1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hohe Phishing-Quote: So einfach…

Erfolgsrate 20-25% soll hoch sein ?

  1. Thema

Neues Thema Ansicht wechseln


  1. Erfolgsrate 20-25% soll hoch sein ?

    Autor: senf.dazu 23.10.16 - 16:11

    Wieviel von diesen Usern hätten das technische Verständnis selbst so einen Hack zu konzipieren ? Und sind gerade dadurch potentielle Opfer ? 10% ? 5% ?

    Das aktuelle passwortbasierte Schutzsystem ist eben keins sondern ne Krankheit.

    Sowas auf Normaluser loszulassen ist eigentlich verantwortungslos bis fahrlässig. Der Stand der Technik erlaubt sicherlich es inzwischen besser zu machen.



    2 mal bearbeitet, zuletzt am 23.10.16 16:15 durch senf.dazu.

  2. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: Proctrap 23.10.16 - 16:30

    Genau, du gibst mit der neuen Technik dann (Finger)abdrücke ab oder einen USB-Stick der den Key enthält, oder eine Stimme und authentifizierst dich damit.
    Dann kann keiner mehr dein Passwort klauen.
    Stattdessen musst du dann diese Daten bei einer Website eingeben, was ja bei Phishing nur mit Passwörtern geht, da nicht veränderbare Dinge wie biometrische Daten dem Server für einen Abgleich nicht gesendet werden müssen.
    Ach ne, moment, warte, ist ja das selbe Problem, nur dass dein "Passwort" dann fest ist, ein hochauflösendes Foto reicht oder jemand eine Aufnahme machen kann. Aber stimmt schon, Passwörter müssen weg, echt schlimm so etwas.

    Wer Ironie findet darf sie behalten.

    ausgeloggt kein JS für golem = keine Seitenhüpfer

  3. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: SchmuseTigger 23.10.16 - 17:02

    Jau, eins der wenigen Systeme die gehen würde wäre sowas wie in Hand Venen Scanner den z.B. Apotheken benutzen.

    Extrem schwer zu fälschen (es muss Blut fließen, also einfache Kopie wie bei Retina und Fingerabdruck reichen nicht) und man hat den Vorteil das man das irgendwo hinterlegen kann ohne das man sich damit "sonst" was anfangen kann (siehe Fingerabdruck).

    Aber selbst dann wäre man gegen Phirshing + Man in the middle nicht unangreifbar.

  4. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: kazhar 23.10.16 - 18:20

    SchmuseTigger schrieb:
    --------------------------------------------------------------------------------
    > Jau, eins der wenigen Systeme die gehen würde wäre sowas wie in Hand Venen
    > Scanner den z.B. Apotheken benutzen.

    Biometrie hat einen gewaltigen Nachteil: sollte aus irgend einem Grund dein "Geheimnis" öffentlich werden - egal ob jemand einen cleveren Venenhandschuh erfindet oder schlicht und ergreifend der Netzwerktraffic reverse engineered wird - ist das System am Ende. Fingerabdrücke, Retina und Venenmuster lassen sich nunmal nicht so einfach ändern wie ein Passwort oder ein Zertifikat.

  5. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: GabenBePraised 23.10.16 - 18:38

    senf.dazu schrieb:
    --------------------------------------------------------------------------------
    > Das aktuelle passwortbasierte Schutzsystem ist eben keins sondern ne
    > Krankheit

    Die grösste Sicherheitslücke ist immer der Mensch. Beim Phishing geht es ja auch zum Teil um Social Engineering: Wie krieg ich jemanden dazu auf einen Link zu drücken? Das Problem ist nicht das passwortbasierte Einloggen, ich würde sogar behaupten dass es gar nicht besser geht. Denn der Schlüssel liegt in deinem Gedächtnis und man kann Leuten nur vor den Kopf schauen ;) Alles andere kann man klauen oder nachbilden.

  6. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: Dummkopf 23.10.16 - 18:40

    SchmuseTigger schrieb:
    --------------------------------------------------------------------------------
    > Jau, eins der wenigen Systeme die gehen würde wäre sowas wie in Hand Venen
    > Scanner den z.B. Apotheken benutzen.
    >
    > Extrem schwer zu fälschen (es muss Blut fließen, also einfache Kopie wie
    > bei Retina und Fingerabdruck reichen nicht) und man hat den Vorteil das man
    > das irgendwo hinterlegen kann ohne das man sich damit "sonst" was anfangen
    > kann (siehe Fingerabdruck).

    Schonmal von 3D-Druckern gehört? Damit ließe sich sicher auch eine Hautoberfläche mit Kapillaren nachbilden, wo man dann eine angewärmte, farbige Flüssigkeit fließen lassen kann.

  7. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: AlexanderSchäfer 23.10.16 - 19:08

    Sie hätten den Nutzern eben jeweils einen YubiKey kaufen sollen. Bei 108 Angestellten sollten dafür die Kosten ja kein Problem sein, gerade man Million Spendengelder bekommt.

  8. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: nille02 23.10.16 - 19:20

    GabenBePraised schrieb:
    --------------------------------------------------------------------------------
    > Das Problem ist nicht das passwortbasierte Einloggen, ich
    > würde sogar behaupten dass es gar nicht besser geht. Denn der Schlüssel
    > liegt in deinem Gedächtnis und man kann Leuten nur vor den Kopf schauen ;)
    > Alles andere kann man klauen oder nachbilden.

    Ich finde Smartcards mit Pin ganz gut. Wenn der PIN X mal falsch eingegeben wird, sollte die Karte die Schlüssel löschen.

    Aber für mich wäre es schon mal ein Anfang, wenn die Anbieter nicht so absurde Passwort Regeln Beschränkungen hätten. Warum nur Lateinische Buchstaben? Wieso nur bis zu 16/32 Zeichen?

  9. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: serra.avatar 23.10.16 - 21:29

    da hast du Recht solange die Sicherheitslücke vor der Tastatur sitzt, ist dagegen kein Kraut gewachsen!

    Allerdings braucht es auch keine Große Social Engineering Künste, solange ein Titten.jpg.exe oder auf ALDI / Firmen Parkplätze "verlorener" USB Key noch bei 50% erfolgreichem Infiltrieren landet, braucht man sich nicht wundern!
    Genauso ein Unding geh mal durch die Firma und zähl die Zettel mit PW die unter hinter oder an Monitor Tastatur kleben und dann kommt abends die Putzkolone ;p

    Willst du etwas sicher machen musst du zu aller erst den menschlichen Faktor eliminieren!

    _________________________________________________________________
    Gott vergibt, ich nicht!

  10. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: serra.avatar 23.10.16 - 21:31

    und? dann loggt sich dein User sauber mit nem Yubikey ein um dann auf Titten.jpg.exe zu klicken ... yeah Safetywin auf voller Linie!

    Kannste ja selber testen ... muss ja keine Schadroutine hinter sein, einfach eine Benachrichtigung an dich wenn die geklickt wurde ... ich wett da liegt die Erfogsrate bei 50%! Siehe mein Beitrag oben, erschreckend wenn man dem nachgeht, wie einfach das doch ist. Noch erschreckender das dabei auch immer ITler drunter sind.

    _________________________________________________________________
    Gott vergibt, ich nicht!



    5 mal bearbeitet, zuletzt am 23.10.16 21:36 durch serra.avatar.

  11. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: Moridin 23.10.16 - 22:14

    senf.dazu schrieb:
    --------------------------------------------------------------------------------
    > Das aktuelle passwortbasierte Schutzsystem ist eben keins sondern ne Krankheit.
    > Sowas auf Normaluser loszulassen ist eigentlich verantwortungslos bis
    > fahrlässig.

    Finde ich nicht, in den allermeisten Fällen sind Passwörter ausreichend sicher.
    Daher würde eine Zwang zu anderen Authentifizierungsmaßnahmen z.B. von mir auch nicht akzeptiert werden.

