Topic: [Guide] Protect your Crypto: Sicherheitstipps für den Heimcomputer/ das Heimnetz (Read 793 times)

Super Anfang!
Bitte reserviere dir gleich noch zeitnah (bevor die ersten Antworten eintrudeln) die nächsten 1, 2 oder 3 Antworten, damit du gegebenenfalls besser gliedern kannst bzw. sehr viele Infos unterbringen kannst, welche nicht in einen Post passen (Zeichenbegrenzung). Nachträgliches Einfügen/verschieben von Posts auf Position 2,3,4 geht nach meiner Information leider nicht...

Wie besprochen, habe ich heute mal eine vorläufige Anleitung hochgeladen: https://bitcointalksearch.org/topic/bitcoin-wiederherstellungs-anleitung-fur-angehorige-in-arbeit-5369757
Der Thread befindet sich natürlich noch in Arbeit und ich bin auf eure Hilfe/Unterstützung hier angewiesen, dass wir zusammen eine sinnvolle Anleitung produzieren

Naja nicht ganz Ziehst du bei einem PC oder Server den Stecker, geht er ja auch aus aber hier werden sensible Daten höchstens im flüchtigen Speicher gespeichert und eben nichts permanentes.
Auf der Festplatte ist dann z.B wirklich nur dein Betriebssystem gespeichert, dass der PC/Server starten kann.

Also sowas wie seinen Laptop ohne Akku laufen lassen, um im Notfall den Stecker ziehen zu können. Festplatte dabei natürlich verschlüsselt.

Also im Falle der Beschlagnahme der Server von Perfect Privacy war es so, daß die niederländische Polente die Server direkt beim Hoster in Rotterdam beschlagnahmte und mitgenommen hatte, also vom Strom getrennt und aus dem Rack entfernt, anstatt sie vor Ort zu untersuchen. Offenbar war es den Beamten zu "luftig" im Rechenzentrum. Da die Server mit RAM-Disk liefen, wird man "im Revier" wohl nur eine Linux-Grundgerüst vorgefunden haben. Der Hoster informierte PP und stellte dem VPN-Anbieter neue Server zur Verfügung. Nach einem Monat gab die Polizei die Server zurück, sie wurden aber nicht mehr eingebunden.
Perfect Privacy hatte damals auch sofort nach Bekanntwerden seine Nutzer informiert.

Anders bei Windscripe.
Hier bekamen ukrainische Behörden Zugriff auf die Server, welche schlecht geschützt bzw. unverschlüsselt waren und dazu noch mit veralteter Software liefen.
Nun wird dieser Anbieter natürlich behaupten, daß nun alles besser und sicherer läuft, aber für mich wären die ja irgendwie "verbrannt".

Nachtrag:
Richtig ist natürlich deine Behauptung im vorangegangenen Kommentar, daß - wenn man nicht alles selber macht und auf Zweit- bzw. Drittanbieter zurückgreift - man ein gewisses Vetrauen braucht. Ohne geht es nicht.

Danke für deine Tips, thandie.
Da kann aber auch das Problem entstehen, dass nach der Beschlagnahnung von Servern die entsprechende Institution nichts sagt und fleißig den gesamten Datenverkehr mitschneidet.

Das ist richtig. Eigentlich werben ja fast alle VPN Anbieter mit der "strikten No-Logs-Richtlinie".
Es gibt vielleicht noch zwei Indizien, an denen man festmachen könnte, ob das nur Marketing ist oder tatsächlich zu deren Auffassung gehören könnte.

Einerseits hatten in der Vergangenheit einige Anbieter unabhängige externe Audits zugelassen, andere noch nichtmal die Anfragen beantwortet.
Und dann gab es immer wieder Meldungen, daß bsw. die türkische oder die niederländische Polizei Server von VPN-Anbietern beschlagnahmte, dort aber keinerlei Hinweise zu nix fand.
Hier könnte man ja zumindest eine Vorauswahl treffen. Ist selbstverständlich auch keine Garantie für die Zukunft.

Es geht einfach nur um Vertrauen. Niemand hat die Möglichkeit, seinen VPN Anbieter zu überprüfen, ob er nicht doch irgendwelchen Traffic logt.. Das ist genau das gleiche wie protonmail als Beispiel. Auch da weiß niemand aussenstehendes, ob sie wirklich keine Daten aufzeichen.

Das ist natürlich dann nochmal ein weiterer Fall, den man irgendwie abdecken könnte/sollte, wenn man sich in so einer Situation befindet. Wer vertrauenswürdige Kontaktpersonen/Partner/Familie hat, sollte diese am besten einweihen

Hier nun ein Auszug aus meiner aktuellen Anleitung. Ich habe mich da bewusst kurz gefasst, dass die Leute sich erstmal mit Bitcoin beschäftigen müssen.
Manche Informationen wurden natürlich bewusst ausgelassen und lange Ausformulierungen entfernt.
~~~
~~~
Aktuell befinden sich ~XXX~BTC auf der Metallkarte (die von Willi) an Ort X. Um an diese ran zu kommen, müsst ihr das Siegel ablösen und den QR Code des privaten Schlüssels einscannen (Am besten in Bluewallet für iOS) ... (ein paar mehr Infos zum Key usw.)...
~
Auf dem Ledger Stick befinden sich die restlichen Coins. Solltet ihr diese ebenfalls versenden oder verkaufen wollen, registriert euch bei einer Börse (z.B Kraken) usw. usw.

~
Bei Fragen oder Unklarheiten geht auf bitcointalk.org in den deutschen Bereich.
Versendet niemals private Keys oder die 24 Wort Seed Phrase.
Vertraut niemandem aus dem Internet Zugriff auf die Coins bzw. die privaten Schlüssel an.
~~
~


Da sich seit ich die Anleitung geschrieben habe wieder ein paar Dinge geändert haben, sollte ich diese auch bald mal überarbeiten

Also ja und nein.

