Der Cyber Security Thread

[Dicker]

Ich mache mal einen Thread zum Thema Cyber Security auf.

Ich habe gerade eine Mail von einem vermeintlichen Microsoft Account Team erhalten habe, das mich darauf hinweist, dass jemand aus Russland auf mein E-Mail Konto zugreifen will. Absender ist no-reply@microsoft.com und unten kann man den Nutzer reporten. Was ich angeklickt habe.
Zum Glück ist es nur ein Mail-to und an der sich neu öffnenden Mail sieht man, dass man eben nicht Microsoft, sondern jemand anderem schreibt. Also Pishing der harmloseren Sorte.

Das hat mich mal wieder darauf aufmerksam gemacht/sensibilisiert, wie unsicher unser liebes Internet doch ist.

Um auch sicher zu gehen, dass ich mir nichts eingefangen habe, habe ich etwas recherchiert und bin dabei bei Microsoft auf die Seite "recent activites" gestoßen, die ich nicht kannte. Und ich war schockiert zu sehen, wer sich den lieben langen Tag erfolglos versucht in meinen E-Mail Account einzuloggen. Obwohl, eigentlich kann man sich ja vorstellen, dass ständig irgendwo auf der Welt jemand sowas versucht. Ist ja leider normal. Nur hier eben erschreckend transparent. Aber auch wieder beruhigend zu sehen, dass es eben alles nur erfolglose Versuche sind.

SpoilerShow

Jetzt stelle ich mir aber die Frage, der Account ist mir wichtig, sollte ich ihn mit 2FA sichern. Die logische aber leider auch im Alltag aufwändige Antwort ist, JA. Aber will ich jedes mal mein Handy rausholen, wenn ich meine Mails checke?

Deshalb die Frage in die Runde: Wie handhabt ihr das?

[Mauswanderer]

Ich aktiviere mittlerweile überall, wo ich dran denke und es angeboten wird, app-basierte 2FA.
Dazu habe ich noch überall ein anderes Passwort.

Bei mir hat sich in den letzten Wochen gefühlt 5 mal täglich jemand bei Ebay-Kleinanzeigen anzumelden versucht und dann ein Passwortreset angefordert (falls die Mails echt waren, glaube aber schon). Ich ignoriere sowas mittlerweile einfach.

[GoodLord]

Geht jetzt natürlich an deiner Frage vorbei (nein, ich nutze keine 2FA für meine Mails), aber was ich habe sind unterschiedliche mail Adressen für unterschiedliche Dienste. Das reduziert (hoffe ich) massiv die Wahrscheinlichkeit, dass die "wichtige" Adresse(n) in irgendwelchen Listen auftauchen, die für brute force Angriffe genutzt wird. Mein MS account, den ich z.B. für MS 365 hernehme hat ohnehin keine erratbare Adresse und wird nicht für mails genutzt.

[Dicker]

Das hatte ich auch schon überlegt, neue, frische Mail Adresse und diese nur noch für den unwichtigen Rest verwenden.
Ich hab die halt schon seit 2002, lange bevor es einen Xbox Account oder ähnliches gab.

[HerrReineke]

Bei mir ist es eine Mischung:
Ich habe einige unterschiedliche Mail-Accounts und insbesondere bei Diensten im Bereich Online-Shopping etc. nutze ich E-Mail-Aliase, sodass dahinter gar keine "echte" (d.h. einloggbare) E-Mail-Adresse steckt. Und dank Passwort-Safe dann auch überall andere Passwörter und die dann auch einfach maximal lang und random. Dazu dann bei vielen Diensten 2FA zusätzlich, insbesondere Sachen, die mir entweder viel Bedeuten (z.B. Steam) oder viel Schaden anrichten könnten (z.B. Paypal).

[Voigt]

Ich habe nur eine Email Adresse, und weil das nich Gmail ist, hat die auch keine Aliase, soweit ich weiß.

Die Adresse hat aber starkes einzigartiges Passwort. Sonst noch paar wichtige Sachen haben einzigartiges PW, nutze aber für vieles dasselbe Passwort.
Brauch ich wirklich ein einzigartiges PW für ThePod Forenaccount, Hardwareluxx, Computerbase, und GameStar beispielsweise? Da isses echt egal.

[exx]

Bei mir ist es eine Mischung:
Ich habe einige unterschiedliche Mail-Accounts und insbesondere bei Diensten im Bereich Online-Shopping etc. nutze ich E-Mail-Aliase, sodass dahinter gar keine "echte" (d.h. einloggbare) E-Mail-Adresse steckt.

