Anzeige
Bei 57 Prozent der erfolgreichen Cyberangriffe ist kein großer Hack über Sicherheitslücken erforderlich. Die Cyberkriminellen nutzten einfach ein kompromittiertes Nutzerkonto, um Zugang auf die Systeme zu erhalten, so die Analyse von Varonis zu solchen Vorfällen.
Die Aussage ergibt sich aus der Analyse von 35 der US-amerikanischen Börsenaufsicht gemeldeten Cybervorfällen zwischen Januar und August 2024, die vom Datensicherheitsspezialisten Varonis Systems, in dem Report The Identity Crisis: An in-depth report of cyberattacks in 2024" vorgelegt wurde. Das Ziel der meisten Vorfälle waren dabei die wertvollen Unternehmensdaten, allen voran personenbezogene Daten (54 %) gefolgt von Gesundheitsinformationen (23 %).
Die Analyse ergab zudem, dass auch Wochen und Monate nach dem Vorfall 85 Prozent der Angriffe noch untersucht werden. Dies deutet zum einen auf die Komplexität der Untersuchungen gepaart mit mangelnden Forensik-Möglichkeiten hin, zum anderen bedeutet dies auch, dass weitaus mehr als jeder zweite Angriff über ein kompromittiertes Konto erfolgt sein könnte.
"Die Zahlen unterstrichen einen Trend, den unser Incident Response Team schon seit geraumer Zeit beobachtet: Cyberkriminelle brechen immer seltener ein, stattdessen nutzen sie ergaunerte Anmeldeinformationen, um sich in die Systeme ihrer Opfer einzuloggen", erklärt Volker Sommer, Regional Sales Director DACH von Varonis. "Dies macht ihre Entdeckung prinzipiell schwieriger, da es sich ja um scheinbar legitime Insider handelt, die sich mit gewissen Rechten ausgestattet in der Infrastruktur bewegen. Ohne eine intelligente Analyse des Nutzerverhaltens hat man kaum eine Chance, diesen Kriminellen schnell auf die Schliche zu kommen."
Anzeige
Anzeige
Sag ich ja immer wieder: Das Hauptproblem sitzt zwischen Stuhl und Tastatur und ist nicht patchbar! Da hilft in Firmen nur konsequentes austauschen!
OSI Layer 8 Problem ;)
Solange 2FA als "Gängelung" empfunden wird und Leute (allen Ernstes) ihre 2FA phishen lassen (selbst wenn sie es bereits nutzen)…
Da sage ich nur eines:
Manche müssen zurückgelassen werden, das ist *hier der Fall*.
Im strikten Bezug auf willige Opfer außerhalb dieser Seite und deren Nutzer.
Das Hauptproblem wird aber nicht mal die nicht Verwendung von 2FA sein, sofern generell unsichere, häufig verwendete Passwörter und fehlende Routine. Ich würde mal grob ins Blaue schätzen, dass >95% der Bevölkerung nicht für jede (problematische) Anmeldung ein separates Passwort haben.
Vermutlich gibt es dazu nicht mal Untersuchungen.
2FA wird halt leider oft benutzt um das "Problem" zu lösen, obwohl es am Grundproblem total vorbei geht. Ich habe noch nie irgendeinen Dienst gesehen, der wirklich die Kunden/Nutzer irgendwas in Bezug auf Passwortverwaltung beibringt. Müsste eigentlich auch Thema in der Schule sein…
Komisch wie man beim lesen von Rainers Beitrag zu dem Schluss kommt. Mir fällt auf Borncity zunehmend auf Leute antworten auf Kommentare ohne sie richtig zu lesen.
Unsinn. Ja, man kann Benutzername und Passwort klauen. Den zweiten Faktor, der zeitabhängig dynamisch erzeugt wird, z.B. mit Authentikator-App, RSA-Tocken, Yubikey, … kann man aber nichtklauen, ohne dass ihn jemand vermisst.
Die Realität sieht aber anders aus!