  12. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: senf.dazu 24.10.16 - 10:16

    Also gegen tumbes Phishing würde bereits helfen wenn man irgendeinen Hardwaredongle, sei es NFC, dein Handy, Smartcard, selbst einen USB Dongle ins Spiel bringt. Und wenn man sowas mit einem Passwort kombiniert (ich rede von einem Passwort für alles weitgehend ohne irgendwelche dämlichen Passwortregeln) hat man keine schlechtere Sicherheit als ohne Passwort.
    Von Biometrie hab ich nirgendwo geredet. Und gegen dein Gelaber läßt sich einwenden das man den Biometrischen Test durchaus auch auf dem lokalen Gerät (z.B. Handy) machen kann - dann geraten die Biometriedaten nicht in andere Hände. Und wieviel Sicherheitsmerkmale (hardwaredongle, Paßwort-ok, Biometrie-ok) für eine Webseite dann konkret verwendet werden kann man ja durchaus variieren. Manchmal reicht einem vielleicht Handychip und Biometrie manchmal muß es eben das volle Programm inkl. (des einen) Passwortes sein.
    Mich stört eher das es keine solchen durchgängigen Sicherungsangebote gibt sondern NUR Wildwuchs - der eine sichert so der andere so und alle halbgar. Und der normale Benutzer ist dadurch ziemlich angeschissen.
    Ich bleibe dabei - Computerhersteller und Handyhersteller die sich nicht aktiv um das Entwickeln und Anbieten von Sicherheitsmechanismen kümmern genügen nicht dem Stand der Technik und handeln deswegen fahrlässig. Dinge wie Phishing müßten nicht mehr sein.

  13. "die größte Sicherheitslücke ist der dumme Mensch"

    Autor: senf.dazu 24.10.16 - 10:40

    jaja das ist der übliche bequeme Spruch eines jeden Herstellers von Computern, Handys, Webseiten, Banken, usw. Aussprechen erwirkt dann eine Generalerlaubnis auf Sicherungsmaßnahmen ganz zu verzichten. Du solltest dich jetzt schämen.

    Ein normaler Mensch ohne technisches Verständnis sollte sich Gerätschaften kaufen können mit denen er z.B. im Internet Surfen, Kommunizieren, Banken, Officen kann - ohne das er sich um Sicherheitsfettnäpfchen tschuldigung -Fässer trampelt.

    Phishing im Sinne von Paßwort verraten läßt sich durch Hardwaredongles vermeiden. Click auf .exe oder Ähnliche Links läßt sich vermeiden indem der Computer sowas eben nicht erlaubt. Wenn man z.B. Apps nur aus einem Store runterladen kann, Dokumente aus dem Netz in einer Sandbox ausgeführt werden, und bei Runterladen von Dokumenten die aktiven Inhalte rausgelöscht werden ist wär man schon ein paar Schritte weiter.

    Ich schätze mal das wenn irgendein Anbieter - wie z.B. Apple - sein neues Macbook Air mit derartigen Restriktionen ausstatten würde - und als glaubhafte Botschaft mitliefert "wir tun alles für Ihre Sicherheit - sie müssen sich nicht drum kümmern - sie haben nur als kleinen Nachteil das sie nicht drauf programmieren können und eine etwas begrenzte Auswahl von Apps" dann würde das wohl reichlich DAUs als Käufer finden.
    Selbst für die vermeintlich pfiffigen User mit vermteinlichem Technikverständnis die meinen mehr zu brauchen würden sich das vielleicht als Zweitcomputer fürs Banking zulegen ..

  14. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: senf.dazu 24.10.16 - 10:47

    An sich wohl ne Lösung in die richtige Richtung. Aber leider vom falschen Hersteller. Als DAU oder selbst als Mensch mit technischem Verständnis könnte ich nicht entscheiden ob das jetzt einen Sicherheitsgewinn bedeutet oder nicht. Die Gesamtlösung besteht ja nicht nur aus dem Key sondern auch noch einem Passwortmanager, einem Webbrowser und einem OS und einem Computer. Und die "Sicherheitsarchitektur" als Ganzes ist kein Standard, nicht bei jedem Gerät dabei, und die Hersteller der verschiedenen Gerätschaften können sich die Schuld gegenseitig zuschieben.

    Also wenn sowas z.B. von Apple und anderen "vertrauenswürdigen" Herstellern mit dem erklärten Ziel den Rechner sicherer zu machen käme - wär das wohl eine Lösung - so bleiben Zweifel.