Exakt das. Meine „echte“ E-Mail Adresse für den Mail-Login benutze ich absolut nirgendwo. Es ist dann zwar nur ein Security by Obscurity Ding aber es gibt mir eben schon eine recht große Sicherheit dass ein Angreifer sowohl Mail als auch Passwort erraten muss (und ich kam mir mega schlau vor als mir die Idee kam ). 2FA benutze ich bei meiner Mail nicht, einfach aus der Sorge mein 2FA Device zu verlieren und dann ausgesperrt zu sein. Auch benutze ich dank PW Manager überall verschiedene Passwörter und mein ManagerPasswort ist sehr lang.

Das alles ist natürlich noch lange nicht sicher aber irgendwann wird es auch zu inconvenient. Gegen Keylogger, Unaufmerksamkeit bei Phishing-Attempts oder einen physischen Angriff habe ich nichts in der Hand. Backups verschlüsseln verringert halt auch deren Wertigkeit als Backup.

[Desotho]

Die E-Mail stammt ja aus den 70ern und die Macher hatten diverse Auswüchse logischerweise nicht auf dem Schirm.
Aufschlussreich ist meistens der E-Mail Header - sofern man dran denkt sich den anzuschauen und auch was damit anfangen kann.

[Rince81]

Ich benutzte nur eine Emailadresse - die hat sogar ein relativ einfaches Passwort aber dafür mit 2FA. Das ist nämlich die Zentrale, da darf ich mich nicht aussperren. Ich habe praktisch bei allen anderen Diensten generierte Passwörter und einen Passwortmanager, ich weiß daher keine Passwörter mehr im Kopf und habe überall individuelle. Dazu ist alles, was sich mit 2FA absichern lässt so abgesichert. Das ganze per Authy, was die Syncronisation auf Handy und Tablet ermöglicht, das ist vielleicht nicht so sicher wie es nur auf dem Gerät zu haben, reduziert aber das Risiko sich selbst auszusperren gewaltig. Ich habe gerade geschaut, bei Authy sind mittlerweile ca. 25 Accounts hinterlegt, Email, Paypal, Playstation, Reddit, etc.

[Peter]

Vor vier Jahren habe ich mir eine neue email-Adresse zugelegt (die vorherige stammte aus den 90ern und war komplett verseucht), die ich für alles benutze und über die ich bis heute fast keinen Spam, Phishing etc erhalte (vielleicht eine Mail pro Monat). Passwörter habe ich für jede Webseite ein anderes (ich schätze mal ziemlich sichere, da immer mit Zahlen, Groß-Klein-Buchstaben, Sonderzeichen), alle nur im Kopf. Seit ich das so mache, gab es auch hier keinerlei Probleme mehr, während früher die eine oder andere Seite doch mal unbefugt betreten wurde.

[toxic_garden]

Jetzt stelle ich mir aber die Frage, der Account ist mir wichtig, sollte ich ihn mit 2FA sichern. Die logische aber leider auch im Alltag aufwändige Antwort ist, JA. Aber will ich jedes mal mein Handy rausholen, wenn ich meine Mails checke?

ich habe das Gefühl, dass du 2FA an der Stelle evtl. falsch verstehst?
Du authorisierst ja nicht jeden einzelnen Login, sondern ein individuelles Gerät. Du musst also für jeden Laptop/PC/Smartphone nur einmalig per 2FA den Zugriff erlauben, danach reichen dann die richtigen Login-Credentials.
Das macht die Sache - in meinen Augen zumindest - sehr gut handhabbar. So oft wechselt man ja normalerweise seine Endgeräte nicht durch.

[Dicker]

Jetzt stelle ich mir aber die Frage, der Account ist mir wichtig, sollte ich ihn mit 2FA sichern. Die logische aber leider auch im Alltag aufwändige Antwort ist, JA. Aber will ich jedes mal mein Handy rausholen, wenn ich meine Mails checke?

ich habe das Gefühl, dass du 2FA an der Stelle evtl. falsch verstehst?
Du authorisierst ja nicht jeden einzelnen Login, sondern ein individuelles Gerät. Du musst also für jeden Laptop/PC/Smartphone nur einmalig per 2FA den Zugriff erlauben, danach reichen dann die richtigen Login-Credentials.
Das macht die Sache - in meinen Augen zumindest - sehr gut handhabbar. So oft wechselt man ja normalerweise seine Endgeräte nicht durch.

