Das Hängemattenforum wird jetzt noch sicherer

  • Nachdem es in den letzten Monaten immer wieder unschöne Neuigkeiten bezüglich öffentlich gewordener bzw. schlecht geschützter Benutzeraccounts auf verschiedenen Seiten gab, habe ich mich entschlossen, unserem Forum ein kleines Sicherheits-Upgrade zu spendieren. Ihr könnt jetzt ein beliebiges TOTP-System (Beispielsweise Google Authenticator) oder einen YubiKey verwenden, um eure Benutzeraccounts besser zu schützen.


    Die Einrichtung ist denkbar einfach:

    Auf euren Avatar klicken, um das Benutzer-Menü zu öffnen. Dann unter Benutzerkonto -> Verwalten euer aktuelles Kennwort in das obere Feld eingeben. Auf der Selben Seite ganz unten findet ihr die Einrichtung für YubiKeys, dort einfach die üblichen Angaben hinterlegen. Für Google's Authenticator und ähnliche Systeme den QR-Code abscannen und den ersten Einmal-Code aus der App eingeben. Dann kann man die Eingaben speichern und wird beim Login nach dem Einmalpasswort bzw. YubiKey gefragt.


    Damit macht ihr es Angreifern schwieriger, eventuell erratene Benutzeraccounts zu missbrauchen. Die üblichen Hinweise zur Passworthygiene (lange Passwörter, keine Wiederverwendung, etc.) gelten natürlich trotzdem... Aber wer von uns ist noch nie unvorsichtig gewesen? ;)

    haengemattenforum.de Ich bin zwar nur der Haustechniker, aber wenn es Probleme gibt kann ich wahrscheinlich helfen ;).
  • Genau für solche Fälle ist 2FA gedacht... Der Angreifer weiß ja nicht, was das Passwort ist und ausprobieren funktioniert auch nicht, wenn man die Einmal-Codes nicht hat.


    Wie gesagt, gute Passwort-Hygiene ist trotzdem eine gute Idee. Dank Passwort-Manager ist das mittlerweile ja auch nicht mehr umständlich.

    haengemattenforum.de Ich bin zwar nur der Haustechniker, aber wenn es Probleme gibt kann ich wahrscheinlich helfen ;).
  • Hä? 8|Was soll ich machen? Meinen Yubikey anschließen? Ich wußte noch gar nicht, dass ich einen habe.

    Das ist mir zu kompliziert. Da ich auch Bernds Passwort benutze, kann mir ja nichts passieren.

    Omnia vincit lectulus pensilis. :saint:

  • YubiKey ist ein Hardware-Token, der wie ein kleiner USB-Stick aussieht und per NFC oder USB mit deinem Handy oder Rechner kommuniziert. Wenn du keinen hast (muss man nicht, ich finde die Teile aber praktisch) kannst du auch Authenticator nehmen - gibt's für Android und iOS... Das ist nicht ganz so gut, aber immer noch Welten besser als nichts. Beides gleichzeitig kann man mit dem 2FA-Modul nicht verwenden.

    haengemattenforum.de Ich bin zwar nur der Haustechniker, aber wenn es Probleme gibt kann ich wahrscheinlich helfen ;).
  • Dann kannst Du damit mit Sicherheit einem Auto Starthilfe geben, 2 Wochen ohne Ladegerät auskommen, einen Nagel in Beton hämmern, einem Angreifer das Handy ins Gesicht werfen, es als Gegengewicht verwenden oder Snake spielen. ;)

  • Nicht ganz, aber fast alles davon...

    Dann kannst Du damit mit Sicherheit einem Auto Starthilfe geben, 2 Wochen ohne Ladegerät auskommen, einen Nagel in Beton hämmern, einem Angreifer das Handy ins Gesicht werfen, es als Gegengewicht verwenden oder Snake spielen. ;)

    Let's do the Timewarp again.... oder hänge in einer Hängematte ab...

  • sirob188 Dann rate ich zum YubiKey... Natürlich ist das ganze prinzipiell ohnehin optional, ich werde in absehbarer Zukunft auch nicht auf 2FA-Zwang umstellen. Es ist ein Angebot und eine Empfehlung, kein Muss.

    haengemattenforum.de Ich bin zwar nur der Haustechniker, aber wenn es Probleme gibt kann ich wahrscheinlich helfen ;).
  • sirob188 Dann rate ich zum YubiKey... Natürlich ist das ganze prinzipiell ohnehin optional, ich werde in absehbarer Zukunft auch nicht auf 2FA-Zwang umstellen. Es ist ein Angebot und eine Empfehlung, kein Muss.

    Das habe ich so auch nicht verstanden. Es ist eher "lustig", wie man als 2G Handynutzer so langsam von allen Sicherheits- und 2FA-Verfahren ausgeschlossen wird.


