Lasst uns mal über Sicherheit reden

by Volker Weber

3956cf98dfa3a207f2e8859c28358049

Ein 20-jähriger Schüler war es also. Nicht der russische Geheimdienst. Und wie geht das? Vermutlich erschreckend einfach.

Wenn man mit Computern sprechen kann, dann wird man immer wieder mal um Hilfe gebeten. Und ich hänge immer wieder an der selben Stelle: "Wie heißt das Passwort?" Die einzige Stelle, an der technisches Wissen nicht weiterhilft. Diese Zugangskontrolle aus dem Mittelalter — ja, dem richtigen — taugt nichts und hat noch nie getaugt.

Die Menschen sind mit Passwörtern überfordert. Sie geben einfach irgendwas ein. Gerne auch immer wieder das selbe. Dumme Menschen? Nein, untaugliche Technik, die den Menschen leichtfertig zum Schuldigen macht.

Es gibt 'zig Listen mit Millionen von Zugangsdaten. Jede Wette, dass die auch funktionieren, wenn man die mal mit Facebook probiert. Und da die Menschen ihrem Smartphone, und das ist in vielen Fällen eben auch Facebook Messenger, einfach alles anvertrauen, sind sie weg, die Daten. Also nicht weg weg, sondern nur kopiert weg. Das muss man nicht dem Seehofer erklären, damit er es schlecht weitererzählt.

Zwei Dinge können wir jetzt tun:

  1. Die Aufmerksamkeit nutzen, um jetzt ein bisschen mehr Sicherheit zu predigen.
  2. Bessere Sicherungssystem als Passwörter durchsetzen.

Alles was wichtig ist, Google Account, Microsoft Account, Dropbox, Twitter etc. hat bei mir eine Zweifaktor-Authentisierung. Bei Dir auch?

Comments

Viele User meinen:

- Hacker finden doch meine Daten nicht interessant!
- ich habe nichts zu verbergen!

Wie begegnet man diesen Aussagen??

Adalbert Duda, 2019-01-08

Indem man die Daten ausdruckt und in den Briefkasten wirft.

Volker Weber, 2019-01-08

Wie machen wir die Zweifaktor-Authentisierung am Besten? SMS oder App? Wenn App, dann welche? Oder ist das egal?

Ole Saalmann, 2019-01-08

Das Konto muss das können. Und dann mindestens zwei Verfahren einschalten. Zum Beispiel SMS und Authenticator App von Google oder Microsoft.

Volker Weber, 2019-01-08

Jetzt ja... ein paar hatte ich noch nicht umgestellt aber danke für's in den Arsch treten

Mario Plötner, 2019-01-08

Ich hatte einmal mein 2FA für den AWS-Account gelöscht (zusammen mit einem iPhone-Reset). Das, was der Callcenter Mitarbeiter am Telefon von mir wissen wollte, um den MFA temporär zu deaktivieren, wäre für einen Dritten einfach herauszufinden. Bei MSFT sollte ich dann ein Email bestätigen, auf das ich eben wegen MFA-Problemen keinen Zugriff hatte.

Wahrscheinlich muss noch mehr überlegt werden, wie man MFA breit und skalierend ausrollt. Für sophistiziertere Benutzer wäre zB eine Idee, zwei MFAs, z.B. TOTP und einen Yubikey, alternativ einzusetzen.

Peter Daum, 2019-01-08

Ich habe bei meinen beiden wichtigsten Accounts mit voller Absicht die Zwei-Faktor-Authentisierung NICHT aktiviert. Und zwar, weil ich Probleme befürchtete, wenn man den 2. Faktor verliert. Und das hat mir im letzen Urlaub buchstäblich den A** gerettet. Mir wurde das iPhone gestohlen und, da ich im Ausland war, auch keine Chance, eine passende Ersatz-SIM zu bekommen. Wenn ich jetzt auf den entsprechenden Accounts die MFA aktiviert gehabt hätte, wäre ich von einem anderen Gerät nicht mehr heran gekommen. Ich habe aber dringend Zugriff auf einige Daten bekommen, an die ich sonst nicht herangekommen wäre.
Unter "normalen" Umständen hätte z. B. SMS oder Papierausdruck der Daten geholfen. Hier jedoch nicht.
Daher werde ich das auch weiterhin so handhaben.
Es hat mir schon gereicht, bei den ganzen Accounts, bei denen 2FA aktiv war, das alles wieder umzustellen / zurückzusetzen.

