1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › MFA Fatigue: Hackergruppe…

Rückentwicklung

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Rückentwicklung

    Autor: /mecki78 29.03.22 - 17:16

    Ist schon lustig, wie oft es vorkommt, das man etablierte Sicherheitsstandards auf einmal wieder fallen lässt, wenn man ein neues System einführt.

    Bei einem einfachen Login über Nutzername und Passwort war mal jedem Entwickler klar, dass man Rate Limiting braucht, also je öfters der Nutzer falsche Logindaten eingegeben hat, desto länger musste er warten, bis er es wieder versuchen durfte und nach X Versuchen war dann erst mal ganz Schluss.

    Jetzt führt man zusätzlich 2FA ein, also erweitert das bestehen System, schafft dann aber das Rate Limiting wieder ab? Warum? Der Grund warum es das gegeben hat ist doch nicht durch 2FA weg gefallen. Das macht gar keinen Sinn.

    Genauso wie es einen Grund gab, warum man bei 2FA einen PIN hat eingeben müssen, nämlich um sicherzustellen, dass derjenige, der das 2FA Gerät besitzt die gleiche Person ist, wie die, die sich gerade anmelden will bzw. falls nicht, diese Person der anderen Person den PIN irgendwie mitteilen muss und daher weiß, wer sich da gerade anmelden will, weil nur so kann er ihm ja den PIN mitteilen. Ein Verfahren, wo so eine Übermittlung nicht länger nötig ist, ermöglicht natürlich derartige Angriffe.

    Wenn man 2FA solange verkrüppelt, bis es maximal unsicher ist, dann kann man es sich auch gleich sparen.

    /Mecki

  2. Re: Rückentwicklung

    Autor: narfomat 30.03.22 - 03:16

    aber hier gehts nicht um sicherheit. hier gehts um compliance.
    und selbst noch die verkrüppeltste 2FA ist compliant, und das reicht um... den BONUS einzustreichen. wichtig ist das alle buzzwords implementiert sind und es heftig klingt, wenn man es jemandem erzählt. teuer wäre auch noch gut. denn was wenig kostet, kann nicht sicher sein.
    alle, wirklich ausnahmslos ALLE! sind so zufrieden... ausser vielleicht die 2 typen da unten im souterrain, die hinter der tür auf der "vorsicht bissiger tieger" steht, sitzen... die länger als 5min über opsec nachgedacht haben statt nur buzzword bingo zu spielen, aber für deren berichte... interessiert sich keine sau, weil was die wollen ist per default USER-FEINDLICH!!!



    1 mal bearbeitet, zuletzt am 30.03.22 03:24 durch narfomat.

  3. Re: Rückentwicklung

    Autor: gloqol 30.03.22 - 05:17

    Hab mich beim Lesen der Artikels das selbe gefragt.

    Im allgemeinen finde ich die immer neue Gängelei mit 2fa langsam nervig.

    Und das es nicht viel zusätzliche Sicherheit bringt sieht man hier.

    Ein starkes Passwort das man nicht aufschreibt ist immer noch genauso sicher.

  4. Re: Rückentwicklung

    Autor: gdh 30.03.22 - 08:40

    Geh mal in ein Ibis Business Hotel, stell deinen eigenen wifi hotspot auf und tracke mal, wer alles die sicherheitswarnung im Browser wegdrückt.

    Hier würde dann der 2. Faktor z.b. PIN via sms helfen.

  5. Re: Rückentwicklung

    Autor: Myxin 30.03.22 - 09:53

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Ist schon lustig, wie oft es vorkommt, das man etablierte
    > Sicherheitsstandards auf einmal wieder fallen lässt, wenn man ein neues
    > System einführt.
    >
    > Bei einem einfachen Login über Nutzername und Passwort war mal jedem
    > Entwickler klar, dass man Rate Limiting braucht, also je öfters der Nutzer
    > falsche Logindaten eingegeben hat, desto länger musste er warten, bis er es
    > wieder versuchen durfte und nach X Versuchen war dann erst mal ganz
    > Schluss.
    >
    > Jetzt führt man zusätzlich 2FA ein, also erweitert das bestehen System,
    > schafft dann aber das Rate Limiting wieder ab? Warum? Der Grund warum es
    > das gegeben hat ist doch nicht durch 2FA weg gefallen. Das macht gar keinen
    > Sinn.
    >
    > Genauso wie es einen Grund gab, warum man bei 2FA einen PIN hat eingeben
    > müssen, nämlich um sicherzustellen, dass derjenige, der das 2FA Gerät
    > besitzt die gleiche Person ist, wie die, die sich gerade anmelden will bzw.
    > falls nicht, diese Person der anderen Person den PIN irgendwie mitteilen
    > muss und daher weiß, wer sich da gerade anmelden will, weil nur so kann er
    > ihm ja den PIN mitteilen. Ein Verfahren, wo so eine Übermittlung nicht
    > länger nötig ist, ermöglicht natürlich derartige Angriffe.
    >
    > Wenn man 2FA solange verkrüppelt, bis es maximal unsicher ist, dann kann
    > man es sich auch gleich sparen.


