Topic: Privatsphäre und IT-Sicherheit - page 3. (Read 941 times)

Für diejenigen, die Dual-Sim am Handy nutzen können, wäre das sicherlich manchmal eine feine Sache. Ich persönlich nutze aber nur eine Nummer.
Bezüglich Prepaid ist es doch mittlerweile so, dass man jede Karte mit Video-Ident oder Post-Ident erstmal freischalten muss oder irre ich mich da?
Bei Aldi-Talk war es zB früher recht einfach und heute muss man sich für jede Karte identifizieren.
Der Vorteil bei einer Nummer, welche man schon einige Jahre besitzt, ist halt, dass man sie im Zweifelsfall easy zurück bekommen kann. Handy/Karte verloren -> Anbieter kontaktieren und neu ausstellen lassen. Bei dubiosen Prepaidkarten wird das wahrscheinlich nicht (so einfach) möglich sein.

Was in Sachen Privatsphäre noch ein Thema sein dürfte wären Telefonnummern, die ja auch oft für die Registrierung von Onlinediensten (Bestätigungs-SMS) verwendet werden müssen. Wenn man dann nur eine Nummer hat, lassen sich ja auch viele Dienste und Accounts miteinander verknüpfen.

Nutzt ihr da auch separate Telefonnummern/Prepaidkarten (ggf. ohne KYC) oder habt ihr da andere Lösungen?
 
Ich hab das mal bei einem Anbieter (bei dem ich nicht wollte, dass er meine echte Telefonnummer bekommt) ausprobiert. Prepaid SIM gekauft (SMS Empfang und mobiles Internet gingen sofort, selber telefonieren/ SMS verschicken erst nach Registrierung), vom Anbieter die SMS bekommen und seither läuft alles reibungslos online, die SIM hab ich auch schon ne weile nicht mehr.

Also in Einzelfällen bzw. zum Rumspielen/Ausprobieren geht das wohl schon, aber ein flächendeckender Einsatz von immer verschiedenen SIM-Karten wäre mir dann wohl zu aufwendig/kostspielig. Aber vielleicht gibts ja einfache Alternativen um online Nummern zu emulieren oder so?!

So wie ich das verstanden habe lassen sich YubiKey sowohl als Passwortmanager als auch für 2FA nutzen.

So beschreibt KeePass selbst im help center wie man YubiKey nutzen kann um das sichere (ellenlange) Passwort per "Knopfdruck" einzugeben: https://keepass.info/help/kb/yubikey.html
Wenn man im Yubikey aber die Passwörter speichert, dann ist es natürlich kein 2FA mehr sondern nur eine etwas komfortablere Passworteingabe. Also so richtig was mit anzufangen kann ich damit auch noch nicht...

Was die gesuchte Lösung angeht bin absolut bei dir, ich bin auch auf der Suche nach einer Lösung die möglichst komfortabel und ausreichend sicher auf mehreren Geräten funktioniert. Evtl gingen ja sogar browserbasierte Lösungen in Kombination mit 2FA, dann sind die Passwörter auf den einzelnen Geräten abgespeichert und als "Passwortersatz" nutzt man ein zentrales 2FA (muss nur auf Redundanz achten).

Aber nen richtigen Plan hab ich da selbst nicht, deswegen hab ich hier ja nen bissl auf die Schwarmintelligenz des Forums gehofft.

Ja, dieser letzte Hack und die Geschichte dazu haben mich auch bewogen, letztlich von LastPass (langsam) Abschied zu nehmen. Immerhin berichtete LastPass (gefühlt) einigermaßen transparent, wie es zum Hack gekommen ist. Der wäre vermeidbar gewesen und wie so oft spielte der Faktor Mensch und einige andere Aspekte eine entscheidende Rolle.

Mein LastPass-Passwort ist mehr als ausreichend lang und nicht über Wörterbuch-Attacken o.ä. angreifbar, daher denke ich, keine Not für einen schnellen Ausstieg zu haben.

