Topic: Privatsphäre und IT-Sicherheit (Read 850 times)

Zu 1: Falls du aus Versehen das WLan aktivierst (Update oder Versuch) wird dennoch die Reichweite der Wifi Aussendung auf wenige cm begrenzt.

Zu 2: am "Maikäferarschlochstecker" zu Löten ist an sich schon keine Freude, dazu kommt noch die Leistung die der 50 Ohm Widerstand dann zu Ertragen hätte.
Ein 0201 bzw. 0402 50 Ohm Widerstand hat nicht die benötigte Leistung, Am einfachsten ist es entweder ein 50 Ohm dummy mit 0,1 Watt und entsprechendem Stecker zu kaufen (Teuer).
Oder sich mit Hilfe des Kabel (Antenne Ablöten) und einen 50 Ohm Widerstand Bedrahtet zwischen Abschirmung und Seele zu Löten. Üblicherweise macht man das in einem Kupferröhrchen (dient auch zur Wärmeableitung).
Wiederstand im Kupferröhrchen, ein Anschluß an die Außenseite des Kupferröhrchen möglicht eng am Widerstandsende Anlöten, am anderen Ende des Widerstand (hier hört das Röhrchen auf)
die Seele des Koaxkabels und auf dem Röhrchen nun die Masse des Koaxkabels.
Das funktioniert so gut, das du nicht mal daneben etwas Empfangen kannst.

Einfacher wäre es aber ein Laptop mit Physikalisch Abschaltbaren Wifi zu verwenden, z.B. ein Dell Latitude E6230 oder E6530 die haben einen Schalter auf der rechten Seite, das kappt die Versorgungsspannung zum Wifi Modul.

 

Man könnte jede Aderleitung einzeln mit einem Flüssigkunststoff absichern, eine 2. Hülle komplett und dann zusätzlich noch äußerlich z. B. mit Alufolie abschirmen.

Du musst dir sehr sicher sein, daß das OS sich nicht irgendwie/irgendwo das WLAN-Passwort vorher gemerkt hat. Vermutlich irrelevant, wenn die Installation noch nie erfolgreichen Zugang zum WLAN hatte. Du musst aber sicherstellen, daß wirklich Niemand diesen Zustand etwa ändert.
Nur die Treiber zu entfernen, wäre mir zu unsicher, denn manche Betriebssysteme versuchen dann oberschlau zu sein. Wäre vermutlich aber immer noch sicher, wenn das WLAN-Kennwort stark und dem System vollständig unbekannt ist.
Wenn man ganz sicher überprüfen kann, daß ein im Bios deaktiviertes WLAN wirklich überhaupt garnicht softwareseitig vom OS aktiviert werden kann, könnte ich mit dieser Option leben.

Bei den hardwareseitigen Optionen würde ich wohl eher eine Plattform wählen, bei der ich eine gesteckte Funknetzkarte zum Deaktivieren einfach entfernen muss. Das ist wesentlich eindeutiger und weniger mit einer Gefahr verbunden, etwas zuviel kaputt zu machen. Eine sinnvollere Wahl der Hardware-Plattform erscheint mir zielführender zu sein, als Klimmzüge zur Deaktivierung nötig zu haben.

---

An der Stelle sollte man in Betracht ziehen, daß man Fehler machen kann, durch die eine Cold Wallet dann plötzlich ungewollt nur noch lauwarm bis warmheiß wird. Einmal lauwarm, nie mehr sicher kalt. Man soll ja nie "nie" sagen, aber du verstehst sicherlich, was ich meine.


Ich habe etwas gebraucht, bis ich mich wieder erinnert habe, hier zu antworten...

Danke für die Antwort @Cricktor. Anhand deiner Antworten auf meine Fragen habe ich gemerkt, dass vielleicht ein XY-Problem vorliegt.

Deshalb möchte ich nochmal mit meinen Gedankengängen neu anfangen (diesen Link und deine Antwort bereits berücksichtigend):

Softwareseitige Unbrauchbarmachung:

• WLAN Passwort nicht eingeben -> Risiko des "Ausversehens" Einloggen (z.B. freies WLAN)
• WLAN Treiber Deinstallieren -> Möglicherweise durch Malware Rückgängig zu machen? (auch wenn ich nicht glaube dass eine Malware WLAN Treiber installieren würde)
• WLAN im Bios deaktivieren -> sollte eigentlich "sicher" sein, solange ein Angreifer keinen physischen Zugriff hat

Hardwareseitige Unbrauchbarmachung:

• WLAN Chip zerstören / entfernen -> wahrscheinlich würde man mehr kaputt machen als gewollt
• Antennen abstecken -> Chip kann immer noch senden / empfangen und daher auf kurze Distanzen <1m mit WLAN verbinden
• Antennenbuchse mit Lötzinn kurzschließen -> verbinden nicht mehr möglich, allerdings könnte der Kurzschluss mehr Schaden auslösen als beabsichtigt
• Antenne durch Widerstand ersetzen -> muss wohl der Impedanz der Antenne entsprechen, damit die Sendeleistung komplett in Wärme und nicht in Strahlung umgewandelt wir
                                                      -> verbinden nicht möglich, aber filigrane Lötarbeit (muss so klein wie möglich sein, damit die Kabel nicht gleich wieder eine Antenne bilden
• Funkstrahlung mittels Faradayschem Käfig abschirmen -> für die Abschirmung reichen einige Atomlagen Metall aus, allerdings muss der Käfig die Sendeleistung als Wärme aufnehmen
                                                                                 -> Bei 2,4 GHz / >5,0 GHz können Löcher auch durchaus etwas größer ausfallen (vgl. Sichtblende Mikrowelle 2,45 GHz)
                                                                                 -> Alufolie sollte die Abschirmung sicherstellen, allerdings ist der Einwand mit der Gefahr von Kurzschlüssen sehr berechtigt
                                                                                 -> dann vielleicht lieber Alu-Zink Spray aus dem Baumarkt zum Beschichten von außen

Nach Pareto würde man wohl am ehesten viele einfache Maßnahmen kombinieren um einen wirksamen Gesamtschutz zu haben.
Wenn man Softwareseitig WLAN und Bluetooth im BIOS deaktiviert frage ich mich aber schon, ob Hardwareseitige Maßnahmen als Ergänzung überhaupt notwendig wären, wenn ohnehin alle USB-Ports offen blieben (ein Angriff mit physischen Zugriff also möglich wäre)?!

Falls die Deaktivierung im Bios ohnehin ausreicht könnte man da ja auch wie folgt vorgehen:

• Alltagsrechner neu starten, Bios öffnen, Netzwerkverbindungen deaktivieren  
• Rechner neu starten, TailsOS vom USB Stick booten, auch da Netzwerk deaktiviert lassen und alle Sachen erledigen die man Offline tun möchte
• Rechner neu starten, Netzwerkverbindungen im Bios wieder aktivieren und dann wieder dem üblichen Alltagsaufgaben nachgehen
• sich den Offline Rechner sparen

Also keine Ahnung ob mein Experiment überhaupt sinnvoll ist.

---

Ich hab selber noch nicht mit Electrum/Sparrow gearbeitet (steht noch auf meiner Liste), deswegen muss ich mal fragen wie das offline ablaufen würde? Hätte man dann ein Offline System wo man eine Transaktion erstellt, diese mit USB / SD kopiert und auf einem zweiten Online System (ebenfalls mit Electrum/Sparrow) die Transaktion dann ins Netzwerk bringt?

---

 

Ich sehe das ähnlich, finde Themen rund um Privatsphäre und IT-Sicherheit sehr spannend und würde mir dazu auch ein Subforum wünschen. Ich hab allerdings nicht den Eindruck, dass diese Auffasung mehrheitsfähig ist, sondern gelegentlich derartige Themen ohne konkreten BTC-Bezug (der hier aufgrund von Electrum/Sparrow ja ohnehin gegeben wäre) dann schon als grenzwertig eingestuft werden. Mein Eindruck kann mich da natürlich täuschen.

Was den Merit-Zaunpfahl angeht ist das so eine Sache. Mir ging es dabei darum die Fragestellung etwas hervorzuheben. Als darum dass diejenigen, die ohnehin geantwortet hätten dies evtl etwas schneller und umfangreicher tun. Und darum dass diejenigen die vielleicht nicht geantwortet hätten, weil sie nur zu einer Frage so halb was beitragen könnten, sich vielleicht doch zu einer Antwort entscheiden. Im konkreten Fall hätte ich lieber mehr als weniger Antworten/Ansätze die ich dann selber prüfen und filtern kann.