In den allermeisten Firmen gibt es keine 2FA.
Schon die Eingabe eines Passworts empfinden die meisten Leute als lästig.
Im privaten Umfeld ist es sogar so, das sehr oft selbst die Passwortabfrage abgeschaltet wird.
Das dürfte auch in vielen kleinen Firmen der Fall sein.
Und da stimmt schon der Spruch, das der Fehler zwischen Stuhl und Tastatur sitzt.
Man in the Middle Schadware? reicht den Bestätigungscode einfach durch…2FA nützt dir nix wenn der Übertragungsweg bereits durch Malware kompromitiert ist.
Was nützt dir dein Yubikey wenn du damit die falsche Überweisung bestätigst? Nix, absolut Nada.
hehe, kommt ja noch besser Lucifer
"…2FA nützt dir nix wenn der Übertragungsweg…"…der GLEICHE sein MUSS.
Ihr Smartphone und Ihr Notebook/Tablet/etc müssen im gleichen WLAN sein, damit Sie den RFID Chip mit dem Smartphone einlesen können…..
"BUND.id – AusweissApp2",…. da fällt mir nix mehr zu ein, wer sich das nur ausgedacht hat.
/Ergänzung/
und ja ne Hardware Token/Key vermisst man wenn der geklaut wird, vollkommen richtig, die Frage ist nur wann du das bemerkst und was für ein Schaden bis dahin bereits angerichtet wurde!
Ich habe deine Zugangsdaten und klau dir deinen Yubikey, dann nutzt ich den natürlich schnellstmöglich bevor du dies bemerkst und sperrst! Schaden genauso wie ohne.
2FA ist kein göttliches Allheilmittel! Layer8 Fehler stoppst du damit nicht.
Der gängigste Layer8-Fehler ist, das der Authentikator auf dem gleichen Gerät läuft.
Beispielsweise Bankingsoftware auf dem Smartphone und Authentikator auf dem gleichen Smartphpone.
Da ist dann Man in the Middle-Angriffen Tür und Tor geöffnet.
Aber das wird eher schlimmer, siehe Gen-Z.
Eine aktuelle Umfrage aus GB sagt, das 21% der Gen-Z für das simple Auswechseln einer Glühbirne einen Handwerker rufen!
Wenn denen schon das Auswechseln einer Glühbirne zu schwer ist, was erwartet man dann von der Generation in Bezug auf IT?
Das mit der IT-Sicherheit wird eher schlimmer werden als besser.
Genau das (Banking App und Authenticator App) auf dem gleichen Smartphone wollte mir meine Bank als sicheres Onlinebanking verkaufen. Sie haben mich bis jetzt nicht nochmal gewagt zu fragen – meine Antwort war äußerst deutlich.
Sicher wäre ja HBCI mit einem Chipkartenleser mit Display – damit ich sehen kann was ich da per Chipkarte signiere. DAS wollten sie aber seinerzeit nicht bezahlen… Also gibts kein Homebanking.
Ich benutze einen separaten TAN-Generator.
Der lässt sich nicht hacken, da er komplett offline funktioniert.
hängt davon ab Froschkönig,
2FA mit Authentikator ist nicht brauchbar wenn du 50 tokens brauchst, weile jede Website plötzlich 2FA ausrollt (teils MUSS), gerade im Business überhaupt nicht brauchbar. Stell dir nur 1 Plattform vor, wo du mit 20 Leuten drauf musst, schon mal 20x 2FA, und was machst du nun bei 50 Plattformen / Online Shops für diverse Lieferanten… da bist du schnell in Bereichen, was überhaupt nicht mehr verwaltbar ist, geschweige denn benutzerfreundlich ist.
Nitrokey + Pin und passendes IDM dahinter, dann wird es erträglich, aber es kommen neue Herausforderungen und das ganze Paket rollt man nicht mal eben in 5 Minuten aus.
