Passwortvorschläge von Apple...

R

robzen83

Aktives Mitglied
Thread Starter
Dabei seit
12.09.2019
Beiträge
173
Reaktionspunkte
57
Moin,

nachdem ich in meinem Schlüsselbund gelesen habe, dass es sein kann dass meine Passwörter einem Datenleck zum Opfer gefallen sind, habe ich sämtliche Accounts geändert und die Passwörter umgestellt auf die Vorschläge durch Apple.

Macht ihr das auch so?

Ein Gedanke spukt mir aber irgendwie im Kopf rum. Was muss ich tun falls meine E-Mail Adresse (mit er ich mich anmelde) mal gehackt oder gelöscht wird und ich dann die Passwörter nicht zurücksetzen kann (falls ich nicht auf das Schlüsselbund zugreifen sollte), da die Rücksetzung an mein Emailpostfach nicht zugestellt werden kann.
 
Das Thema Email Konten Schutz sollte den gleichen Stellenwert haben wie z.B. Online Banking etc!
Solltest du die unten aufgeführten Vorschläge beherzigen, ist es eher unwahrscheinlich, dass jemand dein
Email Konto komprtomitiert! Natürlich sollte man auch bedenken, dass es keinen 100% Schutz gibt!

- Sprich Finger weg von solchen YPS Anbietern wie web.de und gmx.de
- Eigene Domain anmelden mit eigener Email Struktur
- Oder sowas wie tuta, mailbox, protonmail etc verwenden
- IMMER 2FA aktivieren (nicht nur bei Mail, sondern natürlich überall wo es geht)
- NIEMALS das selbe PW für mehrere Dienste verwenden (siehe Credential Stuffing)
- Finger weg von SMS Tokens, falls möglich lieber eine AUTH App verwenden
- Passwort Manager verwenden
- Wenn der Anbieter 16, 32 etc. Zeichen für ein PW anbietet, dann diese Länge voll ausschöpfen
- Sensible Mails wie Passwortänderungs Bestätigungen usw. aus dem Postfach löschen
- Evtl. eine Backup Mail hinterlegen, falls das angeboten wird

Zum Thema Schlüsselbund Alert "PW Datenleck erkannt"
Hast du da einen Screenshot? Hab sowas noch nie gehen tbh
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: robzen83, BEASTIEPENDENT, Nevikov und 2 andere
robzen83 schrieb:
Macht ihr das auch so?
Zum Vergrößern anklicken....

ich ja.

robzen83 schrieb:
Ein Gedanke spukt mir aber irgendwie im Kopf rum. Was muss ich tun falls meine E-Mail Adresse (mit er ich mich anmelde) mal gehackt oder gelöscht wird und ich dann die Passwörter nicht zurücksetzen kann (falls ich nicht auf das Schlüsselbund zugreifen sollte), da die Rücksetzung an mein Emailpostfach nicht zugestellt werden kann.
Zum Vergrößern anklicken....

Das hast du richtig erkannt.

Durch diese gut gemeinte Möglichkeit eines Passwort-Resets, weil viele unbedarfte User keinen Passowrtmanager nutzen, wird das Mail-Postfach der wichtigste Account schlechthin. Das hast du vollkommen richtig erkannt.

Da nun aber leider diese unglückliche "Passwort-Reset via Mail" Funktion existiert, musst du versuchen, deine Accounts anderweitig als mit Passwörtern abzusichern. Leider geht auch das in vielen Fällen nicht, da die gleichen user, die diese Passwort-Reset-funktion wollen auch keine Ahnung von 2-Faktor-Authentifizierung oder Passkeys haben. Ergo bieten es die meisten Accounts auch nicht an, 2FA oder Passkeys zu nutzen.

Im Grunde hat dir also @Cassiuzz alles wesentliche geschrieben.

Ich würde versuchen, alles soweit als mögliche auf 2FA umzustellen. 2FA ist in macOS / iOS gut integriert. Da brauchst du keine separate App.

Besser noch wäre Passkey. Aber das bieten leider so gut wie noch keine Dienste an.
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und rs254
Cassiuzz schrieb:
Das Thema Email Konten Schutz sollte den gleichen Stellenwert haben wie z.B. Online Banking etc!
Solltest du die unten aufgeführten Vorschläge beherzigen, ist es eher unwahrscheinlich, dass jemand dein
Email Konto komprtomitiert! Natürlich sollte man auch bedenken, dass es keinen 100% Schutz gibt!

- Sprich Finger weg von solchen YPS Anbietern wie web.de und gmx.de
- Eigene Domain anmelden mit eigener Email Struktur
- Oder sowas wie tuta, mailbox, protonmail etc verwenden
- IMMER 2FA aktivieren (nicht nur bei Mail, sondern natürlich überall wo es geht)
- NIEMALS das selbe PW für mehrere Dienste verwenden (siehe Credential Stuffing)
- Finger weg von SMS Tokens, falls möglich lieber eine AUTH App verwenden
- Passwort Manager verwenden
- Wenn der Anbieter 16, 32 etc. Zeichen für ein PW anbietet, dann diese Länge voll ausschöpfen
- Sensible Mails wie Passwortänderungs Bestätigungen usw. aus dem Postfach löschen
- Evtl. eine Backup Mail hinterlegen, falls das angeboten wird

Zum Thema Schlüsselbund Alert "PW Datenleck erkannt"
Hast du da einen Screenshot? Hab sowas noch nie gehen tbh
Zum Vergrößern anklicken....
Nein habe leider keinen Screenshot gemacht und habe nun schon alle PW geändert. Es fiel mir aber im Safari-Browser auf. Als ich den geöffnet habe, gab es von Safari auf der Startseite gleich den Hinweis, in dem Fenster wo auch sonst steht, was und wieviel alles geblockt wurde.
 
Könnt ihr eine gute Aut App empfehlen? Wenn ich schon Microsoft oder Google lese, die das anbieten, bekomme ich leichte Bauchschmerzen.
 
  • Gefällt mir
Reaktionen: alinora
robzen83 schrieb:
Könnt ihr eine gute Aut App empfehlen? Wenn ich schon Microsoft oder Google lese, die das anbieten, bekomme ich leichte Bauchschmerzen.
Zum Vergrößern anklicken....
Warum? Denen vertraue ich eher als irgendwelchen NoName Apps.
Außerdem sind keine Konten oder Zugänge nötig.
Ich habe mehrere, da einige Anwendungen eine eigene App für den LogIn haben.
 
  • Gefällt mir
Reaktionen: robzen83
Bekommt man mittlerweile die Passwörter aus dem macOS-Schlüsselbund exportiert? Das war früher ein Negativpunkt für mich. Was ich ebenfalls nervig fand: neben den eigentlichen gespeicherten Secrets, sammeln sich über die Zeit unmengen an "sekundären", abgeleiteten Secrets an. Auf diese Weise war es schwer die Übersicht über die wirklich wichtigen "primären" Secrets zu behalten. Oh, und man könnte keine Dateien ablegen (z.B. Lizenzfiles, SSH-Keys usw.).

Keepass ist eigentlich immer empfehlenswert, im Speziellen KeepassXC oder gar Strongbox (besser ins System integriert).
 
robzen83 schrieb:
Könnt ihr eine gute Aut App empfehlen? Wenn ich schon Microsoft oder Google lese, die das anbieten, bekomme ich leichte Bauchschmerzen.
Zum Vergrößern anklicken....

ist in macOS und in iOS integriert. du brauchst keine separate App

Gehe einfach in den Systemeinstellungen - Passwörter bei einem Passort auf das i-Sysbol. Dort kannst du dann alles weitere einstellen. Bei der PW-Eingabe wird dann automatisch das OTP angezeigt.
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und lanos
Ansonsten gibt es zahlreiche bekannte PW Manager am Markt: 1Password, Bitwarden, Enpass um mal ein paar zu nennen.
Suche den raus, der dir am besten zusagt, wenn du Apples Schlüsselbund nicht möchtest.

Bitwarden bietet übrigens auch eine kostenlose Version zum Selfhosting an, wenn du einen kleinen Server oder nen NAS hast kannst du das da selber hosten.
 
robzen83 schrieb:
Moin,

nachdem ich in meinem Schlüsselbund gelesen habe, dass es sein kann dass meine Passwörter einem Datenleck zum Opfer gefallen sind, habe ich sämtliche Accounts geändert und die Passwörter umgestellt auf die Vorschläge durch Apple.

Macht ihr das auch so?

Ein Gedanke spukt mir aber irgendwie im Kopf rum. Was muss ich tun falls meine E-Mail Adresse (mit er ich mich anmelde) mal gehackt oder gelöscht wird und ich dann die Passwörter nicht zurücksetzen kann (falls ich nicht auf das Schlüsselbund zugreifen sollte), da die Rücksetzung an mein Emailpostfach nicht zugestellt werden kann.
Zum Vergrößern anklicken....

Alles Wichtige wurde ja schon gesagt.
Ich lege Dir besonders @lisanet s Äußerungen ans Herz.