Und wenn (ganz allgemein gesprochen) eine stärker auf einen Themenkomplex fokussierte Meritvergabe dazu führt, dass das Thema insgesamt mehr Zulauf bekommt oder mehr lesenswerte Fäden und/oder Beiträge erstellt werden, dann fände ich das auch durchaus wünschenswert. Die merits wären hier dann also ein kleines zusätzliches Incentive um den Austausch anzuregen.    

Eine softwareseitige Deaktivierung könnte Malware ggf. rückgängig machen und auch der Benutzer kann Fehler machen, die den Air-gapped-Status torpedieren können. Einmal aus Versehen online und der Air-gapped-Status ist dahin.
Das dürfte bei hardwaremäßiger Inaktivierung nicht machbar sein. Letzteres ist dann einfach deutlich sicherer und nicht umgehbar.



Zur Frage 2 habe ich zuwenig Elektronik- und Funkkenntnisse, möchte lediglich anmerken, daß ggf. die Abschirmfähigkeit von Alufolie begrenzt sein könnte (zuverlässig funkdichte Abschirmung vielleicht schwierig) und du vorallem wg. möglicher Kurzschlüsse durch die Alufolie aufpassen solltest.



Dein air-gapped Teil muss ja irgendwie Daten rein- und wieder rausbekommen, das klassische Turnschuh-Netzwerk (SneakerNET) per Datenträger. 



Tails musst du zunächst nehmen, wie es ist und da ist mehr drin, als du für einen air-gapped Computer benötigst. Außerdem musst du Vertrauen haben, daß Tails zu keiner Zeit ungewollt Netzwerkschnittstellen aktiviert. Irrelevant, wenn die Basis keine dafür funktionierende Hardware hat. Zusätzlich wirst du bei Tails auch die persistente Datenpartition haben wollen, weil sonst nach jedem Herunterfahren alles vergessen wurde.
Tails kann im Prinzip ein air-gapped System abbilden, aber es besteht die Gefahr der ungewollten Reaktivierung von Netzwerk-Konnektivität. Wobei ich viel Phantasie aufwenden muss, wenn kein LAN-Kabel dransteckt und kein WLAN-Passwort eingerichtet ist.

Mir fällt jetzt auch nur der Anwendungsfall einer air-gapped Wallet ein, die man nicht mit einer klassischen Hardware-Wallet abbilden möchte, sondern z.B. mit Electrum/Sparrow und was sonst noch so an brauchbarer Wallet-Software rumfliegt.



Spannende Themen sollten eigentlich von allein eine Beteiligung hervorrufen. Ich verstehe nicht so ganz, warum du mit dem Merit-Zaunpfahl winken musst.

Zu deiner Zusatzfrage kann ich Nichts beitragen, finde aber nicht, daß Sicherheit ein Offtopic-Thema ist, im Gegenteil. Es wäre natürlich hilfreicher dafür ein dediziertes Subforum zu haben, damit man solche Aspekte gebündelt an einem Ort hätte.

Ich hab mir da die Playlist zum yubikey angeschaut (mehrfach damit ich es auch verstehe) und dann kurzerhand entschlossen, dass das mein nächstes Privatsphäre-Experiment wird. Ich hab mir dann auch gleich eine Intel Compute Stick (allerdings Baujahr 2018) für 40€ bei Kleinanzeigen geholt, der mein Air gapped PC werden sollte. Nach Ankunft hab ich den aufgemacht und nach dem WLAN / Bluetooth Chip gesucht und folgendes gefunden:



Da ich selber die Weisheit nicht mit Löffeln gefressen habe, möchte ich ab diesem Punkt gerne die schlaue Community mit einbinden....  

Frage 1 des Experiments:
Welche Vorteile brächte eine physikalische Unbrauchbarmachung der Netzwerkkarte (WLAN+Bluetooth) im Vergleich zur softwareseitigen Deaktivierung?  

Frage 2 des Experiments:
Wie würde eine Unbrauchbarmachung nach Pareto-Prinzip wohl am wahrscheinlichsten aussehen? (Hier wird vorgeschlagen den Innen- und Außenleiter des Antennenkabels mittels Widerstand zu verbinden -> selbstgelötete Lösung, aber ich frage mich ob Abziehen der Antennen(-Kabel) und Verkleidung mittels Alufolio (=einfach) ggf. auch reicht oder ob es für die Unbrauchbarmachung ggf. sogar eine Kauflösung gibt?!

Frage 3 des Experiments:
Lohnt der Aufwand überhaupt wenn SD-Card bzw. USB-Schnittstellen für den notwendigen Datentransfer ohnehin weiter aktiviert bleiben?

Frage 4 des Experiments:
Welche Anwendungsfälle gibt es für einen Air gapped PC im Bereich Crypto / IT-Sicherheit überhaupt (Ich weiß, es ist richtig clever die Frage nicht als erstes zu stellen. Ich selber wüsste keinen (für mich) wirklich relevanten Anwendungsfall den nicht auch Tails erfüllen könnte und dennoch interessiert mich die Fragestellung in all ihren Details, deshalb kommt die Frage als letztes)

Zusatzfrage:
Kennt ihr Foren die vielleicht etwas stärker auf Privatsphäre / IT-Sicherheit ausgerichtet sind? Hier im BTC-Forum fühlt sich das immer irgendwie im Grenzbereich zu Off-Topic an?!

PS: sMerits hab ich noch genug und würde mich hier über eine detaillierte Auskunft der Experten sehr freuen.

Was habe ich noch krypto- und sicherheitsrelevantes im Youtube-Abo?

• Crypto Guide
• LiveOverflow

Es scheint, das war es. In meinen Lesezeichen war jetzt auch nichts Spannendes und zum Thema Passendes weiter.

Hehehe, das ist schon ein bisschen amüsant. Naja dann scheint die Empfehlung ja zumindest nicht die schlechteste gewesen zu sein....

Was hast du sonst noch für Kanäle in dem Themenfeld auf deiner Liste (von Kryptoarche mal abgesehen)? Könnte ja dann durchaus sein, dass da auch ein paar interessante Sachen für mich dabei wären?!

Dachte mir, kann man sich mal einen kurzen Überblick der veröffentlichten Videos machen (check) und später mal reinschauen. Bookmark machen oder gleich abonnieren? Letzteres... Moment, huch?, hab' ich ja schon längst abonniert... 

Keine Ahnung mehr, wann und wo ich diesen Kanal schon einmal gefunden, mir 'was angesehen und wert befunden habe, ihn zu abonnieren. Da sind auf jeden Fall ein paar Themen dabei, die mich interessieren und die ich mir sicherlich bei Gelegenheit (eher rar) mal reinziehen möchte.

Bin auf einen interessanten Youtube Kanal gestoßen den ich gerne mit euch teilen möchte: 402 Payment Required.

Auch wenn ich aktuell noch weit davon entfernt bin alles zu verstehen und/oder nachmachen zu können, merke ich selbst als Laie das hohe Niveau des Kanals. Also vielleicht auch was für unsere Experten wie @Cricktor oder @virginorange

Hab mich die letzten Tage auch mal bissl mit dem Thema Telefonnummern und Sim-Karten beschäftigt und wollte dazu mal ein paar interessante Videos teilen:

• SECRET MSGS phone companies DON'T want you to know about
• 35C3 - Funkzellenabfrage: Die alltägliche Rasterfahndung unserer Handydaten
• Getting MULTIPLE PRIVATE Phone Numbers

Als Fazit ziehe ich folgende Kernaussagen aus den Videos:

• eine Sim ist wie ein eigener Rechner im Handy mit tiefgreifendem Systemzugriff, eine Kompromittierung der Sim ist denkbar, aber fast unmöglich zu erkennen -> daher keine SIM von zweifelhaften Anbietern (anonyme Sim?!)
• mit einer normalen SIM mit KYC gerät man in DEU wohl etwa 1x pro Monat in eine Funkzellenabfrage, da diese als polizeiliche Standardmaßnahme selbst bei geringfügigen Verbrechen wie Diebstahl eingesetzt wird
• die beste Lösung scheint zu sein eine KYC SIM von einem seriösen Anbieter zu nehmen aber ausschließlich für mobile Daten zu nutzen (ggf. mobiler Router mit eigener IMEI) und die SIM Telefonnummer mit niemandem zu teilen (wenn die Nummer unbekannt ist kann man nicht danach suchen). Die Telefonnummern für den Alltag können dann ähnlich wie EMail-Aliase zweckgebunden über VoIP erstellt werden, der Standort ggf. mittels VPN verschleiert und somit die Verbindung zur SIM gebrochen werden

Leider scheint es für Europa nicht sehr viele Privatsphäre-orientierte VoIP Anbieter zu geben. Ich frage mich auch ob die länderspezifischen VoIP Nummern ggf. auch der KYC-Pflicht der jeweiligen Nationalstaaten unterliegen?! Weiß da zufällig jemand mehr?  

