Sichere Logins 03 #144

Merged
jonas-l merged 9 commits from sichere-logins-03 into master 3 months ago
Jeybe commented 3 months ago
Collaborator
There is no content yet.
Jeybe added 5 commits 3 months ago
Jeybe added the
Inhalte geplant
label 3 months ago
Kajo reviewed 3 months ago
- Sicherheit
banner: "/img/thumbnail/sichere_logins_01.png"
series: sichere_logins
description: Logins sind ein elementarer Bestandteil in der digitalen Welt von heute. Was leider auch ein Bestandteil davon ist, sind immer wieder Schlagzeilen über geknackte Konten und den Schabernack. Auch weil Endnutzerinnen und Endnutzer unsichere Logins nutzen. Wie Du das vermeiden kannst, wird Dir in diesem Beitrag verständlich erklärt.
Kajo commented 3 months ago
Poster

"und den Schabernack" rausnehmen oder (wie im Artikel) den Zusatz ", den Kriminelle damit treiben" dazunehmen.

"und den Schabernack" rausnehmen oder (wie im Artikel) den Zusatz ", den Kriminelle damit treiben" dazunehmen.
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
In den letzten beiden Artikeln hatten wir besprochen, wie man [sichere Passwörter erstellt](/sichere_logins_01/) und wie man [diese komfortabel und sicher verwaltet](/sichere_logins_02/). Dennoch ist es nicht völlig ausgeschlossen, dass das Kennwort eben doch unbeabsichtigt abhanden kommt. Und sei es nur durch eine gefälschte E-Mail (Phishing E-Mail) von Kriminellen - dann schützt auch das beste Kennwort nicht vor unbefugtem Zugriff. Daher stellt sich unweigerlich die Frage, ob man die Gefahr bzw. die Auswirkung die ein Passwortverlust hat, **reduzieren** kann.
Die Antowort auf diese Frage ist, neben dem Passwort noch einen **zweiten Faktor** für die Authentifizierung bei Logins zu verwenden. Das bedeutet, neben dem Passwort ist noch eine weiterer Faktor für die Anmeldung notwendig. Idealerweise ist dieser Faktor von anderer Kategorie als ein Passwort. Konkret: Das Passwort ist **Wissen*. Der/die Benutzer:in wird durch **Wissen** und zwar durch das **Wissen über das Passwort** identifiziert und bekommt so Zugang zum System. Für einen guten zweiten Faktor bietet sich also zum Beispiel **Besitz** an. Zusätzlich zum Wissen, muss man nachweisen, dass man etwas bestimmtes **Besitzt**, um sich in das System einwählen zu können.
Kajo commented 3 months ago
Poster

Die Antwort auf diese Frage...
... neben dem Passwort ist noch ein weiterer Faktor...
... dass man etwas bestimmtes besitzt, um sich...

Die **Antwort** auf diese Frage... ... neben dem Passwort ist noch **ein** weiterer Faktor... ... dass man etwas bestimmtes **besitzt**, um sich...
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
Nun gibt es verschiedene Arten von zweiten Faktoren. Es gibt spezielle Token, zum Beispiel in Form von USB-Sticks, die man als zweiten Faktor verwenden kann (bspw. Smartcards). Auch der eigene Rechner kann als zweiter Faktor dienen, dann ist nur eine Anmeldung von zuvor erlaubten Systemen möglich (bspw. mittels FIDO). Genauso ist es denkbar, ein biometrisches Merkmal als zweiten Faktor zu verwenden. Den eigenen Fingerabdruck oder das Gesicht zum Beispiel.
Doch die im Privatumfeld am weitesten verbreitete Art ist wohl **OTP** - das sind Einmalkennwörter, die man für den Login verwendet. Auf diese Methode möchten wir uns hier konzentrieren, denn sie ist einfach einzurichten und zu verwenden, mit hausüblichen Mitteln wie einem Smartphone oder einem anderen Rechner. Speziell die Protokolle **TOTP** und **HOTP** sollen uns interessieren.
Kajo commented 3 months ago
Poster

Speziell die Protokolle [...] sehen wir uns an.

Speziell die Protokolle [...] sehen wir uns an.
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
## Zeitbasierte Einmalkennwörter
Sowohl **TOTP**, als auch **HOTP** sind Verfahren, um zeitbasierte Einmalkennwörter zu erzeugen. Man koppelt sein Login mit einem geheimen Schlüssel, der zum Beispiel von einer Smartphone-App eingelesen wird. Auf dieser Basis wird mathematisch mithilfe des Zeitstempels oder eines Zählers ein sich regelmäßig änderndes Einmalkennwort erzeugt, das man beim Login eingeben muss. Danach ist das Einmalkennwort wertlos. Wenn ein:e Angreifer:in also dein Passwort und das Einmalkennwort abfängt, ist das Einmalkennwort schon nach kurter Zeit, i.d.R. wertlos und es kann kein Nutzen daraus gezogen werden, es ist kein unbefugter Login möglich.
Kajo commented 3 months ago
Poster

Wenn ein:e Angreifer:in dein Passwort und das Einmalkennwort abfängt, ist das Einmalkennwort schon nach kurzer Zeit wertlos und es kann kein Nutzen daraus gezogen werden, es ist kein unbefugter Login möglich.