Meine Partnerin bsw. setzt sich auch jetzt nicht mit Bitcoin & Co. auseinander. Sie kennt die wichtigen Eckpunkte, mußte sich auch durch 3 meiner Bücher "quälen", Computerzeugs ist aber nicht ihr Ding.
Trotzdem ist es ihr mitlerweile möglich, komplett ohne Hilfe an meine Coins zu gelangen. Seither nenne ich diese "unsere" Coins. Bei uns ist eh alles "unser".
Hat natürlich etwas gedauert. Und manchmal - wenn ich einen fiesen Tag habe - mache ich noch einen Spontantest.  
Aber das reicht und funktioniert perfekt. Die Zugänge habe ich ihr direkt so erklärt, wie ich sie auch durchführe. Umgekehrt erklärt sie mir es jetzt genau so.

Bei meinen Eltern hingegen habe ich einen Stichpunktzettel mit allen relevanten Hinweisen und 1 USB Stick hinterlegt. Etwas komplizierter, führt aber zum selben Ziel.

Mein Vorschlag mit der 1 zu 1 Anleitung bezog sich ursprünglich auf den eher unwahrscheinlichen Fall, daß man tatsächlich allein und ohne Vertrauenspersonen lebt, daß man ein Bankschließfach hat und dann eben noch der Schlaganfall hinzukommt. Oder statt Bankschließfach könnte man auch seinen besten Anwalt nennen. Jedenfalls wird man es in beiden Fällen kaum perfekt hinbekommen, daß sich diese Personen oder deine Pfleger erstmal bzw. noch zusätzlich mit Bitcoin beschäftigen, nehme ich mal an. Es ging mir eigentlich nur darum, daß diese Leute dir dann in einem solchen Fall ein Kuvert zukommen lassen, dessen Inhalt nicht theoretisch ist sondern exakt beschreibt, welche Vermögenswerte man hat und wie genau man an seine BTC, an seine Alts, an seine Wertpapier-Portfolios und sonstige Vermögenswerte kommt.

Ich hatte mal eine solche Anleitung handschriftlich, nur so für mich selbst als Lernding. Hatte ich irgendwann entsorgt, als alles im Kopf war, inklusive der wichtigsten Passphrasen, PIN's et cetera. An Schlaganfall & Co. hatte ich damals allerdings auch nicht gedacht.

Also interessant wäre das schon...

Ich persönlich finde ersteres besser. Wenn wir eine 100% Schritt für Schritt Anleitung schreiben, werden sich die betroffenen Personen unter Umständen nicht mit dem Thema auseinandersetzen und einfach drauf los legen und laufen Gefahr dann durch Unwissen doch einen Fehler zu begehen.
Der erste Satz sollte daher folgender sein:

Die Anleitung sollte so ausführlich wie nötig und so kurz wie möglich sein

Im Strukturieren und übersichtlich Gestalten muss ich dann gucken, wie sauber ich das hinbekomme, dass es auch pin-würdig ist

Klar wenn wir da einen schönen Leitfaden hinbekommen können wir das sehr gerne anpinnen.
Muss auf jeden Fall übersichtlich gestaltet sein denn eine textwall schreckt wieder ab bzw. überfordert die Beteiligten dann auch gleich wieder

Bekommen sicher eine DAU-gerechte Anleitung hin.
Gibt ja auch verschiedene Möglichkeiten und jeder kann es dann so detailliert wie notwendig verwahren.
Es soll ja ein Dokument sein, dass man asap mit den Personen des Vertrauens durchgeht und Details bespricht.
Zum Unterschied zu einer Anleitung die man jemandem mit absolut 0 Hintergrundinfos zur Verfügung stellt wenn man selbst ggf. nicht mehr da ist

Während ich das so schreibe überlege ich aber was besser ist... eig. benötigen wir beide Versionen

Klasse Idee und eine super Sache das du deine Version als Diskussionsgrundlage hier zur Verfügung stellen willst. Daraus dann eine Community Version erstellen, hat den großen Vorteil das alle die sich hier aktiv daran beteiligen voll im Bilde sind was an welcher Stelle gemeint ist, so das diese User dann auch bei eventuell doch noch offenen Fragen von Erben/Familienangehörigen (welche hier Rat suchen) sehr einfach und gut helfen können.

Ich hatte mich ja bereits geoutet das ich es auch nicht 100% geregelt habe und noch eine Schritt für Schritt Anleitung fehlt. Ich denke das viele dies wie beim Thema Testament zumindest in jungen Jahren vor sich her schieben. Aber wie oft ist es dann zu spät...
Dieser neue Thread von sam00 sollte dann eigentlich meiner Meinung nach sogar unter "Anfänger und Hilfe" oben angepinnt werden, so wichtig wie dieses Thema ist.
 

Ich denke es wäre günstig wenn wir es nicht zu lang gestalten, sondern es individuelle Versionen gibt. Fange am besten mit deiner Version an (z.b. Ledger) Danach kann man für die alternativen Varianten bei Wallets/Börsen und was es noch so an Unterschieden geben mag, alternative Absätze der Anleitung erstellen, so das jeder dann das passende für sich auswählen kann. Ähnlich wie bei im Netz angebotenen Vorsorgevollmachten, die man auch der individuellen Situation anpassen kann.
Am ende könnten man aus den Textbausteinen dann sogar einen Anleitungsgenerator programmieren 

Ich mache mir gerade schon einmal ein paar Gedanken über die Anleitung und mir stellt sich nun schon ein kleines Problem:
Es gibt ja so viele verschiedene Wallets, Hardwarewallets etc.
Sollen wir dann eine riesenlange Anleitung schreiben für alle Fälle (Ledger, Trezor, Electrum etc.) oder geben wir eher allgemeinere Infos, welche sich dann jeder personalisieren kann ?

