1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Google, Apple und Mailaccounts: Zwei…

Angriff auf 2FA durch SE

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Angriff auf 2FA durch SE

    Autor: chuck0r 05.12.16 - 12:56

    Moin,

    ein Problem der 2FA Authentifizierung ist doch ausgerechnet das Problem, dass eine neue SIM Karte beim Anbieter angefordert werden kann.
    Es gab eine Zeit lang relativ häufig Angriffe auf bekannte Youtuber mit dieser Masche. Wie schützt man sich nun dagegen? Hoffen, dass der Anbieter so schlau ist und die Karte nicht rausrückt?

  2. Re: Angriff auf 2FA durch SE

    Autor: Truster 05.12.16 - 12:57

    Diese Art von 2FA ist ja auch als nicht Sicher eingestuft. Die meisten gehen auch davon weg. Wurde doch im Beitrag erwähnt.

  3. Re: Angriff auf 2FA durch SE

    Autor: chuck0r 05.12.16 - 13:16

    Mir geht es jetzt nicht nur um eine SMS an eine hinterlegte Nummer schicken, sondern:

    Du hinterlegst ja trotz allem noch als zusätzlichen Schutz deine Nummer. Beispiel: Google, Steam.
    Habe die Authenticator App oder von mir aus auch einen Yubi-Key. Logge mich damit regelmässig ein. Irgendwer bekommt nun meinen Anbieter dazu, eine Zweit-Sim loszuschicken.
    Bei Steam / Google wird eine Account-Recovery angefordert und eine SMS zugestellt. Und schon bist du im Account - ohne Authenticator oder Yubi-Key in der Hand zu haben..

  4. Re: Angriff auf 2FA durch SE

    Autor: sikraemer 05.12.16 - 14:17

    Und wie bekommt der Angreifer die SIM-Karte?
    Dazu müsste er doch erstmal bei meinem Provider ins Webportal oder in der Hotline das Kunden-Kennwort erraten. Dann die Adresse ändern und eine neue SIM-Karte bestellen ohne das man selbst in irgendeiner Art und Weise (E-Mail, SMS, ...) darüber benachrichtigt wird.
    Ob das wirklich so einfach ist?

  5. Re: Angriff auf 2FA durch SE

    Autor: plastikschaufel 05.12.16 - 14:33

    chuck0r schrieb:
    --------------------------------------------------------------------------------
    > Mir geht es jetzt nicht nur um eine SMS an eine hinterlegte Nummer
    > schicken, sondern:
    >
    > Du hinterlegst ja trotz allem noch als zusätzlichen Schutz deine Nummer.
    > Beispiel: Google, Steam.
    > Habe die Authenticator App oder von mir aus auch einen Yubi-Key. Logge mich
    > damit regelmässig ein. Irgendwer bekommt nun meinen Anbieter dazu, eine
    > Zweit-Sim loszuschicken.
    > Bei Steam / Google wird eine Account-Recovery angefordert und eine SMS
    > zugestellt. Und schon bist du im Account - ohne Authenticator oder Yubi-Key
    > in der Hand zu haben..

    Viel Glück damit bei Steam. Recovery bei aktiviertem Steam Guard geht meines Wissens nur mit dem Recovery Code bei der Einrichtung.

    Oder Identitätsnachweis über CD-Keys, die mit deinem Spiel registriert sind, in der Regel Foto vom physischen key.

  6. Re: Angriff auf 2FA durch SE

    Autor: Truster 05.12.16 - 15:28

    @chuck0r Achso, da hab ich das falsch verstanden, ich bitte um Vergebung.

    Also bei meinen Anbieter werde ich per SMS informiert, wenn eine neue SIM Karte ausgestellt wurde. gefolgt von einer weiteren SMS, die die Deaktivierung der aktuellen SIM Karte ankündigt.

    Ich habe nirgendwo meine Handynummer als Backup hinterlassen. und wo ich eine mail als backup brauche habe ich eine "Wegwerf-Adresse" verwendet. Somit kann diese Option nicht verwendet werden. :-) Meine 2FA Codes sind in einer eigenen Keepass Datenbank gesichert. Und davon habe ich zwei geografisch getrennte Sicherheitskopien

    Ich gebe bei meinem Modell zu: Wenn die Sicherungen und das Gerät gleichzeitig kaputt gehen, habe ich ein ernsthaftes Problem. ich schätze das Risiko eher Minimal ein.

