Mein Ziel ist es hier einen Leitfaden zu erstellen bzw. grundlegende Verhaltensweisen aufzuzeigen, um die PC- Sicherheit zu erhöhen.
Ist jedenfalls ein Schritt in die richtige Richtung um euer Netzwerk/PC/Wallets vor fremdem Zugriff zu schützen. ÜBERSICHT (klickbar)
WLAN NETZWERK Ich starte gleich mit dem (für mich) wichtigsten Punkt, da zugleich auch der kritischste.
- WPS DeaktivierenGrundsätzlich unterscheidet man
zwei verschiedene Möglichkteiten wie man mittels WPS eine Verbindung herstellen kann.
PIN: Hier wird um eine Verbindung herzustellen ein 8-stelliger PIN eingeben.
Der Router überprüft den 8- stelligen PIN hier aber nicht auf einmal, sondern zuerst die ersten vier und anschließend die letzten vier Ziffern.
Reaver bietet zum Beispiel eine sehr einfache Möglichkeit einen brute- force Angriff auf den WPS Pin zu starten.
Achtung: Die WPS Pin Funktion haben viele Modelle standardmäßig aktiviert.Push- Button:Dies ist die wesentlich sicherere Version, da hier eine physische Taste am Router gedrückt werden muss und die Verbindung nur für wenige Minuten hergestellt werden kann.
- Wifi- Passwort und Admin- Passwort ändernBei Netgear Routern setzt sich ein Default- (WiFi) Passwort zum Beispiel wie folgt zusammen:
Adjektiv + Nomen + 3 ZiffernSollte also mit einem Dictionary + Hashcat mit GPU nicht all zu schwer ausfindig gemacht werden können.
Eine Übersicht zu den WiFi Passwort- Standards gibts es zum Beispiel hier:
https://forums.hak5.org/topic/39403-table-of-wifi-password-standards/Bei der Gelegenheit bitte auch das default Admin Passwort ändern!
Falls euch euer Default Passwort nicht einfällt, wird man z.B. hier fündig:
https://default-password.info/- Netzwerk NICHT(!) versteckenDie SSID (der Name) des Netzweks wird als Broadcast ausgestrahlt um von anderen Geräten entdeckt werden zu können.
Den SSID Broadcast zu unterdrücken ist KEIN Security Feature!Was geschieht nun wenn man den SSID Broadcast deaktiviert:Nun müssen die Clients aktiv nach den vertrauten Netzwerken suchen, indem sie einen broadcast des vertrauten SSIDs aussenden.
Angreifer können diese SSID- Information nun verwenden um sich gegenüber dem Client als vertrauenswürdiger AP ausgibt.
Sogar Windows Boardmittel sind in der Lage die versteckten Netzwerke anzuzeigen (wlan show networks mode=bssid).
Die SSID selbst bekommt man mit Kali Linux und airmon-ng relativ einfach heraus.
- Nur WPA oder WPA2 verwenden (Wichtig!!)- MAC- Adressen NICHT filtern (optional)MAC Adressen zu filtern gilt allgemein NICHT als Sicherheitsfeature und ist eher ein Feature zur Netzwerkadministration.
Alles was ein Angreifer tun muss, ist den Datenverkehr zu überwachen und ein Datenpaket zu untersuchen.
Dieser Filter bietet jedenfalls keinen Nachteil in Bezug auf die Sicherheit und kann dehalb trotzdem ohne Bedenken eingerichtet werden.
PASSWÖRTER- Verwende einen offline Passwort- ManagerBitte keine Browser- Extensions verwenden!
Meine Empfehlung: KeePass
Tipp: KeePass kann auch in Verbindung mit einem yubikey genutzt werden.
Hier das offizielle Tutorial: https://www.yubico.com/why-yubico/for-individuals/password-managers/keepass/?s=2 FAKTOR AUTHENTIFIZIERUNGZusätzlich zu Passwörtern ist zu empfehlen 2FA zu aktivieren (wo immer dies möglich ist).
Der Google Authenticator ist hier vermutlich das bekannteste Tool.
Meine Empfehlung: Authy
Authy bietet die Möglichkeit für sämtliche Authenticator Accounts ein Backup zu erstellen und mehreren Geräten den Zugriff darauf zu gewähren.
Das Backup wird hier verschlüsselt in der Cloud gespeichert.
Jeder der schonmal seinen Google Authenticator auf ein neues Smartphone übersiedelt hat, weiß den Vorteil vermutlich zu schätzen
Die Backup- Funktion muss hier aber nicht aktiviert werden.
(Muss jeder für sich selbst entscheiden, ob er die Backup Funktion nutzen möchte)
Eine Hardware-Authentifizierung mittels
FidoU2F ist noch sicherer!
Empfehlenswert ist hier zum Beispiel ein
yubikey!
Wie das ganze mit einem Ledger funktioniert, könnt ihr in einem anderen Thread von mir lesen: [Howto] Ledger Nano als Security Key verwendenMAIL ADRESSE- Ist Mail- Adresse Teil eines Daten- Leaks?Einfach auf
https://haveibeenpwned.com/ navigieren, E- Mail Adresse eingeben und auf die Schaltfäche "pwned?" rechts klicken.
Es wird automatisch geprüft, ob die E-Mail Adresse und damit verbundene Konten gefährdet sind.
- Richtigen Anbieter wählenMeine Empfehlung: ProtonMail
- Phishing MailsMit solchen Mails versuchen böswillige Akteure persönliche Daten oder Gelder zu stehlen.
Hier ein paar gängige Methoden:- Du hast gewonnenDu bist der Gewinner eines Wettbewerbs, einer Lotterie o.ä., um den Betrag zu erhalten sollst du zuvor noch eine Gebühr oder anfallende Steuern bezahlen.
- Mails die dich auffordern dein Passwort zurückzusetzen- Sextortion SCAMHier behauptet der Täter im Besitz von Webcam- Aufnahmen zu sein, als man eine Pornoseite besucht hat.
Häufig wird auch ein Passwort mitgeschickt, dass mit der E-Mail Adresse verknüpft war/ist.
Dies stammt meistens aus einem Daten- Leak (siehe: Ist Mail- Adresse Teil eines Daten- Leaks?)
Tipp: Verwende generell für jeden Dienst ein eigenes Passwort und verwende einen Passwort- Manager.
VPN VERWENDENAls zusätzlichen Schutz empfiehlt es sich, einen VPN Dienst zu verwenden, der keine privaten Daten protokolliert.
Insbesondere dann, wenn man sich nicht im eigenen Heimnetz befindet.
Meine Empfehlung: AirVPN (nativer Client auch für LINUX!!) oder NordVPN