> 2FA mit Authentikator ist nicht brauchbar wenn du 50 tokens brauchst, weile jede Website plötzlich 2FA ausrollt (teils MUSS), gerade im Business
Falsch! Die 50 Tokens kannst Du bequem im Passwortmanager (z.B. Keepass XC) verwalten. Und zwar lokal in Deiner eigenen Entität. Machen meine Kunden seit Jahren denn wer ist denn so blöde und verteilt Smartphones mit Authenticator Apps an alle und kann sich dann regelmäßig mit verlorenen, kaputten Geräten und munterem Neuanfordern beschäftigen? Machen bestimmt Windows-Admins!
> Nitrokey + Pin und passendes IDM dahinter,
Du willst doch nicht die Versager von Nitrokey hier empfehlen?
Hier für Dich zum Einordenen:
https://blog.fefe.de/?ts=9ab5724e
Was hat der Windows Admin mit den Smartphone Geräten am Hut ?
Laufen die Smartphones nur unter einer managed Windows Umgebung richtig, oder brauchen wir auch dort dein Linux Voodoo ?
@Luzifer
Entlassen gehören die IT-Administratoren der Opfer, denn diese waren offensichtlich zu überfordert oder unkundig, moderne phishinresistente passwortlose Authentifizierungsverfahren zu implementieren. Demzufolge tragen sie Mitschuld an den erfolgten Kompromittierungen.
Ihre an technisch unbedarfte Anwender gerichtete Schuldzuweisung lässt vermuten, Sie zählen zu der erwähnten Kategorie.
Ich halte das auch nicht für sicher, solange kein zweiter Weg mit einem zweiten Gerät involviert ist:
Bankingprogramm/Webseite auf dem PC, die Bestätigung einer angestoßenen Transaktion wird übers Handy gemacht – komplett anders Gerät, komplett anderer Weg.
Wenn der Passwortmanager auf dem gleichen Gerät wie das Banking läuft, erschwert es den Angriff, aber nicht so sehr dass man es wirklich als 'sicher' kennzeichnen kann.
Was Max Mustermann für sicher und unsicher hält beim Einloggen in das Sparkassenkonto ist irrelevant. Wichtiger sind die Bewertungen der Experten, die mit den technischen Fakten der Protokolle vertraut sind und relevanten Unternehmen die Verwendung phishingresistenter Authentifizierungemethoden empfehlen.
Da stimme ich dir zu, aber gar nicht erst bei nicht oder ungenügender Implementierung von 2FA, sondern weil Phishing Mails überhaupt erst bis zum Endanwender durchgekommen sind… muss nicht sein!
Ändert jedoch nix daran das der User mitzudenken hat! Nütz dir nämlich auch nix wenn der seinen superduber Sicherheitstoken auf der Phishingseite nutzt!
Wie gesagt wenn der die falsche(gefakte) Überweisung damit freigibt… hast du den Schaden genauso wie ohne.
Three Strikes und du bist raus, egal ob ITler oder Enduser ;-P
Deine verzweifelt zusammengetippten Beispiele beweisen, dass du keine Ahnung hast, was phishingresistente Verfahrne sind und wie sie technisch funktionieren. Du bis kein Admin eines Großunternehmens, du bist Max Mustermann mit eingeschränkter Erfahrung und Inselblick, dessen größte Angst sein Sparkassen-Konto ist.
V. Sommer: "… Ohne eine intelligente Analyse des Nutzerverhaltens hat man kaum eine Chance, diesen Kriminellen schnell auf die Schliche zu kommen…"
Beim Zugriff auf die ePA wird nur die Institution und nicht der Mitarbeiter gespeichert. Also, "who cares" ;-)
Warum können die Cyberkriminellen sich denn überhaupt aus der Ferne einloggen?
Da haben doch die Admins die IT nicht im Griff!
Im AD kann man bei jedem Benutzerkonto definieren, von wo aus der Benutzer sich einloggen darf.
Da kann man auch konkrete PCs angeben oder Gruppen von PCs angeben.