Gute Idee. Gehört zwar zum Thema Sicherheit aber driftet eher in Cryptoguthaben vererben ab und daher hat es sich einen eigenen Thread verdient.
Es gab ja div. Beiträge zu dem Thema aber eine fertige Anleitung hätte sich mMn. schon was eigenes verdient denn das sollte auch für so ziemlich alle User hier relevant sein. Das Thema ist sehr wichtig und eigentlich sind alle die das nicht zu 100% geregelt haben ziemlich fahrlässig unterwegs... aber wir werden das nun ändern

Das wäre eine großartige Idee!
Ich schreibe hier heute Abend mal meine aktuelle Version rein und erstelle dazu dann vielleicht einen separaten Thread mit einer Version, die jeder seinen Geliebten hinterlassen kann oder eben leicht abändern kann
Für diesen Thread würden wir sonst vielleicht zu sehr abdriften  

DAS wäre natürlich perfekt
Es gäbe ja Anleitungen wie z.B. https://bitcoinelectrum.com/restoring-your-standard-wallet-from-seed/ oÄ. aber als Anfänger findet man sich da mMn. nicht zurecht und wird vermutlich von Infos erschlagen. Ist ja schon mit einiger Erfahrung nicht immer ganz easy.

Dann noch Exchange finden, KYC, AML etc.
Vielleicht bekommen wir ja hier gemeinsam eine Version hin die wir dann alle für unsere Nachkommen (bzw. den Notfall) verwenden können.

Es ist eine Schritt für Schritt Anleitung, die in etwa so aussieht:
1. Registriert euch bei einer Börse (z.B Kraken)
2. Ledger einstecken (ggf. mit Seedphrase wiederherstellen), Pin eingeben, Bitcoin an Einzahlungsadresse bei Kraken senden

Das alles natürlich viel detaillierter und mit vielen wichtigen Hinweisen (Privatekeys, Seedphrases usw. niemals weitergeben, zur Not hier nachfragen)

Ich werde heute Abend mal meine Version hochladen, wenn ich dran denke

Ich habe meine Daten (relativ) sicher verwahrt aber werde da demnächst Zeit investieren und das nochmal von 0 weg perfekt erledigen.
Also komplett offline, zusätzliches non-elektro-Seedplatten-Backup etc.
Meine Top3 sind sicher aber ich habe eine ordentliche Menge an anderen Wallets und Zugangsdaten für die ich nicht meine Hand ins Feuer legen würde.

Ich hätte auch 1-2 Personen denen ich absolut blind vertraue und die ich auch einweihen möchte.
Aktuell scheitert es noch an dieser "Anleitung für Dummys" um auch die passenden Infos weiterzugeben.

Wie hast du das mit deiner Anleitung gemacht? Ist das eine kurze Info zu allen relevanten Tools wie eine kleine FAQ oder ein kompletter Fahrplan der im absoluten Notfall den Zugriff ermöglicht?

In groben Zügen wissen meine Familienmitglieder bescheid worum es geht (eine detaillierte Anleitung habe ich bisher nicht erstellt) und das man im Falle eines Falles in diesem Forum hier kompetente Unterstützung findet habe ich Ihnen auch erklärt.
Allerdings mit dem deutlichen Hinweis das es hier bei einer "unwissenden Nachfrage" auch Scammer anziehen wird und man nicht jeder Person hier im Forum sofort trauen sollte welche sich per PN meldet.
Hier in unserem Bereich gibt es ja zum Glück genug wachsame Augen, daher denke ich das im schlimmsten anzunehmenden Falle meine Familienmitglieder hier Unterstützung finden.

Auf das Thema VPN wurde ja hier schon hingewiesen, wollte nur noch die zwei Links hier lassen und VPN abraten:

https://gist.github.com/joepie91/5a9909939e6ce7d09e29

https://www.youtube.com/watch?v=FMScV1Mkaok

Genau das ist wahrscheinlich auch das ausfallsicherste bzw. zuverlässigste. Es kann wie du schreibst eben so vieles schief gehen, egal wie/wo die Keys gespeichert sind.
Eine Schritt für Schritt Anleitung, wie man an die Coins ran kommt ist da einfach am sichersten. Ich habe so eine Anleitung geschrieben und sogar hier auf das Forum verwiesen, falls irgendwas unklar sein sollte

Wobei offline ja nicht bedeutet, daß man die Sachen ausschließlich im Kopf oder auf Papier hat. Im Informatikbereich kann damit also auch ein USB-Stick, ein Laptop, ein Smartphone oder ein sonstiges Medium gemeint sein, daß keine Verbindung zu einem Netzwerk herstellt bzw. keinen Datenaustausch zulässt. So gesehen kann man einen Zettel oder die Seed-Plate vielleicht eher als nichtelektronische oder nichttechnische Speicherung bezeichnen.

Dein Einwand "Schlaganfall" ist trotzdem das beste Argument für eine solche Speicherform bzw. für offline + teilen.
Natürlich kann es dann sein, daß deine Sachen im Kopf erstmal weg sind.
Aber nehmen wir mal an, du hast als Eigenbrödler und Mehrfachabsicherer einen solchen Blackout, ein Totalreset. Dann liegen all die Trezors und Ledgers, die 20 verschlüsselten USB-Sticks, die Smartphones, die Nitrokeys, KeyPass, die PC's und Notebooks direkt vor dir auf dem Tisch und du kannst nichts damit anfangen. Überhaupt erstmal vorausgesetzt, man erinnert sich an seine Coins, dann braucht es ja auch noch die Zusammenhänge zu den Geräten und zu den Orten der Speicherung, ist ja auch alles weg. Und wenn du nun die Zugangsdaten online bzw. in Cloud, Netzwerk etc. gespeichert hast, dann brauchst du dafür auch wieder Zugangsdaten, die ebenfalls im Nebel verschwunden sind. Oder du brauchts die Orte, an denen deine Daten hinterlegt sind, die dir aber auch nicht einfallen. So oder so steckt man in der gleichen Situation.

