Beiträge von DL1JPH

  • Das Hängemattenforum wird jetzt noch sicherer

    Welche Website verlangt denn heute noch Passwörter kürzer als x Zeichen (mit x > 70)? Die Admins sollten dringend mal ein IT-Sicherheitsseminar besuchen... Mit ordentlichem Hashing ist die eingegebene Passwortlänge sowieso egal. In ziemlich jeder Programmiersprache gibt es eine Variante der Standardfunktion crypt(), die man guten Gewissens verwenden kann und sollte... Da gibt's also wirklich keine Entschuldigung. Genau so wenig für irgendwelche Einschränkungen, welche Zeichen bzw. Zeichenfolgen verwendet werden dürfen (abgesehen vielleicht von Steuerzeichen). Das macht alles nur den Suchraum kleiner und reduziert damit die Sicherheit.

  • Das Hängemattenforum wird jetzt noch sicherer

    Wie Furbrain schon schrieb - wenn die 2FA nicht aktiviert wird, bleibt alles beim Alten, mit den beschriebenen Konsequenzen. Bezüglich sicherer Passwörter möchte ich allerdings auf einen einschlägigen Comic hinweisen (Englisch, sollte aber auch so verständlich sein):

    password_strength.png

    Nur mal als Denkanstoß. Das Forum unterstützt sehr lange Passwörter... Die meisten anderen Seiten auch. Dazu ein Passwort-Manager (KeePassX , zum Beispiel) und die Passwort-Problematik ist erledigt.

  • Das Hängemattenforum wird jetzt noch sicherer

    Ich persönlich rate grundsätzlich zu Hardware-Tokens. Hatte ich ja schon geschrieben. Mittlerweile unterstützen recht viele Dienste (u. A. Google und PayPal) FIDO U2F. Das wird wohl der Standard der Zukunft werden. Ansonsten werden wir noch eine ganze Weile mit TOTP-basierten Protokollen auskommen - ob als Software (Google Authenticator) oder Hardware (diverse OATH-TOTP-Token, auch YubiKey).

    Mein YubiKey ist entsprechend programmiert, sodass ich ihn verwenden kann. Da das Gerät auch NFC-Fähig ist, klappt es auch auf dem Handy. Nur die Bank geht nicht... Kommt hoffentlich noch.

    Appbasierte 2FA-Verfahren sind natürlich deutlich weniger sicher, als ein Hardware-Token. Für viele Menschen ist allerdings Bequemlichkeit wichtiger als bestmögliche Sicherheit - dort bieten Apps einen guten Mittelweg, da sie erheblich schwerer anzugreifen sind als das Mobilfunknetz bzw. die Provider und gleichzeitig sehr bequem zu bedienen sind. Für das normale Privatkonto ist dieser Schutz oft ausreichend. Für Firmenkonten definitiv nicht. Wo man seine eigenen Prioritäten setzt, muss man selbst entscheiden.

  • Das Hängemattenforum wird jetzt noch sicherer

    Die YubiKeys sind eigentlich recht schön, vor Allem, weil sie eben eine robuste Alternative zu App-Basierten 2FA-Verfahren bieten und mittlerweile gut unterstützt werden (FIDO U2F oder YubiKey-OTP). Ich habe meinen Passwort-Manager darüber abgesichert...

    SMS-Basierte 2FA (beispielsweise Onlinebanking-TAN) ist übrigens technisch aufwändig, teuer im Betrieb und verhältnismäßig ziemlich unsicher - SIM-Portout-Angriffe gehören mittlerweile leider zum Standardrepertoire von kriminellen und lassen sich praktisch nicht verhindern, bei 2G-Netzen und Smartphones kommen jeweils noch weitere unschöne Sicherheitsprobleme dazu. Daher wird es soweit möglich abgelöst bzw. nicht erst angeboten. Das hat mit Smartphones erstmal überhaupt nichts zu tun. Appbasierte 2FA wird lediglich als wesentlich schwerer angreifbare Variante für "Standardnutzer" mit relativ geringem Schutzbedarf angeboten. Wer wirklich sicher sein will, nimmt Hardware-Tokens (beim Banking Chiptan/Smarttan/Bestsign oder wie sie alle heißen). Ich habe FIDO U2F im Forum leider auf die Schnelle nicht integriert bekommen, daher werden vorläufig nur YubiKey-OTP-Token unterstützt.

  • Das Hängemattenforum wird jetzt noch sicherer

    YubiKey ist ein Hardware-Token, der wie ein kleiner USB-Stick aussieht und per NFC oder USB mit deinem Handy oder Rechner kommuniziert. Wenn du keinen hast (muss man nicht, ich finde die Teile aber praktisch) kannst du auch Authenticator nehmen - gibt's für Android und iOS... Das ist nicht ganz so gut, aber immer noch Welten besser als nichts. Beides gleichzeitig kann man mit dem 2FA-Modul nicht verwenden.

  • Das Hängemattenforum wird jetzt noch sicherer

    Genau für solche Fälle ist 2FA gedacht... Der Angreifer weiß ja nicht, was das Passwort ist und ausprobieren funktioniert auch nicht, wenn man die Einmal-Codes nicht hat.

    Wie gesagt, gute Passwort-Hygiene ist trotzdem eine gute Idee. Dank Passwort-Manager ist das mittlerweile ja auch nicht mehr umständlich.

  • Das Hängemattenforum wird jetzt noch sicherer

    Nachdem es in den letzten Monaten immer wieder unschöne Neuigkeiten bezüglich öffentlich gewordener bzw. schlecht geschützter Benutzeraccounts auf verschiedenen Seiten gab, habe ich mich entschlossen, unserem Forum ein kleines Sicherheits-Upgrade zu spendieren. Ihr könnt jetzt ein beliebiges TOTP-System (Beispielsweise Google Authenticator) oder einen YubiKey verwenden, um eure Benutzeraccounts besser zu schützen.

    Die Einrichtung ist denkbar einfach:

    Auf euren Avatar klicken, um das Benutzer-Menü zu öffnen. Dann unter Benutzerkonto -> Verwalten euer aktuelles Kennwort in das obere Feld eingeben. Auf der Selben Seite ganz unten findet ihr die Einrichtung für YubiKeys, dort einfach die üblichen Angaben hinterlegen. Für Google's Authenticator und ähnliche Systeme den QR-Code abscannen und den ersten Einmal-Code aus der App eingeben. Dann kann man die Eingaben speichern und wird beim Login nach dem Einmalpasswort bzw. YubiKey gefragt.

    Damit macht ihr es Angreifern schwieriger, eventuell erratene Benutzeraccounts zu missbrauchen. Die üblichen Hinweise zur Passworthygiene (lange Passwörter, keine Wiederverwendung, etc.) gelten natürlich trotzdem... Aber wer von uns ist noch nie unvorsichtig gewesen? ;)

  • Vorstellung

    Keine Sorge, wenn dir etwas nicht klar ist, du darfst gerne fragen. Notfalls können @Bernd Odenwald und ich auch fast alles wieder zurecht biegen :) .

    Willkommen im Forum.