2FA – simbuerger

Im Internet gibt es viele Dienste, Shops, Plattformen. Bei vielen meldet man sich dauerhaft oder nur einmal so zum Test an. Überall muss man seine E-Mail und ein Passwort angeben.

Meistens nutzt man seine aktive E-Mail und ein Standardpasswort. Wird nun einer der Konten gehackt, haben die Hacker gleich noch die Anmeldedaten für viele andere Dienste.

Die Dienste und Plattformen, die man sich nur testweise angesehen hat, vergisst man schnell wieder zu deaktivieren. Bei mir ist es da nicht viel anders. Das schlechte Gewissen quälte mich schon seit Jahren, aber ich war bisher auch zu faul.

Damit ist ab heute Schluss

Alte Accounts löschen

Ich nutze einen Passwort Safe – KeePassXC – auf meinem Rechner. Da sind auch die alten ungenutzten Accounts gespeichert. Ich besuche ein letztes Mal diese Dienste, um sie endlich abzumelden und zu löschen. Da jeder Dienst eine andere Prozedur zum löschen hat, nutze ich zur Unterstützung JustDeleteMe.

E-Mail Aliase anlegen

Ich lege für jeden Shop und Dienst, welchen ich weiter nutzen möchte einen E-Mail Alias an. Dann ändere ich in den Einstellungen des Dienstes meine E-Mail Adresse auf den neuen Alias. Daran kann ich schnell erkennen, ob der Dienst meine E-Mail Adresse weiterverkauft hat.

Passwort ändern

Zum Schluss ändere ich das Passwort. Hierbei nutze ich für jeden Shop oder Dienst ein eigenes Passwort, welches GROSS- Kleinschreibung, Ziffern und Sonderzeichen enthält und mindestens 12 Zeichen lang ist. Dieses Passwort verwalte ich natürlich in meinem Passwort Safe. Das kann sich ja sonst niemand merken.

Zwei Faktor Authentifizierung

Wo möglich schalte ich die 2FA ein. Zur Berechnung des zweiten Faktors nutze ich auf meinem Smartphone FreeOTP+, welches über f-droid installiert werden kann. Auf meinem Arbeitsplatzrechner habe ich die Desktop App OTPClient installiert.

Zugang nur vom eigenen Rechner

Ich greife auf die meisten Konten nur von meinem Rechner zu. Daher ist die Speicherung kryptischer Passwörter auf dem eigenen Rechner kein großer Komfortverlust. Einige Accounts benötige ich auch auf meinem Smartphone.

Fazit

So eine Bereinigung aller Accounts ist kein Job, den man mal so schnell am Wochenende durchführt. Es dauert bei einigen Diensten und Shops mehrere Stunden, bis man eine Bestätigung Mail erhält. Eine Passwortänderung ist in den meisten Fällen, als erster Schritt zu mehr Sicherheit, schnell durchgeführt.

Eine E-Mail Änderung kann etwas dauern, wenn es überhaupt möglich ist. 2FA bieten noch nicht sehr viele Shops und Dienste an.

Auf einer meiner Seiten habe ich das Plugin Limit Login Attempts installiert und jeden Tag unzählige E-Mail über gesperrte Anmeldeversuche erhalten.

In der Zeit vom 08. Mai 2021 bis zum 05. August 2021 hatte ich 3.834 Aussperrungen von IP Adressen, die mehrfach ein falsches Passwort und/oder einen falschen Benutzer eingegeben hatten.

Gut, dass ich ein starkes Passwort habe.
Gut, dass sich Benutzername und öffentlicher Name unterscheiden.

Inzwischen habe ich die Seite auf 2FA mit OTP umgestellt. Hierzu nutze ich das Plugin WP 2FA – Two-factor authentication for WordPress

Doch wer sind diese Vollpfosten, die sich über die Homepage fremder Leute hermachen? Haben die nichts besseres zu tun?

Update 07.08.21:

Ich habe die geblockten Fehlversuche einmal ausgewertet. Über 20% aller Loginversuche kamen aus den USA. Jetzt habe ich für das Backend einen Geo Blocker installiert.

Und auch hier auf der Seite habe innerhalb der ersten Stunde nach der Installation von Limit Login Attempts schon 7 geblockte IP wegen Login Fehlversuchen.