Wenn man seine Angelegenheiten aber vorher mit seinen Liebsten wie Lebenspartner, Ehepartner, beste Geschwister, beste Eltern usw. geteilt hat, Vertrauensverhältnis vorausgesetzt, dann kommen diese Leute in einer solchen Situation von selbst auf dich zu und erklären dir, daß man dies und das hat. Sie füttern dich quasi mit den Infos, an die du sonst ohne Hilfe vielleicht irgendwann einmal oder vielleicht auch nie mehr herankommen würdest.

Ein Bankschließfach meldet sich nicht bei dir nach einem Schlaganfall.
Und die Bankmitarbeiter, selbst wenn sie dir die Sachen bringen würden, können dir auch nichts erklären.
Man müßte dann schon eine 1 zu 1 Anleitung hinterlegt haben, die für den absoluten Laien geschrieben ist.

Auch die geheimen Orte, an denen deine Sachen versteckt oder vergraben sind, senden kein Signal. Sie wissen ja nichts vom Schlaganfall.

Danke für diese Übersicht, ich denke sie ist wirklich für viele hilfreich.
Wie sicher schätzt du die integrierten Passwortmanager von Safari/Firefox & Co ein? Ich meine, dass es bei Safari noch die Gefahr gibt, dass die Passwörter in der Cloud gespeichert werden. (MAC only?)

Nutze auch Keypass. Man kann den Seed übrigens auch noch in einem Text in der keypass db verstecken. Als beispiel jedes erste Wort des Satzes ist ein Wort aus dem Seed. Und dann halt 24 Sätze speichern. Das ist jetzt simplifiziert, da kann man sich ganz andere Kombis ausdenken. Dann steht der Hacker vor ner Wall of Text, und wenn dann noch random Text mitspeicherst, bist du noch mal sicher. Offline ist mir zu unsicher bzw. was mach ich wenns brennt? Ne anderen Problem wäre noch ein Schlaganfall, dann kannst sein, dass dein Kopf komplett resettet ist und man auch keine Zugriff auf ein Crypto hat....

Wenn man seine verschlüsselte Keypass-DB offline auf einem (evtl. zusätzlich verschlüsselten) USB-Stick speichert, dann sollte man nicht nur einen USB-Stick sondern mehrere Backups zur Verfügung haben und die an mehreren Orten verteilen. Die USB-Sticks sollten von unterschiedlichen Herstellern und dazu nicht am gleichen Tag gekauft worden sein (Fehler im Herstellungsprozess bei einer Serie).

Als Massterpasswort eignen sich gut Passwortkarten. Die kann man sich selber erstellen oder benutzt diese Seite https://www.passwordcard.org/en. Die generiert mit jedem neuen Laden eine neue Karte. Wenn man die verliert, kannn man mit der hinterlegten Nummer (2) die Karte neu generieren. Höchste Sicherheit: Generieren auf einem Offline PC und Offline Drucker, die noch nie das Internet gesehen haben.

Für die (laminierten) Karten merkt man sich eine Reihenfolge (z.B. Reihe 3 und nur jede 2. Spalte oder legt Gedanklich ein Muster wie z.B. Dreieck über die Karte).
Für den Urlaub macht man eine extra Karte für das Urlaubswallet.

Schlüsseldatei für Keypass auf einem USB-Stick als Ergänzung zum Master-Passwortist auf jeden Fall eine sinnvolle Zusatzoption, welche ich für einen Teil meiner Seeds, zumindest für die Hot Wallets, nutzen möchte.
Natürlich muss man dann Sorge dafür tragen, dass die Schlüsseldatei nicht verloren geht, d.h. davon sind Offline-Backups wieder essentiell.

Nein der Satz ist korrekt.
Und auch mit meiner Aussage gibt es kein Problem

Fakt 1 - Meine KeePass DB liegt in keiner Cloud sondern einem lokalen Netzwerk das ich per VPN erreichen kann.
Fakt 2 - Das ist nicht gut denn ein kompromittiertes System würde ausreichen um den Vollzugriff abzugeben.
Fakt 3 - Du hast beschrieben was "Offline" heißt und das ist auch korrekt.
Fakt 4 - Ich habe nie behauptet meine DB Offline zu haben. Das dachtest du nur

Aber egal um so Kleinigkeiten soll es hier ja nicht gehen

---

Heute Früh habe ich auf jeden Fall direkt 2 Verbesserungen umgesetzt.
1) Schlüsseldatei für den Programmstart und
2) AES-KDF Wert der Kennwortverschlüsselung (Iterationen) angepasst.
Quelle für mehr Infos.

Das war mal ein Schritt in die richtige Richtung. Weitere Vorschläge rund um KeePass bzw. andere Sicherheitsthemen sind herzlich willkommen

Dann hat sich ein Fehler im nachfolgenden Satz bei dir eingeschlichen und daher kam die Verwirrung


Oder meinst du etwas anderes mit "nicht offline" aber eben auch "nicht online" ?
Ich kann dir leider nicht ganz folgen

Wie wäre es denn mit einem Offline Handy ?
Keine Sim-Karte, kein Wlan usw. und dort drauf die Keys, Wallets oder was auch immer ihr täglich gebrauchen könntet.
Die großen Wallets mit den Hauptbeständen sollten da natürlich nicht drauf sein

Offline beschreibst du natürlich richtig sam00.
Aber ich hatte auch nie behauptet, dass meine Version das ist… habe nur den Ist-Zustand beschrieben

Also meine aktuelle Lösung ist nicht zu 100% optimal und daher bin ich auf der Suche nach dieser einen perfekten (und trotzdem alltagstauglichen) Lösung. Bei solchen Themen muss man ja immer am Ball bleiben.

