Lasst uns mal über Sicherheit reden
by Volker Weber
Ein 20-jähriger Schüler war es also. Nicht der russische Geheimdienst. Und wie geht das? Vermutlich erschreckend einfach.
Wenn man mit Computern sprechen kann, dann wird man immer wieder mal um Hilfe gebeten. Und ich hänge immer wieder an der selben Stelle: "Wie heißt das Passwort?" Die einzige Stelle, an der technisches Wissen nicht weiterhilft. Diese Zugangskontrolle aus dem Mittelalter — ja, dem richtigen — taugt nichts und hat noch nie getaugt.
Die Menschen sind mit Passwörtern überfordert. Sie geben einfach irgendwas ein. Gerne auch immer wieder das selbe. Dumme Menschen? Nein, untaugliche Technik, die den Menschen leichtfertig zum Schuldigen macht.
Es gibt 'zig Listen mit Millionen von Zugangsdaten. Jede Wette, dass die auch funktionieren, wenn man die mal mit Facebook probiert. Und da die Menschen ihrem Smartphone, und das ist in vielen Fällen eben auch Facebook Messenger, einfach alles anvertrauen, sind sie weg, die Daten. Also nicht weg weg, sondern nur kopiert weg. Das muss man nicht dem Seehofer erklären, damit er es schlecht weitererzählt.
Zwei Dinge können wir jetzt tun:
- Die Aufmerksamkeit nutzen, um jetzt ein bisschen mehr Sicherheit zu predigen.
- Bessere Sicherungssystem als Passwörter durchsetzen.
Alles was wichtig ist, Google Account, Microsoft Account, Dropbox, Twitter etc. hat bei mir eine Zweifaktor-Authentisierung. Bei Dir auch?
Comments
Viele User meinen:
- Hacker finden doch meine Daten nicht interessant!
- ich habe nichts zu verbergen!
Wie begegnet man diesen Aussagen??
Indem man die Daten ausdruckt und in den Briefkasten wirft.
Wie machen wir die Zweifaktor-Authentisierung am Besten? SMS oder App? Wenn App, dann welche? Oder ist das egal?
Das Konto muss das können. Und dann mindestens zwei Verfahren einschalten. Zum Beispiel SMS und Authenticator App von Google oder Microsoft.
Jetzt ja... ein paar hatte ich noch nicht umgestellt aber danke für's in den Arsch treten
Ich hatte einmal mein 2FA für den AWS-Account gelöscht (zusammen mit einem iPhone-Reset). Das, was der Callcenter Mitarbeiter am Telefon von mir wissen wollte, um den MFA temporär zu deaktivieren, wäre für einen Dritten einfach herauszufinden. Bei MSFT sollte ich dann ein Email bestätigen, auf das ich eben wegen MFA-Problemen keinen Zugriff hatte.
Wahrscheinlich muss noch mehr überlegt werden, wie man MFA breit und skalierend ausrollt. Für sophistiziertere Benutzer wäre zB eine Idee, zwei MFAs, z.B. TOTP und einen Yubikey, alternativ einzusetzen.
Ich habe bei meinen beiden wichtigsten Accounts mit voller Absicht die Zwei-Faktor-Authentisierung NICHT aktiviert. Und zwar, weil ich Probleme befürchtete, wenn man den 2. Faktor verliert. Und das hat mir im letzen Urlaub buchstäblich den A** gerettet. Mir wurde das iPhone gestohlen und, da ich im Ausland war, auch keine Chance, eine passende Ersatz-SIM zu bekommen. Wenn ich jetzt auf den entsprechenden Accounts die MFA aktiviert gehabt hätte, wäre ich von einem anderen Gerät nicht mehr heran gekommen. Ich habe aber dringend Zugriff auf einige Daten bekommen, an die ich sonst nicht herangekommen wäre.
Unter "normalen" Umständen hätte z. B. SMS oder Papierausdruck der Daten geholfen. Hier jedoch nicht.
Daher werde ich das auch weiterhin so handhaben.
Es hat mir schon gereicht, bei den ganzen Accounts, bei denen 2FA aktiv war, das alles wieder umzustellen / zurückzusetzen.
Steam stach hier übrigens durch einige Fragen hervor, die für einen Außenstehenden tatsächlich nicht so leicht herauszufinden wären. Dort hatte ich allerdings auch den "Ersatzcode" verloren.
heisst das jetzt Hacker lassen ein skript laufen, gegen jede gmail.com email adresse, also von a@gmail.com über max.mueller@gmail.com bis hin zu zzzzz@gmail.com und jedesmal gegen ein Wörterbuch, von einem Netz von gekidnappten Rechnern um verschiedene IP addressen zu nützen?
Ohne die anderen Punkte hinterfragen zu wollen: warum findet man so wenig zu den Details der Ausführung des "Angriffs"? Ich gehe doch mal davon aus, dass Facebook oder Twitter es merken (und verhindern) würden, wenn jemand eine Liste von Millionen bekannter PWs auf tausende von Accounts loslässt...
Mir ist beim Nachdenken über meinen Beitrag aber noch eine Lösung eingefallen. Wenn man mehrere 2. Faktoren einrichten kann und SMS erlaubt ist, könnte man hier einfach die SMS für eine Rufnummer einer anderen Person einrichten (Frau, Verwandschaft, o.Ä.) und diese dann im Zweifelsfall anrufen und sich den Code vorlesen lassen, wenn man den 2. Faktor verloren hat.
Darüber sollte ich mal nachdenken.
1Password sollte Pflicht sein. Immer ein frisches sicheres Passwort für jeden noch so (un-)bedeutenden Account den man anlegt.
Google 2FA ist natürlich auch Pflicht. Bitte keine PIN-Codes per SMS zuschicken lassen. Die Telefonnumer lässt sich per Social Engineering noch am leichtesten abzocken.
