Sicherheit für den Mailaccount bei Freemailern

    • Pokerboydd
      Pokerboydd
      Bronze
      Dabei seit: 03.05.2007 Beiträge: 1.813
      Da bei einem Bekannten der MailAccount jüngst gehackt wurde, möchte ich an dieser Stelle einen wie ich finde leicht umzusetzenden und sehr effektiven Tipp geben, die Sicherheit eures Mailaccounts zu erhöhen (neben einem Sicheren Passwort und der Verwendung verschlüsselter Verbindungen.)

      Mailaliase. Nahezu jeder Mailanbiter bietet sie an, zweit- oder drittmailadressen, bei web.de etwa der Form 'Hero@istcool.com'

      Sinn des ganzen? Verwendet Ihr die Standardmail, gebt Ihr damit auch die Benutzerkennung eures Mailaccount breitflächig bekannt. So ist bei 'hero@web.de' der Nutzername dann Hero, und wird zum einloggen verwendet.

      Das ist für einen Angreifer eine wertvolle Information, es ergeben sich für Ihn unter anderem zwei Szenarien:

      a) er kann via Bruteforce versuchen, an Eure mails zu kommen, den Benutzernamen kennt er ja schon

      b) Er klaut/kauft diverse Daten, zum Beispiel Nutzernamen, passwörter und Emailadresse von diversen Forenanbietern, Communities oder sonstigen Diensten. Nun kann er im großen Stil versuchen, sich mit den bekannten Passwörtern (entgegen aller Empfehlungen nutzen viele Leute überall das gleiche/ein ähnliches Passwort) und dem Nutzernamen aus der Mailadresse bei diversen Mailprovidern einzuloggen.

      Sinn der Aliase ist es also, Logininformationen für sich zu behalten. Dies ist nicht al alleiniger Schutz zu sehen, aber doch ein recht wirkungsvolles Mittel, den Sicherheitsgrad zu erhöhen.
  • 5 Antworten
    • Sunto0706
      Sunto0706
      Global
      Dabei seit: 16.04.2005 Beiträge: 440
      Original von Pokerboydd
      Da bei einem Bekannten der MailAccount jüngst gehackt wurde, möchte ich an dieser Stelle einen wie ich finde leicht umzusetzenden und sehr effektiven Tipp geben, die Sicherheit eures Mailaccounts zu erhöhen (neben einem Sicheren Passwort und der Verwendung verschlüsselter Verbindungen.)

      Mailaliase. Nahezu jeder Mailanbiter bietet sie an, zweit- oder drittmailadressen, bei web.de etwa der Form 'Hero@istcool.com'

      Sinn des ganzen? Verwendet Ihr die Standardmail, gebt Ihr damit auch die Benutzerkennung eures Mailaccount breitflächig bekannt. So ist bei 'hero@web.de' der Nutzername dann Hero, und wird zum einloggen verwendet.

      Das ist für einen Angreifer eine wertvolle Information, es ergeben sich für Ihn unter anderem zwei Szenarien:

      a) er kann via Bruteforce versuchen, an Eure mails zu kommen, den Benutzernamen kennt er ja schon

      b) Er klaut/kauft diverse Daten, zum Beispiel Nutzernamen, passwörter und Emailadresse von diversen Forenanbietern, Communities oder sonstigen Diensten. Nun kann er im großen Stil versuchen, sich mit den bekannten Passwörtern (entgegen aller Empfehlungen nutzen viele Leute überall das gleiche/ein ähnliches Passwort) und dem Nutzernamen aus der Mailadresse bei diversen Mailprovidern einzuloggen.

      Sinn der Aliase ist es also, Logininformationen für sich zu behalten. Dies ist nicht al alleiniger Schutz zu sehen, aber doch ein recht wirkungsvolles Mittel, den Sicherheitsgrad zu erhöhen.
      tzz tzz...ohne Worte

      Die Angriffe erfolgen i.d.R. nicht auf die Server der Freemail-Anbieter sondern, PW´s werden über den Browser
      z.B. via "Cross-Site-Scripting" und/oder Cross-Frame-Scripting" ausgelesen
      Ebenso recht "einfach" sind "Shatter-Attacks" auf Vista.

      Brutefocen auf Freemail Accounts funktioniert nicht, da die Seite/Server nach n-Versuchen dicht macht
      und das sind i.d.R. zu wenige bots.



      WARNING @all: Dies ist keine Sicherheit- bzw. ein Sicherheitsgewinn !!!
    • zmartinz
      zmartinz
      Bronze
      Dabei seit: 03.06.2007 Beiträge: 626
      hushmail.com ist ganz gut
    • Pokerboydd
      Pokerboydd
      Bronze
      Dabei seit: 03.05.2007 Beiträge: 1.813
      Original von Sunto0706

      tzz tzz...ohne Worte

      Die Angriffe erfolgen i.d.R. nicht auf die Server der Freemail-Anbieter sondern, PW´s werden über den Browser
      z.B. via "Cross-Site-Scripting" und/oder Cross-Frame-Scripting" ausgelesen
      Ebenso recht "einfach" sind "Shatter-Attacks" auf Vista.

      Brutefocen auf Freemail Accounts funktioniert nicht, da die Seite/Server nach n-Versuchen dicht macht
      und das sind i.d.R. zu wenige bots.


      WARNING @all: Dies ist keine Sicherheit- bzw. ein Sicherheitsgewinn !!!
      Dann erleuchte mich doch mal, wann gab es den letzten XSS Exploit bei einem der großen Fremailanbieter?

      Wie stellst du dir prinzipiell eine Shatter-Attack auf einen Client vor, der nur Ihm bekannte und vertrauenswürdige Sites ansurft und keine heruntergeladenen Anwendungen ausführt?

      ...aber eig. will ich gerade mit dir eine solche Diskussion nicht führen.
    • Sunto0706
      Sunto0706
      Global
      Dabei seit: 16.04.2005 Beiträge: 440
      Original von Pokerboydd
      ...aber eig. will ich gerade mit dir eine solche Diskussion nicht führen.
      Das solltest Du auch nicht
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970