Also unterm Strich bedeutet das, die "Zwei-Faktor-Authentifizierung" ist jetzt auch für den Ar....
@happy_dogshit: per SMS war das schon immer so.. sicherer ist nach wie vor eine App zur Generierung der Codes zu benutzen wobei man den Aktivierungscode für die App per Post bekommt (siehe Online-Banking).. da bei Google der Code für die App auch per SMS zugeschickt werden kann dreht man sich da etwas im Kreis..
@happy_dogshit: Nö, SMS 2FA galt schon seit ewig als schwächste Auth. Methode. Alle anderen sind genauso sicher wie zuvor.
@happy_dogshit: sofern das wirklich mit den Tool Modlishka geknackt wurde, wär es egal wie du dich authentifizierst. Hier ein Beispiel wie das Tool funktioniert https://vimeo.com/308709275
@ba77osai: Ein zitat vom Entwickler des Tools:
"So the question arises... is 2FA broken?
Not at all, but with a right reverse proxy targeting your domain over an encrypted, browser trusted, communication channel one can really have serious difficulties in noticing that something is seriously wrong.
Add to the equation different browser bugs, that allow URL bar spoofing, and the issue might be even bigger..."
Quelle: https://blog.duszynski.eu/phishing-ng-bypassing-2fa-with-modlishka/
Wenn man auf eine Phishing Domain reinfällt hilft 2FA auch nicht. Soll es ja auch gar nicht, 2FA soll ANDEREN den Zugang auf die ECHTE Seite erschweren.
@LMG356: Mit der Argumentation ist 2FA ziemlich witzlos - die Betreiber der Phishing-Seite sind letztlich eben genau solche "ANDEREN" die auf diesem Wege auf die "ECHTE" Seite gelangen.
@DRMfan^^: Nein sind sie nicht. In der IT geht es nie darum alle Gefahrenquellen mit einer einzigen Methode zu lösen (da dies praktisch nie möglich ist). 2FA ist dafür da anderen den Zugriff auf Benutzerkonten auf den echten Seite zu erschweren. So können z.b viele Attacken wie Credential-Stuffing oder einfache Brute-Force Attacken abgewehrt werden.
Nur weil beim Auto die bremsen nicht gegen Eisglätte helfen sind sie noch lange nicht "witzlos".
@LMG356: Gegen Brute Force hilft ein ordentliches Passwort und Limitierung der Versuche, gegen "Credential-Stuffing" hilft es, bei (wichtigen) Accounts keine Zugangsdaten wiederzuverwenden. 2FA ist in vielen Fällen einfach nur unnötig nervig, weil zu viele Leute zu dumm sind, diese beiden einfachen Regeln zu befolgen.
@DRMfan^^: Wenn die Seiten DB gehackt wird (und ja ich weiß das ein vernünftiger Betreiber seine PWs sowieso Hashen und Salten würde, jedoch ist das heutzutage immer noch nicht überall so) ohne das du oder der Betreiber es mitbekommt ist 2FA Gold wert. Nur weil es auch andere Wege gibt sich zu schützen macht es 2FA noch lange nicht unnötig.
Davon abgesehen das der Normalo eh Passwörter wiederverwendet oder nur leicht ab ändert. Da macht 2FA auf jeden fall absolut sinn.
Wie schon gesagt gibt es für IT-Sicherheit nicht nur die eine Methode sondern ein zusammen Spiel von verschiedenen Vorkehrungen.
@LMG356: Du meinst ein Angreifer kann die DB auslesen, die Hashes brechen aber nicht die 2FA aushebeln, indem er z.B. seine Handynummer für SMS-TAN einträgt?
Wenn der Schaden nur eine Seite betrifft, dann ist es allein das Problem des Seitenbetreiber und der haftet dafür - im Zweifel mit seiner Existenz.
@DRMfan^^: "Davon abgesehen das der Normalo eh Passwörter wiederverwendet" Es muss nur eine DB von irgendeiner 0815 Seite geleakt werden und schon wären die meisten Leute völlig am arsch. Klar ist das deren schuld, helfen tut das dann aber immer noch niemanden.
In einer Perfekten welt hätten wir alle PW-Manager mit einem 10-Wörter langen durch Dice-Ware erstellten Master-Schlüssel. Da wir da aber offensichtlich nicht sind nehme ich jede Sicherheit Erhöhung die man Kriegen kann. Davon abgesehen das in diesem fall mehr sowieso immer besser ist (solange man damit klar kommt).
@LMG356: Dafür muss man dann jetzt z.B. irgendwie dafür sorgen, dass man im Auslandsurlaub ohne Roaming für Online-Zahlungen SMS-TAN empfangen kann...
@DRMfan^^: 2FA SMS ist sowieso nicht zu empfehlen. Lieber mit ner App oder bestimmter Hardware. Das geht überall schnell und offline.
@LMG356: Weil Android-Geräte topaktuell und supersicher sind *hust*
@DRMfan^^: Es gibt diese Geräte für jede art von OS. Davon abgesehen das selbst wenn jemand darauf Zugriff haben sollte es immer noch besser ist als hätte man gar kein 2FA. Mit dem Argument könnte man jegliches Sicherheitsmodelle klein reden. Und wie gesagt gibt es ja auch externe Geräte ohne irgendein OS.
@LMG356: Der Usabillity-Nachteil muss durch einen sinnvollen Security-Vorteil gerechtfertigt sein - und genau da sist meiner Ansicht nach nicht der Fall.
@DRMfan^^: Also ich weis ja nicht was du als "Unusable" verstehst, aber für 10 Sekunden auf sein 2FA Gerät zu schauen und 6 Zahlen einzugeben würde ich nicht dazu zählen.
@happy_dogshit: Das ist sie schon lange, wenn dir eine "TAN" zugesendet wird. Denn diese TAN gibst du genauso auf der Webseite ein wie das Paswort und die Login-Daten. Ist es eine Phishing-Seite, so hat man eben auch den "TAN/One-Time-Token/..." ...
@happy_dogshit: Deshalb habe ich nirgendwo Zwei Faktor Authentizifierung. Man gibt zusätzlich noch seine Handynummer raus damit die auch von Spamern benutzt werden kann.
Wie kann denn eine SMS ohne einen IMSI Catcher zu verwenden abgefangen werden?
Das Maß an krimineller Energie, was hier drinnen steckt, ist schon mehr als über durchschnittlich.
SMS ist tatsächlich kein besonders starkes Sicherheitsmerkmal, davor wird aber auch schon seit mindestens einem Jahrzehnt gewarnt.
YouTubes Umgang mit großen Kanälen ist aber allgemein so eine Sache, nicht nur was Sicherheit betrifft. Es ist ja durchaus vorgekommen, dass große Kanäle in sehr kurzer Zeit drei Strikes und eine Sperrung kassiert hatten, ohne besonders spezifisches Feedback oder sehr stark inkonsistente Einschätzungen zur Werbefreundlichkeit.
Man muss sich mal vor Augen führen, dass ein Kanal, der z.B. dauerhaft ca. 5000€ im Monat nach Kosten abwirft, als Anlageobjekt bei sagen wir 4% Zinsen (weil es eine riskante Anlage ist), mit 1,5 Millionen Euro zu bewerten wäre. Das ist eine Stange Geld und es gibt weitaus größere Kanäle. Da hielte ich es für mehr als angezeigt z.B. ein ChipTAN-Verfahren einzuführen, was um Welten sicherer wäre und bei dem Wert der Objekte, die hier zu schützen sind, angemessen wäre.
Anmelden