Da kann man z.B. PCs nach Abteilung gruppieren.
Dann kann sich z.B. ein Mitarbeiter einer Abteilung nicht an PCs einer anderen Abteilung anmelden.
Und bei kritischen Bereichen, wie z.B. Buchhaltung und Lohnbuchhaltung sollte man das auch netzwerkmäßig durch VLANs o.Ä. separieren.
Ein Einloggen von außerhalb der Domäne sollte man generell ausschließen.
etc. etc.
Nicht immer aber sind die Admins Schuld.
Oft bekommen die auch Vorgaben von den Vorgesetzten, die sie daran hindern, solche Lücken zu schließen und die Vorgesetzten sind dann beratungsresistent: "Uns wird schon nichts passieren, wer sollte etwas von uns wollen?" etc. etc.).
Was Du sagst ist korrekt, wirst Du aber in den meisten Firmen nicht finden. Verschärfend kommt hinzu, dass viele ihre alte On-Premise Architektur, welche hinter der Firewall noch einigermaßen separiert war, in die Cloud geschoben haben.
Plötzlich gibt es viele Punkte an denen die zuvor internen Zugangsdaten auch von extern verwendet werden können. Über zusätzliche Absicherungen wie 2FA haben sich die wenigsten Gedanken gemacht. Kann man meiner Meinung nach auch sehr gut an der Zwangseinführung von 2FA für M365 sehen. Das hätte eigentlich Standard sein müssen.
Wir haben gerade ein Server-Migrationsprojekt und mach jetzt viele Dinge anders als vor sieben Jahren, gerade was die Segmentierung von Netzen in VLANs angeht. Aber, auch wir haben genug schmuddelige Ecken an denen man besser werden kann. Manche dieser Dinge schafft man personell einfach nicht mal eben im laufenden Betrieb mit anzupassen. Diese zieht man dann im Rahmen anderer Anpassungen oder Migrationen mit auf einen besseren Stand. Ich glaube die verantwortlichen ITler wissen um Ihre eigenen Baustellen. Am Ende muss es personell und finanziell aber auch mit den Budgets in Deckung gebracht werden. Auch sollte man nicht vergessen, das der erforderliche Level an IT-Security in den letzten Jahren steil gestiegen ist und dies absehbar auch weiter tun wird. Das Betreiben von IT ist eine Dauerbaustelle, ein "fertig" gibt es nicht.
>Warum können die Cyberkriminellen sich denn überhaupt aus der Ferne einloggen?
>
Könnten sie bei uns (Bank) nicht. Wir haben USB-Token mit PIN auf denen die Client-Certs des jeweiligen VPN-Nutzers liegen. Man müsste den Laptop verlieren, entsperrt bekommen (Bitlocker), die PIN und das Dongle haben und dann die Logons für SAP und Co. kennen.
Passwörter werden generiert und sind *NICHT* frei wählbar. Ab und an werden die frei zugänglichen Büros auf Post-Its unter Mauspads und Co. gefilzt. Wer Passwörter aufschreibt bekommt eine Schulung.
Seit dem gab es in 7 Jahren *keinen* meldepflichtigen Vorfall mehr. Methode mit der Eisenfaust regieren geht halt.
Vermutlich habt ihr eine eigene Abteilung die nur für das Passwort zurücksetzen zuständig ist, weil Anwender ihres vergessen haben?