Bei mir wird es in Richtung Keepass o.ä. mit geräteübergreifender Synchronisierung per Syncthing o.ä. gehen. Eine selbstgehostete Bitwarden-Lösung lokal Zuhause auf einem Raspi hat für mich auch genügend Charme. Kann mich noch nicht entscheiden. Ich möchte den Komfort ungern aufgeben, von überall einen verlässlichen Passwort-Tresor (Open-Source bevorzugt!) nutzen zu können.

Ich habe Lastpass bis zum vor kurzem stattgefundenen Hack auch sehr gerne genutzt. Nachdem denen aber die verschlüsselten Passwortdaten ihrer Nutzer gestohlen wurden und gleichzeitig auch User von übernommenen Konten berichtet haben, hab ich alle Passwörter geändert und Lastpass gelöscht.

Bin noch auf der Suche nach einer Alternative, ein Dienst, der meine Passwörter online speichert, wirds aber nicht mehr!

Ich nutze noch einen hauptsächlich browser-basierten Passwort-Manager und bin etwas träge damit, meine Geheimnisse zu Keepass und Derivaten davon vollständig zu migrieren. Ihr könnt mich gerne hauen, aber es ist LastPass, das auch nicht frei von Hacks usw. ist. Ich habe aber nicht das wirkliche Gefühl, daß andere Anbieter soo viel besser sind. Ich benutze LastPass einfach schon sehr lange und bin nicht unzufrieden und ich habe keine Hinweise, daß mir meine Passwörter abhanden gekommen sind. Das ist weder Pro noch Contra zu LastPass.
Ich bin kein Freund von Software-Abos, deswegen habe ich keinen Bock, für ein Produkt dauerhaft zu zahlen, wo die erwartete Nutzungsdauer, den Wert des Produkts deutlich übersteigen wird. Die kostenlose Version von LastPass hat für mich ausreichend Funktionalität, wo ich bisher nicht mehr gebraucht habe. Blöd ist für mich, daß ich mich für die Desktop- oder Mobilversion festlegen muss (gilt nur für die kostenlose Variante). Das kann man mit Trickserei womöglich auch umgehen, muss dann aber für die Synchronisierung durch zuviele Reifen hüpfen. Danke, nein, ist mir dann doch zu blöd und fehleranfällig.

Letztlich werde ich aber von primär browser-basierten Lösungen weggehen, weil mir Browser zu komplexe Software-Ungetüme geworden sind, die zu viele Angriffsflächen haben und bieten. Da glaube ich nicht mehr an eine beherrschbare Sicherheit und somit halte ich auf längere Sicht auch Browser-Plugins als zu sehr mitgefährdete Angriffsziele.



Möchtest du auch 2FA mit im Passwort-Manager unterbringen? Das halte ich für keine gute Idee, falls doch auch der Passwort-Manager angegriffen werden sollte wg. irgendwelcher Lücken darin. Der Sicherheitsgewinn von 2FA beruht darauf, ein weiteres unabhängiges Gerät im Besitz zu haben, das möglichst unabhängig von den Passwörtern ein zusätzliches Geheimnis abliefert.

YubiKey fand ich immer schon interessant, nur habe ich mir bis jetzt keinen besorgt. Ich möchte eine Lösung haben, die für Alles funktioniert und möglichst universell einsetzbar ist. Es nützt mir nicht so viel, wenn ich nur einen, wenn auch vielleicht recht großen Prozentsatz, mit 'nem YubiKey erschlagen kann, dann aber doch ein nicht unwichtiger Prozentsatz eine andere Lösung benötigt.

Vielleicht sind PassKeys eine Lösung mit Zukunft... (muss ich mich noch intensiver mit beschäftigen und verstehen lernen).



Ja, ich mache das in der Tat ziemlich viel, um erkennen zu können, wenn ein Service meine Login-Daten nicht schützen kann oder diese sogar verhökern sollte. Mein Email-Anbieter und auch mein eigener Mailserver können das: +Servicename@
Der Teil +Servicename wähle ich dann jeweils passend aus, daß ich später bei einem Leak oder Emails von ganz woanders her erkennen kann, wer da meine Login-Daten verschlampert hat.