    Danke! Ja es ist erschreckend, aber ich hoffe das zumindest bei den meisten Anwendungen es erst mal so bleibt - d.h. die Rate Limitierung bleibt aktiv. Bei den Dingen die ich hier habe ist es zumindest noch so.. :-)

  6. Re: Rückentwicklung

    Autor: /mecki78 30.03.22 - 15:32

    gdh schrieb:
    --------------------------------------------------------------------------------
    > Geh mal in ein Ibis Business Hotel, stell deinen eigenen wifi hotspot auf
    > und tracke mal, wer alles die sicherheitswarnung im Browser wegdrückt.
    >
    > Hier würde dann der 2. Faktor z.b. PIN via sms helfen.

    2FA hilft hier aber nicht gegen Liveangriffe, denn wer alle Warnungen weggeklickt hat, der hat ggf. auch ein falsches Cert akzeptiert und jetzt kann ein Angreifer live in die Verbindung eingreifen. Selbst wenn er sich künftig nicht anmelden kann, weil er den zweiten Faktor nicht hat, jetzt genau in diesem Moment hat er Zugriff auf deine Serververbindung. Selbst eine Anmeldung mit FIDO2 wäre so nicht sicher. Wer also einfach alles wegklickt, der hat sowieso schon ein massives Problem.

    /Mecki

  7. Re: Rückentwicklung

    Autor: gdh 30.03.22 - 17:11

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > gdh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Geh mal in ein Ibis Business Hotel, stell deinen eigenen wifi hotspot
    > auf
    > > und tracke mal, wer alles die sicherheitswarnung im Browser wegdrückt.
    > >
    > > Hier würde dann der 2. Faktor z.b. PIN via sms helfen.
    >
    > 2FA hilft hier aber nicht gegen Liveangriffe, denn wer alle Warnungen
    > weggeklickt hat, der hat ggf. auch ein falsches Cert akzeptiert und jetzt
    > kann ein Angreifer live in die Verbindung eingreifen. Selbst wenn er sich
    > künftig nicht anmelden kann, weil er den zweiten Faktor nicht hat, jetzt
    > genau in diesem Moment hat er Zugriff auf deine Serververbindung. Selbst
    > eine Anmeldung mit FIDO2 wäre so nicht sicher. Wer also einfach alles
    > wegklickt, der hat sowieso schon ein massives Problem.

    Das ist natürlich vollkommen richtig. Würde lediglich das abfischen von Passwörtern egalisieren, da bei einer späteren Session der 2. Faktor fehlt.

    Wie auch immer, ich bin ebenfalls eher ein Freund von guten Passwörtern anstelle von Fido oder MFA
    Die fall back Szenarien sind für mich irgendwie nicht tauglich.

  8. Re: Rückentwicklung

    Autor: Dakkaron 30.03.22 - 19:38

    Trotz der Polemik hast du leider 100% recht (also leider, nicht weil ich dir nicht gern zustimmen würde, sondern weil die Situation einfach so erbärmlich ist).

    Bei uns in der Firma verbieten sie z.B. die Installation von Programmen aus allen üblichen Quellen (inklusive dem eigentlich ziemlich sicheren Microsoft App Store), und erzwingen stattdessen, dass man die Programme vom firmeninternen Appstore bezieht. Wo z.B. Software für SSH-Tunnel drin ist, in einer Version, die seit 6 Jahren veraltet ist.

    Für die Sicherheit!

  9. Re: Rückentwicklung

    Autor: stan__lemur 30.03.22 - 21:45

    gdh schrieb:
    --------------------------------------------------------------------------------

    > Wie auch immer, ich bin ebenfalls eher ein Freund von guten Passwörtern
    > anstelle von Fido oder MFA
    Sorry, nein, Passwörter übers Netz zu schicken war von Anfang an krank. Lokal am Endgerät ok, aber remote sind challenge/response-Verfahren einfach inhärent sicherer - und dazu im täglichen Gebrauch (nicht beim Setup) komfortabler.