Das widerspricht sich irgendwie oder nicht ? Wenn du mit vpn in das Netzwerk kommst bzw. Zugriff auf deine KeePass bekommst, kann das ein Angreifer, der Zugriff über deine Geräte erlangt hat doch auch. Vielleicht habe ich es auch falsch verstanden oder du hast es kompliziert ausgedrückt aber offline bedeutet doch wirklich nur von dem Gerät erreichbar, auf dem es liegt und auch keinen Weg nach draußen zu haben.

Bequemlichkeit geht leider zu Lasten der Sicherheit.
Das mit dem Masterpasswort (KeePass) ist aktuell mein größtes Problem.
Div. Seeds sind halbwegs sicher (könnte noch besser werden - ja Willi da melde ich mich!) verstaut aber viele Kennwörter und Zugangsdaten sind nur in der KeePass-DB abgelegt.

Die Idee per YubiKey darauf zuzugreifen: https://keepass.info/help/kb/yubikey.html
klingt eigentlich nicht so verkehrt. Aber geht wieder auf die Bequemlichkeit denn das geht nicht von überall wenn man das Teil nicht dabei hat.

Ich habe meine KeePass DB nicht online aber zumindest an einem Ort den ich immer und von überall (per VPN) erreichen kann. Außerdem ist dieser YubiKey quasi das Passwortfile mit dem jeder Zugriff hat der auch weiß wo die DB liegt.

So richtig gut finde ich aktuell leider keine der Möglichkeiten.

Als Master bsw. für meine verschlüsselten Speichermedien und Geräte nutze ich nur noch Passphrasen.
Denn Sachen wie G&5+üä kI$?/wß09F4_*h kann sich auf Dauer kein Mensch merken, jedenfalls wenn es immer mehr werden.
Außer man hantiert wirklich jeden Tag mehrfach damit herum. Dann kann man sein Gedächtnis trainieren. Aber das muß man dann auch wirklich durchziehen, sonst verschwinden die wenig benutzten Teile irgendwann als erstes aus dem Speicher.

Passphrasen hingegen können ellenlange Sätze sein, kombiniert mit allen möglichen Sonderzeichen, Groß- und Kleinbuchstaben, Leerzeichen usw., logisch und auch eselsbrücken geeignet für einen selbst.

Bankschließfach - weiß ich nicht. Kann gesprengt oder ausgeraubt werden. Und kann sicher auch geöffnet werden, wenn man ins Visir von "Ermittlern" gerät.
Und was ist mit dem Schließfachschlüssel? Der ist ja dann auch wieder versteckenswert...  Es sei denn, man hat eine Privat-Privat-Bank, so 007-mäßig, mit Sicherheitsschleusen, einer Armee und der Garantie, daß die mit wirklich niemanden kooperieren.  

willi9974's "Recovery Seed BTC Plate" ist schon nicht schlecht. Sie übersteht den Wohnungsbrand und ist korrosionsbeständig. Aber dann ist auch wieder die Frage: wo verstecken? Schließfach, Eltern, Freunde, im Garten verbuddeln, in der eigenen Wohnung einmauern?


Ich bevorzuge tatsächlich offline und im Kopf, einige Sachen habe ich in Teilen, also nicht komplett, bei meinen Liebsten hinterlegt.

Ein Masterpasswort zu allen Passwörtern nützt euch nur dann etwas, wenn diese auf einem Offline Gerät gespeichert sind.
Wenn ihr mit einem Keylogger infiziert seid und jemand Zugriff auf euer System hat, müsst ihr nur einmal das Masterpasswort eingeben und Abfahrt

Wie schon im anderen Thread geschrieben: 100% sicher (und weniger sollte bei dem Thema nicht anvisiert werden) sind nur Daten, die keinen Weg ins Internet finden können.

Ich nehme einen anderen Thread zum Anlass um diesen Beitrag hier hoch zu holen.
Außerdem gibt mir dieses Zitat zu denken:

Wie handhabt ihr das?
Masterpasswort im Bankschließfach?
Kennwort wie auch BTC-Seeds in eine Metallplatte klopfen und verstecken?

Ich hab in meiner Podcast-Nachlese/Blog auch noch ein paar Punkte aufgelistet und diese noch näher beschrieben:

1.) Legt ein Backup an
2.) Schützen Eure Daten!
3.) Verwendet Sicherheitssoftware!
4.) Betriebsystem und Programme updaten!
5.) Sichere Passwörter verwenden!
6.) Finger weg vom Admin-Account!

https://www.minds.com/kryptokabinett/blog/folge-6-1-sicherheit-am-pc-906886841893912576


7.) Der Browser – Freund oder Feind?
8.) Fremdgehen mit fremden Geräten!
9.) Router zur Festung ausbauen!
10.) Fremde Dateien!
11.) Fremde Netze!
12.) Die Qual der Wahl des Betriebsystems!

https://www.minds.com/kryptokabinett/blog/folge-6-2-sicherheitstipps-teil-2-906893258870665216


Zur Inspiration 

Podcast unter:  http://kryptokabinett.at

Ich dachte es geht hier um 'Sicherheitstipps für den Heimcomputer/das Heimnetz'
Da benötige ich so ca. 10-15 Passwörter.

Wenn man in anderen Kategorien denken muß, z.B. Systemadmin in einer Hochschule ( o/ gruß an Michi )
ja dann sieht die Welt ganz anders aus und der Shitload von Server/Router/und sonst was für Passwörter die zudem noch mit Kollegen geteilt werden müßen wollen sicher Verwaltet werden, ja dann bin ich bei euch und sage ebenfalls her mit dem Passwortmanager. Nur ging es hier eben nicht darum.

Nochmals, es war nur ein Tipp, mit einer Methode die jeder einfach für sich Probieren kann.
Ich lasse das nun so stehen, denn es gibt immer Gründe dafür oder dagegen.