… weil die Zugangspunkt ins AD über O365, Citrix Webportale etc und andere Techniken erfolgen.
es sind keine Onpremise Angriffe .
deine Lösung ist also nur marginal sicherer, das der Zugriff stattfindet, bevor dein Regelwerk greift.
das haben sich die Kunden so gewünscht. #achselzucken #isso
Dieses Varonis ist sehr interessant. Das ist so eine Art SIEM mit KI, das auch automatische Reaktionen auf Vorfälle und auch automatisierte Härtungsmaßnahmen unterstützt. Das System zieht Daten aus allen möglichen Plattformen zusammen, also AD, diversen Windows-Rollen wie Fileserver, Sharepoint(-Online), Entra-ID/M365, Google-Cloud, AWS, Antivirus, diversen Appliances und Dienste namhafter Hersteller aus dem Bereich Storage, Firewall, VPN, Proxy, DNS, usw., Jira & Confluence habe ich auf der Supportliste auch gesehen, es macht sogar eine Klassifizierung der Daten (Vertraulichkeit, persönliche Daten, usw.), weiß wer wann wo wie auf was zugegriffen hat – und wo noch nicht obwohl er es könnte – und welche Berechtigungen hat. Das heißt man kann einzelne User oder Ressourcen mit einfachen Abfragen kreuz und quer über die gesamte Infrastruktur verfolgen, man kann Rechte entziehen wenn berechtigte Ressourcen nicht verwendet werden (Least Privilige Prinzip). Man braucht nicht mehr zig Spezialisten und Consultants für alle möglichen eingesetzten Plattformen sondern hat die komplette Forensik in einer Konsole. Sehr spannend. Das scheint viel allumfassender zu sein, als wie so traditionelle und teils auf bestimmte Bereiche spezialisierte SIEM wie Splunk, Arcsite, Rapid7, Wazuh, QRadar, usw. – und selbst damit ist es koppelbar, außerdem sind da AD-Audit-Funktionen wie sie z.B. Netwrix, Manageengine, Solarwinds usw. anbieten auch mit integriert. Und dabei ist es modular, man lizenziert also nur die Funktionen, die man braucht (bzw. sich leisten kann/will – das ist bestimmt teuer). Aber Varonis ist kaum bekannt, sozusagen ein Hidden-Player, der seltsamerweise außer in IT-Business-News-Seiten kaum irgendwo auftritt, z.B. weder hier noch bei Heise, Golem, Winfuture usw. findet man was über dieses Produkt. Wer eine größere IT-Umgebung hat und ständig Attacken ausgesetzt ist, Insiderangriffe (DLP) fürchtet, Millionen sensible Kundendaten verwaltet usw., sollte sich das mal ansehen. Das dürfte eigentlich gerade Banken, Versicherungen, Telekomunikationsfirmen, größere Hersteller, Handelsplattformen, Distributoren, größere Einzelhandelsketten usw. sehr interessieren, wenn die es nicht sogar schon einsetzen.
Da hast du aber ganz schnell den Betriebsrat oder Personalrat am Hals. Und alles schreit "Überwachungsstaat"! Das Personal so kleinteilig zu loggen geht bei uns nicht.
Man muss da sicher mit dem Betriebsrat reden, klar, aber die Daten sind ja doch schon da, sie sind nur nicht zentral zusammen geführt. Und man darf diese Sachen nicht breit zugänglich machen, sondern auf bestimmte Personen beschränken und den Zweck genau abgrenzen. Dann wird das sicher auch vom Betriebsrat aktzeptiert. Auch ohne so eine Software ist das alles möglich, nur viel mühsamer. Ich habe mir nach Spaziergang heute auf Youtube noch ein paar Videos angesehen, wo das Produkt näher gezeigt wird und ich glaube, dass es so einsetzbar ist, dass es keine Totalüberwachung ist. Den größten Frosch, den man schlucken muss, ist dass das Tool inzwischen in der Cloud läuft, aber das tun die meisten anderen Security-Tools ja inzwischen auch. Was Varonis von Antivius usw. unterscheidet, dass V. keine Endpoint-Protection ist, das heißt, es hat zwar diverse Sensoren auf neuralgischen Servern (DCs, Fileserver, Sharepoint, Zusammenführung von Syslog-Quellen usw.), aber es bekommt trotzdem nicht jeden Tastendruck mit, den ein Benutzer so macht. Wenn ich in die Online-Konsole mancher Antiviren rein schaue, sehe ich da viel mehr persönliches von den Workstations.