Ja das Handbuch habe ich auch bei mir in einem Tab geöffnet und wird scheinbar auch immer mal wieder aktualisiert.
Auch findet man da das ein oder andere interessante Thema, welches auch wirklich deteiliert beschrieben wird.

Ich bin heute über das Privacy Handbuch gestolpert. Da es eine sehr umfangreiche PDF mit 500 Seiten ist hab ich da erstmal nur einzelne Bereiche reingelesen.

Dennoch wollte ich das mal teilen, da es auf deutsch ist und die meisten Quellen zur digitalen OPSEC ja in englisch sind. Falls ihr auch noch paar interessante Quellen zu OPSEC und OSINT habt, dann gerne teilen.

Ich hatte meine Mail-Adresse für Bitcointalk auch neulich erst zu proton.me migriert.
Was man dabei nicht außer acht lassen sollte (was mir dann aber auch erst danach aufgefallen ist) ist die Tatsache, dass im Trust-Bereich dann auch für alle Nutzer sichtbar eine Warnmeldung aufploppt, dass die E-Mail-Adresse des Accounts kürzlich geändert wurde.
Hätte meine Entscheidung jetzt nicht verändert aber ist für den ein oder anderen vielleicht nett vorher zu wissen.

Heute die neue Proton Mail Adresse eingerichtet, war innerhalb von 5min erledigt und bei den meisten Accounts bereits meine Mail Adresse geändert, auch hier im Forum. Hier im Forum wird man auch noch daran erinnert, dass die Mail Adresse geändert wurde, aber sollte noch jemand seine Mail Adresse in BCT ändern, den Link nicht anklicken, dann wird der Account gesperrt.

Sollte es weitere Auffälligkeiten bei Proton geben, werde ich mich wieder melden, gehe aber davon aus das dies nicht der Fall sein wird.

Danke für eure Antworten und Erfahrungsberichte, dann werde ich mir Morgen gleich einmal eine neue Mail Adresse holen und versuchen bei allen registrierten Seiten meine Mail zu ändern, hoffe das geht schnell und unkompliziert. Werde berichten wie es gelaufen ist.

Also ich hab Proton Mail schon für ein paar Privatsphäre Experimente verwendet und als "Anmelde-Mailadresse" noch nirgends Probleme gehabt. Wenn man wirklich nur die Mail nutzt ist das auch alles kostenlos, man bezahlt bei Proton nur für Zusatzdienste (z.B. Cloudspeicher, Passwortmanager, eigener Mail Client oder VPN). Wobei ich es grundsätzlich eher cool finde dass es da so viele Services unter einem Dach gibt als dass mich die Kosten abschrecken würden. Selber nutze ich bislang aber auch nur die Mail.

Ich habe selber nur Protonmail in Verwendung und hatte bisher noch keinerlei Probleme bei der Registrierung bei einer Börse.
Es gibt zwar durchaus Berichte davon, dass es ab und an Probleme bei Protonmail gibt, die deuten aber weniger auf Börsenprobleme hin sondern generell Sperren wegen "Abuse-Verdacht": https://www.reddit.com/r/ProtonMail/comments/9zjc7t/protonmail_disabled_my_binance_cryptocurrency/
Mir persönlich wäre das aber noch nicht untergekommen.

---

Der Dienst selber ist übrigens sehr einfach zu verwenden. Protonmail hat auch eine Checkliste für neue Benutzer veröffentlicht, die würde ich an deiner Stelle - solltest du dich für den Dienst entscheiden - auch gleich mal durcharbeiten: https://proton.me/support/new-account-owner-security-checklist Für jemanden im Crypto-Bereich sind das aber eh alles "Jo, na eh"-Punkte, aber ev. ist ja das eine oder andere dabei an das man nicht gedacht hätte!

Da mein derzeitiger Provider für Krypto Angelegenheiten die Tore schließt suche ich einen neuen kostenlosen Mail Provider, es steht bei jedem Provider "Free" oder "Zum Reinschnuppern". Wie weit kann ich die Mailadresse dann verwenden? Ich suche wirklich nur einen Mail Provider für Mails zum Beispiel für Bestätigungen bei Börsen usw. gibt es zu den beiden genannten Erfahrungsberichte und da sie als sicher beworben werden gibt es da bei anderen Webseiten beim Anmelden eventuell Probleme wenn man eine Proton Mail Adresse angibt?

Ich sehe den Weg über die Zwischenablage durchaus kritischer als z.B. die Eingabe als ein HID-Gerät oder über eine virtuelle Tastatur. In einer Multi-Tasking-Umgebung, wo mehrere Programme parallel laufen, stellt praktisch jedes Betriebssystem Mechanismen für die Programme bereit, auf die Zwischenablage zu lauschen bzw. Änderungen derjenigen per Nachrichten oder sonstigen Signalisierungen zu erhalten. Ich bin kein Programmierer, bei IT-Themen aber stets interessiert. Die Zwischenablage halte ich für "öffentlicher" und weniger "privat".

Ich würde es nicht zu kompliziert machen wollen, sonst nervt es einfach nur und mehr in eine sichere Umgebung investieren und darauf achten, daß diese auch sicher bleibt. So wenig wie nötig laufen lassen und keine Alltagsdinge mit Geräten machen, deren Sicherheitsstatus wichtiger ist, weil dort Werte bzw. Coins gelagert und verarbeitet werden.

Danke für die Einordnung!

Bedeutet für mich:
- Yubikey würde bei Keepass im "statischen" Passwortmodus laufen, d.h. die "Eingaben" könnten von einem Software Keylogger mitgeplottet werden.
-Der Ledger als Security Key wird statische Passworteingaben wohl gar nicht erst unterstützen, fällt also raus.
-Und die USB-Armory als GoKey scheint ähnlich wie Yubikey sowohl statische als auch dynamische Passwörter unterstützen, stünde aber bei "eintippen" vor dem selben Problem.

Welche alternativen gibt es? Verschlüsselte Datei öffnen in der das Passwort steht und dann Copy+Paste?  Wenn man Keepass ohnehin in der mobilen Version auf einem USB Stick hat wäre das ja vielleicht eine Alternative. Dann wird der USB-Stick verschlüsselt, das statische Passwort zum Entschlüsseln mittels HID eingegeben (oder die Schlüsseldatei von VeraCrypt auf dem YubiKey gespeichert), aber das eigentliche Passwort für Keepass liegt in einer Datei auf dem Stick und wird dann kopiert und nicht getippt.
Trotz Keylogger bräuchte man dann immer noch physischen Zugriff, oder?

Oder ist das aus anderen Gründen wieder eine ganz dumme Idee?   

Ich selbst habe (noch) keinen Yubikey, habe mich mit den Dingern aber ein wenig beschäftigt. Yubikey ist nicht nur 2FA, sondern unterstützt mehrere Authentifizierungsprotokolle und -applikationen. Das technische Manual ist mitunter ziemlich technisch und weniger für Laien geschrieben.

Üblicherweise kann ein Yubikey folgende Authentifizierungsverfahren unterstützen:

• FIDO2
• FIDO U2F
• OATH
• OpenPGP
• OTP
• Smart Card (PIV Compatible)
• YubiHSM Auth

Ich kann nicht sagen, daß ich alle Verfahren so gut verstehe, daß ich die locker erklären könnte. Da könntest du selbst recherchieren oder jemand anderes macht besser den Erklärbär. HOTP (zähler-basiert) und TOTP (zeit-basiert) als 2FA kann ich gut genug. Aber Details sind jetzt vielleicht nicht so wichtig. Entscheidend ist, daß ein Yubikey (und andere ähnliche Produkte) verschiedene Verfahren unterstützen.