Hier bin ich ganz bei dir, aber um auf deine ursprünglichen Kritikpunkte zurückzukommen:


1. Niemand "kennt" hier deine Passwörter, wir sprechen hier von einem offline Passwort- Manager. Solange du ein sicheres Master- Passwort hast, bist du safe. Oder alternativ einen yubikey 
2. Kommt darauf an. Wenn du das .kdbx file mit deinem privaten owncloud server synchronisierst, dann schon 
3. Klar, wenn du dir 100+ Passwörter merken kannst/willst, sicher. Aber du hast es ja selbst gesagt


Außerdem sollte man ja auch hin- und wieder ein Passwort ändern. Wenn ein Service Opfer eines Data Breach wurde zum Beispiel.

Der Algo der Brute Force Attake ist selbst bei genauer Kenntnis der Verwendeten Sprache
und unter Verwendung von Wörterbüchern nicht in der Lage in unser beiden Lebenszeit zusammen
dieses Paßwort zu Entschlüßeln.
Ich nenne das mal hinreichend sicher.
Entropie hin/her (Auch wenn du natürlich Recht hast, kommt es dabei nicht darauf an)

Zum Thema Entropie hier auch mal ein Link:
https://www.grc.com/haystack.htm

Das ist richtig und stellt ein Problem dar.

Dann läßt man sich etwas kürzeres Einfallen, ist dann eben nur so sicher wie lang.

Bei den Schreibweisen kann man natürlich auch noch tricksen: Leutz, 3rich usw. der Phantasie
sind keine Grenzen gesetzt.  

Natürlich nimmt man auch keinen Liedtext 1:1 oder einen Wahlspruch, das setzte ich jetzt mal vorraus.

Alles in allem: Sicher ist gar nichts, es kommt nur auf die zur Verfügung stehenden Mittel und Zeit an.
Auch wenn ich mir die Mühe für einen gehackten Account in einem Kochforum nicht machen würde.
Meist Zielt es darauf ab das dieses Passwort dann ebenfalls für Facebook Twitter oder sonst was verwendet wird,
und deshalb versuchen es Hacker auch an der schwächsten Stelle   dem User.

Wichtig ist bei all dieser Diskussion, immer ein anderes Passwort für jeden Service zu Verwenden
und das sollte möglichst lang sein (max. Zulässige Zeichen).

Entropie =/= Zeichenanzahl, es sei denn du suchst diese Zeichen zufällig aus. Ist bei dir nicht der Fall.

Und ja Lyrics usw werden bei brute force schon benutzt, und das bei viel mehr als 14 Zeichen.

Dazu noch die Sache das du das Passwort gerne schnell eintippst und ohne Tippfehler. Letztendlich gibt es auch Services die so lange Passwörter nicht akzeptieren.

Die Entropie ist bei 46 Zeichen aus dem Vollen Umfang von 256 Bytes mehr als Ausreichend.
Kein Hacker bei klarem Verstand wird mehr als 14 Zeichen lange Passwörter Brute Forcen.
Selbst Wörterbücher helfen nicht bei der Lösung.

Ob man sich die Passwörter merken kann liegt an der Methode die sich jeder selber Suchen muß.
Als Tip habe ich den Bezug/Nicht Bezug genannt. Je nach Vorliebe und Fähigkeit.
Alles ist möglich solange man sich daran erinnert.

Ich selber benutze dieses System mehr al 12 Jahre und habe mich selbst nach 5 Jahren noch an ein
nur zwei mal genutztes Paßwort erinnern können. Aber das ist ja von Mensch zu Mensch anders.
Ich benötige dazu keine Software.

Es ist als Tip gedacht, wer es mal Ausprobiert für sich selber kann dann ja immer noch Entscheiden ob er einen
Paßwortmanager Vorzieht.

Da ist die Entropie immer noch sehr viel geringer als bei einem Passwortmanager erstellten Passwort.

Ich bin also nicht mit dir einverstanden.

Ein offline passwordmanager ist kein Problem. Mann muss halt nur sich halt nur an eine Passphrase erinnern.

Mit deiner Technik wirst du dich kaum an 50-60 unterschiedliche Passwörte die so lang sind erinnern.

Mein Tipp: Verwende KEIN Passwort-Manager!
Warum:
1. dieser kennt deine Passwörter
2. du hast nicht immer und Überall zugriff darauf
3. Nutze deinen Verstand

Um sich einzelne Sichere Passwörter zu merken gibt es viele möglichkeiten.
Vollständige Sätze z.B. diese müßen keinen Sinn ergeben, sollten aber zur besseren Zuordnung
eine Bezug/NichtBezug haben 
Sonderzeichen sowie Groß/Kleinschreibung Einarbeiten.

Vorteil dieser Methode:
sehr Sicher da es eine Brute Force möglichkeit anhand der Länge bereits Ausschließt
einfaches Merken möglich macht und immer zur Hand ist.

einfaches Beispiel, man möchte sein Passwort für ein Kochforum Erstellen:
Paßwort: LirumLarumlöffelstielhatnichtszubackenin"2019"

46 Zeichen Groß/klein Zahlen Sonderzeichen (sehr Sicher)

Natürlich kann man auch jeden "Liebgewonnen" Text aus Filmen / Lyrics / Büchern usw. Abwandeln und Verwenden. Nur Erinnern muß man sich können.

Da LAN anstatt WLAN schon abgeschmettert wurde, weiss ich nicht ob mein Vorschlag passt.

Man sollte ein extra Notebook mit sicherem OS nur für Crypto benutzen (Spiele, Internet surfen, social media auf anderer Kiste betreiben).

Das bringt dir aber nichts wenn du nicht als einziger den Schlüssel hast

Ist auch egal. VPN ist an sich besser als kein VPN, man sollte einfach nicht glauben das es Bombenfest ist.

Am besten ist als einziger auf einem VPN zu sein, bzw das Privat mit einem Server zu machen. Das bringt zwar keine extra Anonymität, dafür aber mehr Sicherheit als ein "öffentlicher" service.

Same here.
Hat aber in einem Leitfaden nichts zu suchen, der die Sicherheit des eigenen WLAN- Netzwerks zum Thema hat.

