1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internetdienste: Ermittler sollen…

Leute, ihr denkt zu eingleisig was Logins angeht

  1. Thema

Neues Thema Ansicht wechseln


  1. Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: Sharra 15.12.19 - 15:01

    Hier wird darüber diskutiert, dass Passwörter ja gar nicht gespeichert würden, dass 2FA sicherer wäre, und so weiter. Leute: Geschenkt.
    Was hindert denn den Betreiber daran die Datenbank zu erweitern um ein Feld "passphrase2"?
    Wird das beim Login angegeben, statt eurer validen Logindaten, bekommt man trotzdem Zugang zum Konto.
    Das ganze würde erst dann interessant, wenn der Content lokal beim Betreiber mit euren Logindaten verschlüsselt wäre. Denn dann würde ein alternative Login nichts bringen. Ist das irgendwo so? In extremen Ausnahmefällen vielleicht. In aller Regel nicht.

    Meine Güte, bei manchen Türstehern kommt man auch vorbei, wenn man a) eine Einladung hat, oder b) eine "Einladung" mit einer 1 und 2 Nullen vorlegt.

    Vielmehr würde mich interessieren, was mit den Login-Benachrichtigungen passiert, die ja automatisch verschickt werden. "IP xxx.xxx.xxx.xxx hat sich um xx:yy aus der Region Musterstadt auf ihr Konto eingeloggt". Müssen diese Meldungen unterdrückt werden? Oder bekommt man da quasi durch die Blume gesagt, dass IP-des-BKA-s auf meinem Account schnüffeln war?

  2. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: redmord 15.12.19 - 15:35

    Für eine athorisierte Session benötigt man kein Login. Nur das Okay des Betreibers.

  3. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: wolve 15.12.19 - 15:36

    Laut dem Artikel werden Provider gezwungen UNEINGESCHRÄNKT Zugang zu Nutzerkonten rauszugeben, wenn eine Behörde danach fragt.

    Also ist es egal, wieviele Passwörter oder Hinweise darauf verwendet werden.

    Und das alles OHNE Gerichtsbeschluss!

  4. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: tatiplut 15.12.19 - 16:21

    Da muss ich Ihnen vollumfänglich zustimmen.
    Allerdings muss der Diensteanbieter dazu nicht mal seine Anwendung anpassen, sondern kann die gewünschten Daten einfach direkt auf der Datenbank abfragen, ohne sich um die Authentifizierung des Nutzers zu kümmern.

    Hier würde wie erwähnt nur eine Verschlüsselung helfen (sinnvollerweise auf dem Endgerät des Nutzers und überprüfbar).

  5. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: robinx999 15.12.19 - 16:43

    > Das ganze würde erst dann interessant, wenn der Content lokal beim
    > Betreiber mit euren Logindaten verschlüsselt wäre. Denn dann würde ein
    > alternative Login nichts bringen. Ist das irgendwo so? In extremen
    > Ausnahmefällen vielleicht. In aller Regel nicht.
    >
    Zumindest Google macht es bei dem Gerätebackup und dies könnte für den ein oder anderen Ermittler evtl. schon interessant sein und da gibt es dann bestimmt wieder einen Aufstand wenn Google das nicht rausrückt
    https://www.heise.de/security/meldung/Android-Pie-Google-knuepft-Backup-Verschluesselung-an-geraetespezifische-Passcodes-4191017.html

  6. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: Jonny Dee 15.12.19 - 19:57

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Hier wird darüber diskutiert, dass Passwörter ja gar nicht gespeichert
    > würden, dass 2FA sicherer wäre, und so weiter. Leute: Geschenkt.
    > Was hindert denn den Betreiber daran die Datenbank zu erweitern um ein Feld
    > "passphrase2"?
    > Wird das beim Login angegeben, statt eurer validen Logindaten, bekommt man
    > trotzdem Zugang zum Konto.
    > Das ganze würde erst dann interessant, wenn der Content lokal beim
    > Betreiber mit euren Logindaten verschlüsselt wäre. Denn dann würde ein
    > alternative Login nichts bringen. Ist das irgendwo so? In extremen
    > Ausnahmefällen vielleicht. In aller Regel nicht.

    Bei Posteo ist das z.B. so. Aber auch hier gibt es technische "Abhilfe". Man generiert auf Serverseite einen zufälligen Schlüssel, mit welchem die Daten des Benutzers verschlüsselt werden. Dieser Schlüssrl wird mit dem Benutzerpasswort verschlüsselt gespeichert. Nur damit lässt sich dieser Schlüssel wieder entschlüsseln und die Daten anschließend auch. Speichert man den ursprünglichen Schlüsseln aber auch noch verschlüsselt mit Passwort2, dann kann man auch mit diesem die Benutzerdaten wieder entschlüsseln. Leider :-(

  7. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: User_x 15.12.19 - 22:37

    Traffic beim ISP für einen Anschluss spiegeln.
    Verschlüsselten Traffic mittels Charakteristik für bekannte Webseiten ausfiltern.
    Was bleibt ist individueller Traffic der anhand Verkehrsdaten nochmals gefiltert wird.