Beim statischen Passwort kann der Yubikey ein komplexes Passwort "tippen", wobei er sich als HID-Tastatur am USB-Port ausgibt. Das hast du ja schon selbst erwähnt. Sehr praktisch z.B. als "Masterpasswort" für andere Passwort-Manager, die durch einen Yubikey "aufgeschlossen" werden.

Bei HMAC-SHA1 Challenge-Response liefert eine Applikation dem Yubikey eine Challenge und erwartet vom Yubikey eine daraus deterministisch verarbeitete Antwort, die auf kryptografischen Verfahren beruht. Die Applikation kennt natürlich die erwartete Antwort auf eine Challenge, in deren deterministischer Verarbeitung letztlich ein gemeinsames Geheimnis steckt. Der Yubikey verwahrt hier sicher das Geheimnis und stellt damit eine Authentifizierung durch Besitz des verarbeitenden Yubikeys her.

Einige andere Verfahren sind auch sehr spannend, weil es im Grunde Richtung passwortlose Anmeldung geht, aber da habe ich noch zuviel Halbwissen und möchte mich da nicht mit falschen Federn schmücken. Ich lass' das mal so stehen, weil es sonst auszuufern droht.
 

Ich hätte da mal wieder ein paar Fachfragen an die Technik-Experten unter euch:

Heute geht es um Hardware Security Keys wie z.B. den YubiKey.

YubiKey selbst kannte ich bisher als zweiten Faktor beim 2FA.
In Verbindung mit KeePass habe ich hier gelesen, dass der ein USB Keyboard (HID) simuliert und dann ein sehr starkes (statisches) Masterpasswort (bei Keepass) eingibt. Ich dachte normalerweise sind beim 2FA eher dynamische Passwörter die Regel, die alle 60 Sekunden wechseln, das scheint zumindest auch beim Yubikey bei anderen Anwendungsfällen so zu sein.
Ich bin ein wenig irritiert und habe mich einerseits gefragt ob man dann auch andere HID USB Geräte nutzen kann und andererseits ob solche "Eingaben" theoretisch dann auch mittels (Software-)Keyloggern abgefangen werden können.

Außerdem bin ich hier im Forum auf den Faden [Howto] Use Ledger Nano as Security Key gestoßen. Da ich mir schwer vorstellen kann, dass ein Ledger als USB Tastatur fungiert, frage ich mich ob hier ein grundsätzlich anderes Verfahren für die Authentifizierung vorliegt. Wenn der Seed quasi das "Passwort" ist und niemals den Chip vom den Ledger verlässt (ok, gut, vielleicht ist ledger da ein schlechtes Beispiel), dann dürfte dieser Weg ja unanfällig gegenüber Keyloggern sein, oder?

Um die Verwirrung perfekt zu machen bin ich schließlich auf ein Projekt in Verbindung mit der USB Armory gestoßen, die ja auch als HID-Gerät genutzt werden kann. Das Projekt GoKey scheint auch sowas wie ein super sicherer Hardware Security Keys bzw. USB Smartcard zu sein, allerdings war das alles so technisch, dass ich da gar nichts mehr gerafft habe und auch nicht verstanden habe welche Unterschiede das so sicher machen sollen.

Ich würde mich freuen, wenn ich hier wieder etwas Schwarmwissen abzapfen dürfte und mich jemand erleuchtet.
 

So, nochmal ein kurzes Update:

Mullvad VPN bzw. den Browser hab ich in Tails OS nicht zum laufen bekommen, falls da noch jemand Tipps und/oder Hinweise hat, habe ich dafür einen separaten Hilfe Faden:
https://bitcointalksearch.org/topic/m.62818155

---

Tails selber habe ich dann auf mittels USB-Adapter auf eine Micro-SD geklont, das hat auch wunderbar funktionier. Ich persönlich mag SD karten lieber verwalten als USB Sticks, weil es dafür wieder so schöne Etuis im Kreditkartenformat gibt (z.B. mit Steckplätzen für 10 Micro-SD).

---

Um mein kleines Experiment fortzuführen habe ich wieder zurück auf Windows gewechselt.
- Mullvad VPN + Browser ließ sich sehr einfach installieren und bedienen und so auf Seiten zugreifen, die vorher bei Tor blockiert waren
- Kraken z.b. habe ich einen Non-KYC account erstellt mit dem man zumindest crypto-crypto hätte traden können
- die Joker Mastercard hat sich als KYC-Prepaid-Kreditkarte herausgestellt, man konnte sich zwar mit fiktiven Daten registrieren, freigeschaltet würde sie aber erst nach Video-Ident, was ich dann nicht mehr gemacht habe
-dementsprechend haben sich auch die Versuche bei Tradingview und Paypal erübrigt, weil man dafür die Kreditkartendaten gebraucht hätte 
- hinsichtlich der Sim frage ich mich immernoch, ob man da ggf. ein Smartphone durch einen Surfstick ersetzen kann und wie es sich dann mit der IMEI verhält (zieht der Mobilfunkanbieter die Meta-Daten vom Surfstick oder vom Rechner?)

Insgesamt endlich mal bissl mit Tails rumgespielt und einiges auprobiert. Auch wenn die Ergebnisbilanz eher durchwachsen ist, findet der ein oder Andere ja vielleicht dennoch hilfreiche Ansätze.

Können wir vielleicht mal kurz die Vor- und Nachteile von echter Sim vs. virtueller Sim abwägen, weil ich mir da gerade echt unschlüssig bin....

- virtuelle Sim ist leichter zu beschaffen als ne Non-KYC Sim in Deutschland
- außerdem braucht man keine Hardware, kann also alles über den Rechner laufen lassen und braucht nur die IP schützen (was man ja ohnehin machen müsste)
- echte Sim ist dafür wahrscheinlich langlebiger und nicht von so "temporärem" Charakter
- echte Sim wäre theoretisch über das Mobilfunknetz (grob) zu orten, solange das Handy nicht aus oder im Flugmodus ist
- wenn man das Handy vorher schonmal mit einer KYC-Sim genutzt hat sind die Daten über die IMEI auch der Non-KYC Sim zuzuordnen, man braucht also auch ein Non-NYC Handy
- bei Mobilfunkanbietern hätte ich irgendwie das Gefühl, dass die "seriöser" sind als Anbieter von Wegwerf SMS Nummern, theoretisch könnten aber beide Drittdienste die Telefonnummer missbrauchen um Zugriff auf die damit verbundenen Accounts zu bekommen, oder? (das schreckt mich bei virtuellen Sim irgendwie am meisten ab)  

Welche Argumente hab ich bei der Abwägungen hier noch vergessen?
Edit: kann man die wesentliche Vorteile beider Varianten ggf. durch Verwendung eines Surfsticks bekommen?

Für Neulinge was Tails angeht hab ich heute übrigens eine sehr anfängerfreundliche Anleitung für Journalisten = Nicht-ITler gefunden (allerdings nur auf englisch):
https://www.youtube.com/watch?v=-f6cgUKBUXg

Daneben gibts auch Crashkurse für Harware Verschlüsselung und Mail Verschlüsselung mit PGP, die schaue ich mir dann im anschluss gleich an...

Meine ersten Versuche mit Linux waren mit Sicherheit holpriger. Da gab es noch 5-6 CD´s und die Partitionierung war schon eine Herausforderung.
Kein Vergleich zu heute wo es au mas Anleitungen im Netz gibt oder gleich fertige Appliance / Vorlagen.

Also Kopf hoch das wird schon 

Ich habe TailsOS ehrlich gesagt noch nie verwendet, da es aber auf Debian basiert sollte man die Pakete "ganz normal" installieren können. Mullvad bietet dazu auch eine eigene Applikation an, die Anleitung, wie man das Ganze installiert, findest du hier: https://mullvad.net/de/help/install-mullvad-app-linux/
Sieht jetzt auf den ersten Blick doch recht einfach zu bedienen aus!

---

Ich hatte damals mehrere Telegram-Accounts und diese auch mit echten Rufnummern hinterlegt. Habe mir dazu "Wegwerfrufnummern" gekauft die im Prinzip über eine Webseite nur die eingehenden SMS auflisten. Das hat für die Verifizierung der Telegram-Registrierung vollkommen ausgereicht. Ein mir bekannter Anbieter ist bspw. https://onlinesim.io/, ob die aber noch mit Telegram und co. funktionieren weiß ich ehrlich gesagt nicht!

