Gehackt trotz 2-Faktor-Authentifizierung: Wie ihr euch dagegen schützt | c’t uplink 48.2c

toller Beitrag, wie fast immer natürlich!
Allerdings zu solchen Themen zu sagen "ich hab kein iPhone" ist zwar legitim, aber in der Sache natürlich nicht schön.
Es gibt eine Menge iPhone Nutzer, die hier gerne eine Antwort gehabt hätten.
Das ist unglücklich vorbereitet würde ich sagen. Auch diese User verdienen Berücksichtigung.
Ansonsten recht gut gemacht. Besonders für Laien. Bin selber in der IT Security unterwegs und würde meinen sehr trefflich alles.
Über Phising lassen sich auch Bank Security Codes ergattern um Online Einkäufe zu bestätigen. Passiert derzeit doch recht häufig und ist nicht neu.
Die Banken zeigen sich dann übrigens meist nicht sonderlich kulant. Das Thema fehlt mir hier.

3:21 Hahahahaha!! Ja, was haben wir gelacht, gell?! Und tschüss lieber Kreis der Senbstgerechten, die da auf dem richtigen Pfad wandeln… Meine Güte wie albern!

Hey
c‘t uplink
Das Wissen kommt mit c‘t uplink
Das Team vom c‘t uplink immer wieder gern gesehen.
Hey Pina , Frau und Man gehören im Team immer zusammen. Dass ist Mental Power.
Pina,👍

Sehr informativ und vor allem interessant vielen Dank für die gute Arbeit viele Grüße aus Barcelona

Also ich kann die Kritik an der DKB nicht nachvollziehen. Mein password ist 16 Zeichen lang - zusätzlich muss ich meinen Fingerabdruck zum Eingang in die App und zusätzlich zur Bestätigung jeder Transaktion liefern. Ja und zusätzlich wird das bekannte Gerät und der Standort gesichert - neue Geräte und Standorte sind per Mail Abfrage zu bestätigen.

Was nicht behandelt wurde sind "falsche "2FA" Apps.
Selbst wenn es "OpenSource" ist, weiß man nicht sobald, wenn es im Store ist, ob es nicht doch eine Backdoor o.ä. beinhaltet. Es gab fälle wo die Angreifer die 2FA Codes über eine solche schädliche App bezogen haben. Es hat also ziemlich viel mit Vertrauen zu tun, ob man einer App im Store vertrauen kann.
Hier hättet ihr auch näher darauf eingehen müssen, wie erkenne ich eine vertrauenswürdige App und wie schütze ich sozusagen meinen 2-Faktor vor solchen Angriffen.

24:35 also mein PW bei der DKB hat 32 zeichen ...

Wie ist das mit dem Fido2 Key, wie wird der dann eingebunden? Ich habe bisher noch nie ein Login mit Fido2 gehabt?

Leute ihr redet viel drumherum. Was wäre für euch die Sicherste Methode

Nur mal kurz zu den Onlinebanking Passwörtern. Da haben viele, z.B. die Sparkassen immer wieder argumentiert, dass man ja nach Ablauf eines Zählers gesperrt wird. Die Sparkassen haben in Reaktion auf externe Kritik das fünf Zeichen Limit schon vor Jahren aufgehoben. Wer noch so eine Begrenzung hat und sich deshalb unsicher fühlt, bankt bei der falschen Bank.

Mich nervt diese Anmeldung an Webseiten extrem. Erst Zugangsdaten aus Passwortmanager abfragen (teilweise manuell, weil der die Seite nicht erkennt). Dann den 2 Faktor eingeben (meist erstmal Handy holen) und oft eben noch warten das die Abfrage auf dem Smartphone erscheint...
Gern würde ich Fido2 (als Stick) mehr nutzen, aber das bieten die wenigsten Seiten an :(

Tipp von einem Gehackten, dem quasi alles geklaut wurde: verbindet eure 2FA Codes NICHT mit eurem Google Account, besser wie hier erwähnt Yubikey. Lastpass unter Windows ist auch der totale Fehlschlag

Interessant wäre auch wenn ihr den reiner sct authenticator mal besprecht, wie sicher ist dieser? usw.

Wenn man einen Trojaner aufm PC hat, dann hat man ganz andere Probleme. Mir hat man Ende 2020 rum Session Cookies geklaut und hat so Google, Twitch und Facebook gehackt. Hat mich psychisch echt einen Schlag versetzt. Hab mich 4 Monate kaum noch an den PC getraut. Ich nutze KeePassXC und bin sehr zufrieden. Meine Datenbank liegt in einer Cloud und so hab ich mit jedem Gerät zugriff drauf. Zusätzlich werde ich mir jetzt noch einen YubiKey 5 bestellt.