Wenn ein:e **Angreifer:in dein** Passwort und das Einmalkennwort abfängt, ist das Einmalkennwort schon nach **kurzer** Zeit wertlos und es kann kein Nutzen daraus gezogen werden, es ist kein unbefugter Login möglich.
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
Wer aufmerksam mitgelesen hat, wird sich erschließen können, welche Grenzen das mit sich bringt.
1. Die Systeme (Webseiten...), bei denen du dich einoggst, müssen das Verfahren untersützen. Ist das nicht der Fall, kannst du es nicht verwenden. Glücklicherweise ist das immer öfter der Fall.
Kajo commented 3 months ago
Poster

... müssen das Verfahren unterstützen.

... müssen das Verfahren **unterstützen**.
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
1. Die Systeme (Webseiten...), bei denen du dich einoggst, müssen das Verfahren untersützen. Ist das nicht der Fall, kannst du es nicht verwenden. Glücklicherweise ist das immer öfter der Fall.
2. Es schützt nur Angreifer:innen, die das Kennwort von dir oder von dritter Stelle abfangen. Wenn der/die Anbieter:in selbst ein Datenleck hat, kann es aber nicht garantiert/unbedingt schützen - sofern der geheime Schlüssel für den zweiten Faktor unter den Daten ist, kann das Einmalkennwort vom Eindringling problemlos selbst generiert werden. Im Worst-Caste kann aus dem geleakten Datensatz noch das zugehörige Passwort ermittelt, oder ist, schlimmer noch, schon im Klartext dort enthalten.
Kajo commented 3 months ago
Poster

Im Worst-Case
... ermittelt werden

Im Worst-**Case** ... ermittelt **werden**
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
2. Es schützt nur Angreifer:innen, die das Kennwort von dir oder von dritter Stelle abfangen. Wenn der/die Anbieter:in selbst ein Datenleck hat, kann es aber nicht garantiert/unbedingt schützen - sofern der geheime Schlüssel für den zweiten Faktor unter den Daten ist, kann das Einmalkennwort vom Eindringling problemlos selbst generiert werden. Im Worst-Caste kann aus dem geleakten Datensatz noch das zugehörige Passwort ermittelt, oder ist, schlimmer noch, schon im Klartext dort enthalten.
3. Auch schützt es nicht, wenn der/die Angreifer:in unentwegt auf den Erfolgt des Angriffs wartet und die abgefangenen Zugansdaten direkt eingibt, wenn das Einmalpasswort noch Gültigkeit hat.
Kajo commented 3 months ago
Poster

... auf den Erfolg des Angriffs
... die abgefangenen Zugangsdaten

... auf den **Erfolg** des Angriffs ... die abgefangenen **Zugangsdaten**
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
**Grundlegend:**
Die einfachste Möglichkeit, zeitbasierte Einmalkennwörter zu verwenden, ist via **Smartphone-Applikation**. Man lädt sich die App herunter und kann dort bei Aktivierung der zwei-Faktor-Authentifizierung einen QR-Code scannen. Dieser enthält den geheimen Schlüssel, damit kann die App im Hintergrund das Einmalpasswort generieren. Als Resultat musst du die App lediglich für den Login starten, dass Einmalkennwort ablesen und eingeben - fertig.
Kajo commented 3 months ago
Poster

...Aktivierung der Zwei-Faktor-Authentifizierung...

...Aktivierung der **Zwei**-Faktor-Authentifizierung...
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
Die einfachste Möglichkeit, zeitbasierte Einmalkennwörter zu verwenden, ist via **Smartphone-Applikation**. Man lädt sich die App herunter und kann dort bei Aktivierung der zwei-Faktor-Authentifizierung einen QR-Code scannen. Dieser enthält den geheimen Schlüssel, damit kann die App im Hintergrund das Einmalpasswort generieren. Als Resultat musst du die App lediglich für den Login starten, dass Einmalkennwort ablesen und eingeben - fertig.
Es gibt auf dem Markt einige Lösungen solcher Apps. Sehr bekannt ist der Google Authenticator, dieser wird auch oft bei der Einrichtung von zwei-Faktor-Authentifizierung bei einschlägigen Diensten beworben. Aus Datenschutz- aber auch aus Komfortgründen halten wir diese Lösung nicht für empfehlenswert. Denn: Wenn zeitbasierte Einmalkennwörter auf Basis von TOTP/HOTP verwendet werden, dann kann jede App, die diese Verfahren unterstützt, verwendet werden. Das ist meistens der Fall, auch wenn manche Anbieter:innen partout die zwei-Faktor-Authenfizierung nicht anhand des Verfahrens, sondern anhand des Produkts "Google Authenticator" vermarkten. Lass dich davon nicht ködern.
Kajo commented 3 months ago
Poster

... Einrichtung von Zwei-Faktor-Authentifizierung...
Aus Datenschutz-, aber auch aus Komfortgründen, halten wir...
partout die Zwei-Faktor-Authenfizierung...