Mein TAILS-Stick habe ich beim Einrichten schon mit persistentem Speicher konfiguriert, eine eigene und sinnvollerweise auch verschlüsselte und mit Passphrase gesicherte Partition auf dem Stick. Auf diese persistente Partition habe ich z.B. ein aktuelles Electrum als AppImage drauf, was sehr praktisch ist, da AppImage-Applikationen alles mitbringen, was sie zur Laufzeit benötigen.

Auf der persistenten Partition kann und muss man dann alles unterbringen, was einen Reboot überstehen soll, ansonsten vergisst ja TAILS bewusst alles, was ja auch eine gewollte Eigenschaft von TAILS ist.

Danke für die Rückmeldungen, dann werde ich mich wohl mal damit befassen wie ich den persistenten Speicher einrichte und die Pakete von Bisq und dem Mullvad Browser installiert bekomme.
Also wenn ich für Mullvad auch noch ne gute Anleitung parat habt (möglichst anfängertauglich) dann immer her damit.

Kurze Rückfrage zu lnvpn:
So wie ich das verstehe läuft das so ab:
Ich gebe Land+Service an, bezahle (wobei ich jetzt noch keine Ahnung habe wie das mit Lightning gehen würde) und die generieren dann eine Nummer. Die Nummer gebe ich dann beim Dienst (z.B. Telegram) ein und lass mir den Freigabecode schicken. Der kommt dann an die Nummer auf die nur lnvpn zugriff hat und die zeigen mir den Code dann wiederum an.

Klingt für mich schnell und komfortabel, aber was ist bei diensten die nicht in der Liste stehen? Da brauche ich ja dann trotzdem noch eine andere Lösung. Und was ist mit Nummern die ich länger brauche, bleiben die erhalten (z.B. jedesmal beim Verbinden mit Telegram Web)?  
Wäre lnvpn dann eigentlich ein "man in the middle" (was ja auch nicht überall unkritisch wäre)?!

Tja, da hab ich mich wohl als absoluter Linux-Anfänger geouted.
Deswegen würde ich wohl auch noch ne ganze Weile brauchen, ehe ich sowas mal auf die Beine bekäme:

Zur non-KYC Sim wäre vllt ne "one-time-wegwerf-Nummer" ne Alternative,
is vermutlich ein wenig teurer, aber man brauch nichmal ein Handy.
Gibts zB hier für $0.77, zahlbar in LN-Sats.
Hab ich zwar nochnich ausprobiert, aber sowohl Germany alsauch Telegram stehen in der Liste, könnte also funktionieren.


Bei Mullvad könnte man noch den Router/die FW direkt konfigurieren, geht natürlich nur daheim, wo man das auch kann und is unterwegs keine Option.
Da wird man um persistenten Speicher auf dem Tails-Stick wohl nicht herumkommen, um da dann entweder die App, oder den Mullvad Browser zu installieren (oder beides, wenn man besonders paranoid is).

Tails ist Debian.

Mach mal n Terminal auf und schreib
dann siehstes selbst. 

Hallo Turbartuluk,
vielen Dank für Deinen Exkurs zum Thema Privatsphäre  
Was die Installation von Paketen in TailsOS angeht wirst Du wohl um persistenten Speicher nicht rund rum kommen.
Auf folgender Website findest Du eine Anleitung für Bisq.

https://bisq.wiki/Running_Bisq_on_Tails

Ich glaube sowas wäre auch mal ein Projekt für mich.
Ich hatte vor einiger Zeit mal einen Pentest Stick/Platte mit Kali und LUK´s verschlüsseltem persistenten Speicher gebastelt.

Zum Zwecke der persönlichen Weiterbildung habe ich die letzten Tage mal ein kleines Privatsphäre-Experiment gestartet.

Beim letzten mal hatte ich mich mittels Non-NYC Sim von Blau und einem gebraucht gekauften Samsung Galaxy S4 testweise bei diversen Diensten und Messengern angemeldet. Darauf wollte ich aufbauen.

Diesmal wollte ich noch einen Schritt weiter gehen und dabei so viele verschiedene Services mit Kryptobezug ausprobieren wie möglich, alle Onlinedienste sollten dabei Non-KYC genutzt werden, was folgende Voraussetzungen erforderte

1. Alles sollte über TailsOS laufen um auf dem Laptop / der Festplatte keine Spuren zu hinterlassen
2. Mail musste anonym sein (war das kleinste Problem)
3. Telefonnummer sollte Non-KYC sein, also weder über die Sim noch das Handy (Stichwort: IMEI) mit der Identität verknüpft werden können
4. Kostenpflichtige Onlinedienste sollte mit Monero oder Prepaid Kreditkarte bezahlt werden
5. Sofern Online-Services über Tor blockiert werden sollten diese zumindest über VPN laufen, um die eigenen IP nicht preiszugeben

Zur Vorbereitung hab ich mir dazu folgende Utensilien beschafft:

Wegwerf-Handy für 20€ ausm MediaMarkt
Blau Sim für 10€ und Joker Mastercard für 7€ vom roten Netto.
64GB USB Stick ~3€ (und optional Simmelalbum je 10€) von Amazon.  

Los geht's:
- den USB Stick hab ich vorab schonmal mit TailsOS vorbereitet: https://tails.net/index.de.html
- TailsOS gestartet, WLAN verbunden, Tor gestartet, lief alles problemlos  
- als nächstes ProtonMail-Adresse eingerichtet, Telefonnummer zur Wiederherstellung hinterlegt
- Wiederherstellung getestet und siehe da, die Blau Sim von Netto muss vor Nutzung erstmal mit KCY registriert werden, ist also scheinbar konform mit deutschen Regularien... hier musste ich also leider auf die Blau Sim vom Handybasar zurückgreifen die ich noch hatte... schade, sich beim Netto Nachschub besorgen zu können hätte einen gewissen charme gehabt!
- Nächste Enttäuschung kam promt beim Versuch sich bei Telegram anzumelden: um Telegram web über den Rechner nutzen zu können muss zunächst der Code an die TelegramApp auf dem Handy geschickt werden, doof wenn das dafür nicht geeignet ist... In Sachen Handy+Telefonnummer war das Experiment also schonmal ein Fehlschlag, hier musste die alte Lösung mit dem gebrauchten Galaxy S4 und der Blau Sim vom Handybasar herhalten.
- nächstes Thema war bezahlen mit XMR, mit der Mail habe ich einen neuen Alias bei LocalMonero angelegt. Zum Aufladen sollte bei Tails eine XMR Wallet erstellt werden über welche die XMR Transaktion laufen sollte. Aber siehe da, offenbar hat Tails gar keine XMR wallet mehr vorinstalliert, ich hab jedenfalls nur die Elektrum BTC Wallet gefunden. Naja sei es drum, dann musste localMonero halt als wallet herhalten. Da die Coins später eh nicht wieder zurück geschickt werden, wurden diese direkt von der KCY-Börse überwiesen.
- Auf der Liste standen noch Kraken, Tradingview, Paypal und für letzteres die Joker Mastercard als Bezahloption-> da die alle bei Tor Probleme machen musste als nächstes eine VPN her -> kurzerhand 1 Monat Mullvad VPN geordert und per XMR bezahlt, aber wie bringe ich das jetzt bitte in Tails zum laufen?!
-> kann man in tails irgendwie unkompliziert VPN über den TorBrowser einstellen oder muss man mullvad installieren? Für zusätzliche Installationen ist Tails ja nicht unbedingt gedacht, und die Linux installer sind für ubuntu, debian oder fedora, weshalb ich mich frage ob ich hier auf dem Irrweg bin?!
- dann wollte ich noch Bisq ausprobieren, aber hier stellt sich das gleiche Problem einer offenbar notwendigen Installation

Aktuell ist mein kleines Experiment also etwas ins stocken geraten, weshalb ich wieder die Schwarmintelligenz anzapfen und die kluge Community um Unterstützung bitten möchte.

Bitte teilt euer Wissen mit mir.
Für jede Form der Vereinfachung / Verbesserung oder auch alternative Wege die Privatsphäre besser zu schützen bin ich dankbar.
Und seid gnädig mit mir, wir sind hier schließlich im Bereich Anfänger und Hilfe...  

Ich finde empfindliche Strafen für Datenschutz-Verstöße besonders der schlimmen Sorten gut. Auch wenn das Konzept diskussionswürdig sein mag, Fortschritt durch Strafe zu erzielen. Es funktioniert bei kommerziellen Firmen offenbar meist nicht anders.

