1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › CCC: Youtube-Kanal des Chaos Computer…

Kein MFA aktiviert?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kein MFA aktiviert?

    Autor: Nasenbaer 31.03.20 - 01:32

    Mich würde interessieren wie der Kanal übernommen wurde. Ich vermute an der Authentifizierung von Google/Youtube wird es nicht gelegen haben.
    Und mit MFA sollte das ganze beinahe unmöglich sein.

  2. Re: Kein MFA aktiviert?

    Autor: wanne 31.03.20 - 02:21

    Das Umgekehrte ist der Fall. Dieses ganze multifaktor Bullshit verkrüppelt nur die Nutzung. Wer das Secret in 2nd-Factor hat, kann sich problemlos ausschließlich mit dem Authentifizieren. Und der ist zu 99% nicht einseh und updatebar.

  3. Re: Kein MFA aktiviert?

    Autor: mw.121124 31.03.20 - 08:41

    Nasenbaer schrieb:
    --------------------------------------------------------------------------------
    > Und mit MFA sollte das ganze beinahe unmöglich sein.
    Vertraue der MFA nicht zu viel ...

    War zwar bei einem anderen Unternehmen, aber trotzdem keiner von den kleinen - namentlich UbiSoft.
    Hatte einmal eine EMail bekommen, das "ich mich aus dem Congo eingeloggt haben soll. wenn ich das nicht war, dann PW ändern und MFA einschalten".
    Habe mich also umgehend eingeloggt und beim einloggen wurde eben auch MFA überprüft. Also Anfrage an den Support, warum sich jemand einloggen hat können, obwohl MFA bereits aktiviert war. Als Antwort kam: Der hat sich über eine Oberfläche eingeloggt, wo es noch keine MFA gibt.

  4. Re: Kein MFA aktiviert?

    Autor: sunrunner 31.03.20 - 09:52

    Vermutlich genau wie die anderen User. Über einen Link der per Mail verschickt wird, wird die aktive Google Session auf den Server des "Angreifers" kopiert.
    Damit hat der Hacker sofort Zugriff auf deinen Account, bzw auf alle Dienste, die über die Google Login-Session laufen.
    Danach kann der Angreifer einen CCO zu dem Kanal hinzufügen, diesen zum CEO befördern und den "alten" CEO löschen und somit aussperren.
    Das alles geht in einer einzigen Session, dauert max. 2 Minuten, wenn man weiß wo man hin möchte und der alte Nutzer hat keinen Kanal mehr. Während der gesamten Zeit muss man bei Google kein einziges mal sein Passwort neu eingeben!!!
    Aber wenn ich an meinem Chrome Browser meien Passwörter einsehen möchte muss ich 2-3x mein Passwort eingeben.... ich verstehe den Sinn dahinter einfach nicht....

  5. Re: Kein MFA aktiviert?

    Autor: redmord 31.03.20 - 11:01

    mw.121124 schrieb:
    --------------------------------------------------------------------------------
    > Nasenbaer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und mit MFA sollte das ganze beinahe unmöglich sein.
    > Vertraue der MFA nicht zu viel ...
    >
    > War zwar bei einem anderen Unternehmen, aber trotzdem keiner von den
    > kleinen - namentlich UbiSoft.
    > Hatte einmal eine EMail bekommen, das "ich mich aus dem Congo eingeloggt
    > haben soll. wenn ich das nicht war, dann PW ändern und MFA einschalten".
    > Habe mich also umgehend eingeloggt und beim einloggen wurde eben auch MFA
    > überprüft. Also Anfrage an den Support, warum sich jemand einloggen hat
    > können, obwohl MFA bereits aktiviert war. Als Antwort kam: Der hat sich
    > über eine Oberfläche eingeloggt, wo es noch keine MFA gibt.

    Was hat das mit MFA zu tun, dass der Betreiber für alte Plattformen eine dumme Lösung gewählt hat?