Man müsste erstmal den Provider wissen. Sonst kann niemand was neues beantragen und dann geht die neue sim an die Adresse des rechtmäßigen Inhabers.

nachdem ich jetzt zwei Mal mein Masterpasswort von Lastpass vergessen habe, richte ich mir jetzt auch einen Yubikey ein und überlege wieder zurück zu Keepass zu gehen, wie ich es schon vor fast 20 Jahren verwendet habe. Keepass soll doch auch mit Yubikey funktionieren, oder?

Spannender Beitrag, aber am „Leben“ von durchschnittlichen Nutzern die Sicherheit möchten m.E. vorbei.

Der Microsoft- oder google-Authenticator funktioniert nicht, mit dem Hinweis, dass ich die Identität meiner Person nicht nachweisen kann. Mehrere Tage versucht. Vermutlich liegt es daran, dass ich nicht bereit bin, personenbezogene Daten an Microsoft zu senden. 😡

Was ist wenn der Yubikey kaputt ist oder verloren geht? Ist dann alles weg? Single pointing of failure?

Die Aussage von Pina ist nicht ganz richtig. Ich bin selber DKB Kunde und die haben vor geraumer Zeit, längere Passwörter als 5 Zeichen lange zugelassen. Allerdings habe ich es auch erst vor 1,5 Jahren mitbekommen, als ich ein neues Konto angelegt hatte. Aber das Bestandskonto ließ sich auch ohne Probleme ändern.

hi,
super Video.
Nutze 1Password mit den Einmalpasswörtern bei allen Webseiten wo es umsetzbar ist.

Also was ist jetzt das sicherste? Hab mir alles angeschaut und nur rausgehört: alles kann gehackt werden.

27:40 War c't 09/2022 gemeint?

haha xD Geil! Fängts auf einmal mit Bohren an! Wie das Leben manchmal spielt...

Yubikey geht mit i- phone!

2:48 Wenn wir schon bei Security als Thema sind: Nahaufnahmen von Schlüsseln besser vermeiden. Mind your OpSec.

Also bei meiner Bank sind es deitlich mehr als 5 Zeichen. Zusätzlich brauche ich meine Banking Pin. Logge mich aber selten über die Webseite ein , mache alles über die Banking Software. Per Smartphone rufe ich nur Kontostände ab.

Was ich viel schlimmer finde ist der Umstand, das ich nicht immer die TAN benötige wenn Überweisungen getätigt werden und der Umstand das ich die PIN über die Tastatur und nicht über den PIN-Pad des Gerätes eingeben muss. Das war mit meiner alten HBCI Karte anders. Da wurde die Pin über das Lesegerät eingegeben und die Karte wurde immer benötigt. Nach der Zwangsumstellung dann der quatsch.

Also mit irgendwelchen Mails, dass erstmals eine Anmeldung von einem fremden Account stattfindet, wird der normale User nur bei der Einrichtung eines neuen Gerätes konfrontiert. Da sollten schon bei der ersten Mail alle Alarmglocken angehen. Und für Tests als Heiseredakeur würde ich eine Extraemailadresse verwenden.

Zu behaupten, dass die OTP Codes nicht sicher sind, halte ich für irreführend. Man darf halt nicht ungeprüft irgendwelche URLs aus Phishing Mails verwenden.

24:34 Das mit den fünf Zeichen bei der DKB stimmt nicht. Da gehen deutlich mehr.

Ich nutze bisher den Google Authenticator. Aber aus bekannten Gründen (unverschlüsselt in die Cloud) überlege ich zur Authy Authenticator App zu wechseln. Was ich mich aber frage: Was ist im Falle einer Pleite vom Betreiber der App? Die App und die Firma war mir bisher völlig unbekannt. Und das Google Pleite geht halte ich für unwahrscheinlich. Oder würden die Apps auch bei einer evtl. Pleite mitsamt Abschaltung derer Server noch funktionieren???

Schön das ihr das Thema mal wieder aufgreift. Leider finde ich eure Aussagen manchmal nur so semi gut. Ein Passwortmanager der auch TOTP kann ist grundsätzlich nicht schlecht. Man sollte darauf achten, die Daten zu trennen. Passwörter in der einen Datenbank, TOTP in einer anderen.
Schade finde ich auch, dass ihr alle iOS Nutzer aussen vor lasst. Und zum Schluss, mein DKB Zugang hat deutlich mehr als 5 Zeichen! Freue mich schon auf die Folge mit den Banking Apps.
Bis dahin.

Die Banken werden es nie lernen, Stichwort: "die Magnetkarten sind sicher."

Es hatte schon seinen Grund, warum man beim Handynetz sehr früh auf aktive Chipkarten umgestiegen ist..

Hier muss eigentlich nur der Gesetzgeber mal ein Machtwort sprechen, bzw. Im Schadensfall den Banken die Schuld geben..