Das habe ich tatsächlich so verstanden, danke für die Aufklärung.

[GoodLord]

Jetzt stelle ich mir aber die Frage, der Account ist mir wichtig, sollte ich ihn mit 2FA sichern. Die logische aber leider auch im Alltag aufwändige Antwort ist, JA. Aber will ich jedes mal mein Handy rausholen, wenn ich meine Mails checke?

ich habe das Gefühl, dass du 2FA an der Stelle evtl. falsch verstehst?
Du authorisierst ja nicht jeden einzelnen Login, sondern ein individuelles Gerät. Du musst also für jeden Laptop/PC/Smartphone nur einmalig per 2FA den Zugriff erlauben, danach reichen dann die richtigen Login-Credentials.

Also normalerweise bedeutet 2FA genau das (jeden einzelnen Login bestätigen). Wenn man ein Gerät nur einmal autorisierten muss (vermutlich eher ein Programm), dann bedeutet das Letztendlich "nur" dass dafür ein separates Passwort generiert wird, aber man ist im prinzip wieder bei 1-Faktor authentifizierung. Ist natürlich trotzdem nich viel besser, als wenn auch das Web interface nur mit nem Passwort gesichert ist und das auch noch überall das gleiche ist.

[toxic_garden]

Also normalerweise bedeutet 2FA genau das (jeden einzelnen Login bestätigen). Wenn man ein Gerät nur einmal autorisierten muss (vermutlich eher ein Programm), dann bedeutet das Letztendlich "nur" dass dafür ein separates Passwort generiert wird

nicht ganz richtig. Es wird kein Passwort generiert, sondern ein Token. Dieser Token ist i.d.R. ein individueller Hash-Wert, der sich aus verschiedenen Komponenten zusammensetzt, die pro Endgerät verschieden sind. Ganz stumpf simplifiziertes Beispiel: die Seriennummer der Festplatte, die UID des Mainboards und die Betriebssystemversion. Wenn ich also den Token dieses Endgeräts auf irgendeine Art entwende, kann ich damit trotzdem nichts anfangen, da der Hash nicht zu meiner Hardware passt.
Natürlich ist das von Anbieter zu Anbieter verschieden und es wird sicher auch welche geben, die mit weniger ausgeklügelten Regeln arbeiten, aber gerade große Anbieter wie Microsoft, Steam, Google usw. setzen schon lange auf sehr ausgefeilte 2FA-Verfahren.

[Voigt]

Ist das im Endeffekt aber nicht dasselbe?

Passwörter werden ja auch gehasht und der Hash mit einer Datenbank verglichen. Besser nur wird jedes Passwort mit einem invidiuellen Salt versehen bevor es gehasht und gehasht gespeichert wird.

Das Token hier scheint ja dann auch bloß ein gehashtes Salt aus individueller HardwareID zu sein, was zusätzlich zum Hash eines Passworts verglichen wird, bloß wenn der Salt Hash fehlschlägt hat man die Möglichkeit sich mit 2FA nochma neu zu authentifizieren.

Oder verstehe ich da was falsch, ganz tief stecke ich da auch nicht drin.

[toxic_garden]

Das Token hier scheint ja dann auch bloß ein gehashtes Salt

*gesaltetes Hash

Ist das im Endeffekt aber nicht dasselbe?

würde ich nicht sagen. Das Passwort des Users kann ich zur Not erraten oder per Brute Force ermitteln. Den Hash der Hardware-IDs auf diese Art zu ermitteln, ist faktisch unmöglich.
Und klar, wenn der Angreifer - aus welchem Grund auch immer - Zugriff auf Beides hat, ist die 2FA auch egal. Aber in dem Fall hat man höchstwahrscheinlich ganz andere Probleme als sein EMail-Konto. ^^

[GoodLord]

Also normalerweise bedeutet 2FA genau das (jeden einzelnen Login bestätigen). Wenn man ein Gerät nur einmal autorisierten muss (vermutlich eher ein Programm), dann bedeutet das Letztendlich "nur" dass dafür ein separates Passwort generiert wird

nicht ganz richtig. Es wird kein Passwort generiert, sondern ein Token. Dieser Token ist i.d.R. ein individueller Hash-Wert, der sich aus verschiedenen Komponenten zusammensetzt, die pro Endgerät verschieden sind. Ganz stumpf simplifiziertes Beispiel: die Seriennummer der Festplatte, die UID des Mainboards und die Betriebssystemversion. Wenn ich also den Token dieses Endgeräts auf irgendeine Art entwende, kann ich damit trotzdem nichts anfangen, da der Hash nicht zu meiner Hardware passt.
Natürlich ist das von Anbieter zu Anbieter verschieden und es wird sicher auch welche geben, die mit weniger ausgeklügelten Regeln arbeiten, aber gerade große Anbieter wie Microsoft, Steam, Google usw. setzen schon lange auf sehr ausgefeilte 2FA-Verfahren.

Der Remote Server, der dann die Anfrage (nach der Autorisierung) akzeptiert kann aber ja meine Festplattenseriennummer nicht nachsehen und damit überprüfen, ob der Token tatsächlich vom ursprünglich autorisierten Gerät kommt. Der Email Client könnte das theoretisch (und dann müsste z.B. der Email-Client token+ (gehashte) Seriennummer übertragen), aber meines Wissens ist das so üblicherweise nicht implementiert. Ich müsste es jetzt nochmal selbst testen, aber IIRC wird dieser Token im Email client (also z.B. Outlook) wie ein ganz normales Passwort verwendet.

[GoodLord]

Ist das im Endeffekt aber nicht dasselbe?

würde ich nicht sagen. Das Passwort des Users kann ich zur Not erraten oder per Brute Force ermitteln. Den Hash der Hardware-IDs auf diese Art zu ermitteln, ist faktisch unmöglich.

Auch ein Passwort kann ich mit einem Passwortgenerator zufällig und entsprechend sicher erzeugen

Edit: Das werd ich mir aber natürlich nicht merken können um "mal schnell" an nem fremden PC meine mails zu checken.
Man sollte vielleicht auch erwähnen: Brute Force ist bei Passwörtern für Webservices eigentlich keine Gefahr dafür ist die Web-API viel zu langsam bzw. wird dann nach genug Fehlversuchen die Quelle vermutlich auch für ne Weile sperren oder zumindest die Antworten verzögern.

[toxic_garden]

Man sollte vielleicht auch erwähnen: Brute Force ist bei Passwörtern für Webservices eigentlich keine Gefahr dafür ist die Web-API viel zu langsam bzw. wird dann nach genug Fehlversuchen die Quelle vermutlich auch für ne Weile sperren oder zumindest die Antworten verzögern.

das stimmt natürlich. Aber in den meisten Fällen bedeutet "brute force" ja nicht, stumpf alle möglichen Zeichenkombinationen abzugrasen. Eher werden dictionary attacks benutzt, bei denen dann die üblichen Variationen (z.B. "p4ssw0rd" statt "password") probiert werden. Immer noch die stumpfeste und ineffizienteste Art, an ein Passwort zu kommen. Aber wie hier im Thread schon erwähnt wurde: Viele benutzen das selbe Passwort für mehrere Dienste. Wenn einer dieser Dienste dann bei have1beenp0nwned auftaucht, gibt es zumindest eine Chance, dass man sein Passwort in besagtem Dictionary wiederfindet. Aber das ist ja nicht unbedingt das Thema des Threads.

Und grundsätzlich: ja, der 2FA Token ist im Grunde auch "nur ein String", der mit übermittelt wird. Aber eben ein String, der nur auf dem Endgerät bekannt ist und als zusätzliche Barriere dient. Keine absolute 100% Garantie, aber wie ich finde eine nützliche, zweite Hürde als Zusatz zum regulären Passwort.

[Desotho]

Dazu ist alles, was sich mit 2FA absichern lässt so abgesichert. Das ganze per Authy, was die Syncronisation auf Handy und Tablet ermöglicht, das ist vielleicht nicht so sicher wie es nur auf dem Gerät zu haben, reduziert aber das Risiko sich selbst auszusperren gewaltig. Ich habe gerade geschaut, bei Authy sind mittlerweile ca. 25 Accounts hinterlegt, Email, Paypal, Playstation, Reddit, etc.

Das Authy Ding muss ich mir mal anschauen. Konnte das Google Ding nicht auch synchen?
Der Graus mit der 2FA ist ja immer das runternehmen und wieder aktivieren, beim Gerätewechsel -.-

Am Ende läuft es (meiner Meinung) eh darauf hinaus eine passende Balance zwischen Komfort und Sicherheit zu finden.