  10. Re: Rückentwicklung

    Autor: narfomat 01.04.22 - 05:06

    das geile an dem system ist, das es LÄUFT!
    darum ändert sich auch nix.
    weil im schadenfall niemand verantwortliches schuld war.
    "man" hatte "alles" getan:

    -ubernext gen security technologie mit cloudbasierter KI implementieren lassen, multi thread protection vom sichersten anbieter von netzwerksicherheitstechnik schlechthin, [hier den sichersten(TM) anbieter einsetzen]
    -RICHTIG VIEL GELD INVESTIERT (immer ein gutes argument)
    -sogar cybersecurity expert consultants (mit zertifikat!) einer namenhaften beraterfirma engagiert die den prozess supervisioniert haben

    wenn überhaupt war "software" schuld.
    oder frau noobaran aus der personalabteilung. hat einfach auf "angreifer ins netzwerk lassen" geclicked. kann man nix machen.

    und ausserdem, "hinterher" ist man "immer schlauer", z.b. das "2FA" mit 2x passwort eingeben, auch wenn eins ein zugesandtes OTP ist, generell gar keine so richtig sichere sache ist wenn man sich von einem beliebigen client aus einloggen kann (surprise, mf!), und auch nicht, das sich ein mitarbeiter auf einem vpngw von 2 verschiedenen standorten auf der welt gleichzeitig einloggen kann... ^^

    ende vom lied:
    "diese diffizilen sicherheitslücken wurden jetzt geschlossen!".
    "gut gemacht herr bofhell, wir, der vorstand, und die aktionäre, freuen uns, das unser netzwerk NOCH SICHERER geworden ist. ihr bonus wird verdoppelt und sie werden vom übergeordeneten abteilungsleiter jetzt zum neuen CCO, chief cybersecurity officer befördert, da sie den vorfall hervorragend gemanaged haben. wo steht der champus, wir haben durst..."



    3 mal bearbeitet, zuletzt am 01.04.22 05:20 durch narfomat.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Expertin bzw. Experte IT-Sicherheitsarchitektur bzw. Cyber Security (m/w/d)
    Bundesamt für Migration und Flüchtlinge, Nürnberg
  2. Linux Architekt zur Betreuung / Weiterentwicklung des Bestandssystems (m/w/d)
    Allianz Technology SE, Unterföhring (bei München)
  3. Data Engineer im Chief Data Office (m/w/d)
    Allianz Versicherungs-AG, München
  4. SPS Programmierer (m/w/d)
    Helmerding hiw Maschinen GmbH, Bad Oeynhausen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mindaugas Mozuras: Niemand hat je ein perfektes Stück Software geschrieben
Mindaugas Mozuras
"Niemand hat je ein perfektes Stück Software geschrieben"

Chefs von Devs "Effizienz, Pragmatismus und Menschlichkeit" sind für den VP of Engineering der Onlineplattform Vinted die wichtigsten Aspekte bei der Führung eines Entwicklerteams.
Ein Interview von Daniel Ziegener

  1. Ransomware-Angriff Wenn plötzlich nichts mehr geht
  2. Code-Genossenschaften Mitbestimmung und Einheitsgehalt statt Frust im Hamsterrad

Halbleiterfertigung in Dresden: Eine Nerd-Klassenfahrt in die Chipfabrik
Halbleiterfertigung in Dresden
Eine Nerd-Klassenfahrt in die Chipfabrik

Den Aufwand der Halbleiterproduktion verbergen meist Fabrikmauern. Bei Globalfoundries konnten wir uns das Innere der Dresdner Fab ansehen.
Eine Reportage von Johannes Hiltscher

  1. European Chips Act Industrie fordert mehr Geld für ältere Technologien
  2. Halbleiter & AI Schwere Zeiten für Halbleiterbranche und HPC in China
  3. Halbleiterfertigung Wie investiert man sinnvoll Milliarden an Förderung?

Cloud-Services to go: Was können Azure, AWS & Co?
Cloud-Services to go
Was können Azure, AWS & Co?

"There is no cloud, it's just someone else's computer" - ein Satz, oft zu lesen und nicht so falsch - aber warum sollten wir überhaupt Software oder Daten auf einem anderen Computer speichern?
Eine Analyse von Rene Koch

  1. Hyperscaler Die Hyperskalierung der Angst vor den eigenen Schwächen
  2. Microsoft Neues Lizenzmodell schließt Google und AWS weiter aus
  3. Cloud Einmal Einsparen, bitte?