Stand der Technik ist, niemals Passwörter für Authorisierung im Klartext zu speichern, weil dies nicht notwendig ist und komplett falsch wäre. Wir sollten das wissen und Firmen, die Irgendetwas anbieten, sollten es auch und vorallem auch entsprechend umsetzen. Man kann dann immer noch zu schwache Hash-Algorithmen nehmen oder ohne "Salt" arbeiten.

Einen Anbieter, der heute noch solche elementaren Fehler macht, sollte und muss man zurücklassen, wirklich konsequent weg von sowas. Vielleicht sollte man auch mit der Auswahl von Anbietern für bestimmte Services sorgfältiger sein. Es gibt ja Mail-Anbieter, z.B. Proton Mail u.a., die sich viel Gedanken um ein sicheres Setup und Datenschutz machen. Hier muss ich als Endanwender der Firma auch einen Vertrauensvorschuss geben, da man in der Regel nicht alles selbst prüfen kann. Aber solche Firmen verkaufen und haben dann eine Reputation, die sie nicht verlieren wollen. Sowas kostet dann auch mal etwas.

Da hast Du natürlich Recht. Aber um die Fälle geht es mir auch nicht, vielleicht muss ich meinen Satz da erheblich präzisieren. Du sagst es ja eigentlich auch selber schon: es gibt Orte, wo man nicht Herr der eigenen Sicherheit ist. Für mich stellt dieser Ort mein privater Mailaccount dar, den ich für manche schützenswerte Dienste bzw. Korrespondenz nutze. Hast Du 2FA, genügt das allenfalls auch. Wenn aber nicht, dann würde ich einen PW Wechsel ab und zu anraten (oder allenfalls zu einem Anbieter wechseln, der 2FA anbietet). Ich halte Dir da wiederum entgegen, dass ich in dem Falle ein wechselndes PW für wichtiger erachte als die Komplexität. Es kommen leider immer wieder Fälle zu Tage, wo Daten gestohlen wurden mit PW's in Klartext - manchmal liegt das Jahre zurück. Ein Mitarbeiter von mir hat das erlebt. Da spielt die Komplexität keine Rolle mehr. Das ist der Grund, warum ich gerade dieses PW regelmässig (z.B. jedes Jahr mal) ändere. Bei Logins auf Geräte oder ähnlichem werden keine Passwörter in Klartext gespeichert, soviel Vertrauen habe ich dann auch noch. Für die Fälle reicht es aus, eine gewisse Komplexität einzuhalten.

Trotzdem auf ausreichend lange und "gute" Passwörter achten, besonders bei denen, die man noch braucht, bevor ein Passwort-Manager aktiv ist bzw. assistieren kann. 12 Zeichen, besser ab 14 sollten mittlerweile das untere Minimum sein.

Ansonsten möchte ich dir aus eigener Erfahrung beim Thema "Passwörter regelmäßig ändern" gerne widersprechen. Gute und lange Passwörter braucht man eigentlich nicht zu ändern, außer man muss sie in Umgebungen einsetzen, deren Sicherheit man nicht kontrollieren kann. Ich habe jahrelang unter so 'nem Firmen-Schwachsinn wie erzwungene Passwortwechsel alle 60 oder 90 Tage gelitten. In vermutlich 99% der Fälle führt das zu unsichereren Passwörtern, weil Fragmente des Passworts konstant bleiben und nur noch eine Zahlenkombi hochgezählt wird, außer die Admins sind besonders sadistisch und erzwingen weitreichendere notwendige Änderungen von alt zu neu.

So'n Blödsinn empfiehlt auch nicht mal mehr das BSI, auf das ich aber auch eh nicht soviel geben würde. Nur meine unmaßgebliche Meinung aus der IT-Praxis.

Sehr viele Inputs sind bereits eingeflossen, trotzdem noch ein paar Ansätze von mir - ich hoffe, keine Doppelposts.

• Es gibt Umstände, wo man trotz allem mehrere Logins offline braucht (z.B. Logins in Passwortmanager, Logins in PC's): eventuell mag eine Passwortregel helfen
• Passwörter regelmässig ändern, bzw. nicht verwendete Konten löschen (ist aber nicht immer klar, ob zweiteres was bringt)
• Aus meiner Sicht zentral: Private Mailaccounts regelmässig prüfen. Auch wenn man ihnen vertraut: Firmen werden regelmässig gehackt und das ganze kann im dümmsten Fall zu Identitätsdiebstahl führen. Bei Unregelmässigkeiten PW sofort ändern.
• Wichtige Dinge nicht irgendwo machen. (das muss ich mir selber auf die Fahne schreiben)
• auf unnötige Handyapps verzichten. Das Beispiel sagt eigentlich alles: Manche - wenn nicht alle - Bank- und Kreditkartenapps müssen auf Android immer noch via "Playstore" runtergeladen werden.   Auch da gilt: Nicht alles muss überall gemacht werden können.
• aus eigener Erfahrung: Bekannte Links nicht in Suchmaschinen suchen, sondern speichern und darüber aufrufen. Suchmaschinen nehmen sehr gerne auch Scamseiten auf und zeigen sie an der Stelle an, wo davor die wirkliche Seite war.
• Mein Liebling: Bargeld statt Karte.

Grundsätzlich: Betriebssysteme sind Feindesland. Tönt nach Aluhut. Damit ist aber nur gemeint, dass man sich wirklich schützen sollte. Die meisten Betriebssysteme kommen aus Ländern, die die Privatsphäre mit Füssen treten.

KeePass - https://keepass.info/ - ist für mich irgendwie das Original und kenne es auch nur für Windows (läuft auch unter Wine), etwas altbackene Oberfläche, dafür aber funktional und verständlich. Ich brauche da kein Chichi.

KeePassX - https://www.keepassx.org/ - habe ich mir nie wirklich angesehen, da es seit längerer Zeit nicht weiter entwickelt wird. War mal ein Port auf unixoide Systeme, hieß wohl früher KeePass/L (für Linux), wurde dann aber zu KeePassX umbenannt, nachdem es "cross-platform" wurde.

Die Weiterentwicklung von KeePassX ist dann KeePassXC - https://keepassxc.org/ - das du auf Windows, Linux und macOS benutzen kannst.

Inwiefern z.B. die Datenbanken von KeePass und KeePassXC zueinander kompatibel sind, muss ich auch erst noch im Detail herausfinden. Auf meinem Android habe ich Keepass2Android, das zumindest bisher keine Schwierigkeiten hatte, KBDX Dateien von KeePass zu lesen und zu verwenden.

Ich möchte aber eigentlich vermeiden, daß die Versionen auf Desktops von den Versionen für Mobilgeräte zu sehr divergieren. Im Idealfall läuft die Entwicklung parallel und alles ist kompatibel zueinander.

Auch sehr interessant, aber nicht kostenlos, ist Enpass - https://www.enpass.io - das es für alle Plattformen gibt, also iOS, Android, Linux, macOS, Windows. Abomodelle kämen für mich nicht infrage, Enpass hat aber auch eine Lebenszeit-Lizenz für 'nen fairen Taler. Könnte mein Favorit werden, was ich bisher dazu gesehen habe.

Wenn du für dich eine Lösung gefunden hast dann berichte gerne darüber. Die RasPi Bitwarden Lösung würde mich auch mal interessieren.

In der Zwischenzeit hätte ich mal eine Frage an alle, die sich in der Materie auskennen:
Was ist der Unterschied zwischen KeePass, KeePassX und KeePassXC und welche Version meint Ihr, wenn ich von keepass redet?!

Ich habe ein Dual-SIM-Smartphone, was dann ganz praktisch aber nicht unbedingt notwendig ist. Keine meiner beiden SIM-Karten ist allerdings KYC-frei, also mein Prepaid-SIM-Kartenanbieter kennt mich mit Namen und Adresse.

Wenn ich mich nicht falsch erinnere, habe ich der Veröffentlichung meiner Nummern und Namen in öffentlichen Rufnummernverzeichnissen widersprochen. Für Anmeldungen, die die Angabe einer Mobilnr. für SMS oder sonstwas benötigen und wo ich mir etwas Sorgen um meine Privatsphäre mache, verwende ich in der Regel nicht meine Hauptnummer, mit der ich normalerweise telefoniere, simse und Messenger wie Signal usw. nutze. Die Nebenkarte benutze ich fast ausschließlich für den Empfang von Irgendetwas oder für seltene Telefonate mit Kontakten, die ich vermutlich nur einmalig oder höchst selten anrufen werde und bei denen es mir ganz recht wäre, wenn die nicht meine Hauptnummer zu sehen bekämen. Diese Nummer schreibe ich auch nicht in der Öffentlichkeit z.B. in Signaturen oder so.

