Mist. Ich habe die Pollin-Mail heute morgen bekommen und hatte den ganzen Tag schlechte Laune.
Ich gehe normalerweise sehr vorsichtig mit meiner BV um, aber bei Pollin hab ich die genauso wie bei Amazon und Conrad hinterlegt. Sonst nirgens bei Shops. Das ist jetzt ein ganz blödes Gefühl zu wissen, dass meine Daten bei Hackern in der Datenbank sind.
Ich hab mir leider, weil nix passiert ist, mit den Jahren abgewöhnt, für jedes Portal eine eigene EMailadresse zu erzeugen. Das werde ich jetzt ganz schnell wieder einführen, allein schon damit ich zukünftig besser sehen kann, dass eine Mail von Pollin wirklich von Pollin ist. Mit den Daten kann man ja Phishen par excellence, auch im Namen von anderen Portalen. Wenn jedes Portal ne eigene (neue) Mailadresse hat, kann man das einfach schneller erkennen wenn ne Mail faul ist.
Was mir an der Mail vom Max heute morgen auch gestunken hat: Da steht nichtmal Entschuldigung dafür, dass ich jetzt mein Konto viel öfter nach faulen Lastschriften scannen muss. Dass die jetzt meine Telefonnummer und Geburtsdatum (Das hab ich mal sofort auf Fantasiedaten geändert, brauchen die ja sowieso nicht-warum dann Abfragen und die Beute für Hacker erhöhen? ).
Und warum besteht die Gefahr dass das hinterlegten Passwort auch bei anderen Seiten probiert werden könnte? Sowas gehört gehasht und gesalted in die Datenbank. Ich hätte nie gedacht, dass der Laden so mit meinen Daten umgeht, sonst hätte ich da nicht aus Bequemlichkeit die BV hinterlegt.
Sorry für den Rant.
Aber nachdem Linkedin und andere Größen sich schon 100te Millionen von Daten abluchsen lassen haben muss man halt auch irgendwann akzeptieren, dass man keien 100%ige Sicherheit bekommt.
Name vergessen hat geschrieben:Tja... ich würde ja gerne per Rechnung bezahlen, denn dann gäbe es diese Angriffe gar nicht, bzw. gäbe es nichts zu holen. Aber auch da hat man ja das komplette Risiko auf den Kunden / Bürger abgewälzt, ...
Naja, Lastschrift ist für den Händler heutztage schon noch ein ordentliches Risiko, auch mit Mandat kannst du das 8 Wochen zurückbuchen lassen und wenn das Konto nicht gedeckt ist, bleibt der Händler drauf sitzen.
Aber Bezahlen auf Rechnung wird natürlich wenn angeboten sehr oft von vollkommen überschuldeten Mitbürgern genutzt um doch noch irgendwie dem Konsum nachgehen zu können. Da ist das Risiko quasi unbegrenzt. Würde ich als Händler- wie eigentlich praktisch alle realen Shops auch- nicht anbieten.
felixh hat geschrieben: Hansele hat geschrieben:
Klasse, jetzt kann man wieder einige Zeit investieren in ein gutes Passwort,
anschließend den Schrott wieder überall ändern.
Naja, mal sehen was da passiert.
Btw.
Wie generiert ihr eure Passwörter und verwaltet diese?
ganz einfach: per system.
such dir ein Merkmal der webseite aus, z.B. firmenname, web-addresse, domainnamen, irgendwas "konstantes".
Verwurschtel das irgendwie in dein passwort, und du kannst dir dein passwort leicht merken, und dir bei solchen Lecks keine Sorgen machen.
z.B. Pollin: erster und letzer Buchstabe, jeweils um eine stelle verschieben, und ins PW reinpfriemeln.
ich hab ausserdem passwort für seiten bei denen es mir wurscht ist, und die email hat natürlich ein ganz eigenes.
Ich habe Gottseidank für jede Seite ein abgewandeltes Passwort, auch so ein System habe ich mir überlegt. Aber wenn man dann auf das Ergebnis schaut, sieht es dann doch irgendwie durchschaubar aus und die Stellen, die verändert werden pro Seiten fallen jedenfalls bei meinem System irgendwie auf.
Ich hab die Passwörter alle noch in meinem alten Palm, offline und mit einer Palmapp verschlüsselt. Dazu hat der Palm noch einen Systemzugangspasswort, also doppelt gemoppelt.
Hilft aber nix wenn man unterwegs ist und den nicht mithat.
Android ist mir als OS für eine Passwortapp zu unsicher. Wenn man sich einen Keylogger eingefangen hat, dann kann der das Passwort für Keypass abgreifen und muss nur noch die Datenbank auf die Reise bringen, was auf einem Gerät mit permanentem Internetzugriff nicht zu schwer sein sollte. Wenn ich mir vorstelle, dass alle meine Passwörter auf einmal gehackt werden könnten wird mir schlecht. Ausserdem: Wie kann man sicherstellen, dass die Autoren der Millionen von Passwortsafeapps sauber sind?
Ich hatte heute eine Idee dazu. Warum nicht ein einfaches System, wie z.B. ein Passwort wie
PassWor99t
ebay##
Und dann eine App schreiben, in die man das Passwort eingibt und welche aus dem eine Art Hash mit alphanumerischen Ergebnis erzeugt, die man als Passwort benutzt. Mit passendem Hash sieht das Ergebnis mit nur einer Ziffer unterschiedlich vollkommen willkürlich aus. Und das würde ich dann immer einfügen/kopieren oder abtippen.
Ich hab dann im PLaystore gesucht und die Idee ist natürlich nicht neu, es gibt Apps die das machen. Nur sollte es auch eine PC-Version geben.
Somit hätte man nirgendwo eine Datenbank mit allen Passwörtern. Wenn jemand einen Keylogger aufs Handy packt kann er maximal ein, zwei Passwörter abgreifen, aber nicht alle auf einmal.
(Hmm .. ok, beim Nochmal nachdenken - er könnte das System erkennen)
Die Apps, die ich gefunden habe sind leider alle Downloadzwerge. Keine renomierten Namen, kein Open Source. Und natürlich, wenn sojemand dann die Historie loggt und sich schickt, ist das ganze auch übel.
Das ist ja eigentlich kein Hexenwerk. Ich überlege mir eine PHP-Seite auf meiner HP zu programmieren mit einem Hash-Algorithmus. Die könnte ich dann von Handy und PC aus aufrufen über https.
Muss ich nochmal drüber nachdenken.