BSI gibt Tipps für Betroffene
Datenschutz: E-Mail-Zugangsdaten sind besonders schützenswert
Der Wirbel um die im Internet veröffentlichten, teils persönlichen Daten von Politikern und Prominenten hat das Bundesamt für Sicherheit in der Informationstechnik BSI dazu veranlasst, „Empfehlungen für Betroffene“ zu veröffentlichen. Das neue Hilfedokument behandelt das Thema allgemein und hält ein paar sinnvolle, grundsätzlich beachtenswerte Ratschläge bereit.
Bilder: depositphotos.com
Was man gerne verdrängt: Wenn eine unbefugte Person Zugriff auf euer E-Mail-Konto hat, so kann diese nicht nur an eurer privaten Kommunikation teilhaben, sondern in der Regel auch Zugriff auf von euch genutzte Online-Dienste erlangen. Die meisten „Passwort vergessen“-Dienste arbeiten mit einem speziellen Link, der per E-Mail zugestellt und über den sich die Nutzerdaten dann neu vergeben lassen.
Dies gilt es auch zu beachten, wenn ihr Anlass zu der Annahme habt, dass die Zugangsdaten zu eurem E-Mail-Konto in falsche Hände gelangt sind. Theoretisch könnten in der Folge auch andere von euch genutzte Onlinedienste kompromittiert sein. Es ist also empfehlenswert, alle Passwörter neu zu vergeben und dies vor allem auch in der richtigen Reihenfolge zu tun. Um das potenzielle Leck zu schließen, muss zunächst das E-Mail-Konto abgesichert und dann die Zugangsdaten zu den davon abhängigen Diensten neu vergeben werden.
Priorisieren Sie daraufhin Ihre Online-Accounts nach dem Kriterium, ob Sie diese für die Wiederherstellung von Passwörtern anderer Online-Konten benötigen oder nicht. Denn die Reihenfolge, mit der Zugangsdaten verschiedener Accounts geändert werden, ist entscheidend.
Ändern Sie daraufhin der Reihe nach die Passwörter: Starten Sie mit den Accounts, die Sie für das Zurücksetzen von Passwörtern verwenden. Meistens sind dies Ihre E-Mail-Postfächer.
Ändern Sie im Anschluss die Passwörter von Online-Profilen, die Sie für "Single-Sign-On" verwenden. Ein Beispiel hierfür ist Facebook, dessen Account verwendet wird, um sich bei anderen Diensten anzumelden.
Genau deshalb wundere ich mich immer wenn leute Apps wie Airmail ihre Zugangsdaten geben
Hm, man kann ja auch App-spezifische Kennwörter einrichten bzw. vergeben. Bei Gmail zumindest.
Ist es möglich, dass jemand Anderes ein von mir in der Vergangenheit gelöschtes Mail-Konto (bei einem der üblichen Anbieter), mit der damaligen Mailadresse nochmals registriert? Oder sind Mailadressen zuverlässlich immer nur einmal vergeben?
Bei t-online ist es so. Nach 90 Tagen kann man eine E-Mail Adresse / Benutzername wieder nutzen nach Löschung des Kontos.
Also besser als „Freemail“ weiter laufen lassen.
Das habe ich mir auch schon oft gedacht.
T-online sind es meines Wissens nach nur 30 Tage
Ich glaube auch das es 90 Tage sind, denn da wäre die Aufregung groß beim Mail-Wechsel zu nem anderen Postfach.
Man kann die Mail-Adresse auch sofort wieder freigeben.
Ich habe aktuell den Fall, der mich ziemlich ärgert. Bei der Telekom eine der Alias-E-Mailadressen scheint während meiner dreitägigen Vertragsauszeit (gekündigt und neuen Vertrag abgeschlossen) an jemanden anderen vergeben worden zu sein. Das doofe ist, dass ich weiterhin E-Mails an diese Adresse bekomme, nur sind es jetzt fremde Emails. Ich habe das der Telekom gemeldet, sie sagen aber, es kann nicht sein, das ist technisch unmöglich. Da frage ich mich, wie der Mann damit über Paypal bezahlen und bei Amazon und diversen Onlineshops einkaufen kann. Ich lese seine Bestellungen.