  7. Re: Angriff auf 2FA durch SE

    Autor: tezmanian 05.12.16 - 15:43

    Also mein Anbieter gibt die Sim nur gegen Vorlage des Ausweis raus. Nichtmal meine Partnerin konnte diese annehmen.

  8. Re: Angriff auf 2FA durch SE

    Autor: chuck0r 05.12.16 - 16:41

    Ich habe vor einiger Zeit mal folgende Story gelesen:

    https://linustechtips.com/main/topic/622968-t-mobile-will-give-away-your-sim-card-reason-behind-recent-youtube-account-compromises/

    Da ich die Abläufe hier in Deutschland nicht kenne, dachte ich ich frage einfach mal im Forum ob und wie da die Erfahrungen bisher sind ;-)

    @Truster: Telekom? So gesehen: Sobald du die SMS über die neue SIM/Deaktivierung der alten bekommst wäre es ggf. schon zu spät und ein Account kompromittiert. In deinem Fall ist es natürlich sinnvoll, dass in keinem Account die Nr hinterlegt ist - bei anderen Usern (leider auch mir) ist das aber wahrscheinlich der Fall..

    @tezmanian: Welcher Provider? So ein Verhalten wäre natürlich wünschenswert

  9. Re: Angriff auf 2FA durch SE

    Autor: int9h 05.12.16 - 17:37

    Passt gerade dazu, hatte letzte Woche eine Ersatz Sim Karte von Congstar Post-Paid von einer Person in meinem Briefkasten die paar Häuser weiter wohnt. Was nun? Als netter Nachbar geht man halt rüber und klopft. Wenn man halt kein netter Nachbar ist ...
    ¯\_(ツ)_/¯

  10. Re: Angriff auf 2FA durch SE

    Autor: Truster 06.12.16 - 11:38

    chuck0r schrieb:
    --------------------------------------------------------------------------------
    > @Truster: Telekom? So gesehen: Sobald du die SMS über die neue
    > SIM/Deaktivierung der alten bekommst wäre es ggf. schon zu spät und ein
    > Account kompromittiert.

    Das stimmt schon, aber dann habe ich vermutlich noch ein ganz anderes Problem, weil derjenige müsste meine Identität stehlen. Die Karte gibt's nur gegen Vorlage eines gültigen Lichtbild-Ausweises und Nennung des gemeinsamen Geheimnis. Zumindest war das damals so - ging auch nur über den Shop

    Mein Anbieter: Drei (AT)

  11. Re: Angriff auf 2FA durch SE

    Autor: tezmanian 06.12.16 - 12:25

    chuck0r schrieb:
    --------------------------------------------------------------------------------
    > @tezmanian: Welcher Provider? So ein Verhalten wäre natürlich wünschenswert

    Bei mir war es Congstar, also Telekom. Wollte eine Nano Sim und die hab ich nur gegen Vorlage meines Personalausweis abholen können bei der Post

  12. Re: Angriff auf 2FA durch SE

    Autor: tezmanian 06.12.16 - 12:26

    Hmm komisch, bei mir war zwingend mein Personalausweiß nötig.

  13. Re: Angriff auf 2FA durch SE

    Autor: eXeler0n 06.12.16 - 13:47

    Bei mir haben sie eine SIM Karte auch beim Nachbarn abgegeben.
    Zwei Tage später stand der Postbote panisch vor der Tür mit der Bitte das Formular mit dem Postident auszufüllen.
    Hätte ich ihm das nicht ausgefüllt, dann hätte er riesigen Ärger bekommen...

  14. Re: Angriff auf 2FA durch SE

    Autor: tezmanian 06.12.16 - 14:27

    Dann würde ich sagen, hat der Postbote Scheiße gebaut.

    Zumal selbst wenn der Nachbar die Sim bei Congstar hat ohne Pin kommt er nicht rein und die gibt es nur online, nach Aktivierung der Karte.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim
  2. WILO SE, Dortmund
  3. über duerenhoff GmbH, Raum Frankfurt, München, Berlin
  4. Bauerfeind AG, Zeulenroda-Triebes

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme