Ist man etwas vor Hackern geschützt, wenn man sich nie ausloggt und nie das PW selbst eingibt?
Hallo,
ist mein Mail-Account besser geschützt, wenn ich nie das PW selbst eingebe (da es zu komplex zum merken ist), sondern mich immer automatisch einlogge? Also so, dass das PW immer im Computer/Browser gespeichert ist?
Desweiteren logge ich mich nie aktiv aus, sondern schalte den Computer einfach ab (Klappe zu beim Laptop). Wie ist es hier? Also da man ja automatisch ausgeloggt wird, sollte das aus sicherheitsgründen doch keine grosse Sache sein?
8 Antworten
Passwörter sind am stärksten, wenn sie lang sind und aus irgendwelchen Buchstaben, Zahlen und Sonderzahlen bestehen.
Wenn du es kaum auswendig lernen kannst, dann ist es sicher genug.
Passwort speichern
Ich würde das Passwort auf dem PC speichern erst mal als Nachteil sehen.
Aber ganz wichtig: Passwörter sicher nutzen ist viel wichtiger. Deswegen sind Passwort Manager insgesamt ein großer Vorteil. Die Daten sollten allerdings möglichst mit einem Geheimnis, also etwa ein Masterpasswort, verschlüsselt werden.
Nicht ausloggen
Sehe ich eher unkritisch. Es ergibt Sinn ältere Sessions regelmäßig zu beenden, ich sehe da weder signifikantes Risiko (solange das Gerät mit einer lokalen Sperre versehen ist und dir gehört) noch einen großen Vorteil. Ob ein Angreifer das Passwort von deinem pc ausliest, eine langfristig gültige Sitzung übernimmt, oder das Passwort beim einloggen stiehlt, kommt mehr oder weniger aufs gleiche raus.
Letzteres könnte eventuell durch mehrere Faktoren beim einloggen wie ein mal Passwörter oder ein mal gültige Bestätigungen gelöst werden, wenn dieser Faktor irgendwie besser geschützt wäre als so ein Passwort.
Also laut den Antworten hier bekomme ich aber ein leicht anderes Feedback. Also es wird gesagt, man solle explizit NICHT eingeloggt bleiben, weil die Verbindung offen steht und Hacker die Cookies angreifen, oder nicht?
Ja.
Ich bin in deinem Beispiel davon ausgegangen, dass ein Angreifer genau so gut das Passwort unverschlüsselt aus dem Browser auslesen könnte, oder du dich regelmäßig einloggst und ein Angreifer das Passwort über einen Keylogger rausfinden könnte.
Deswegen habe ich in deinem Beispiel darin keinen großen Vorteil gesehen.
Wenn du Accounts durch zusätzliche Faktoren wie Einmalpasswörter über eine Handyapp oder einen Yubikey schützt, oder vielleicht den Account auch seltener nutzt, dann würde die Sitzung beenden einen Vorteil bringen.
Es kann also etwas bringen, aber es kommt auf die Umstände an. Es schadet auch nicht.
Was soll daran Sicher sein?
Day Passwort wird genauso eingegeben (vom Browser oder Dir)
Ständig eingeloggt sein, öffnet doch auch das Tor für Schadsoftware.
Verstehe nicht wieso das sicherer sein soll, sich nicht auszuloggen.
Nicht umsonst gibt's zwangsweise Trennung
Als Laie würde ich denken, dass die Hacker die Anschläge auf der Tatstatur auslesen können, oder nicht? Und wenn man nichts eintippt, dann können die Tastenschläge nicht geklaut werden.
Gibt genug Angriffe die einfach deine Sitzung (das eingeloggt Konto) anstreben.
Wenn dein Browser eingeloggt bleibt dann nur weil eine Datei mit deinen einlogdaten ausgelesen wird(Cookies) und jeder kann sich über deinen Cookie anmelden (ganz simpel formuliert, da gibt es auch noch ein breites Spektrum).
Ja, das war mit auch bis jetzt nicht klar. Also es gibt eine Verbindung, die offen bleibt durch das dauerhafte eingeloggt sein. Und dieser Verbindungsstrang wird quasi attackiert? Funktioniert das über jede Seite? Also ich bin zb. dauernd eingeloggt bei Ebay oder Instagram.
Genaugenommen dein Browser speichert deinen Cookie in seinem Ordner und jeder der da nachguckt kann diesen Cookie nutzen und sich als du anmelden. Gibt unendlich viele Angriffsvektoren in der Theorie und kann man nicht alle abdecken.
Aber Session Browser Cookies abgreifen geht bei jeder Seite wo man eingeloggt bleibt.
Was ich nicht verstehe: diese Cookies sind im Browser gespeichert, also quasi dauerhaft. Das ist mir klar. Und kann man diese Cookies nur attackieren, wenn man eingeloggt ist oder können die Cookies auch attackiert werden, wenn man NICHT eingeloggt ist? Das ist mir nicht ganz klar.
Das stimmt für einen sehr simplen Virus auch.
Aber moderne Viren sind schlau genug, dass sie sich nicht nur die Tastendrücke anschauen werden, sondern auch im Browser unverschlüsselt gespeicherte Passwörter, oder was beim Login im Passwort Feld steht, egal wie es eingegeben wurde.
Danke dir! Die Passwörter, wenn sie als Laie "normal" abgspeichert sind, sind demnach immer unverschlüsselt, korrekt?
Tastatur Eingbe könnte man auch loggen, aber spielt hier keine Rolle
Das ist ja wirklich schlimm mit dieser ganzen IT-Sicherheit. Also Normalo blickt man da nicht mehr durch
Lange Passwörter aus vielen Zeichen sind gut .Aber vor Hackern ist mann nie ganz sicher
Nein, genauso könnten die Hacker deinen Token stehlen, wenn du bereits angemeldet bist.
@LernQuelle diese "tollen" sicheren Passwörter "19¥£/^";^" die sich kein Mensch merken kann und nur Probleme beim selbst einloggen verursachen, sind ein strunzdoofer Riesenquatsch...