Ein Problem, was ich sehe, ist das Szenario Schatten-IT in der Cloud. Wir haben bei uns eine strikte Anweisung, dass vertrauliche Daten, persönliche Daten, also z.B. alles was DSGO betrifft, nicht in der Cloud gespeichert werden darf, sondern nur auf lokalen Servern. Aber wie prüft man das, wie verhindert man das? In naher Zukunft wird man nicht wissen, was die Mitarbeiter alles gegenüber Copilot preisgeben, was sie über Teams mit Externen teilen, usw. Programm/Script-Code-Entwicklung per KI, was da schon an vertraulichen Informationen über interne Strukturen drin stecken kann. Irgendwo habe ich gelesen, dass Mitarbeiter in einem Unternehmen über Copilot an Unternehmensdaten aus anderen Abteilungen dran kamen, wo sie eigentlich keinen Zugriff haben sollen. Ich kann mir vorstellen, dass so eine Software wie das hier solche Lücken finden und schließen kann. Oder man denke an die M365 Hacks vor 1 Jahr, die sogar MS selbst betrafen, vielleicht kann man sowas mit so einer Lösung einfach erkennen.
Wir hatten schonmal einen Audit, bei dem uns die Aufgabe gestellt wurde, einen vermuteten Datendiebstahl zu prüfen,. Startszenario war, dass wir einen Syslog-Eintrag vom Proxy bekommen haben, dass ein Serviceaccount unerlaubterweise in der Lage war, ein 50GB Datenpaket über den Proxy auf eine externe Seite hochzugeladen. Wir mussten rausbekommen, wer den Serviceaccount berechtigt hat, wie derjenige an diese Rechte kam dass er das tun konnte, was das für Daten waren, und wie er da dran gekommen ist. Wir haben über 2 Wochen gebraucht, um einigermaßen dahinter zu kommen und alles lückenlos nachweisen konnten wir nicht, manches war nur Vermutung. Nach Ansicht dieser Varonis-Videos bin ich davon überzeugt, damit wäre das innerhalb eines halben Arbeitstages erledigt gewesen.
"Den größten Frosch, den man schlucken muss, ist dass das Tool inzwischen in der Cloud läuft, aber das tun die meisten anderen Security-Tools ja inzwischen auch."
Genau da liegt das große Problem, bei dem was die alles so sammeln, damit werden genau solche Anbieter zum Target No. UNO, denn wenn Sie dort ein Loch finden, trifft es….. etliche… ich sag nur CrowdStrike, das sollte ein schöne Warnbeispiel dafür gewesen sein, genau sowas NICHT einzusetzen, und ja… ich weiß das es an Alternativen (all-in-one) mangelt.
Crowdstrike war ein anderes Problem, da wurde nicht deren Cloudmanagement gehackt, sondern Crowdstrike hat durch fehlerhafte Updates die zu schützenden Systeme lahmgelegt. Aber ja, so einen Cloud-Umgebung einer Security-Software sollte bloß nicht gehackt werden können. Die werden sicher alle mit 2FA abgesichert werden sein. Aber so eine Lösung hat auch ihre Vorteile, du musst dich nicht mehr um die Funktion der Monitoring-Umgebung kümmern, der Hersteller hält es am Laufen, versorgt es mit Updates und kann sogar MDR anbieten, also selbst in die Umgebung reinschauen und dich jederzeit bei Vorfällen unterstützen. Das alles setzt natürlich viel Vertrauen in den Hersteller vorraus.
Liest sich fast wie ein Werbetext, aber weißt du was ich viel schlimmer finde….
dafür das die SOVIEL können, und etliche Compliance erfüllen, haben die NICHT MAL ne simple security.txt (RFC 9116), welche mittlerweile sogar schon in etlichen technischen Richtlinien beim BSI eingeflossen ist….