Hab jetzt einen Brief an ihn geschickt und überlege, die Polizei einzuschalten.
Deswegen lieber eine Freemail in der Zeit machen und alle Alias Adressen dorthin übernehmen, später das ganze zurück auf die neue Hauptmail.
Kein Wunder denn an eine Mailadresse hängen ja meist mehrere Accounts diverser Zugänge.
Da ist schnell das Passwort geändert für die Zugänge wenn man den Mailaccount erstmal hat.
Aus dem Grund habe ich 5 E-Mail Adressen bei verschiedenen Anbietern. Überall unterschiedliche Passwörter. Und für sensible Daten nicht die Adresse, die ich für „Standard“ Anwendungen nutze, bei denen ich mich mit E-Mail registrieren muss. ;)
2-Faktor-Authentifizierung wo möglich. Usw.
Ja, nichts ist 100% sicher, aber man muss es einem „Angreifer“ ja nicht leicht machen.
Doch, eines ist ziemlich sicher und er trägt 3 Buchstaben.
Du benötigst nur 1 Postfach (t-online) und kannst 10 Alternativadressen anmelden und musst nur von einem Postfach (regelmäßig?) das Passwort ändern, merken musst dir sowieso nur 1password.
Für unwichtige Dinge gibt es Fake-Adressen oder Wegwerfmails.
Dafür habe ich 1Password für die ganzen unterschiedlichen Dienste. Für „unwichtiges“ lass ich mittlerweile 1Password ein zufälliges generieren.
Kommt jemand an die Haupt E-Mail Zugangsdaten von t-online kommt er auch an alle unter-Accounts. Lieber nicht.
Ich denke nicht das jemand ein 40-stelliges Passwort knackt, eher mitlesen, aber dann ist man auch selbst Schuld :-).
Ich sag nur eins „protonmail.ch“ + 2FA und Ruhe ist.
Vielleicht das falsche Thema, aber wie sicher stuft ihr als Experten z.B. Password1 o.ä. ein?
Soll das ein schlechter Scherz sein oder war die Frage ernst ?
Hier gibt es keine Experten dafür, denn nur die Entwickler wissen, wie sie die App sichern.
Gemütlichkeit geht immer einher mit einem Risiko. Das musst ganz alleine du entscheiden, was du priorisierst.
Nicht ist sicher und je größer ein Dienst wird, desto interessanter wird er für Angreifer.
Ich persönlich würde niemals zu einem Passwort Manager raten – es ist ein Glied mehr in der Kette, das brechen kann.
Was ist die Alternative für 300+ Passwörter?
Ich wüsste nicht, wozu man 300 Accounts braucht – aber wenn ja, dann in einer verschlüsselten Datei jenseits des Internets.
Es ist nicht weiter relevant wofür. Aber vor allem war nicht die Rede von Accounts, sondern Passwörtern. Eine echte produktive Alternative sehe ich in einer verschlüsselten Datei nicht, aber danke trotzdem. ;)
Mich würde interessieren, wie hier die Apple-Funktion zur Verwendung der zufällig erzeugten Passwörter und der Verteilung über iCloud im Schlüsselbund gesehen wird.
Mal ne passende Frage dazu die ich mir öfter stelle:
Benutzt ihr den Apple Schlüsselbund?
Oder seht ihr den als nicht sicher?
Praktisch wäre es ja, aber habe irgendwie Bedenken dabei…
Ich nutze inzwischen den iCloud Schlüsselbund. Wenn schon Daten anvertrauen, dann am besten hier wie ich finde. Habe aber auch nur Apple Geräte in meinem öko System.
Da sollte eigentlich jeder drauf kommen!!
Habe schon lange ein 12 stelliges PW