Multi-Faktor-Authentifizierung könnte alle Microsoft-Hacks verhindern

Für Microsoft sind gehackte Konten an der Tagesordnung. Das allerdings liegt nicht an der Nachlässigkeit des Unternehmens. Vielmehr verwenden die Anwender die ihnen gebotenen Sicherheitsmaßnahmen nicht und dazu zählt vor allem ... mehr... Sicherheit, Security, passwort, Passwörter, Authentifizierung, password, Authenticator, Webauthn Bildquelle: Pexels / CC0 Sicherheit, Security, passwort, Passwörter, Authentifizierung, password, Webauthn Sicherheit, Security, passwort, Passwörter, Authentifizierung, password, Webauthn Pexels & CC0

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Die Mengen an Passwörter kann sich auch kein Mensch mehr merken.

Eine 2. Wege Authentifizierung ist meistens Gold wert - wobei wenn man per Handy sich irgendwo einloggt und die 2-Wege Authentifizierung dann auch noch über das gleiche Handy geht, die Mühe eigentlich umsonst war. Nichts Löcheriges meist als eine Handy-Sicherheit.
 
@Postman1970: Ich merke mir auch die Menge der Passwörter schon seit Jahren nicht mehr. Wofür gibt es den auch Passwortmanager? Hab überall ein anderes und die sind nich zu erraten.
 
@Cyber_Hawk: Vertraust du Cloudlösungen bei wichtiger Logins? Und viele Passwortmanager mit lokalem Speichermanagement habe ich eben nicht überall dabei oder beide Sorten kranken in der Browsereinbettung oder im Komfort.
Zuletzt unterstützt Dashlane immer noch nicht sauber den MS Edge - alles viel zu behäbig und man hört nicht auf die Benutzer, weil die Zielgruppe entweder recht still oder noch sehr mager in der Nutzerstärke ist.
 
@Postman1970: Wirklich schlau über Passwortmanager hast du dich anscheinend noch nich gemacht. Guck dir zb Keepass mal an. Da ist vieles möglich über Plugins, mit denen wird eigentlich ziemlich jeder Wunsch erfüllt. Und damit würden die Passwörter auch in der Cloud verschlüsselt liegen wenn du die darüber Sync willst.
Zudem is Keepass kostenlos und auch für Android zu haben.
 
@Cyber_Hawk: Gerade KeePass sieht zu altbacken aus und hat mir beim Antesten gar nicht gefallen bzw. vermisste ich vieles aus anderen Tools, und wenn ich erst Plugins benötige, um etwas vollwertig zu nutzen ist das nichts für mich.
 
@Postman1970: Wenn du es bequem haben willst ohne groß selber Hand anzulegen muss du auf Bezahl Lösungen zurück greifen. Opensource die dazu noch kostenlos is, is oft damit verbunden das man ein wenig selber Hand anlegen muss.
Auch wenn es Altbacken aussieht, es erfüllt seinen Zweck gut und will keine Designer Preise gewinnen.
 
@Cyber_Hawk: Trotzdem danke für den Tipp, du hast es ja gut gemeint :-)
 
@Postman1970: Keepass nutzen wir in der Firma, verbunden mit einer 2FA. (KeypassXC unterstützt YubiKey.) Kann ich sehr empfehlen.
 
@Nunk-Junge: Vielleicht muss ich es einfach nochmals versuchen oder ich mich nochmals etwas mehr reinlesen. Wenn man älter wird muss sich manches erst etwas setzen, um es an sich heranzulassen :-) Die Optik ist oft nicht alles...
 
@Postman1970: Nutze lieber Keepass2 der KeePassXC hat nur mehr Bugs als nutzen. :)

Allgemein zu KeePass PlugIns:
So schwer ist es nicht PlugIns zu installieren außerdem will nicht jeder zu viele Funktionen in Keepass haben die u.a. sicherheitsrelevant sein können von daher die Lösung mit den PlugIns. Daher kann jeder selber entscheiden ob die KeePass Basisfunktionen ausreichen oder bei Bedarf mehr Features braucht die man per PlugIns nachinstallieren kann.

Im Prinzip sind folgende PlugIns relevant:
KeePassRPC - Für das "Kee - Password Manager (Browser-Addon)" damit ermöglicht man eine sichere, verschlüsselte und bidirektionale Kommunikation zwischen KeePass und anderen Anwendungen über RPC.