Und wenn ich mir dann noch wünschen darf, dass sich die bedienerfreundlichen Civic App gegenüber Gooogle 2FA durchsetzt sollte das mit der Sicherheit schon gleich viel, naja, sicherer sein.
Adalbert und Dirk, man muss das nicht skripten, wenn man viel Zeit hat und weiß, wen man da gerne ausspähen will.
Bin seit Herbst des vergangenen Jahres mit 2Faktor-Auth unterwegs, wo immer es geht und es ist weit weniger nervig, als zunächst befürchtet.
Kostet nicht mal einen verregneten Nachmittag an Zeit, aber man fühlt sich schlagartig wohler im Netz.
Das nervt deshalb nicht, weil der zweite Faktor nur selten abgefragt wird. Mit der Msft Authenticator App spart man sich auch die Anmeldung der einzelnen O365 Apps.
Was meinst du eigentlich mit "Bessere Sicherungssystem als Passwörter durchsetzen." Welche wären denn das?
2FA & U2F sind nur eine Erweiterung. Passwort ist ja einer der Faktoren.
Oder steh ich auf dem Schlauch?
Zertifikate zum Beispiel.
Wenn ich Dir erzähle wie häufig ich schon mit Weißglut vor dem Rechner sass und ( vergeblich) auf das SMS gewartet habe weil der Anbieter eben kein Google Authenticator angeboten hat oder auf dem neuen Telefon von dem Authenticator nichts angekommen ist ... die 2fa ist leider auch noch ziemlich unausgegoren. Soll nicht heißen dass ich grundsätzlich dagegen bin, aber ich bin sehr zurückhaltend geworden.
Dabei hat das nicht mal was mit Google zu tun: https://tools.ietf.org/html/rfc6238
2FA auf allen wichtigen Konten seit Jahren.
Gmail: Backup codes für die 2FA auf Papier im Geldbeutel, außerdem nochmal in Keepass gespeichert. Die verschlüsselte Keepass-Datei liegt in der Cloud und wird auf alle Geräte synchronisiert (akt. 5). Also egal was ist, ich habe immer Zugriff.
Mittlerweile habe ich so ziemlich alles auf 2FA mit MS Authenticator umgestellt, was ich nur konnte. Dabei ist mir aufgefallen, dass für die Anmeldung an meinem privaten Office 365-Account ein einfacher Klick auf das Pop-up "genehmigen" ausreicht.
Für meinen geschäftlichen O365-Account und den Citrix Netscaler muss ich aber immer den Token abtippen.
Könnte man die One-Klick-Lösung auch für diese Konten einfach administrativ einrichten oder ist das eine Lizenz-Frage?
Macht MFA/2FA - zumindest bei Email (Banking natürlich sowieso). Alles andere ist fahrlässig! LG B
Mein Firmenkonto für Office365 macht das auch mit dem einfachen Click/Tap. Auf dem iPhone (wenn das gerade entsperrt ist) und zusätzlich der Watch (wenn das iPhone gesperrt ist). Aber ich wollte mal ein zweites Gerät registrieren, da hat's das erste dann rausgeschmissen. Fand ich auch doof, nach Reset des iPhones wg Displayschadens musste ich dann auf angerufen werden zurück greifen.
Ragnar, wenn du ein zweites Gerät registrieren willst, musst Du die Restore Option wählen, weil Du sonst neue Seeds bekommst.
@Ragnar: Ein zweiter Faktor ist manchmal kompliziert und unkonvinient. Und das ist gerade der Vorteil. Für sas zusätzliche Stück Unbequemlichkeit bekommen wir ein zusätzliches Stück Sicherheit. Ich finde den MS Authenticator überigens genial (im Ggs. zum Google Authenticator): Ein Tap auf der Watch und ich bin eingeloggt. Besser gehts eigentlich nicht!
VG B
Bodo, das musst Du mir nicht erklären - ich mach das hauptberuflich :-) Und ja, die Single Click Lösung (statt 6-stelligen Code abtippen) und auch die Watch Integration machen das Ganze noch ein gutes Stück bequemer.
Ragnar, das wusste ich nicht. Und ja, ich mache das auch... :-) Ich sehe, wir verstehen uns. See me smile. :-)
@Volker: Ich sehe keine Restore Option. I sehe die Option "Set up Authenticator app", aber das ist diejenige, welche die neuen Seeds erzeugt und dann bin ich auf dem ersten Gerät 'raus. Vermutlich kann man das per Admin Policy ausschließen...
@Bodo: Du sollst ja auch nicht alles über mich wissen, darum geht's ja ;-). Und ja, I see you smile, ich hab ja Zugriff auf Deine WebCam (https://www.mt.de/lokales/minden/22344577_Polizei-warnt-vor-Erpressungsversuch-mit-Porno-Masche.html) :-)
Irgendwie haette ich mir so eine Ansage von meiner Bank erwartet. Aber die arbeiten noch mit Username und Passwort - keine 2F Option. Zusaetzliche Freigabe (mobile TAN) erst bei Ueberweisungen ....
hach ja, die Pornomasche. So einer kam mir auch im Oktober. Ziemlich insistierend bis kurz vor Weihnachten.
Lustigerweise hat amazon Japan irgendwann eine verpflichtende Zwei-Faktor-Authentifizierung eingeführt. Ich weiß von amazon DE und amazon US nicht mal, ob die das überhaupt anbieten, allzu sehr an die große Glocke scheinen sie es für Bestandskunden auf jeden Fall nicht gehängt zu haben.
Amazon hat 2FA seit ca. 2015. Hier steht wie‘s geht: https://www.amazon.de/gp/help/customer/display.html?nodeId=202073820