***SPONSOR-HINWEIS*** AVM ist Europas führender Hersteller von Produkten für das digitale Zuhause. Mit rund 880 Mitarbeitenden und der bekanntesten Marke für WLAN-Router bringt AVM Millionen von Menschen ins Internet. Spannende Jobs unter jobs.avm.de. ***SPONSOR-HINWEIS ENDE***
Was gegen Trojaner und Cookie Diebstahl hilft ist sich nach jeder Nutzung eines Dienstes wieder abzumelden, denn dann gibt es kein Session Cookie mehr. Macht aber den Workflow etwas nerviger.
Bei bestimmten Diensten melde ich mich nur im Inkognito-Modus des Browsers ein, in dem die Browsererweiterungen nicht geladen werden - vor allem bei Banken. Mit dem Schließen des Fensters müssten die Cookies eigentlich auch raus sein, oder?
Ja, wichtiges Thema! Hätte hier zeitlich nicht reingepasst, wir haben die angepeilten 20 Minuten ja schon kräftig überzogen. Das kommt aber auf jeden Fall auch mal demnächst!
Also bei meiner Bank sind es deitlich mehr als 5 Zeichen. Zusätzlich brauche ich meine Banking Pin. Logge mich aber selten über die Webseite ein , mache alles über die Banking Software. Per Smartphone rufe ich nur Kontostände ab. Was ich viel schlimmer finde ist der Umstand, das ich nicht immer die TAN benötige wenn Überweisungen getätigt werden und der Umstand das ich die PIN über die Tastatur und nicht über den PIN-Pad des Gerätes eingeben muss. Das war mit meiner alten HBCI Karte anders. Da wurde die Pin über das Lesegerät eingegeben und die Karte wurde immer benötigt. Nach der Zwangsumstellung dann der quatsch.
Schön das ihr das Thema mal wieder aufgreift. Leider finde ich eure Aussagen manchmal nur so semi gut. Ein Passwortmanager der auch TOTP kann ist grundsätzlich nicht schlecht. Man sollte darauf achten, die Daten zu trennen. Passwörter in der einen Datenbank, TOTP in einer anderen. Schade finde ich auch, dass ihr alle iOS Nutzer aussen vor lasst. Und zum Schluss, mein DKB Zugang hat deutlich mehr als 5 Zeichen! Freue mich schon auf die Folge mit den Banking Apps. Bis dahin.
Also mit irgendwelchen Mails, dass erstmals eine Anmeldung von einem fremden Account stattfindet, wird der normale User nur bei der Einrichtung eines neuen Gerätes konfrontiert. Da sollten schon bei der ersten Mail alle Alarmglocken angehen. Und für Tests als Heiseredakeur würde ich eine Extraemailadresse verwenden.
Der Microsoft- oder google-Authenticator funktioniert nicht, mit dem Hinweis, dass ich die Identität meiner Person nicht nachweisen kann. Mehrere Tage versucht. Vermutlich liegt es daran, dass ich nicht bereit bin, personenbezogene Daten an Microsoft zu senden. 😡
Ich nutze bisher den Google Authenticator. Aber aus bekannten Gründen (unverschlüsselt in die Cloud) überlege ich zur Authy Authenticator App zu wechseln. Was ich mich aber frage: Was ist im Falle einer Pleite vom Betreiber der App? Die App und die Firma war mir bisher völlig unbekannt. Und das Google Pleite geht halte ich für unwahrscheinlich. Oder würden die Apps auch bei einer evtl. Pleite mitsamt Abschaltung derer Server noch funktionieren???
...ich empfehle beim Einsatz von Yubi-Key's die Wohnungs- bzw. Bürosicherheit zu überprüfen bzw. verstärken! Holztüren gewinnen deutlich an Einbruchsicherheit, wenn die Einsteckschlösser aus Edelstahl bestehen! Edelstahl ab einer bestimmten Werkstoffklasse ist nicht magnetisierbar und damit kann die Zuhaltung die den Riegel sichert von außen nicht mit einem Magneten nach oben gedrückt werden. Böse Jungs und Mädels brechen auch schon mal Nachts ein wenn alle schlafen...