    Diesen Filtersatz dann erneut heuristisch auf Plausibilität prüfen und die beteiligten Systeme analysieren. Ggf. die Betreiber kontaktieren. In der Regel reicht es ja die Zugriffe mit Uhrzeit und Anschluss gegenzuprüfen.

    Ist natürlich alles Arbeit! Wenn man aber natürlich (wie es als Idee gedacht ist) alles Serviert bekommt - dann braucht man keine Ermittler, sondern direkt Richter.

  8. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: chellican 16.12.19 - 01:30

    redmord schrieb:
    --------------------------------------------------------------------------------
    > Für eine athorisierte Session benötigt man kein Login. Nur das Okay des
    > Betreibers.

    Kann man so machen, ist dann eine implementierte Sicherheitslücke, bei der die Haftung zu klären ist.
    Passwörter sind aus Behördensicht sicher spannender, da diese bei Otto-Normal-User recycled werden können.
    Völlig unfassbar ist auch das Thema ‚Gefahr in Verzug‘. Was ist, wenn ein Richter das hinterher anders sieht? Ne schnöde Entschuldigung wird da nicht reichen.

  9. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: Bradolan 16.12.19 - 06:31

    redmord schrieb:
    --------------------------------------------------------------------------------
    > Für eine athorisierte Session benötigt man kein Login. Nur das Okay des
    > Betreibers.


    Stelle ich mir bei verschlüsselten Daten schwer vor. Angenommen du hast so ne Art Dropbox Account, wo alle dahinterliegenden Daten mit deinem Passwort verschlüsselt sind und das ist das Killerfeature des Anbieters, dann würde dem die Pleite drohen, wenn es eine Entschlüsselung dafür gäbe.

    Oder End-To-End Encryption wie in Threema, WhatsApp und Co., wie soll das gehen?

  10. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: Pluto1010 16.12.19 - 06:46

    Wie läuft das eigentlich bei Mega Upload? War das nicht so, das sie da alles verschlüsselt speichern?

  11. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: mambokurt 16.12.19 - 08:08

    Pluto1010 schrieb:
    --------------------------------------------------------------------------------
    > Wie läuft das eigentlich bei Mega Upload? War das nicht so, das sie da
    > alles verschlüsselt speichern?

    Das sollte im Client verschlüsselt sein wenn ich das richtig im Kopf habe. Und liegt auf neuseeländischen Servern. Viel Erfolg bei der Anfrage ;)

  12. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: ZeldaFreak 16.12.19 - 09:39

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Was hindert denn den Betreiber daran die Datenbank zu erweitern um ein Feld
    > "passphrase2"?

    Braucht es doch gar nicht. Man richtet einfach ein nettes Backend ein, wo sich die Polizei einloggen kann und dann alle Accounts angucken kann. Am besten benutzt die Polizei ein unsicheres Passwort und dann braucht man nur noch diesen Account zu hacken um alle zu hacken. Als Betreiber würde ich es den Behörden nicht leicht machen. Sehr strenge Passwort Regeln, nFA und so nen Kram. Ist doch lustig wenn man alle 30 Tage beim Betreiber anrufen muss, dort ein neues Passwort anfordern muss. Das Passwort kommt per Post (in verschlüsselter Form), per Fax kommt das Passwort für das Passwort, per E-Mail kommt ein verschlüsselter Key für den 2FA Authentifikator, per Telefon gibt es dass Passwort für den 2FA Key. Per "Mann mit schwarzem Koffer" kommt dann das Passwort für die nächste Anfrage eines neuen Passwortes.
    Dann sind auch die 30 Tage fast wieder um und das Spiel geht von neuem los.

    > Das ganze würde erst dann interessant, wenn der Content lokal beim
    > Betreiber mit euren Logindaten verschlüsselt wäre. Denn dann würde ein
    > alternative Login nichts bringen. Ist das irgendwo so? In extremen
    > Ausnahmefällen vielleicht. In aller Regel nicht.

    Wenn man das Passwort vergisst, dann kann man den Account in die Tonne treten. Außerdem man kann relativ wenig verschlüsseln. PNs kann man so nicht verschlüsseln, da immer mindestens 2 benötigt werden. Andere Profilinformationen müssen durchaus auch so abrufbar sein. Selbst die Bankverbindung kann man nicht mit dem User Passwort verschlüsseln. Man kann ja schlecht nur dann Rechnungen schicken, wenn sich der User einloggt. Bei so etwas wie einem Cloud Speicher ist das kein Problem, wobei da kann man auch selber verschlüsseln.

  13. Re: Leute, ihr denkt zu eingleisig was Logins angeht

    Autor: Piyo 17.12.19 - 15:21

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Hier wird darüber diskutiert, dass Passwörter ja gar nicht gespeichert
    > würden, dass 2FA sicherer wäre, und so weiter. Leute: Geschenkt.
    > Was hindert denn den Betreiber daran die Datenbank zu erweitern um ein Feld
    > "passphrase2"?