    Selbst Kee-Pass ist manchmal nicht nutzbar, wenn man am falschen Betriebssystem sitzt.


    Ich versuche meine Daten gut zu schützen, natürlich benutze ich auch Bernds Passwort, der Einfachheit halber... =O


    Nur, was nützt es mir, wenn ich im Schweiße meines Angesichts mir z.B. eine PGP-Verschlüsselung meiner Mails installiere und dann niemandem mehr schreiben kann? Weil keiner mit macht.


    So, muss ich mir jetzt doch eine Smartfone zulegen? ODer doch einen Yubi-Key? Den kannte ich noch gar nicht... also doch nicht auf dem neusten Stand der Technik... ||

    Let's do the Timewarp again.... oder hänge in einer Hängematte ab...

  • Die YubiKeys sind eigentlich recht schön, vor Allem, weil sie eben eine robuste Alternative zu App-Basierten 2FA-Verfahren bieten und mittlerweile gut unterstützt werden (FIDO U2F oder YubiKey-OTP). Ich habe meinen Passwort-Manager darüber abgesichert...


    SMS-Basierte 2FA (beispielsweise Onlinebanking-TAN) ist übrigens technisch aufwändig, teuer im Betrieb und verhältnismäßig ziemlich unsicher - SIM-Portout-Angriffe gehören mittlerweile leider zum Standardrepertoire von kriminellen und lassen sich praktisch nicht verhindern, bei 2G-Netzen und Smartphones kommen jeweils noch weitere unschöne Sicherheitsprobleme dazu. Daher wird es soweit möglich abgelöst bzw. nicht erst angeboten. Das hat mit Smartphones erstmal überhaupt nichts zu tun. Appbasierte 2FA wird lediglich als wesentlich schwerer angreifbare Variante für "Standardnutzer" mit relativ geringem Schutzbedarf angeboten. Wer wirklich sicher sein will, nimmt Hardware-Tokens (beim Banking Chiptan/Smarttan/Bestsign oder wie sie alle heißen). Ich habe FIDO U2F im Forum leider auf die Schnelle nicht integriert bekommen, daher werden vorläufig nur YubiKey-OTP-Token unterstützt.

    haengemattenforum.de Ich bin zwar nur der Haustechniker, aber wenn es Probleme gibt kann ich wahrscheinlich helfen ;).
  • Bin ja auch einer, der immer noch lieber mit dem "Featurephone" sein Leben bestreitet als mit dem Smartphone. Auch nach ein paar Seminaren zur Datensicherheit am HPI traue ich immer noch nicht den Smartphones. Wo ich mir keine Sorgen machen musste, dass jemand für mein Seniorenhandy einen Schadprogramm schreibt, habe ich immer noch tief verinnerlicht, dass man die Kanäle für 2FA bei der Datenübertragung am besten voneinander trennen sollte.


    Also: "Internet hin - Telefon zurück" oder "Internet hin - Nummerngenerierung im externen Gerät zurück". Jetzt wollen sie, dass ich mit Smartphone online banke, und sie schicken mir eine TAN in eine App auf dem gleichen Gerät ??! =O Das ist für mich nicht abgekapselt genug. Hin- und Rückkanal basieren hier auf der gleichen Hardware. Wenn überhaupt, dann sollte der eine Kanal in einer virtuellen Sandbox oder auf einem externen Betriebssystem laufen, was immer noch nur ein Stück Software wäre. Es ist ja auch hier vermutlich nur eine Frage der Zeit, bis der CCC (oder wer auch immer) die Banken-Apps hackt. War schon immer so.


    Nun bin ich auch kein ITler wie Jan, daher habe ich nicht den Überblick über all die "unschönen Sicherheitsprobleme" in den alten Systemen. Aber immerhin hatte ich, wenn ich betrogen wurde, das subjektive Gefühl von "Realwelt-Betrugskontrolle", wenn jemand drittes eine zweite SIM-Karte für mein Handy bestellt und abgefangen hat inkl. des Umroutens und Missbrauchs der empfangenen SMS-TAN. Beim Smartphone lauer ich die ganze Zeit jetzt schon paranoid auf einen Fraud, da ich nun gar nichts mehr bemerken kann, wenn innerhalb des Betriebssystems was hackt wurde. Netguard hin, Portfilter her.