Wie bei allen Zweifaktor-Methoden: Darüber muss man nachdenken und entweder ein Backup haben (z.B. zweiten Key) oder die Zugangscodes oder so. Gilt für 2FA und SMS aber analog.
Mea culpa! Die Info mit der Beschränkung auf 5 Zeichen bei der DKB ist veraltet. Pina konnte ihr Passwort auf eins mit 25 Zeichen ändern. Sie dankt für den Hinweis!
Kann denn eine Schadsoftware nicht den Speicher der Textkorrektur, (gboard, SwiftKey) auslesen? Z.B. ... gebe ich mein Masterpasswort in irgendeinem Passwort-Manager ein, dann ist dieses ja auch im Telefonspeicher? Wenn ich, nach dem Einloggen, etwas anderes schreiben möchte, bietet es ja auch oft das vorherige Geschriebene an. Ich hoffe ich habe meine Bedenken erklären können!!!😊
Die (guten) Keyboard-Apps treffen Vorkehrungen dagegen, ausspioniert zu werden. Aber ein Restrisiko bleibt: Sobald der Rechner infiziert ist, kann man ihm eh nicht mehr 100% trauen. Die Schadsoftware könnte unter Umständen auch direkt an die Informationen gelangen, die per Passwort geschützt sind. Ein Vorteil von 2FA in diesem Zusammenhang ist: Wenn die Schadsoftware das Passwort und sogar den zweiten Faktor z.B. per Internet an die Angreifer schickt, können die damit nichts anfangen: Wenn sie sich einloggen wollen, ist der zweite Faktor schon abgelaufen und sie bräuchten einen neuen.
Das Passwortfeld zum Eingeben des Passwortes kann als solches „klassifiziert“ bzw. „definiert“ werden! In solchen Fällen können und sollten die „guten“ Tastaturen die Eingabe nicht speichern. btw: Ist die Schadsoftware schon auf dem Gerät ists eh egal, WIE sie an das Passwort kommt, dann gilt es eh als kompromitiert!
In meiner Firma ist die VPN Verbindung, für Home-Office, über ein Yubi-Key gesichert und das Windows Passwort muss min. 12 Stellen haben, das alle 90 Tage geändert werden muss. Wenn das Windows Passwort 10x falsch eingegeben wurde, wird der Laptop über Bitlocker gesperrt und kann nur über den Helpdesk mit einem bitlocker recovery key wiederfreigeschalten werden. 😇
Zu behaupten, dass die OTP Codes nicht sicher sind, halte ich für irreführend. Man darf halt nicht ungeprüft irgendwelche URLs aus Phishing Mails verwenden.
Die Aussage von Pina ist nicht ganz richtig. Ich bin selber DKB Kunde und die haben vor geraumer Zeit, längere Passwörter als 5 Zeichen lange zugelassen. Allerdings habe ich es auch erst vor 1,5 Jahren mitbekommen, als ich ein neues Konto angelegt hatte. Aber das Bestandskonto ließ sich auch ohne Probleme ändern.
Die lagen mal vor einiger Zeit der gedruckten c't bei. Hm, ich müsste mal nachschauen welcher -- ob es die im Shop noch gäbe, und ob den Shop-Archiv-Exemplaren die Sticker überhaupt beiliegen, weiß ich aber auch nicht. Müssen wir mal als Neuauflage rausbringen :)
Ich habe mich aus einem Grund gegen den Yubikey vs Authy Authenticator entschieden. Pina hat ihren Yubikey am Schlüsselbund. Möchte ich sie hacken wollen, würde ich ihr einfach den Key stehlen. Mein Authy Authenticator ist per Face ID geschützt, selbst wenn das Handy verloren geht kommt trotzdem niemand an den 2. Faktor. Diesen Punkt habt Ihr leider nicht besprochen, zudem jetzt jeder weiß dass Ihr einen Yubikey benutzt.