Das ist jetzt bestimmt kein besonders schlaues Schema. Ich finde es ganz angenehm, eine gewisse Trennung haben zu können zwischen meiner doch mehr privaten Hauptnummer und einer Mobilnr. für Anmeldungen und Nicht-Gesprächs-Zeugs.

Ne du irrst nicht, grundsätzlich ist das schon so. Aber das setzt auch jeder Anbieter unterschiedlich "professionell" um. Der Anbieter den ich dafür genutzt hatte, der fordert Kunden per SMS auf, auf die Website des Anbieters zu gehen, um sich dort zu identifizieren.
SMS-Empfang und mobile Daten sind also vorher schon aktiv und bleiben es auch, selbst wenn man sich nicht identifiziert. SMS empfangen konnte ich auch noch lange nachdem mein Guthaben schon aufgebraucht war.
Ob der Anbieter da gesetzeskonform agiert kann ich aber nicht sagen, interessiert mich aber eigentlich auch nicht.

Für diejenigen, die Dual-Sim am Handy nutzen können, wäre das sicherlich manchmal eine feine Sache. Ich persönlich nutze aber nur eine Nummer.
Bezüglich Prepaid ist es doch mittlerweile so, dass man jede Karte mit Video-Ident oder Post-Ident erstmal freischalten muss oder irre ich mich da?
Bei Aldi-Talk war es zB früher recht einfach und heute muss man sich für jede Karte identifizieren.
Der Vorteil bei einer Nummer, welche man schon einige Jahre besitzt, ist halt, dass man sie im Zweifelsfall easy zurück bekommen kann. Handy/Karte verloren -> Anbieter kontaktieren und neu ausstellen lassen. Bei dubiosen Prepaidkarten wird das wahrscheinlich nicht (so einfach) möglich sein.

Was in Sachen Privatsphäre noch ein Thema sein dürfte wären Telefonnummern, die ja auch oft für die Registrierung von Onlinediensten (Bestätigungs-SMS) verwendet werden müssen. Wenn man dann nur eine Nummer hat, lassen sich ja auch viele Dienste und Accounts miteinander verknüpfen.

Nutzt ihr da auch separate Telefonnummern/Prepaidkarten (ggf. ohne KYC) oder habt ihr da andere Lösungen?
 
Ich hab das mal bei einem Anbieter (bei dem ich nicht wollte, dass er meine echte Telefonnummer bekommt) ausprobiert. Prepaid SIM gekauft (SMS Empfang und mobiles Internet gingen sofort, selber telefonieren/ SMS verschicken erst nach Registrierung), vom Anbieter die SMS bekommen und seither läuft alles reibungslos online, die SIM hab ich auch schon ne weile nicht mehr.

Also in Einzelfällen bzw. zum Rumspielen/Ausprobieren geht das wohl schon, aber ein flächendeckender Einsatz von immer verschiedenen SIM-Karten wäre mir dann wohl zu aufwendig/kostspielig. Aber vielleicht gibts ja einfache Alternativen um online Nummern zu emulieren oder so?!

So wie ich das verstanden habe lassen sich YubiKey sowohl als Passwortmanager als auch für 2FA nutzen.

So beschreibt KeePass selbst im help center wie man YubiKey nutzen kann um das sichere (ellenlange) Passwort per "Knopfdruck" einzugeben: https://keepass.info/help/kb/yubikey.html
Wenn man im Yubikey aber die Passwörter speichert, dann ist es natürlich kein 2FA mehr sondern nur eine etwas komfortablere Passworteingabe. Also so richtig was mit anzufangen kann ich damit auch noch nicht...

Was die gesuchte Lösung angeht bin absolut bei dir, ich bin auch auf der Suche nach einer Lösung die möglichst komfortabel und ausreichend sicher auf mehreren Geräten funktioniert. Evtl gingen ja sogar browserbasierte Lösungen in Kombination mit 2FA, dann sind die Passwörter auf den einzelnen Geräten abgespeichert und als "Passwortersatz" nutzt man ein zentrales 2FA (muss nur auf Redundanz achten).

Aber nen richtigen Plan hab ich da selbst nicht, deswegen hab ich hier ja nen bissl auf die Schwarmintelligenz des Forums gehofft.

Ja, dieser letzte Hack und die Geschichte dazu haben mich auch bewogen, letztlich von LastPass (langsam) Abschied zu nehmen. Immerhin berichtete LastPass (gefühlt) einigermaßen transparent, wie es zum Hack gekommen ist. Der wäre vermeidbar gewesen und wie so oft spielte der Faktor Mensch und einige andere Aspekte eine entscheidende Rolle.

Mein LastPass-Passwort ist mehr als ausreichend lang und nicht über Wörterbuch-Attacken o.ä. angreifbar, daher denke ich, keine Not für einen schnellen Ausstieg zu haben.

Bei mir wird es in Richtung Keepass o.ä. mit geräteübergreifender Synchronisierung per Syncthing o.ä. gehen. Eine selbstgehostete Bitwarden-Lösung lokal Zuhause auf einem Raspi hat für mich auch genügend Charme. Kann mich noch nicht entscheiden. Ich möchte den Komfort ungern aufgeben, von überall einen verlässlichen Passwort-Tresor (Open-Source bevorzugt!) nutzen zu können.

Ich habe Lastpass bis zum vor kurzem stattgefundenen Hack auch sehr gerne genutzt. Nachdem denen aber die verschlüsselten Passwortdaten ihrer Nutzer gestohlen wurden und gleichzeitig auch User von übernommenen Konten berichtet haben, hab ich alle Passwörter geändert und Lastpass gelöscht.

Bin noch auf der Suche nach einer Alternative, ein Dienst, der meine Passwörter online speichert, wirds aber nicht mehr!

Ich nutze noch einen hauptsächlich browser-basierten Passwort-Manager und bin etwas träge damit, meine Geheimnisse zu Keepass und Derivaten davon vollständig zu migrieren. Ihr könnt mich gerne hauen, aber es ist LastPass, das auch nicht frei von Hacks usw. ist. Ich habe aber nicht das wirkliche Gefühl, daß andere Anbieter soo viel besser sind. Ich benutze LastPass einfach schon sehr lange und bin nicht unzufrieden und ich habe keine Hinweise, daß mir meine Passwörter abhanden gekommen sind. Das ist weder Pro noch Contra zu LastPass.
Ich bin kein Freund von Software-Abos, deswegen habe ich keinen Bock, für ein Produkt dauerhaft zu zahlen, wo die erwartete Nutzungsdauer, den Wert des Produkts deutlich übersteigen wird. Die kostenlose Version von LastPass hat für mich ausreichend Funktionalität, wo ich bisher nicht mehr gebraucht habe. Blöd ist für mich, daß ich mich für die Desktop- oder Mobilversion festlegen muss (gilt nur für die kostenlose Variante). Das kann man mit Trickserei womöglich auch umgehen, muss dann aber für die Synchronisierung durch zuviele Reifen hüpfen. Danke, nein, ist mir dann doch zu blöd und fehleranfällig.

Letztlich werde ich aber von primär browser-basierten Lösungen weggehen, weil mir Browser zu komplexe Software-Ungetüme geworden sind, die zu viele Angriffsflächen haben und bieten. Da glaube ich nicht mehr an eine beherrschbare Sicherheit und somit halte ich auf längere Sicht auch Browser-Plugins als zu sehr mitgefährdete Angriffsziele.



Möchtest du auch 2FA mit im Passwort-Manager unterbringen? Das halte ich für keine gute Idee, falls doch auch der Passwort-Manager angegriffen werden sollte wg. irgendwelcher Lücken darin. Der Sicherheitsgewinn von 2FA beruht darauf, ein weiteres unabhängiges Gerät im Besitz zu haben, das möglichst unabhängig von den Passwörtern ein zusätzliches Geheimnis abliefert.

YubiKey fand ich immer schon interessant, nur habe ich mir bis jetzt keinen besorgt. Ich möchte eine Lösung haben, die für Alles funktioniert und möglichst universell einsetzbar ist. Es nützt mir nicht so viel, wenn ich nur einen, wenn auch vielleicht recht großen Prozentsatz, mit 'nem YubiKey erschlagen kann, dann aber doch ein nicht unwichtiger Prozentsatz eine andere Lösung benötigt.

