N’Abend, Markus Witt <markus.witt@rwth-aachen.de> writes:
On 27.09.19 11:05, Bernd Kohler wrote:
"Keine Sicherheit: Zwei-Faktor-Authentifizierung automatisiert hacken" tl;dr: lol
Jup. Heise streut da wieder schön FUD[0].
1) Twitter hat das "SMS zu Tweet"-Feature nach dem "Hack" deaktiviert[2], was diesen Weg und nicht die Kombination von erratenem Passwort und Ausnutzung von 2FA-Schwachstellen nahelegt. 2) Muraena[3] ist ein reverse-Proxy, der nach erfolgreicher Authentifizierung durch den Nutzer den Sessioncookie abgreift. "Phishing, bei dem der Nutzer seinen zweiten Faktor preisgibt" != "2FA an sich ist unsicher" (hoffentlich offensichtlich). Funktioniert außerdem wohl bei U2F/FIDO2 prinzipbedingt eh nicht. 3) NecroBrowser[4] kann die abgefangenen Sessioncookies nutzen, um dann automatisiert Aktionen auszuführen. Oh wow.
Was man hier auch vor allem merkt: Das geht sehr von Web aus. Wie aber weiter oben in diesem Thread auch angerissen wurde, kann man YubiKeys und ähnliche HSMs auch gut für andere Sachen nutzen. Ich will jetzt nicht behaupten, dass PGP, der Sumpf aus S/MIME, X.509, PKCS#n etc., SSH, und co nicht auch ihre Unzulänglichkeiten hätten, aber es sind schonmal deutlich andere Startvorraussetzungen. --Thomas [0]: Fear, Uncertainty, Doubt -- Fachschaft I/1 Mathematik/Physik/Informatik der RWTH Aachen Thomas Schneider Campus Mitte: Augustinerbach 2a, 52062 Aachen Telefon: +49 241 80 94506 Informatikzentrum: Ahornstraße 55, Raum 2014, 52074 Aachen Telefon: +49 241 80 26741 https://www.fsmpi.rwth-aachen.de