  15. Re: Erfolgsrate 20-25% soll hoch sein ?

    Autor: senf.dazu 24.10.16 - 10:58

    Im Prinzip seh ich das genauso - EIN Paßwort sollte es OPTIONAL noch geben können. Bei Online-Banking hab ich aus ebendiesem Grunde selbst mit Mühe nochne Bank gefunden die noch PIN/TAN macht. HBCI (mit PIN) wär auch noch ok auch wenn die Lösung insgesamt ziemlich krank (nach jedem Update geht irgendwas nicht) konzipiert ist und auch von den meisten Banken aus dem Verkehr gezogen ist.

    Aber das man Zig Passwörter braucht und jedwede Systematik beim Konstruieren von Passworten durch überall unterschiedliche Passwortregeln zerstückelt wird macht das System im Endeffekt unsicher. Ein Passwort für alles zu behalten wär sicher wünschenswert - bei Webanwendungen bei denen die Entwendung wirklich Schaden verursacht. Wenn man nur eines hat kann man das sogar gelegentlich mal auswechseln.

    Aber andereseits sind solche Dinge wie Phishing (durch ungewolltes Passwort verraten) bei einem schichten nur Passwort System nicht vermeidbar - obwohl das schon machbar wäre. Durch z.B. irgendeinen Hardwaredongle(Handy, NFC, Chipkarte..). Und das sollte man dann auch IMMER tun.



    5 mal bearbeitet, zuletzt am 24.10.16 11:13 durch senf.dazu.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Expertinnen bzw. Experten Qualitätssicherung Softwareentwicklung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. IT-Systemadministrator*in (m/w/d)
    Universität Osnabrück, Osnabrück
  3. Category Development Manager / Space Planning (w/m/d)
    dm-drogerie markt GmbH + Co. KG, Karlsruhe
  4. IT-Administrator*in (m/w/d)
    Possehl Spezialbau GmbH, Sprendlingen (Home-Office)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. gratis (bis 17.06.
  2. 54,49€
  3. 59,99€ (PC), 69,99€ (Xbox One/PS4), 79,99€ (Xbox Series X/PS5) - Release 22.10.


Haben wir etwas übersehen?

E-Mail an news@golem.de


Geforce RTX 3080 Ti: Nvidia gießt kannenweise Öl ins Feuer
Geforce RTX 3080 Ti
Nvidia gießt kannenweise Öl ins Feuer

Wenn sich Menschen um ein Exemplar der Geforce RTX 3080 Ti drängeln und schubsen, dann läuft etwas falsch. Nvidia, AMD und Co. müssen handeln.
Ein IMHO von Oliver Nickel

  1. Geforce RTX 3080 Ti im Test Nvidias Ti-tan mit halbem Speicher
  2. Lite Hash Rate Geforce RTX 3000 mit Mining-Drossel sind da
  3. Geforce RTX 3050 (Ti) Nvidia bringt kleinste Laptop-Raytracing-Grafik

TECH TALKS: Kann Europa Chips?
TECH TALKS
Kann Europa Chips?

In eigener Sache Die Autobauer leiden unter Chip-Mangel, die EU will mehr Chips in Europa produzieren. Doch ist das realistisch? Über dieses und weitere spannende Themen diskutiert die IT-Branche am 10. Juni bei den Tech Talks von Golem.de und Zeit Online.

  1. TECH TALKS Drohnen, Daten und Deep Learning in der Landwirtschaft
  2. In eigener Sache Englisch lernen mit Golem.de und Gymglish
  3. Tech Talks Eintauchen in spannende IT-Themen und Jobs für IT-Profis

Kryptominer in Anti-Virensoftware: Norton 360 jetzt noch sinnloser
Kryptominer in Anti-Virensoftware
Norton 360 jetzt noch sinnloser

Als wäre Antiviren-Software wie Norton 360 nicht schon sinnlos genug, preist diese nun auch Kryptomining an. Sicherheit bringt das nicht.
Ein IMHO von Moritz Tremmel und Sebastian Grüner

  1. Kryptowährungen 69 Millionen US-Dollar für NFT eines digitalen Kunstwerks
  2. Kryptokunst Schlechte Idee, NFT