Vielleicht sind PassKeys eine Lösung mit Zukunft... (muss ich mich noch intensiver mit beschäftigen und verstehen lernen).



Ja, ich mache das in der Tat ziemlich viel, um erkennen zu können, wenn ein Service meine Login-Daten nicht schützen kann oder diese sogar verhökern sollte. Mein Email-Anbieter und auch mein eigener Mailserver können das: +Servicename@
Der Teil +Servicename wähle ich dann jeweils passend aus, daß ich später bei einem Leak oder Emails von ganz woanders her erkennen kann, wer da meine Login-Daten verschlampert hat.

Und z.B. nicht bei Bitcoin-Treff.de mit einer E-Mail-Adresse nach dem Muster Vorname.Nachname@tld Anfragen versenden.

Keepass würde ich auch empfehlen. Benutzen wir bei uns in der IT auch und haben nie Probleme gehabt. Ging bei jedem Audit durch, ohne irgendwelche findings zum Thema Sicherheit.

Viele Grüße
Willi

Na das ist doch wirklich mal ein guter Anfang...

Welche passwortmanger gelten denn als gut? Ich nehme mal an, damit meinst du nicht die browserbasierten bei Firefox oder Chrome?! Welche Programme sind empfehlenswert?

Und gibt es da eventuell direkt gute Kombinationen direkt mit 2FA? Was hälst du von Keepass+YubiKey?

Nutzt du für jeden Service neben eigenen Passwörtern ggf. auch eigene Mail-Adressen bzw. Aliase?!

Using google translate:

Danke für die Übersetzung meines Themas. Ich habe im ursprünglichen Thread einen Verweis darauf hinzugefügt.

Vielleicht sollte man IT-Sicherheit in ein eigenes Thema auslagern, da es sonst leicht ausufert. Für nicht-IT-affine Menschen ist IT-Sicherheit auch nicht leicht zu vermitteln bzw. zu erklären, weil die die Zusammenhänge nur schwer verstehen oder nachvollziehen können.

Ein erster Anfang wäre aber:

• sicheren Passwort-Manager benutzen, dessen Zugangspasswort sollte "gut" sein und sicher dokumentiert werden
• der Passwort-Manager generiert dann nur noch für jeden Zweck individuelle komplexe Passwörter
• Passwörter sollten nicht wiederverwendet werden, damit ein Leak nicht mehrere Konten kompromittiert
• 2FA verwenden für alle wichtigen oder mit Werten verbundenen Konten, insbesondere für Email-Konten die für die Wiederherstellung anderer Konten verbunden sind
• keine Software aus dubiosen Quellen installieren oder ausführen
• wenn etwas zu gut klingt um wahr zu sein, dann nicht draufklicken
• vor einem Klick auf einen Link stets sorgfältig prüfen, wohin der Klick einen führt; im Zweifel, nicht anklicken
• Zurückhaltung beim Posten in (a)sozialen Medien: macht euch nicht zu einem interessanten Zielobjekt für Angriffe

...

+merit
Guter Beitrag und würde mich freuen wenn hier noch mehr ihren Beitrag dazu leisten und ihre Ideen mit einbringen. Da gibts bestimmt noch viel wissen bei uns im Forum, dass man nutzen kann.

Sehr coole Idee und viele Grüße
Willi

Es handelt sich im Wesentlich um eine sinngemäße Übersetzung des Fadens "Let's talk about Privacy" von Bitmover aus dem Internationalen Bereich. Da für mich der Inhalt im Vordergrund steht behalte ich mir vor zu kürzen, ergänzen, paraphrasieren oder sonst wie zu verändern, wenn es in meinen Augen der Verständlichkeit zuträglich ist. Diskussionen hinsichtlich einer guten/schlechten Übersetzung sind hier nicht gewünscht, ich nehme entsprechende Hinweise aber gerne per PM auf.

---

Kryptowährungen und Datenschutz/Privatsphäre sind eng miteinander verbunden. Deshalb interessieren sich viele Leute hier auch für solche Themen und dennoch gibt es viele Nutzer im Forum die selbst grundlegende Werkzeuge wie AdBlocker nicht nutzen.

Dies ist eine einfache Anleitung für solche Nutzer.

Leute die sich nicht um Privatsphäre kümmern sagen normalerweise: "Ich hab ja nichts zu verbergen."
Aber wenn man ins Badezimmer geht schließt man ja auch die Tür, obwohl man nichts zu verbergen hat.

Hier sind ein paar Werkzeuge die dabei helfen die Privatsphäre zu schützen und Tracking und Datenschutzverletzungen zu vermeiden, während man im Internet unterwegs ist.

• Vermeidet alle Google Produkte. Bei allen Produkten ist davon auszugehen, dass Google die Verläufe nachvollziehen und Daten an Anbieter von Werbung verkauft.
  
  
• Browser Empfehlung:
  Firefox / Brave browser / Tor Browser
  
  
• Browser Erweiterungen: (funktioniert auch mit Firefox Mobile)
  UBlock (ein adblocker) - Ein AdBlocker sind auch wichtig um phishing vorzubeugen.
  Decentraleyes (blockiert Bereitstellung von Inhalten)
  HTTPS Everywhere
  
  
• E-mail provider:
  Überlegt euch zu einem Verschlüsselten e-mail service zu wechseln, kein U.S Anbieter
  ProtonMail / Tutanota
  
  
• Suchmaschinen:
  Ich weiß es ist hart Google nicht zu nutzen. Die beste private Alternative ist Duckduckgo .
  Wenn du auf Google nicht verzichten kannst/willst überlege zumindest Verschlüsseltes Google zu nutzen (ich weiß nicht ob es wirklich verschlüsselt ist)
  
  
  
• Verschlüssel dein Android Gerät - Schützt deine Musik, Fotos, persönliche Daten so, dass sie nur mit Passwort geöffnet werden können.
  
  
• Ändere Windows 10 Datenschutzeinstellungen, um das Datensammeln durch Microsoft zu verhindern.
  
  
• Einige gute VPN (schützt deine Verbindungsdaten und ermöglicht geografisch eingeschränkte Inhalte):
  Proton VPN - kostenfreie Version verfügbar.
  Tunnel Bear - kostenfreie Version verfügbar.
  Nord VPN - kostenfreie Version verfügbar. Um es dauerhaft zu nutzen benötigt man allerdings das kostenpflichtige Abo.
  
  
• Private Kryptowährungen:
  Monero (die bekannteste), PIVX, Dash, Zcash, Particl, und viele weitere.
  

• Open Source und Datenschutzorientierte Betriebssysteme  (OS) basierend auf Android mobile.
  LineageOS, Replicant and Copperhead.
  

• Datenschutzorientierte Dokumenten-Manager.
  Standard Notes.
  Die Anwendung erlaubt es Dokumente zu synchrosieren im web, android app, windows, mac and linux. Sehr nett. Simpelbund respektiert deine Privatsphäre.
  

- Alternative Speicher

• ownCloud: Open source, self-hosted cloud Plattform, verfügbar für Unternehmen
• Syncthing: Open source, P2P
• Nextcloud: Open source, self-hosted

- Kalender Alternativen

• Etar: Open source
• Fruux: Open source

- Google Docs / Sheets / Slides Alternative

• CryptPad: Zero Knowledge Cloud
• Etherpad: Open source

- Domain Registrierung

•  Njalla
  Sie wollen nicht wissen wer du bist und stellen keine Fragen dazu. Man braucht also nichtmal den Whois Guard.
  

Wichtiger Hinweis: Datenschutz ist eine endlose Aufgabe, weil es immer etwas gibt, was man mehr tun kann. Starte mit den Dingen die für dich persönlich einfach umzusetzen sind. Es gibt noch viel mehr nützliche Add-Ons, Programme, etc.
Das ist nur eine sehr grundlegende Anleitung, weil viele Leute nichtmal adblocker verwenden.

Wenn du mehr Informationen über den Schutz deiner Daten willst gehe auf: https://www.privacytools.io/

---

Gerne möchte ich das Thema auch noch um IT-Sicherheit erweitern und fragen wie denn eure IT-Infrastruktur so aussieht, also auch im Hinblick auf Verschlüsselung, Passwörter/Passwortmanager, 2-Faktor-Authetifizierung und alles was euch sonst noch so einfällt und thematisch hier rein passt. Ziel wäre es für mich hier durch den Austausch zu einer Art best-practice zu gelangen.