    Dann werde ich wohl auf externe Hardwaretokens schwenken müssen, wenn meine Bank die SMS-TAN abstellt. Schade, damit geht mir Flexibilität im Online-Banking verloren, da ich den Kasten wohl nicht immer dabei haben werde können. Der YubiKey ist mir für 40 - 50 Euro einfach ein wenig zu teuer. Wie die 2FA-Vorgaben in Zukunft bei PayPal, Amazon und ebay umgesetzt werden, steht ja wohl auch noch in den Sternen. Vielleicht konsumiere ich dann einfach weniger und mache keine Schnellkäufe aus der Hüfte mehr ... 8o

  • Ich persönlich rate grundsätzlich zu Hardware-Tokens. Hatte ich ja schon geschrieben. Mittlerweile unterstützen recht viele Dienste (u. A. Google und PayPal) FIDO U2F. Das wird wohl der Standard der Zukunft werden. Ansonsten werden wir noch eine ganze Weile mit TOTP-basierten Protokollen auskommen - ob als Software (Google Authenticator) oder Hardware (diverse OATH-TOTP-Token, auch YubiKey).


    Mein YubiKey ist entsprechend programmiert, sodass ich ihn verwenden kann. Da das Gerät auch NFC-Fähig ist, klappt es auch auf dem Handy. Nur die Bank geht nicht... Kommt hoffentlich noch.


    Appbasierte 2FA-Verfahren sind natürlich deutlich weniger sicher, als ein Hardware-Token. Für viele Menschen ist allerdings Bequemlichkeit wichtiger als bestmögliche Sicherheit - dort bieten Apps einen guten Mittelweg, da sie erheblich schwerer anzugreifen sind als das Mobilfunknetz bzw. die Provider und gleichzeitig sehr bequem zu bedienen sind. Für das normale Privatkonto ist dieser Schutz oft ausreichend. Für Firmenkonten definitiv nicht. Wo man seine eigenen Prioritäten setzt, muss man selbst entscheiden.

    haengemattenforum.de Ich bin zwar nur der Haustechniker, aber wenn es Probleme gibt kann ich wahrscheinlich helfen ;).
  • Mal eine ganz blöde Frage so als PC Analphabet: ich kann aber doch einfach auch alles so lassen wie bisher, oder? Ich stelle hier schließlich keine intimen oder sicherheitsrelevanten Dinge ein, so dass mir nicht so recht klar ist, worin das evt. Problem besteht bzw. warum ich was ändern sollte.

  • Wie DL1JPH oben sagte, kannst du auch alles so lassen wie es ist. Das Schlimmste, was passieren kann, ist dass ein Fremder in deinem Namen unter deinem Account irgendetwas hier veröffentlicht (z. B. Spam und Schadlinks) und dein Login hijackt, so dass du nicht mehr rein kommst. Desweiteren wird er vielleicht versuchen, sich mit dem erbeuteten Nutzernamen bzw. der Emailadresse und dem Passwort (was er dann zweifelsohne maschinell erraten hat) auf irgendwelchen anderen Plattformen/Foren/Homepages anzumelden.


    Ich habe gelernt, dass zurzeit – unter den aktuellen Rechenleistungen der Computer – ein sicheres Passwort mindestens zwölf Zeichen lang sein sollte. Darin sollte mindestens ein Sonderzeichen, eine Ziffer und ein Großbuchstabe enthalten sein (großer Zeichenvorrat), um nicht durch einen maschinellen Angriff ("Brute Force") in einer realistischen Zeit erraten zu werden. Ach ja, es sollte auch nicht in einem Lexikon stehen oder sonstwie für Menschen lesbar und inhaltlich sinnvoll sein.


    Ich benutzte z B. gerne "Qwertz12345!" :P

  • Wie Furbrain schon schrieb - wenn die 2FA nicht aktiviert wird, bleibt alles beim Alten, mit den beschriebenen Konsequenzen. Bezüglich sicherer Passwörter möchte ich allerdings auf einen einschlägigen Comic hinweisen (Englisch, sollte aber auch so verständlich sein):


    password_strength.png


    Nur mal als Denkanstoß. Das Forum unterstützt sehr lange Passwörter... Die meisten anderen Seiten auch. Dazu ein Passwort-Manager (KeePassX , zum Beispiel) und die Passwort-Problematik ist erledigt.

    haengemattenforum.de Ich bin zwar nur der Haustechniker, aber wenn es Probleme gibt kann ich wahrscheinlich helfen ;).
  • Welche Website verlangt denn heute noch Passwörter kürzer als x Zeichen (mit x > 70)? Die Admins sollten dringend mal ein IT-Sicherheitsseminar besuchen... Mit ordentlichem Hashing ist die eingegebene Passwortlänge sowieso egal. In ziemlich jeder Programmiersprache gibt es eine Variante der Standardfunktion crypt(), die man guten Gewissens verwenden kann und sollte... Da gibt's also wirklich keine Entschuldigung. Genau so wenig für irgendwelche Einschränkungen, welche Zeichen bzw. Zeichenfolgen verwendet werden dürfen (abgesehen vielleicht von Steuerzeichen). Das macht alles nur den Suchraum kleiner und reduziert damit die Sicherheit.

    haengemattenforum.de Ich bin zwar nur der Haustechniker, aber wenn es Probleme gibt kann ich wahrscheinlich helfen ;).