Und z.B. nicht bei Bitcoin-Treff.de mit einer E-Mail-Adresse nach dem Muster Vorname.Nachname@tld Anfragen versenden.

Keepass würde ich auch empfehlen. Benutzen wir bei uns in der IT auch und haben nie Probleme gehabt. Ging bei jedem Audit durch, ohne irgendwelche findings zum Thema Sicherheit.

Viele Grüße
Willi

Na das ist doch wirklich mal ein guter Anfang...

Welche passwortmanger gelten denn als gut? Ich nehme mal an, damit meinst du nicht die browserbasierten bei Firefox oder Chrome?! Welche Programme sind empfehlenswert?

Und gibt es da eventuell direkt gute Kombinationen direkt mit 2FA? Was hälst du von Keepass+YubiKey?

Nutzt du für jeden Service neben eigenen Passwörtern ggf. auch eigene Mail-Adressen bzw. Aliase?!

Using google translate:

Danke für die Übersetzung meines Themas. Ich habe im ursprünglichen Thread einen Verweis darauf hinzugefügt.

Vielleicht sollte man IT-Sicherheit in ein eigenes Thema auslagern, da es sonst leicht ausufert. Für nicht-IT-affine Menschen ist IT-Sicherheit auch nicht leicht zu vermitteln bzw. zu erklären, weil die die Zusammenhänge nur schwer verstehen oder nachvollziehen können.

Ein erster Anfang wäre aber:

• sicheren Passwort-Manager benutzen, dessen Zugangspasswort sollte "gut" sein und sicher dokumentiert werden
• der Passwort-Manager generiert dann nur noch für jeden Zweck individuelle komplexe Passwörter
• Passwörter sollten nicht wiederverwendet werden, damit ein Leak nicht mehrere Konten kompromittiert
• 2FA verwenden für alle wichtigen oder mit Werten verbundenen Konten, insbesondere für Email-Konten die für die Wiederherstellung anderer Konten verbunden sind
• keine Software aus dubiosen Quellen installieren oder ausführen
• wenn etwas zu gut klingt um wahr zu sein, dann nicht draufklicken
• vor einem Klick auf einen Link stets sorgfältig prüfen, wohin der Klick einen führt; im Zweifel, nicht anklicken
• Zurückhaltung beim Posten in (a)sozialen Medien: macht euch nicht zu einem interessanten Zielobjekt für Angriffe

...

+merit
Guter Beitrag und würde mich freuen wenn hier noch mehr ihren Beitrag dazu leisten und ihre Ideen mit einbringen. Da gibts bestimmt noch viel wissen bei uns im Forum, dass man nutzen kann.

Sehr coole Idee und viele Grüße
Willi

Es handelt sich im Wesentlich um eine sinngemäße Übersetzung des Fadens "Let's talk about Privacy" von Bitmover aus dem Internationalen Bereich. Da für mich der Inhalt im Vordergrund steht behalte ich mir vor zu kürzen, ergänzen, paraphrasieren oder sonst wie zu verändern, wenn es in meinen Augen der Verständlichkeit zuträglich ist. Diskussionen hinsichtlich einer guten/schlechten Übersetzung sind hier nicht gewünscht, ich nehme entsprechende Hinweise aber gerne per PM auf.

---

Kryptowährungen und Datenschutz/Privatsphäre sind eng miteinander verbunden. Deshalb interessieren sich viele Leute hier auch für solche Themen und dennoch gibt es viele Nutzer im Forum die selbst grundlegende Werkzeuge wie AdBlocker nicht nutzen.

Dies ist eine einfache Anleitung für solche Nutzer.

Leute die sich nicht um Privatsphäre kümmern sagen normalerweise: "Ich hab ja nichts zu verbergen."
Aber wenn man ins Badezimmer geht schließt man ja auch die Tür, obwohl man nichts zu verbergen hat.