Man antwortet auf die Frage "Welche Maßnahmen können ergriffen werden um die Verkehrssicherheit zu erhöhen?" ja auch nicht mit "Fahr mit dem Zug".
Verstehste 



Ganz in Gegenteil: Eine VPN Verbindung bietet (vor allem in öffentlichen Netzwerken) Schutz vor MITM.
Auch wenn du dich mit einem falschen Access Point verbindest, ist bei Verwendung eines VPN der gesamte Datenverkehr verschlüsselt und somit unlesbar.

Trotzdem sollte man natürlich sichere HTTPS Verbindungen verwenden (wenn möglich) und bei potentiellen Phishing Mails aufpassen.

Wenn ist der VPN Provider der Man in the Middle.

Ich für meinen Teil vertraue (m)einem VPN mehr als (m)einem ISP.


Auch da bin ich mal wieder anderer Meinung.
Ein VPN erhöht die Privatsphäre und Sicherheit im Internet, macht einen aber nicht anonym.


Kannst ruhig schnüffeln, ändert nichts daran dass die Daten 256-bit verschlüsselt sind 

auch bei der 100% ist skepsis angesagt.
So kann man einen User immer noch z.B. über ein Browser Fringerprinting identifizieren oder über schlecht konfigurierte dienste die evtl alle Netzwerkeinstellungen in der Welt herumposaunen. (und sei es durch eine Lücke im Browser)
Man kann dies schön an Fällen sehen in denen auch Tor User enttarnt wurden.

Auch sollte man nicht vergessen das man durchd as VPN auch einer weiteren Person (Firma) vertrauen muss.
Daher auch trotz VPN nur https seiten aufrufen ansonsten sitzt eben der VPN anbieter an der schnüffelschnittsellte.

Wieso nicht? Mein ganzes Haus ist mit RJ45 ausgestattet.





Hatte ich, und habe dann dieses Problem erfahren. Warne nun dagegen. Nicht gegen den Yubikey. Nur gegen ledger als FIDO.



Ein VPN mag sicherer sein als ein öffentlicher hotspot. ABER es IST und bleibt ein Privates Netzwerk wo andere user den "56 Bit AES-verschlüsselten " kennen und diesen nützen können für ein MITM zB.

Was ein VPN 100% bietet ist anonymität von aussen. Es wird also schwieriger dich als Person zu zielen. Wenn jemand aber das ganze VPN abhören will für BTC user zB, WIRD er dich finden.


Vielleicht nicht direkt in Windows, aber du kannst ziemlich einfach daten schnüffeln Kannst dich gerne dazu belesen.

Stimmt zwar schon aber ein bisschen realistisch müssen wir hier schon bleiben.
Ich will hier schließlich Tipps für den richtigen Umgang geben und "Nimm ein Netzwerkkabel" gehört nicht dazu.


Bitte sorgfältiger lesen.
Meine Empfehlung ist ein yubikey.
Ich wollte nur aufzeigen, dass es auch möglich ist den Ledger als Security Key zu verwenden.
Deshalb der Verweis auf den anderen Thread.
(Hattest du den Thread nicht sogar ins franz. übersetzt?  )



Es wird ein Tunnel zwischen zwei Netzwerken erstellt und die Daten können auch über ein Netzwerk geleitet werden, das möglicherweise nicht sicher ist.
VPNs bieten daher mehr Sicherheit bei der Nutzung von WiFi-Verbindungen.


Auch das stimmt nicht. (jedenfalls nicht in dem Kontext hier)

Bei privaten VPNs, wenn du dich z.B. von unterwegs mit deinem Heimnetzwerk verbindest oder 'Arbeitsplatz- VPNs' mit denen du dich aus der Ferne mit dem zentralen LAN verbindest,
können dich andere Nutzer natürlich sehen.

Bei öffentlichen VPNs (die hier Thema sind) gibt es keine Möglichkeit andere User zu sehen.

AirVPN verwendet z.B. einen 256 Bit AES-verschlüsselten Tunnel mit 4096 Bit RSA-Schlüsseln

Machen wir einen kleinen Test, du holst dir AirVPN und dann analysierst du meine Daten ok? 

Am besten gar kein WLAN, sondern nur LAN


Das ist NICHT empfehlenswert.

Mit einem Ledger reset, bekommst du nicht die selben Auth Codes zurück.

Dafür gibt es seit kurzem den Google Titan in Deutschland. 55€ für 2 Keys.

https://bitcointalksearch.org/topic/m.52130301



Ein VPN ist KEIN Sicherheitsfeature. Jeder der den selben VPN benutzt kann deine Daten analysieren. Genauso wie im Lokalen Netwerk.

VPN ist NUR interessant wenn der Staat, bzw dein Internetanbieter nicht wissen soll das du BTC hast. Ansonsten ist es nur zusätzliches Risiko.

Mein Ziel ist es hier einen Leitfaden zu erstellen bzw. grundlegende Verhaltensweisen aufzuzeigen, um die PC- Sicherheit zu erhöhen.

Ist jedenfalls ein Schritt in die richtige Richtung um euer Netzwerk/PC/Wallets vor fremdem Zugriff zu schützen.   



ÜBERSICHT (klickbar)

---

• WLAN Netzwerk
  
• Passwörter
  
• 2-Faktor-Authentifizierung
  
• Mail- Adresse
  
• VPN
  

---

WLAN NETZWERK

Ich starte gleich mit dem (für mich) wichtigsten Punkt, da zugleich auch der kritischste.


- WPS Deaktivieren

Grundsätzlich unterscheidet man zwei verschiedene Möglichkteiten wie man mittels WPS eine Verbindung herstellen kann.

PIN:
Hier wird um eine Verbindung herzustellen ein 8-stelliger PIN eingeben.
Der Router überprüft den 8- stelligen PIN hier aber nicht auf einmal, sondern zuerst die ersten vier und anschließend die letzten vier Ziffern.