@@NanoPolymer Ein Yubikey ohne biometrische Schutzmaßnahmen ist riskobehafteter als jede andere 2FA. Ist der Key weg und man hat keinen zweiten ist man für immer ausgesperrt. Hat man einen zweiten kann man sich zwar wieder anmelden, wenn in der Zwischenzeit aber jemand Deine Konten angreift hat man verloren. Er kann damit sogar Deinen ersten Key deauthorisieren. Es wäre nett wenn Ihr zu dem Problem mal antworten würdet. Für mich war der Grund gegen den Yubikey.
@@SteveJobt zu dem Argument mit dem Verlust haben sie etwas gesagt. Wenn ich auf TOTP mit den 6-stelligen Code setzte kann mir das theoretisch auch passieren. Daher wird man dazu aufgefordert sich einen Wiederherstellungscode zu sichern, das ist bei dem Key nicht anders.
Naja, zwei Aspekte dazu: 1) Wenn mir jemand den FIDO2-Key klaut, dann MERKE ich das immerhin sofort und kann Maßnahmen ergreifen. Wenn mir jemand meinen z.B. Authy-Zugang hackt oder eine zweite SIM mit meiner Nummer registriert, bekomme ich das u.U. nicht so schnell mit. 2) Wenn jemand NUR den zweiten Faktor hat, kommt er nicht weiter. Zusätzlich benötigt der Angreifer ja noch a) das Wissen, welche Accounts ich (mit welchen Usernamen) absichere und b) die zugehörigen Passwörter. (Wobei natürlich ein ernsthafter Angreifer erst dann die zweiten Faktoren angreifen würde, wenn er meinen Passwortmanager gehackt hat.) Alles eine Frage, wogegen man sich schützen will: Fehler bei einzelnen Anbietern (sodass alle dortigen Logins kompromittiert ist), Fehler z.B. im Passwordmanager (sodass alle meine Logins kompromittiert sind), Fehler in der Übertragung (sodass alles kompromittiert ist, was ich eine Zeitlang gemacht habe) -- gegen den Kram helfen alle 2FAs m.E. ungefähr gleich gut. Oder muss ich mich gegen persönliche Angriffe schützen (im privaten Umfeld z.B. von Ex-Partnern, als beruflicher "Geheimnisträger", von privaten (Massen?-)Angreifern, von staatlicher Seite, ...), dann muss man genauer nachdenken über die Angriffsvektoren. (jow)
@@ct.uplink Es gibt einen gewaltigen Unterschied. Wenn ich meinen 2. Faktor mein Handy verliere ist das noch durch biometrische Maßnahmen geschützt. Verlierst Du Deinen Yubikey gibt es keinen Schutz mehr. Hat der Angreifer bereits Deine Zugangsdaten gehackt bist Du damit raus. Das ist bei Verlust des Handy anders. Für mich ist 2FA mit Yubikey das unsicherste Verfahren, da der Yubikey selbst nicht geschützt ist.
Ja, genau, die Titelstory in Heft 9 shop.heise.de/ct-09-2022/PDF , oder direkt (Bezahlschranke) hier: www.heise.de/select/ct/2022/9/2206014465951329892
Die Frage ist immer, wogegen man sich schützen will. Komplett sicher kann man nicht sein, noch nicht einmal mit Verzicht auf Digitaltechnik. Ansonsten empfehlen wir: Jede Zweifaktormethode ist besser als gar keine. Und dann mit wachsendem Aufwand und sinkendem Risiko: SMS, TOTP (mit Google Auth, per Passwordmanager, per separatem Tool wie Authy), FIDO2. Und auf jeden Fall dran denken, ein Backup für den zweiten Faktor zu haben, also entweder Freischaltcodes pro Dienst oder einen "zweiten zweiten" Faktor, also weitere Authy-Installation, zweiten FIDO2-Key, zweites Handy mit MultiSIM für SMS. (Weil letzteres bei Prepaid-SIMs nicht möglich ist, mag ich daher keine SMS-2FA.)
Die Banken werden es nie lernen, Stichwort: "die Magnetkarten sind sicher." Es hatte schon seinen Grund, warum man beim Handynetz sehr früh auf aktive Chipkarten umgestiegen ist.. Hier muss eigentlich nur der Gesetzgeber mal ein Machtwort sprechen, bzw. Im Schadensfall den Banken die Schuld geben..