Hier sind ein paar Werkzeuge die dabei helfen die Privatsphäre zu schützen und Tracking und Datenschutzverletzungen zu vermeiden, während man im Internet unterwegs ist.

• Vermeidet alle Google Produkte. Bei allen Produkten ist davon auszugehen, dass Google die Verläufe nachvollziehen und Daten an Anbieter von Werbung verkauft.
  
  
• Browser Empfehlung:
  Firefox / Brave browser / Tor Browser
  
  
• Browser Erweiterungen: (funktioniert auch mit Firefox Mobile)
  UBlock (ein adblocker) - Ein AdBlocker sind auch wichtig um phishing vorzubeugen.
  Decentraleyes (blockiert Bereitstellung von Inhalten)
  HTTPS Everywhere
  
  
• E-mail provider:
  Überlegt euch zu einem Verschlüsselten e-mail service zu wechseln, kein U.S Anbieter
  ProtonMail / Tutanota
  
  
• Suchmaschinen:
  Ich weiß es ist hart Google nicht zu nutzen. Die beste private Alternative ist Duckduckgo .
  Wenn du auf Google nicht verzichten kannst/willst überlege zumindest Verschlüsseltes Google zu nutzen (ich weiß nicht ob es wirklich verschlüsselt ist)
  
  
  
• Verschlüssel dein Android Gerät - Schützt deine Musik, Fotos, persönliche Daten so, dass sie nur mit Passwort geöffnet werden können.
  
  
• Ändere Windows 10 Datenschutzeinstellungen, um das Datensammeln durch Microsoft zu verhindern.
  
  
• Einige gute VPN (schützt deine Verbindungsdaten und ermöglicht geografisch eingeschränkte Inhalte):
  Proton VPN - kostenfreie Version verfügbar.
  Tunnel Bear - kostenfreie Version verfügbar.
  Nord VPN - kostenfreie Version verfügbar. Um es dauerhaft zu nutzen benötigt man allerdings das kostenpflichtige Abo.
  
  
• Private Kryptowährungen:
  Monero (die bekannteste), PIVX, Dash, Zcash, Particl, und viele weitere.
  

• Open Source und Datenschutzorientierte Betriebssysteme  (OS) basierend auf Android mobile.
  LineageOS, Replicant and Copperhead.
  

• Datenschutzorientierte Dokumenten-Manager.
  Standard Notes.
  Die Anwendung erlaubt es Dokumente zu synchrosieren im web, android app, windows, mac and linux. Sehr nett. Simpelbund respektiert deine Privatsphäre.
  

- Alternative Speicher

• ownCloud: Open source, self-hosted cloud Plattform, verfügbar für Unternehmen
• Syncthing: Open source, P2P
• Nextcloud: Open source, self-hosted

- Kalender Alternativen

• Etar: Open source
• Fruux: Open source

- Google Docs / Sheets / Slides Alternative

• CryptPad: Zero Knowledge Cloud
• Etherpad: Open source

- Domain Registrierung

•  Njalla
  Sie wollen nicht wissen wer du bist und stellen keine Fragen dazu. Man braucht also nichtmal den Whois Guard.
  

Wichtiger Hinweis: Datenschutz ist eine endlose Aufgabe, weil es immer etwas gibt, was man mehr tun kann. Starte mit den Dingen die für dich persönlich einfach umzusetzen sind. Es gibt noch viel mehr nützliche Add-Ons, Programme, etc.
Das ist nur eine sehr grundlegende Anleitung, weil viele Leute nichtmal adblocker verwenden.

Wenn du mehr Informationen über den Schutz deiner Daten willst gehe auf: https://www.privacytools.io/

---

Gerne möchte ich das Thema auch noch um IT-Sicherheit erweitern und fragen wie denn eure IT-Infrastruktur so aussieht, also auch im Hinblick auf Verschlüsselung, Passwörter/Passwortmanager, 2-Faktor-Authetifizierung und alles was euch sonst noch so einfällt und thematisch hier rein passt. Ziel wäre es für mich hier durch den Austausch zu einer Art best-practice zu gelangen.