Reaver bietet zum Beispiel eine sehr einfache Möglichkeit einen brute- force Angriff auf den WPS Pin zu starten.

Achtung: Die WPS Pin Funktion haben viele Modelle standardmäßig aktiviert.

Push- Button:
Dies ist die wesentlich sicherere Version, da hier eine physische Taste am Router gedrückt werden muss und die Verbindung nur für wenige Minuten hergestellt werden kann.


- Wifi- Passwort und Admin- Passwort ändern

Bei Netgear Routern setzt sich ein Default- (WiFi) Passwort zum Beispiel wie folgt zusammen:

Adjektiv + Nomen + 3 Ziffern

Sollte also mit einem Dictionary + Hashcat mit GPU nicht all zu schwer ausfindig gemacht werden können.
Eine Übersicht zu den WiFi Passwort- Standards gibts es zum Beispiel hier: https://forums.hak5.org/topic/39403-table-of-wifi-password-standards/

Bei der Gelegenheit bitte auch das default Admin Passwort ändern!
Falls euch euer Default Passwort nicht einfällt, wird man z.B. hier fündig: https://default-password.info/


- Netzwerk NICHT(!) verstecken

Die SSID (der Name) des Netzweks wird als Broadcast ausgestrahlt um von anderen Geräten entdeckt werden zu können.

Den SSID Broadcast zu unterdrücken ist KEIN Security Feature!

Was geschieht nun wenn man den SSID Broadcast deaktiviert:
Nun müssen die Clients aktiv nach den vertrauten Netzwerken suchen, indem sie einen broadcast des vertrauten SSIDs aussenden.
Angreifer können diese SSID- Information nun verwenden um sich gegenüber dem Client als vertrauenswürdiger AP ausgibt.

Sogar Windows Boardmittel sind in der Lage die versteckten Netzwerke anzuzeigen (wlan show networks mode=bssid).
Die SSID selbst bekommt man mit Kali Linux und airmon-ng relativ einfach heraus.


- Nur WPA oder WPA2 verwenden (Wichtig!!)


- MAC- Adressen NICHT filtern (optional)

MAC Adressen zu filtern gilt allgemein NICHT als Sicherheitsfeature und ist eher ein Feature zur Netzwerkadministration.
Alles was ein Angreifer tun muss, ist den Datenverkehr zu überwachen und ein Datenpaket zu untersuchen.

Dieser Filter bietet jedenfalls keinen Nachteil in Bezug auf die Sicherheit und kann dehalb trotzdem ohne Bedenken eingerichtet werden.



PASSWÖRTER


- Verwende einen offline Passwort- Manager

Bitte keine Browser- Extensions verwenden!

Meine Empfehlung: KeePass

Tipp: KeePass kann auch in Verbindung mit einem yubikey genutzt werden.

Hier das offizielle Tutorial: https://www.yubico.com/why-yubico/for-individuals/password-managers/keepass/?s=


2 FAKTOR AUTHENTIFIZIERUNG

Zusätzlich zu Passwörtern ist zu empfehlen 2FA zu aktivieren (wo immer dies möglich ist).

Der Google Authenticator ist hier vermutlich das bekannteste Tool.

Meine Empfehlung: Authy

Authy bietet die Möglichkeit für sämtliche Authenticator Accounts ein Backup zu erstellen und mehreren Geräten den Zugriff darauf zu gewähren.
Das Backup wird hier verschlüsselt in der Cloud gespeichert.
Jeder der schonmal seinen Google Authenticator auf ein neues Smartphone übersiedelt hat, weiß den Vorteil vermutlich zu schätzen 

Die Backup- Funktion muss hier aber nicht aktiviert werden.
(Muss jeder für sich selbst entscheiden, ob er die Backup Funktion nutzen möchte)

Eine Hardware-Authentifizierung mittels FidoU2F ist noch sicherer!
Empfehlenswert ist hier zum Beispiel ein yubikey!

Wie das ganze mit einem Ledger funktioniert, könnt ihr in einem anderen Thread von mir lesen:
[Howto] Ledger Nano als Security Key verwenden


MAIL ADRESSE

- Ist  Mail- Adresse Teil eines Daten- Leaks?

Einfach auf https://haveibeenpwned.com/ navigieren, E- Mail Adresse eingeben und auf die Schaltfäche "pwned?" rechts klicken.
Es wird automatisch geprüft, ob die E-Mail Adresse und damit verbundene Konten gefährdet sind.


- Richtigen Anbieter wählen

Meine Empfehlung: ProtonMail


- Phishing Mails

Mit solchen Mails versuchen böswillige Akteure persönliche Daten oder Gelder zu stehlen.

Hier ein paar gängige Methoden:

- Du hast gewonnen
Du bist der Gewinner eines Wettbewerbs, einer Lotterie o.ä., um den Betrag zu erhalten sollst du zuvor noch eine Gebühr oder anfallende Steuern bezahlen.

- Mails die dich auffordern dein Passwort zurückzusetzen

- Sextortion SCAM
Hier behauptet der Täter im Besitz von Webcam- Aufnahmen zu sein, als man eine Pornoseite besucht hat.
Häufig wird auch ein Passwort mitgeschickt, dass mit der E-Mail Adresse verknüpft war/ist.
Dies stammt meistens aus einem Daten- Leak (siehe: Ist  Mail- Adresse Teil eines Daten- Leaks?)

Tipp: Verwende generell für jeden Dienst ein eigenes Passwort und verwende einen Passwort- Manager.


VPN VERWENDEN

Als zusätzlichen Schutz empfiehlt es sich, einen VPN Dienst zu verwenden, der keine privaten Daten protokolliert.
Insbesondere dann, wenn man sich nicht im eigenen Heimnetz befindet.

Meine Empfehlung: AirVPN (nativer Client auch für LINUX!!) oder NordVPN