KeePassWinHello - Dieses Plugin dient zur schnellen Autorisierung einer Datenbank (nach dem ersten Entsperren) unter Windows Hello.

DataBaseBackup - Für lokale Sicherungen zum Beispiel auf mehrere SSDs neben Cloud und erstellt Backups geänderter Datenbanken.

QualityColumn - Fügt eine Spalte "Kennwortqualität" in der Haupteintragsliste hinzu.

Wie man sieht kann man mit 3-4 Keepass PlugIns und einem Browser Addon (Das Addon gibt's für Firefox und auf den Chromium basierten Browsern) sehr viel machen aus KeePass. Man muss nur wollen. ;)

P.S.: Meine DB liegt zum Beispiel in der iCloud-Root-Ordner unter Windows so wird diese voll automatisch auf die iCloud hochgeladen - geht sicher auch mit anderen wie Dropbox. ABER! Wenn man sowas tut dann empfiehlt sich neben einem Masterpasswort zusätzlich ein Keyfile! Das Keyfile liegt dann nur OFFLINE auf eurer Hardware (PC, Tablet, Handy). Ich nutze unter iOS Keepassium für die Autofill-Funktion - ist genauso OpenSource wie KeePass.
 
@romfis: Dein Beitrag liest sich sehr fundiert. Da fehlen im Netz oftmals kurze und knackige Anleitungen, womit auch mehr aufspringen würden.
 
@romfis: Sehr gut beschrieben. Ich nutze privat auch Keepass2, beruflich hat nur die Hardware-Bündelung mit YubiKey den Ausschlag gegeben. So schlecht ist KeepassXC aber auch nicht und ist auch Open Source.

Wer anfangen will kann auch erst mal ganz ohne Plugins starten. Für viele Sachen ist das 'nackte' Keepass schon ausreichend. Das File mit den Passwörtern kann man sehr gut mit einer Cloud auf allen Geräten aktuell halten, das ist sehr praktisch. Ich nutze dafür eine private Cloud.
 
Dieser Link (Aus Jan. 2019) hier war damals einer meiner Gründe warum ich mich nicht für KeepassXC entschieden habe:

https://forum.kuketz-blog.de/viewtopic.php?p=25163&sid=3c2a1632b7f14416191b129e0736906f#p25163

"Der Bug 609 ist sehr böse. Du verlässt den Rechner, vergisst zu schließen, und wer anders kann mal schnell all deine Passwörter exportieren." - Schrieb ein Nutzer.

Ob all diese Bugs noch vorhanden sind habe ich derzeit nicht überprüft.
 
@romfis: Danke, ich frag mal bei unseren Sicherheitsleuten nach.
 
@Postman1970:
Ich habe nurnoch Bitwarden.
Chrome, Firefox, Android, Windows, iOS und MacOS.

Alles kostenlos und OpenSource, wer möchte kann das selber hosten auf seinem Server.
Gibt auch n Premium Crack, dann hat man da auch 2-Factor mit drin.

Mehrere Accounts, Ablagen, Organisationseinheiten.
 
@Cyber_Hawk: also ein zentral Schlüssel für alle Accounts, nicht immer die beste Idee.

Das beste Kennwort bleibt im Kopf
 
@0711: Da braucht man sich nur einmal ein schwieriges Passwort zu merken. Das ist auf jedenfall einiges sicherere als zig einfache merkbare Passwörter oder überall das selbe.
 
@0711: Quatsch. So einen Kopf hat niemand. Kann niemand haben. Passwörter müssen lang sein, sonst kann man sich die direkt sparen. 12 Zeichen ist Minimum, alles darunter ist wertlos. Besser sind mehr als 20 Zeichen, gerade bei Admin-Passwörtern. Natürlich sollte für jede Webseite, für jeden Service ein völlig anderes Passwort verwendet werden. Bildungsregeln sind scheiXXe, da in der Regel viel zu simpel. Und nun kommst Du und willst Dir das im Kopf merken. Haha.
 
@Nunk-Junge: Wo sage ich das? Ich sage das beste kennwort ist und bleibt im kopf, so ist es, so bleibt es. Darum gings aber im wesentlichen gar nicht sondern um "Die Mengen an Passwörter kann sich auch kein Mensch mehr merken." und genau das ist der mangel an der ganzen geschichte, passwortmanager sind eben ein notbehelf nd genau nur das, notbehelf, keine lösung. Passwortmanager sind eben so wie sie vielfach beworben werden (wie auch hier von vielen kommentatoren) eben der zentrale angriffspunkt für das digitale leben - übrigens genau das gegenteilige von der regel "für jede Webseite, für jeden Service ein völlig anderes Passwort verwendet werden" aber den Widerspruch sehen die Werber natürlich nicht.