  6. Re: Kein MFA aktiviert?

    Autor: redmord 31.03.20 - 11:03

    wanne schrieb:
    --------------------------------------------------------------------------------
    > Das Umgekehrte ist der Fall. Dieses ganze multifaktor Bullshit verkrüppelt
    > nur die Nutzung. Wer das Secret in 2nd-Factor hat, kann sich problemlos
    > ausschließlich mit dem Authentifizieren. Und der ist zu 99% nicht einseh
    > und updatebar.

    MFA ist für die Absicherung von Zugängen essentiell. Natürlich kann man das nachträglich nicht wieder einsehen! Aber neu setzen.

  7. Re: Kein MFA aktiviert?

    Autor: ibsi 31.03.20 - 13:36

    Korrekt. Dafür kann man meist doch ein extra Passwort festlegen, das ohne 2fa durch geht (Google zum Beispiel)

  8. Re: Kein MFA aktiviert?

    Autor: Nasenbaer 31.03.20 - 19:10

    wanne schrieb:
    --------------------------------------------------------------------------------
    > Das Umgekehrte ist der Fall. Dieses ganze multifaktor Bullshit verkrüppelt
    > nur die Nutzung. Wer das Secret in 2nd-Factor hat, kann sich problemlos
    > ausschließlich mit dem Authentifizieren. Und der ist zu 99% nicht einseh
    > und updatebar.

    Ja das ist absoluter Stuss. Richtig umgesetzt, ist MFA ein wirklicher Mehrwert.

  9. Re: Kein MFA aktiviert?

    Autor: Nasenbaer 31.03.20 - 19:12

    Ja diese Fallbacklösungen, oft Gerätepasswörter genannt, sollten dann natürlich bei der ersten Nutzung an das Gerät/Software gebunden sein. Nutzt man es von woanders aus, sollte ein neues PW nötig sein.
    So sehe ich das jedenfalls, aber ist in der Praxis vermutlich schwer ein eindeutiges Gerätekennzeichen zu erhalten, gerade weil dieser Weg ja für Legacyprodukte gedacht ist.

  10. Re: Kein MFA aktiviert?

    Autor: Nasenbaer 31.03.20 - 19:13

    sunrunner schrieb:
    --------------------------------------------------------------------------------
    > Vermutlich genau wie die anderen User. Über einen Link der per Mail
    > verschickt wird, wird die aktive Google Session auf den Server des
    > "Angreifers" kopiert.
    > Damit hat der Hacker sofort Zugriff auf deinen Account, bzw auf alle
    > Dienste, die über die Google Login-Session laufen.
    > Danach kann der Angreifer einen CCO zu dem Kanal hinzufügen, diesen zum CEO
    > befördern und den "alten" CEO löschen und somit aussperren.
    > Das alles geht in einer einzigen Session, dauert max. 2 Minuten, wenn man
    > weiß wo man hin möchte und der alte Nutzer hat keinen Kanal mehr. Während
    > der gesamten Zeit muss man bei Google kein einziges mal sein Passwort neu
    > eingeben!!!
    > Aber wenn ich an meinem Chrome Browser meien Passwörter einsehen möchte
    > muss ich 2-3x mein Passwort eingeben.... ich verstehe den Sinn dahinter
    > einfach nicht....
    Das Klingt tatsächlich ziemlich plausibel. Der Mensch ist immer noch das leichteste Ziel.
    Fehler ist hier halt, dass keine Re-Authentifizierung für sicherheitskritische Änderungen nötig ist. Spätestens die Ernennung zum CEO, sollte eine vollständige erneute Authentifizierung erfordern.

  11. Re: Kein MFA aktiviert?

    Autor: Bluejanis 01.04.20 - 09:37

    Wie funktioniert der erste Schritt denn?
    Google sollte doch sicher nicht deine Session an andere Personen kopieren.