Das erschüttert mich auf den ersten Blick schon wieder…., und das obwohl es passenden Inhalt auf der Seite zu finden gibt und Sie demnach mit dem Thema vertraut sind, was man auch erwarten würde.
Ich finde gerade moderne Authentifizierung wie die Entra Id machen es für den Anwender schwieriger einen Pishingversuch zu erkennen. Früher hat man in einer Anwendung mit dem jeweiligen Passwort eingeloggt, aber das ist alles "einfacher" geworden.
Wenn es sich Teams einbildet, dann kommt ein Popup Fenster in dem nach dem Account/Passwort + anschließender 2FA Abfrage kommt. Die Abfrage erfolgt aber nicht im Teamsfenster selbst, sondern ist ein Popup außerhalb. Das selbe gilt für Outlook und alle möglichen MS Software. Es ist für den Anwender nicht immer nachvollziehbar wann solche Abfragen kommen. (Wann ein Token abgelaufen ist, sich etwas unter der Haube geändert hat)
Wenn jetzt noch eigenentwickelte Anwendungen (zB MSGraphClient) die Entra Id verwenden, gibt es noch mehr Komponenten die nach einem Login fragen. Manchmal vielleicht sogar aus Services heraus.
Der Anwender wird also darauf erzogen, Popups von MS zu beantworten, auch wenn er eigentlich nicht gerade etwas spezifisches getan hat.
Wie soll der Anwender bitte unterscheiden, ob das Popup jetzt von MS ist, oder von einer anderen Anwendung, vielleicht sogar dem Browser kommt.
Ich weiß es gibt da das eine oder andere Detail, aber mit der Zeit hinterfragt niemand solche Details mehr – wenn er schon öfters aus Teams herausgefallen ist.
Ich finde es daher extremst gefährlich, was MS hier macht, indem es Popups sendet die nicht eindeutig als von MS erkennbar sind….
Hacken nicht, sondern loggen sich ein? Also sind die meisten User "böse"? Die loggen sich doch auch "nur" ein ;-)
Mir tun die Versicherten mit ePA leid. Aber ich seh es positiv: Nur durch Schmerz erst scheinen die meisten zu lernen.
Nö, die Mehrheit sagt "Ich habe nichts zu verbergen…..".
Das höre ich jedenfalls sehr sehr oft im privaten Umfeld, wenn ich auf Sicherheitsprobleme hinweise.
Je jünger die Personen, desto öfter kommt der Spruch.
Prioritäten:
1. Bequemlichkeit
2. Bequemlichkeit
3. Bequemlichkeit
4. Bequemlichkeit
5. Bequemlichkeit
6. Bequemlichkeit
7. Bequemlichkeit
8. Was machen meine Freunde?
9. Was machen meine Freunde?
10. Sicherheit
Muss noch meinen "Senf"dazugeben:
Onlinebanking eh nur mit 2FA,dann TAN-Generator der Hausbank,und nur am
Hauptrechner zu Hause!!!.Auswärts nur im äussersten Fall.Da wird mir im Urlaub
schon übel,wenn ich übers Hotel-WLAN einloggen müsste.
Sonstige Websites wo 2FA:Mit Generator-App auf dem Smartphone.
Sämtliche Passwörter im sensiblen Bereich werden spätestens 1/2 jährlich geändert!
Die Passwörter werden nirgends gespeichert,sondern sind in einem DIN A5-Ordner im
Tresor.Handschriftlich,der Ordner ist ziemlich dick!!!
Dann Kunstwörter mit Zahlen,Sonderzeichen,Buchstaben wenn möglich mindestens 16
lang.(Geht aber manchmal bei Sites in dieser Länge nicht,auch so ein Sicherheitsfaktor!)
Ja es ist viel die Bequemlichkeit,und die Naivität der User.
Erkläre meine Bekannten öfters die Hintergründe zu obigen Thema,aber Desinteresse mit Überforderung ist eben so.EIN PASSWORT FÜR ALLES IST DAS NON PLUS ULTRA!!! (Spass)