Man sollte vor allem auch lernen gute Passwörter nur für wichtige dinge zu verwenden und nicht zu verbraten. Nicht jeder Müll Account braucht ein super tolles Passwort - und ob man bei so belanglosen Seiten wie winfuture ein separates Kennwort gegenüber dem bei hardwareluxx, heise, golem und co braucht ist auch mehr als fraglich...da kann man dann aber auch ein Passwortmanager ohne zurückhaltung nutzen.
 
@0711: Was spricht. denn dagegen mehrere Passwort-Manage-Systeme zu haben und damit die Wichtigen Dinge trennt.

Außerdem. musst du zugeben, dass man erstmal an deinen Manager ran kommen muss, um den anzugreifen.
Die Websiten mit deinem Login ist von überall erreichbar!

Ich bin ja für key Anmeldungen.. Das funktioniert super..
Auf der Website deinen Publickey rein und du kannnst dich anmelden..
Der Schlüssel wird nie übertragen..
Bei SSH ist das der Standart.
 
@0711: Sorry, NEIN! Man braucht überall ein eigenes Passwort, alles andere ist grob fahrlässig. Das sollte jedem auch wenig erfahrenen Nutzer klar sein. Heutzutage laufen viele Angriffe über Social Engineering und DAU werden mit Spear Phishing gezielt angegriffen.
 
naja also mir wurden noch nie bei mir PW gestohlen, sondern wenn sie abhanden gekommen sind war das immer bei Hacks beim Anbieter und da schützt mich dann die 2 Faktor auch nicht wirklich wenn der Datendieb direkten Zugriff beim Anbieter hat!
 
Zwei Faktor gut und schön. Da ich aber mehrere E-Mail Konten gleichzeitig per Thunderbird/Outlook abrufe, wäre das wohl echt stressig auf Dauer. Zumal MS mir den Zugriff schon sperrt wenn ich mal am Handy im öffentlichen W-Lan mein BitDefender oder Nord VPN nutze da ich ja nicht vom gewohnten Standort aus zugreife. Wie man es macht is also falsch, und im Falle MS auf das Standort bezogene auch auf Dauer nervig da erstmal der Zugriff geblockt wird. Google meldet wenigstens nen ungewöhnlichen Zugriff, aber blockt nich gleich, bzw. nach dem ich auf "ja das war ich" klicke geht's. Bei MS muss ich mich dann erst im Browser anmelden, SMS Code bestätigen und dann dauert es trotzdem ewig bevor Thunderbird/Outlook wieder Zugriff bekommen....
 
Multi-Faktor-Authentifizierung ist ja nicht schlecht, nur bin ich nicht bereit meine Handy Nummer die ich seit mittlerweile 20 Jahren habe bei jedem dahergelaufenen Dienst anzugeben. Da habe ich mehr bedenken das der Anbieter gehackt wird, als das bei mir am PC das Passwort geklaut wird.
Wäre schön wenn es für solche Zwecke "dumme" Simkarten ohne weitere Funktion außer dem Codeempfang und ohne weitere Kosten geben würde. Meinetwegen für einmalig 10-15€ käuflich zu erwerben.
 
@chris899: beschreib mal bitte genauer was du mit "dumme simkarte" meinst. weil zudem das die sim eine tele nummer sammt ip/mac adresse (also internet zugang) benötigen würde, dies inzwichen personen bezogen, also meldepflichtig ist ....... das sogar für prepaid sims (die man teils für 4.99€ hinterher geworfen bekommt) pflicht is ............. kauf dir halt ne 2te (prepaid) sim und gut. diese muss dann aber auch in ein gerät gesteckt werden mit eigener imei (auch mutli sim handys haben pro sim slot ne eigene imei) .... 2 faktor funzt nur wenn auch zwei verschiedene geräte genutzt werden. macht für mich nämlich keinen sinn am handy ne pin ein zu geben und auf dem gleichen gerät auch gleich die e-mail zu erhalten wo der bestätigungs code drin is. den in der regel wird bei android (bei ios weis ich es nicht) die mail mit dem gerät verknüpft und idR nicht mehr nach dem Passwort zu dem gmail Konto gefragt bis man was kauft oder so. sprich google, sammt e-mails und co funktionieren auf einem handy ohne nachfrage. ebenso wenn man auf diesem gerät auch noch den microsoft launcher installiert hat........ gleiches spiel bei dann sogar schon 2 konten und einem gerät ........... sinn? ich seh leider keinen! jedenfalls nicht wenn man mit diesem gerät somit jede 2faktor autentifizierung problemlos umgehen kann da eben alle daten eh auf dem gerät gespeichert sind....
 