Ich kann die Kritiken an den SMS- und Authenticator-Verfahren nicht wirklich zustimmen.
Es werden (so grob wie es geschildert wurde) nie die Verfahren selbst ausgehebelt, sondern auf Schwächen der Beteiligten abgestellt.
Mein Telefonanbieter z.B. lässt die Änderung meiner Telefonnummern nicht von XY zu. Wenn das einer leichtfertig tut, ist nicht das Verfahren schuld,
sondern ein mieser Anbieter.
Und was bitte soll das mit den Session-Cookies? Ja, man kann auf Webseiten per Cookie "eingeloggt bleiben".
Aktueller Fall war der Angriff auf YT-Kanal "Linus Tech Tips".
Aber auch hier hat der Youtuber Linus Sebastian selbst zugegeben, dass der Fehler zu leichtfertiger Umgang mit Sicherheit im Team und vermeidbar war.
Und wer dann auf Bequemlichkeit setzt, hat das selbst so bestimmt. Das 2-Faktor-Verfahren selbst war nie das Problem.
Finde ich etwas schwach.

Wo gibts den coolen ct Sticker? Hätte ich gerne für meinen Mac 😊

...ich empfehle beim Einsatz von Yubi-Key's die Wohnungs- bzw. Bürosicherheit zu überprüfen bzw. verstärken! Holztüren gewinnen deutlich an Einbruchsicherheit, wenn die Einsteckschlösser aus Edelstahl bestehen!

Edelstahl ab einer bestimmten Werkstoffklasse ist nicht magnetisierbar und damit kann die Zuhaltung die den Riegel sichert von außen nicht mit einem Magneten nach oben gedrückt werden.

Böse Jungs und Mädels brechen auch schon mal Nachts ein wenn alle schlafen...

Wie schützt man sich? Indem man keine Dinge verwendet, die inhärent unsicher sind. Als da wären Smartphones, Cloud, Passwort-Manager usw. Und nebenbei noch den Verstand einschaltet, wenn man einen Rechner benutzt. Es gehört schon ein gehöriges Maß an Naivität oder Leichtsinn dazu, einen Phishing-Link oder einen ausführbaren Anhang in einer Mail anzuklicken.
Was redet diese Dame links im Bild eigentlich davon, bei der DKB könnte man nur 5-stellige Passwörter vergeben? Das mag vielleicht bei der DKB-App so sein, aber Bankgeschäfte mit dem Smartphone abzuwickeln ist mindestens so sicher wie ungeschützter Geschlechtsverkehr in einem südostasiatischen Bordell. Macht man Banking am PC mittels Browser bei der DKB, kann man natürlich ein längeres Passwort verwenden.
Warum wurde in dem Beitrag eigentlich nicht die Möglichkeit erwähnt, Banking am PC mittels Klasse3-Leser durchzuführen. Liegt es vielleicht daran, dass bei dieser, für die heutige Generation von c't-Lesern uncoolen Methode, faktisch keine technischen Angriffsmöglichkeiten existieren?

Was gegen Trojaner und Cookie Diebstahl hilft ist sich nach jeder Nutzung eines Dienstes wieder abzumelden, denn dann gibt es kein Session Cookie mehr. Macht aber den Workflow etwas nerviger.

Ich habe mich aus einem Grund gegen den Yubikey vs Authy Authenticator entschieden. Pina hat ihren Yubikey am Schlüsselbund. Möchte ich sie hacken wollen, würde ich ihr einfach den Key stehlen. Mein Authy Authenticator ist per Face ID geschützt, selbst wenn das Handy verloren geht kommt trotzdem niemand an den 2. Faktor. Diesen Punkt habt Ihr leider nicht besprochen, zudem jetzt jeder weiß dass Ihr einen Yubikey benutzt.

Gute und hilfreiche Infos. Vielen Dank.

Toller Podcast, aber bitte bitte benutzt eine Räuspertaste. Wenn man mit Kopfhörern hört, dann ist das Räuspern sehr unangenehm im Ohr.

Sie verkaufen es uns als Sicherheit, dabei wollen sie nur an noch mehr unserer Daten. Überall da, wo es angeboten wird, nutze ich diese Authentifizierung NICHT.

Schurken die ihre Schnurbärte zwirbeln sind leicht zu erkennen, die jedoch, die sich in gute Taten kleiden sind hervorragend getarnt.

In meiner Firma ist die VPN Verbindung, für Home-Office, über ein Yubi-Key gesichert und das Windows Passwort muss min. 12 Stellen haben, das alle 90 Tage geändert werden muss. Wenn das Windows Passwort 10x falsch eingegeben wurde, wird der Laptop über Bitlocker gesperrt und kann nur über den Helpdesk mit einem bitlocker recovery key wiederfreigeschalten werden. 😇

Ist es dann richtig das man YubiKey in Netzwerken mit einem Proxy nicht verwenden kann?

Genau!