Steam stach hier übrigens durch einige Fragen hervor, die für einen Außenstehenden tatsächlich nicht so leicht herauszufinden wären. Dort hatte ich allerdings auch den "Ersatzcode" verloren.

Thomas Muders, 2019-01-08

heisst das jetzt Hacker lassen ein skript laufen, gegen jede gmail.com email adresse, also von a@gmail.com über max.mueller@gmail.com bis hin zu zzzzz@gmail.com und jedesmal gegen ein Wörterbuch, von einem Netz von gekidnappten Rechnern um verschiedene IP addressen zu nützen?

Adalbert Duda, 2019-01-08

Ohne die anderen Punkte hinterfragen zu wollen: warum findet man so wenig zu den Details der Ausführung des "Angriffs"? Ich gehe doch mal davon aus, dass Facebook oder Twitter es merken (und verhindern) würden, wenn jemand eine Liste von Millionen bekannter PWs auf tausende von Accounts loslässt...

Dirk Rose, 2019-01-08

Mir ist beim Nachdenken über meinen Beitrag aber noch eine Lösung eingefallen. Wenn man mehrere 2. Faktoren einrichten kann und SMS erlaubt ist, könnte man hier einfach die SMS für eine Rufnummer einer anderen Person einrichten (Frau, Verwandschaft, o.Ä.) und diese dann im Zweifelsfall anrufen und sich den Code vorlesen lassen, wenn man den 2. Faktor verloren hat.
Darüber sollte ich mal nachdenken.

Thomas Muders, 2019-01-08

1Password sollte Pflicht sein. Immer ein frisches sicheres Passwort für jeden noch so (un-)bedeutenden Account den man anlegt.

Google 2FA ist natürlich auch Pflicht. Bitte keine PIN-Codes per SMS zuschicken lassen. Die Telefonnumer lässt sich per Social Engineering noch am leichtesten abzocken.

Und wenn ich mir dann noch wünschen darf, dass sich die bedienerfreundlichen Civic App gegenüber Gooogle 2FA durchsetzt sollte das mit der Sicherheit schon gleich viel, naja, sicherer sein.

Maximilian von Hulewicz, 2019-01-08

Adalbert und Dirk, man muss das nicht skripten, wenn man viel Zeit hat und weiß, wen man da gerne ausspähen will.

Volker Weber, 2019-01-08


Bin seit Herbst des vergangenen Jahres mit 2Faktor-Auth unterwegs, wo immer es geht und es ist weit weniger nervig, als zunächst befürchtet.
Kostet nicht mal einen verregneten Nachmittag an Zeit, aber man fühlt sich schlagartig wohler im Netz.

Martin Baron, 2019-01-08

Das nervt deshalb nicht, weil der zweite Faktor nur selten abgefragt wird. Mit der Msft Authenticator App spart man sich auch die Anmeldung der einzelnen O365 Apps.

Volker Weber, 2019-01-08

Was meinst du eigentlich mit "Bessere Sicherungssystem als Passwörter durchsetzen." Welche wären denn das?

2FA & U2F sind nur eine Erweiterung. Passwort ist ja einer der Faktoren.

Oder steh ich auf dem Schlauch?

Matthias Welling, 2019-01-08

Zertifikate zum Beispiel.

Volker Weber, 2019-01-08

Wenn ich Dir erzähle wie häufig ich schon mit Weißglut vor dem Rechner sass und ( vergeblich) auf das SMS gewartet habe weil der Anbieter eben kein Google Authenticator angeboten hat oder auf dem neuen Telefon von dem Authenticator nichts angekommen ist ... die 2fa ist leider auch noch ziemlich unausgegoren. Soll nicht heißen dass ich grundsätzlich dagegen bin, aber ich bin sehr zurückhaltend geworden.

Stefan Heinz, 2019-01-08

Dabei hat das nicht mal was mit Google zu tun: https://tools.ietf.org/html/rfc6238

Volker Weber, 2019-01-08

2FA auf allen wichtigen Konten seit Jahren.

Gmail: Backup codes für die 2FA auf Papier im Geldbeutel, außerdem nochmal in Keepass gespeichert. Die verschlüsselte Keepass-Datei liegt in der Cloud und wird auf alle Geräte synchronisiert (akt. 5). Also egal was ist, ich habe immer Zugriff.