    Mein Mailanbieter wirbt z.B. mit Datenschutz und Sicherheit. Wenn er also so etwas machen würde, wäre er wohl den Großteil seiner Kunden los.

    Grundsätzlich verpflichtet der jetztige Gesetzesentwurf Seitenanbieter nicht zur Implementation einer Backdoor. Wieso sollte ein Anbieter sich also die Mühe dazu machen? Es bringt ihm nichts außer Kosten, Imageschaden und - weil illegal - rechtliche Gericht.

    Wären die relevanten Diensteanbieter dem Staat gegenüber auch so unterwürfig, dass sie ohne Gesetzesgrundlage eine Backdoor implementieren, würde die Regierung dieses Gesetz jetzt nicht auf den Weg bringen.

    Dieser Gesetzesentwurf dürfte eine Nachwirkung der DSGVO sein. Wo Mitarbeiter früher bei einem Anruf eines vermeindlichen Polizisten bereitwillig Infos rausgegeben haben, sind sie nun sensibilisiert und fordern eine rechtskonforme Anfrage, die vom Datenschutzbeauftragten geprüft wird. Da scheint die Polizei dann häufig drauf zu verzichten, weil ihr die Rechtsgrundlage fehlt.

    > Meine Güte, bei manchen Türstehern kommt man auch vorbei, wenn man a) eine
    > Einladung hat, oder b) eine "Einladung" mit einer 1 und 2 Nullen vorlegt.

    Und solche Clubs würde ich einfach nicht aufsuchen, wenn ich mich nicht mit Leuten wir dir abgeben möchte.

    Sprich: Ich würde vielleicht meinen Web-Kalender nicht bei Google oder GMX hosten. Und falls doch, würde ich dort zumindest nicht "Heute, 17 Uhr: Freundin töten" eintragen.

    > Vielmehr würde mich interessieren, was mit den Login-Benachrichtigungen
    > passiert, die ja automatisch verschickt werden. "IP xxx.xxx.xxx.xxx hat
    > sich um xx:yy aus der Region Musterstadt auf ihr Konto eingeloggt". Müssen
    > diese Meldungen unterdrückt werden? Oder bekommt man da quasi durch die
    > Blume gesagt, dass IP-des-BKA-s auf meinem Account schnüffeln war?

    Dürfen diese Meldungen unterdrückt werden? Ich muss doch prüfen können, ob der Zugriff durch einen Behördenrechner erfolgt oder ob privat vom Rechner der bei der Polizei angestellten Ex-Frau.
    Sinnvoll wäre ein Log allemal. Dort sollten all die Daten abrufbar sein, die ich auch bei einer Hausdurchsuchung auf dem Durchsuchungsbescheid nachlesen könnte.

    Am Ende ist die ganze Diskussion aber unsinnig, weil der Gesetzesentwurf per se unsinnig ist.
    Wenn man etwas gegen rechte Verbrechen unternehmen will, sollte man erst einmal das Versagen der bestehenden Lösungen analysieren. Genau dem hat sich die Regierung aber ja z.B. beim NSU-Untersuchungsausschuß systematisch verweigert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. finanzen.de, Berlin
  3. über duerenhoff GmbH, Münster
  4. Advantest Europe GmbH, Böblingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 1439,90€ (Vergleichspreis: 1530,95€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mr. Robot rezensiert: Domo Arigato, Mr. Robot!
Mr. Robot rezensiert
Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

  1. Openideo-Wettbewerb Die fünf besten Hacker-Symbolbilder sind ausgewählt
  2. Cyberangriffe Attribution ist wie ein Indizienprozess
  3. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

  1. Kickstarter: Gebundener Mars-Atlas zeigt Karten des Roten Planeten
    Kickstarter
    Gebundener Mars-Atlas zeigt Karten des Roten Planeten

    The Mars-Atlas ist ein interessantes Buch: Es zeigt detaillierte Karten vom Mars statt der Erde. Mehr als 2.000 Standorte sind darauf zu sehen. Auch eine digitale Applikation wird angeboten, auf der Hobbyforscher ein 3D-Modell des Mars erkunden können - ähnlich wie bei Google Mars.

  2. 5G: Österreich sieht sich beim Mobilfunk klar vor Deutschland
    5G
    Österreich sieht sich beim Mobilfunk klar vor Deutschland

    Das schlechteste Mobilfunknetz in Österreich sei immer noch besser als das beste Netz in Deutschland, hat Wirtschaftsministerin Margarete Schramböck behauptet. Auch Messungen bestätigen das.

  3. TLS: Netgear verteilt private Schlüssel in Firmware
    TLS
    Netgear verteilt private Schlüssel in Firmware

    Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.


  1. 17:20

  2. 17:07

  3. 16:45

  4. 15:59

  5. 15:21

  6. 13:38

  7. 13:21

  8. 12:30