Das wichtigste ist zuerst ein gut abgesichertes E-Mail Postfach, da von einem gekaperten Postfach die größte Gefahr ausgeht.
Speziell dabei würde ich immer 2FA oder Passkey aktivieren.

Im Gegensatz zu @Cassiuzz halte ich GMX und Web für gut geeignet, da sie einen guten Spamfilter und 2FA anbieten.

Mir fehlt die Kreativität für sichere lange Passwörter, deshalb nutze ich Passwortmanager um diese zu generieren und zu speichern.
Ich komme mit dem Schlüsselbund von Apple sehr gut klar, andere bevorzugen andere Lösungen die man dann auch unter
Android oder Windows nutzen kann.

Die Angabe dass Passwörter von Dir einem Datenleck zum Opfer gefallen sind, würde ich nicht überbewerten.
Es sind halt nur in großen Datenbanken Passwörter gefunden worden, die Du auch nutzt. Vermutlich waren die
einfach zu simpel.
 
  • Gefällt mir
Reaktionen: picknicker1971
agrajag schrieb:
Bekommt man mittlerweile die Passwörter aus dem macOS-Schlüsselbund exportiert?
Zum Vergrößern anklicken....
Yup, ich weiß nicht ob dies mit macOS 13 eingeführt wurde aber in macOS 14 kann man Passwörter exportieren. Ich bin aktuell noch zwischen iCloud Keychain und Strongbox hin und her gerissen.
 
  • Gefällt mir
Reaktionen: agrajag
tbo schrieb:
Yup, ich weiß nicht ob dies mit macOS 13 eingeführt wurde aber in macOS 14 kann man Passwörter exportieren. Ich bin aktuell noch zwischen iCloud Keychain und Strongbox hin und her gerissen.
Zum Vergrößern anklicken....

ähh... sicher?

Sonoma: man kann nur Webseiten-Passwörter über Systemeinstellungen - Passwörter exportieren. Ein Export aus dem Schlüsselbund dagegen geht nicht, insbesondere geht kein Export von App-Passwörtern, Mail-Accounts u.dgl.

Oder übersehe ich was?
 
Inwieweit unterscheiden sich Systemeinstellungen > Passwörter von der Keychain. Auch hinsichtlich der iCloud Keychain.

(Ersteres hab ich nie genutzt und letzeres schon gut 10? Jahre nicht mehr.)
 
Hotze schrieb:
Warum? Denen vertraue ich eher als irgendwelchen NoName Apps.
Zum Vergrößern anklicken....
Kommt darauf an. Klar sollte es keine unbekannte App sein, die einem via Mail angeboten wurde als Spam oder so. Aber gerade bei Microsoft fällt es mir sehr schwer, denen zu vertrauen, nachdem sie fahrlässig mit private keys umgingen und somit chinesische Hacker Zugriff hatten:
https://www.faz.net/aktuell/technik-motor/wie-microsoft-einen-daten-gau-vertuscht-chinesische-hacker-in-der-cloud-19116033.html

Oder die Sache mit dem speichern der eigenen Anmeldedaten in Outlook in deren Cloud. Schwierig, finde ich. Warum großen Unternehmen also mehr vertrauen schenken und da mehr Rücksicht darauf haben? Jeder kleine Anbieter würde bei solchen Fällen doch direkt Insolvenz anmelden müssen.
 
  • Gefällt mir
Reaktionen: lulesi
@Nevikov nur leider stimmt in diesem Artikel echt nichts.
Die Angreifer hatten Zugriff auf die Cloud Infrastruktur von 11(?) Firmen. Was schlimm genug ist. Und das auch nur, weil Pest und Cholera zusammengekommen sind. Was auch schlimm genug ist.
Aber der Redakteur stellt es so dar, als sei die gesamte M365 Infrastruktur betroffen gewesen, was schlicht Quatsch ist.
Das ist auch der Grund, warum seriöse Dienste wie das BSI sich mit Aussagen da sehr zurückgehalten haben. Es geht hier um Fakten und nicht um FUD.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Hotze
Wenn ich Keychain Access aufrufe bekomme ich mittlerweile diese Meldung. Aber richtig, das Passwort für den genutzen E-Mail-Server findet sich in Keychain Access und nicht bei Passwords. Leider ist Keychain Access so unübersichtlich geworden.

Screenshot 2024-02-14 at 19.11.37.png
 
Es gibt solche Software auch von einem deutschen Hersteller: Safe+, Sync zwischen iOS und macOS lokal ohne Cloud.
Deutschsprachiger Support, meist in wenigen Stunden.
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und Punktown
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten