".
bevor die Geschichte mit 2FA kam, war das Passwort nichts anderes; und es deswegen heute mit dem TOTP zu EINEM Faktor zu verwschmelzen ist dennoch
weder empfohlen noch notwendig;
Die Aufbewahrung am selben Ort steigert das Risiko nur minimal, da immer beide gemeinsam benötigt werden.
das kann so nur zur Hälfte stimmen; weil etwas immer gemeinsam zu benötigen heißt ja nicht es auch gemeinsam aufzubewahren;
machst ja bei der Geldkarte auch nicht, dass Du den PIN gleich auf die Karte schreibst
-
Die Fähigkeit, sich ein 16-stelliges zufälliges alphanumerisches Geheimnis zu merken und kryptographische Hashes darüber im Kopf zu berechnen, ist beeindruckend, aber wir Normalsterbliche müssen sowas ein Gerät erledigen lassen. Das ist für die meisten das selbe Gerät, das auch die Passwörter speichert. Ob beides in der selben App oder getrennt in einer "Authenticator App" und einem Passwortmanager gespeichert wird, ist egal. Ein Hardwaretoken könnte eine leichte Verbesserung sein, aber dann kommt jemand und empfiehlt, einen Screenshot vom QR-Code mit dem Secret zu machen, damit man bei Verlust ein neues Token aktivieren kann...
-
Ich hole schon mal das Popcorn…
Salzig, bitte.
-
Ich bin neulich wirklich schwach geworden und hab mir einen 5800X3D gegönnt. Danke DerRené fürs Geld ausgeben
Dabei bin ich auch auf Windows 11 hoch als Neuinstallation.Ich bin überrascht was für einen krassen Unterschied das teilweise macht?! Mein Lethal Company Modpack mit 149 Mods läuft jetzt statt mit 120-140 FPS statt 40-60 und es gibt keine Laderuckler mehr beim landen.
Eine Sache macht mich bei Windows 11 aber verrückt: Der Lautstärkemixer verstellt ständig die Lautstärke aller Programme. Manchmal schließe ich meinen Firefox, mache ihn erneut auf und bin nur noch bei 4% Lautstärke und wundere mich, wieso es so extrem leise ist.
Kennt jemand das Problem? Es macht mich wahnsinnig.
-
-
verrückt: Der Lautstärkemixer verstellt ständig die Lautstärke aller Programme.
MAn gewöhnt sich leider dran.
-
Danke DerRené fürs Geld ausgeben
Tschuldigung?!
Aber ja, der Performancesprung ist teilweise enorm, vor allem wenn der zus. Cache greift.
Um Windows 11 mache ich derzeit noch einen weiten Bogen - und wie ich immer wieder sehe war das nicht meine schlechteste Entscheidung.
-
Hallo mainziman,
danke für den Hinweis.
Könntest du das bitte direkt an abuse@netcup.de melden, dann sehen wir uns das genauer an.Liebe Grüße,
Christina
Alles anzeigenJa man erkennt ein Muster, hab das für einen Zeitraum von rund 90 Minuten auf dem RS gespeichert: tcpdump -n -i eth0 icmp6 > /tmp/icmpv6.txt
der File is mehr als 80 MByte groß
und es handelt sich tatsächlich um 2 Übentäter im LAN Moderatoren
Code# wc /tmp/icmpv6.txt 596781 7758048 83774506 icmpv6.txt # cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:91ee:ff4 |wc 359416 4672303 50549438 # cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:91fa:424c |wc 239171 3109118 33448150 # cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:91fa:424c |grep -v fe80::22d8:b00:91ee:ff4 |wc 1806 23373 223082die Einträge sehen hier so aus:
12:28:14.309619 IP6 fe80::22d8:b00:91fa:424c > ff02::1:ff64:8c3d: ICMP6, neighbor solicitation, who has 2a03:4000:31:3d5:74d8:c9ff:fe64:8c3d, length 32
bzw.
12:28:14.856725 IP6 fe80::22d8:b00:91ee:ff4 > ff02::1:ff00:383e: ICMP6, neighbor solicitation, who has 2a03:4000:31:2be::383e, length 32
nach dem ff02::1:ff is es was zufälliges und auch bei who has sind es verschiedene;
mein RS hat ein /64 welches Teil von 2a03:4000:31::/48 ist;
beim VPS Piko hab das für ein paar Minuten gemacht
und auch hier 2 Übeltäter im LAN Moderatoren
Code# wc /tmp/icmpv6.txt 21875 284356 3191789 icmpv6.txt # cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:9fee:ff4 |wc 12085 157086 1765828 # cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:9ffa:424c |wc 9868 128265 1437533 # cat /tmp/icmpv6.txt |grep -v fe80::22d8:b00:9ffa:424c |grep -v fe80::22d8:b00:9fee:ff4 |wc 78 995 11572und auch hier die Einträge analog
exemplarisch
14:23:56.868177 IP6 fe80::22d8:b00:9fee:ff4 > ff02::1:ff96:e72c: ICMP6, neighbor solicitation, who has 2a03:4000:40:77:4455:eaff:fe96:e72c, length 32
und auch hier mein VPS piko hat ein /64 welches Teil von 2a03:4000:40::/48 ist;
Man beachte: die fe80 Adressen der Übeltäter unterscheiden sich nur durch 3(!) bits
fe80::22d8:b00:91ee:ff4 vs. fe80::22d8:b00:9fee:ff4
bzw.
fe80::22d8:b00:91fa:424c vs. fe80::22d8:b00:9ffa:424c
-
eigentlich nicht; 2FA ist nur dann 2FA wenn es auch wie 2FA gehandhabt wird;
Dein vorgehen ist wie das Aufbewahren der Geldkarte gemeinsam mit dessen PIN;
...in einem Safe, der nicht nur per (eigener) PIN, sondern auch per 2FA gesichert ist.
Wenn Du schon einen Vergleich ziehen willst, dann bitte vollständig.
aber dass man auch den 2ten Faktor - die H/TOTP-Geschichte - getrennt von den Zugangsdaten aufbewahrt wär auf einmal was völlig absurdes?
Wirklich getrennt wäre es nur, wenn Passwortmanager und 2FA nicht auf dem gleichen Smartphone ablaufen würde.
Ich würde da lieber die Sicherheit des Passwortmanagers verbessern, z.B. durch Verwendung eines Yubikeys und die zweiten Faktoren im Passwortmanager belassen.
Ich dachte ich hätte es ausreichend dargestellt: ich bin mir des Risikos bewußt, habe aber nach Analyse das FÜR MICH akzeptable Setup gewählt. Es sei bitte jede(r) aufgerufen, eigene Risikoanalysen zu betreiben und danach zu handeln. In jedem Fall wäre jedoch die Verwendung eines Passwortmanagers - ob mit oder ohne 2FA Speicherung, ob lokal gespeichert oder E2E verschlüsselt in der Cloud - dringend zu empfehlen. Ich denke das ist ein Punkt, der unstrittig ist.
-
Ey geil. Ein Teil meines Nachnames ist eine TLD (gerade rausgefunden). Und der andere Teil war noch frei. Hab jetzt voll die geile Domain im Stil --> nach.name
Hab das jetzt auch mal gecheckt und nun bin ich Inhaber einer belgischen Domain.
Geile Idee!Netcup war sogar ziemlich günstig dafür.
Nur knapp 12,-EUR. -
Wirklich getrennt wäre es nur, wenn Passwortmanager und 2FA nicht auf dem gleichen Smartphone ablaufen würde.
das ist nicht das Problem, sondern dass der Passwortmanager sich um die 2FA-Geschichte kümmert;
sprich der Zugang zum Passwortmanager darf nicht der selbe sein wie der zum 2FA;
weil das degradiert sonst zu 1FA;
In jedem Fall wäre jedoch die Verwendung eines Passwortmanagers dringend zu empfehlen.
Warum?
sobald man 2FA verwendet ist das Passwort nachrangig;
des kann durchaus einfach sein, und somit im Kopf
-
weil das degradiert sonst zu 1FA;
Nein, nicht direkt. 2FA schützt nicht nur gegen Angriffe auf den User. Auch ein Servicebetreiber kann Passwörter "verlieren". Die können auf verschiedene Weise in falsche Hände geraten. Daher schützt dich das als Kunde durchaus vor Fälle, bei denen du selbst gar nicht beteiligt bist oder gar nichts dafür kannst, wenn diese kompromittiert wurden. Denn sind wir mal ehrlich, wenn jemand deinen Passwort Manager angreifen kann, kann er auch deine 2FA App angreifen. Das spielt keine so große Rolle. Irgendwo muss man dann auch realistisch sein. Wenn du deinem Mobile OS sowieso nicht so 100% vertrauen kannst, macht es rein aus Security Sicht keinen wirklichen Unterschied, ob man jetzt 1 App oder 2 Apps für den Login nutzt.
In der Theorie hast du natürlich recht. In der Praxis spielen aber so viele Faktoren eine Rolle, dass man hier die Risikobewertung nicht unter Laborbedingungen durchführen sollte.
-
das ist nicht das Problem, sondern dass der Passwortmanager sich um die 2FA-Geschichte kümmert;
sprich der Zugang zum Passwortmanager darf nicht der selbe sein wie der zum 2FA;
weil das degradiert sonst zu 1FA;
Der Logik folgend dürfte man dann auf einem Smartphone niemals gleichzeitig Passwortmanager und 2FA App installieren "weil das degradiert sonst zu 1FA". Das ist doch unrealistisch. Zudem ist das Einloggen in mobile Apps und Websites dann unangenehm schwierig. Zudem gilt was Paul geschrieben hat.
sobald man 2FA verwendet ist das Passwort nachrangig;
des kann durchaus einfach sein, und somit im Kopf
Nein. Denn wenn man keinen Passwortmanager verwendet, ist die häufig / meist geübte Praxis, dass man immer gleiche eMail/Passwortkombinationen verwendet ("damit mans sichs merken kann"). Klar, Ausnahmen bestätigen die Regel, aber sind wir mal ehrlich: Ottonormaluser macht das so.
Und wenn man diese gleichen Credentials mit mehreren Anwendungen / Websites etc. verwendet und manche davon nicht 2FA abgesichert sind bzw. nicht abgesichert werden können, kann jemand, der durch einen Website Hack Kenntnis von dieser Kombination erlangt, sich bei einem nicht gehackten Account einloggen und dort Schaden anrichten.
Daher Passwörter komplex und random und für jeden Account ein eigenes. Das ist nur mit einem Passwortmanager zu machen.
TLDR: Auf der Skala zwischen extrem sicher und umständlich umsetzbar und extrem convenient aber extrem unsicher gibt es viele Abstufungen. Jeder Schritt Richtung Sicherheit zählt.