  12. Re: Kein MFA aktiviert?

    Autor: Aki-San 01.04.20 - 13:28

    MFA Probleme bei YT sind nichts neues. Durchaus einige der Kanäle die gehackt wurden, hatten MFA. Oftmals liegt das Problem bei YT/Google und unsauberem Handling.

  13. Re: Kein MFA aktiviert?

    Autor: Nasenbaer 01.04.20 - 21:39

    Bluejanis schrieb:
    --------------------------------------------------------------------------------
    > Wie funktioniert der erste Schritt denn?
    > Google sollte doch sicher nicht deine Session an andere Personen kopieren.

    Hmm gute Frage. Wie kommt man denn prinzipiell an die Session? Also den ersten Faktor, sprich username+passwort kann man ja noch nicht phishen aber da bekommst den 2. Faktor nicht überwunden. Und ne aktive Session klauen... hätte ich jetzt auch keine Idee und dachte Zugriff auf fremde Cookies, localstore usw. ist mittlerweile ziemlich gut abgesichert? Aber hab auch keine Ahnung vom Hacken von Webseiten.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Gesellschaft zur Verwertung von Leistungsschutzrechten mbH (GVL), Berlin
  2. Hays AG, Hünfelden
  3. GKV-Spitzenverband, Berlin
  4. Deutsche Rentenversicherung Rheinland, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 29,99€
  3. (-15%) 46,74€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kryptographie: Die europäische Geheimdienst-Allianz Maximator
Kryptographie
Die europäische Geheimdienst-Allianz Maximator

Mit der Maximator-Allianz haben fünf europäische Länder einen Gegenpart zu den angelsächsischen Five Eyes geschaffen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Security Bundestagshacker kopierten Mails aus Merkels Büro
  2. Trumps Smoking Gun Vodafone und Telefónica haben keine Huawei-Hintertür
  3. Sicherheitsforscher Daten durch Änderung der Bildschirmhelligkeit ausleiten

Echo Auto im Test: Tolle Sprachsteuerung und neue Alexa-Funktionen
Echo Auto im Test
Tolle Sprachsteuerung und neue Alexa-Funktionen

Im Auto ist die Alexa-Sprachsteuerung noch praktischer als daheim. Amazon hat bei Echo Auto die wichtigsten Einsatzzwecke im Fahrzeug bedacht.
Ein Test von Ingo Pakalski

  1. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto
  2. Echo Flex mit zwei Modulen im Test Gut gedacht, mäßig gemacht
  3. Amazon Zahlreiche Echo-Modelle nicht mehr bis Weihnachten lieferbar

Außerirdische Intelligenz: Warum haben wir noch keine Aliens gefunden?
Außerirdische Intelligenz
Warum haben wir noch keine Aliens gefunden?

Seit Jahrzehnten gucken wir mit Teleskopen tief ins All. Außerirdische haben wir zwar bisher nicht entdeckt, das ist aber kein Grund, an ihrer Existenz zu zweifeln.
Von Miroslav Stimac


    1. Amazon: Prime Video erhält Profile
      Amazon
      Prime Video erhält Profile

      Amazon liefert eine immer wieder gewünschte Funktion in Prime Video nach und erlaubt künftig Profile für bis zu sechs Zuschauer.

    2. Chilisoße: Tencent offenbar von Game-Key-Betrügern reingelegt
      Chilisoße
      Tencent offenbar von Game-Key-Betrügern reingelegt

      Einen hohen Schaden sollen Betrüger bei Tencent verursacht haben - mit einem vorgetäuschten E-Sport-Deal rund um Chilisoße.

    3. Motorola: Moto G 5G Plus kostet ab 350 Euro
      Motorola
      Moto G 5G Plus kostet ab 350 Euro

      Mit dem Moto G 5G Plus bringt Motorola den schnellen Netzstandard ins Mittelklassesegment. Dazu kommen eine Vierfachkamera und ein großer Akku.


    1. 17:00

    2. 16:58

    3. 16:03

    4. 15:50

    5. 15:34

    6. 15:15

    7. 15:00

    8. 14:51