Lucius Bobikiewicz, 2019-01-08

Mittlerweile habe ich so ziemlich alles auf 2FA mit MS Authenticator umgestellt, was ich nur konnte. Dabei ist mir aufgefallen, dass für die Anmeldung an meinem privaten Office 365-Account ein einfacher Klick auf das Pop-up "genehmigen" ausreicht.

Für meinen geschäftlichen O365-Account und den Citrix Netscaler muss ich aber immer den Token abtippen.

Könnte man die One-Klick-Lösung auch für diese Konten einfach administrativ einrichten oder ist das eine Lizenz-Frage?

Markus Mews, 2019-01-08

Macht MFA/2FA - zumindest bei Email (Banking natürlich sowieso). Alles andere ist fahrlässig! LG B

Bodo Menke, 2019-01-08

Mein Firmenkonto für Office365 macht das auch mit dem einfachen Click/Tap. Auf dem iPhone (wenn das gerade entsperrt ist) und zusätzlich der Watch (wenn das iPhone gesperrt ist). Aber ich wollte mal ein zweites Gerät registrieren, da hat's das erste dann rausgeschmissen. Fand ich auch doof, nach Reset des iPhones wg Displayschadens musste ich dann auf angerufen werden zurück greifen.

Ragnar Schierholz, 2019-01-08

Ragnar, wenn du ein zweites Gerät registrieren willst, musst Du die Restore Option wählen, weil Du sonst neue Seeds bekommst.

Volker Weber, 2019-01-08

@Ragnar: Ein zweiter Faktor ist manchmal kompliziert und unkonvinient. Und das ist gerade der Vorteil. Für sas zusätzliche Stück Unbequemlichkeit bekommen wir ein zusätzliches Stück Sicherheit. Ich finde den MS Authenticator überigens genial (im Ggs. zum Google Authenticator): Ein Tap auf der Watch und ich bin eingeloggt. Besser gehts eigentlich nicht!
VG B

Bodo Menke, 2019-01-08

Bodo, das musst Du mir nicht erklären - ich mach das hauptberuflich :-) Und ja, die Single Click Lösung (statt 6-stelligen Code abtippen) und auch die Watch Integration machen das Ganze noch ein gutes Stück bequemer.

Ragnar Schierholz , 2019-01-08

Ragnar, das wusste ich nicht. Und ja, ich mache das auch... :-) Ich sehe, wir verstehen uns. See me smile. :-)

Bodo Menke, 2019-01-08

@Volker: Ich sehe keine Restore Option. I sehe die Option "Set up Authenticator app", aber das ist diejenige, welche die neuen Seeds erzeugt und dann bin ich auf dem ersten Gerät 'raus. Vermutlich kann man das per Admin Policy ausschließen...

@Bodo: Du sollst ja auch nicht alles über mich wissen, darum geht's ja ;-). Und ja, I see you smile, ich hab ja Zugriff auf Deine WebCam (https://www.mt.de/lokales/minden/22344577_Polizei-warnt-vor-Erpressungsversuch-mit-Porno-Masche.html) :-)

Ragnar Schierholz, 2019-01-09

Irgendwie haette ich mir so eine Ansage von meiner Bank erwartet. Aber die arbeiten noch mit Username und Passwort - keine 2F Option. Zusaetzliche Freigabe (mobile TAN) erst bei Ueberweisungen ....

Ingo Harpel, 2019-01-09

hach ja, die Pornomasche. So einer kam mir auch im Oktober. Ziemlich insistierend bis kurz vor Weihnachten.

Chris Frei, 2019-01-09

Lustigerweise hat amazon Japan irgendwann eine verpflichtende Zwei-Faktor-Authentifizierung eingeführt. Ich weiß von amazon DE und amazon US nicht mal, ob die das überhaupt anbieten, allzu sehr an die große Glocke scheinen sie es für Bestandskunden auf jeden Fall nicht gehängt zu haben.

Daniel Haferkorn, 2019-01-28

Amazon hat 2FA seit ca. 2015. Hier steht wie‘s geht: https://www.amazon.de/gp/help/customer/display.html?nodeId=202073820

Jochen Schug , 2019-01-28

Old vowe.net archive pages

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Paypal vowe