... Einrichtung von **Zwei**-Faktor-Authentifizierung... Aus Datenschutz-**, aber auch aus Komfortgründen,** halten wir... partout die **Zwei**-Faktor-Authenfizierung...
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
### Android-App - andOTP
Auf Android bietet sich die App **[andOTP](https://play.google.com/store/apps/details?id=org.shadowice.flocke.andotp)** für die zwei-Faktor-Authentifizierung an. Die App ist quelloffen und kann das, was man von einer zwei-Faktor-App erwarten würde: Die zeitbasierten Einmalkennwörter von beliebig vielen Konten generieren. Ebenfalls kann man die hinzugefügten Konten sichern und wieder importieren. Das ist wichtig, sollte man das Smartphone verlieren oder auf ein neues umziehen. Man kann andOTP wahlweise im [Google PlayStore](https://play.google.com/store/apps/details?id=org.shadowice.flocke.andotp) oder im [F-Droid](https://f-droid.org/packages/org.shadowice.flocke.andotp/) herunterladen.
Kajo commented 3 months ago
Poster

Auf Android bietet sich die App andOTP für die Zwei-Faktor-Authentifizierung an.

...was man von einer Zwei-Faktor-App...

Man kann andOTP wahlweise in F-Droid oder im Google PlayStore herunterladen.

(hab F-Droid und Google-Link umgedreht)

Auf Android bietet sich die App andOTP für die **Zwei**-Faktor-Authentifizierung an. ...was man von einer **Zwei**-Faktor-App... Man kann andOTP wahlweise in [F-Droid](https://f-droid.org/packages/org.shadowice.flocke.andotp/) oder im [Google PlayStore](https://play.google.com/store/apps/details?id=org.shadowice.flocke.andotp) herunterladen. (hab F-Droid und Google-Link umgedreht)
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
### iOS-App
Für iOS gibt es [RavioOTP](https://apps.apple.com/de/app/raivo-otp/id1459042137#?platform=iphone) für die zwei-Faktor-Authentifizierung an. Sie bietet die Generierung von zeitbasierten Einmalkennwörtern für beliebig viele Konten und wahlweise ein verschlüsseltes Backup in die iCloud an.
Kajo commented 3 months ago
Poster

für die Zwei-Faktor-Authentifizierung.

für die **Zwei**-Faktor-Authentifizierung.
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
## Zwei-Faktor-Authentifizierung aktivieren
Nun sollte man hergehen und bei so vielen Konten wie möglich die zwei-Faktor-Authentifizierung aktivieren. Meist findet sich die Option in den Konto- oder Sicherheitseinstellungen des Services, eine Suche im Internet hilft an der Stelle weiter. Dann kann man einfach den QR-Code mit andOTP oder RavioOTP scannen und künftig, wenn man sich einloggt, das von der App angezeigte Einmalkennwort zusätzlich zum Passwort eingeben.
Kajo commented 3 months ago
Poster

... die Zwei-Faktor-Authentifizierung...

... die **Zwei**-Faktor-Authentifizierung...
Jeybe marked this conversation as resolved
Kajo reviewed 3 months ago
## Fazit
Wie in den vorhergegangen Ausführungen gezeigt, ist es nicht wirklich schwierig zwei-Faktor-Authentifizierung in Form von zeitbasierten Einmalkennwörtern zu verwenden. Für ein bisschen Mühe, bekommt man ein gutes Maß an Sicherheit bei den eigenen Logins obendrauf - eine Prämie, die man gut und gerne mitnehmen kann. In Kombination mit den vorigen Artikeln zu [sicheren und merkbaren Passwörtern](/sichere_logins_02/) sowie zu [Passwortmanagern](/sichere_logins_02) bist du nun in der Lage, recht einfach und komfortabel deine Logins relativ sicher zu gestalten. Wir können dir nur raten, es einfach mal auszuprobieren. Wenn du also die vorhergegangenen Artikel noch nicht gelesen hast, ist nun der Zeitpunkt das nachzuholen. Es ist ein Zeitinvest, der sich lohnt.
Kajo commented 3 months ago
Poster

Wie in den vorhergegangenen Ausführungen...
...schwierig Zwei-Faktor-Authentifizierung...
In Kombination mit den vorherigen Artikeln...

Wie in den **vorhergegangenen** Ausführungen... ...schwierig **Zwei**-Faktor-Authentifizierung... In Kombination mit den **vorherigen** Artikeln...
Jeybe marked this conversation as resolved
Jeybe changed title from WIP: Sichere Logins 03 to Sichere Logins 03 3 months ago
Jeybe added 1 commit 3 months ago
jonas-l merged commit f549782fca into master 3 months ago
jonas-l referenced this issue from a commit 3 months ago
jonas-l deleted branch sichere-logins-03 3 months ago
The pull request has been merged as f549782fca.
Sign in to join this conversation.
No reviewers
No Milestone
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This pull request currently doesn't have any dependencies.

Loading…
There is no content yet.