@Contor: Ich meine eine Simkarte die keinen 5G/4G/3G Zugang braucht. Telefonieren muss nicht nötig sein, Internet muss nicht nötig sein. Einfach nur Empfang des Identifikationscodes per SMS. Zweit Handy ist kein Problem, da haben wir noch ein paar alte Nokias rumliegen.
Einfach Prepaid Sim kaufen bringt in Deutschland nun mal nichts, da man keine Sim bekommt ohne Kosten. Entweder muss man mit der Karte Umsätze erzeugen, alle X-Monate neues Guthaben aufbuchen oder man fällt in die automatische Sperrung der Karte und kauft eine neue, mit samt der ganzen erneuten Anmeldung. Einziger Anbieter der mir bekannt ist wäre Netzclub, da bekommt aber leider nur eine Simkarte pro Person.
 
@chris899: "keinen 5G/4G/3G Zugang braucht. Telefonieren muss nicht nötig sein, Internet muss nicht nötig sein" ............. womit willste dann denn was "empfangen" ??? Brieftaube? Rauchzeichen? Post?............. Netzclub finanziert sich durch werbung die per 5G/4G/3G (also internet) an die sim ausgeliefert wird ....... irgendwie wiedersprichst du dir selber .......
 
@Contor: Die Werbung kommt an die E-Mail Adresse von der Registrierung und per SMS, sonst nichts. Eine aktive Internetverbindung ist nicht nötig.
Wie wäre es über GSM oder 2G ? Wozu soll eine kostenfreie Simkarte die nur einen Identifikationscode per SMS erhalten soll, unbedingt Zugang zu 5G/4G/3G und Internet brauchen ? Das würde ja gerade die Kosten wieder unnötig erhöhen.
 
@chris899: Also ich habe eine SIM von Congstar, die keine Kosten verursacht. Alternatgiv ginge eine SIM von Netzclub
 
@Contor: Ich stimme deiner Grundüberlegung zu, allerdings bedeutet die Tatsache, dass Google-Dienste ohne Passwort Mails abrufen können nicht, dass jede App auf dem Handy darauf zugreifen kann. Dazu müsste die bösartige App bzw die infizierte App die Sandbox überwinden.
 
@chris899: netzclub ;)
 
@chris899: Generell ist 2FA über SMS ja auch nur so eine merkwürdige Krücke. Das kann man auch problemlos über Apps lösen, die dir (einmal mit dem Dienst synchronisiert) dann bei Bedarf ein passendes OTP ausgeben. Dann brauchst du auch nicht Hinz und Kunz deine Handynummer anzuvertrauen (was ich nachvollziehen kann).
 
@Joyrider: Und es funktioniert offline!
 
Jaja, das ewige tolle 2FA-blabla. Und wenn dann das Handy kaputt/verloren/gestohlen ist kommt man nicht mehr an seinen Account, kann z.B. sein Girokonto erst wieder nach kostenpflichter, per Post zugestellter, erneuter Aktivierungsmail wieder online nutzen. Bei nicht-personengebundenen Zugängen ist selbiger womöglich dauerhaft verloren.
 
@DRMfan^^: Ja, gerade bei Banken mit ihrem Geraffel hast du leider Recht. Aber Banken behaupten ja auch immer noch, das fünfstellige, numerische Passwörter als alleiniges Anmeldepasswort sicher sind.
Ansonsten gibt es ja für solche Zwecke Recovery-Keys oder sonstige Mechanismen (Mail, Anruf, SMS), um schnell wieder Zugriff zu erlangen.
 
@Joyrider: Tatsächlich gibt es z.B. bei Google solche Einmal-Recovery-Codes. Kann mich nicht erinnern, bei der testweisen Nutzung darauf hingewiesen worden zu sein: https://support.google.com/accounts/answer/1187538?hl=de&ref_topic=7189145
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles