Ahh, sorry, jetzt wirklich in unsigniert.. Mit besten Grüßen, Andre Stollenwerk Von: Stollenwerk, André Gesendet: Mittwoch, 28. August 2019 14:51 An: 'Kreß, Thomas' <thomas.kress@physik.rwth-aachen.de>; 'rwth-security@lists.rwth-aachen.de' <rwth-security@lists.RWTH-Aachen.de> Betreff: AW: Yubikeys im Einsatz ? Liebe Liste, sorry, irgendetwas ist mit meinen Signaturen defekt :-/ Daher hier nochmal unsigniert. Außerdem der Hinweis auf: https://www.heise.de/ratgeber/Anmelden-ohne-Passwort-Das-geht-schon-heute-mi... Mit besten Grüßen, Andre Stollenwerk Von: Stollenwerk, André Gesendet: Mittwoch, 28. August 2019 13:03 An: 'Kreß, Thomas' <thomas.kress@physik.rwth-aachen.de<mailto:thomas.kress@physik.rwth-aachen.de>>; rwth-security@lists.rwth-aachen.de<mailto:rwth-security@lists.rwth-aachen.de> Cc: 'Frank, Doris' <Doris.Frank@zhv.rwth-aachen.de<mailto:Doris.Frank@zhv.rwth-aachen.de>>; Abt. 8.4 - Ausbildung <Ausbildung@zhv.rwth-aachen.de<mailto:Ausbildung@zhv.rwth-aachen.de>>; 'Gruebler, Dagmar' <Dagmar.Gruebler@zhv.rwth-aachen.de<mailto:Dagmar.Gruebler@zhv.rwth-aachen.de>> Betreff: AW: Yubikeys im Einsatz ? Hallo zusammen, ich habe es schon mal geschafft mir einen zu Kaufen und ein Azubi (der mittlerweile fertig und weg ist) hatte hier mal etwas damit rumgespielt. Aber zum produktiven Einsatz ist es bei uns leider nicht gekommen. Irgendetwas zwischen Best Practice Erfahrungsaustausch oder sogar eine passende Fortbildung fänd ich super! Das würde sicher etwas für die ganze RWTH bringen (daher die entsprechenden Abteilungen in cc). Mit besten Grüßen, Andre Stollenwerk Von: Kreß, Thomas <thomas.kress@physik.rwth-aachen.de<mailto:thomas.kress@physik.rwth-aachen.de>> Gesendet: Dienstag, 27. August 2019 15:27 An: rwth-security@lists.rwth-aachen.de<mailto:rwth-security@lists.rwth-aachen.de> Betreff: [rwth-security] Yubikeys im Einsatz ? Liebe RWTH Admin-Kolleg/innen, gibt es Institute, die zur besseren Absicherung der lokalen IT YubiKeys oder Ähnliches (mehr im Bereich lokales (verschiedene OS) Rechner-Einloggen als für Web-Services) einsetzen und sind die Erfahrungen damit in der Praxis gut ? Eventuell wäre der Bereich ein gutes Thema für eine Fortbildungsveranstaltung, Vortrag bei einer Admin-Runde, etc. Grüße aus der Physik, Thomas. -- Mit besten Grüßen/With kind regards, Thomas Kreß, RWTH Aachen, III. Physikalisches Institut, Lehrstuhl B Office: 28A-206, Phone: +49 241 80 27281, Fax: +49 241 80 22244 Email: thomas.kress@physik.rwth-aachen.de<mailto:thomas.kress@physik.rwth-aachen.de> Signed with a certificate issued by RWTH Aachen/DFN CA

Hi, wir haben es auch nicht im großen Stil im Einsatz. Ich nutze es als 2nd-Layer (2FA) für eine wichtige Server z.B. für SSH-Login. Das geht easy über Anpassung der entsprechenden PAM-Datei unter Linux. Viele Grüße Andreas On 27.08.19 15:27, Kreß, Thomas wrote:

Liebe RWTH Admin-Kolleg/innen,

gibt es Institute, die zur besseren Absicherung der lokalen IT YubiKeys oder Ähnliches (mehr im Bereich lokales (verschiedene OS) Rechner-Einloggen als für Web-Services) einsetzen und sind die Erfahrungen damit in der Praxis gut ?

Eventuell wäre der Bereich ein gutes Thema für eine Fortbildungsveranstaltung, Vortrag bei einer Admin-Runde, etc.

    Grüße aus der Physik, Thomas.

--               Mit besten Grüßen/With kind regards,

Thomas Kreß, RWTH Aachen, III. Physikalisches Institut, Lehrstuhl B Office:  28A-206, Phone:  +49 241 80 27281, Fax:  +49 241 80 22244 Email: thomas.kress@physik.rwth-aachen.de <mailto:thomas.kress@physik.rwth-aachen.de>            Signed with a certificate issued by RWTH Aachen/DFN CA

_______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de

-- Andreas Welbers Head of IT Institute of Communication Systems (IKS) RWTH Aachen University Muffeter Weg 3a, 52074 Aachen, Germany +49 241 80 26968 (phone) +49 241 80 626968 (fax) welbers@iks.rwth-aachen.de http://www.iks.rwth-aachen.de/

Guten Morgen, On 27.09.19 11:05, Bernd Kohler wrote:

"Keine Sicherheit: Zwei-Faktor-Authentifizierung automatisiert hacken" tl;dr: lol

Die etwas längere (allerdings habe ich den Artikel gestern auch nur überflogen und nutze gerade Kommentare des für seine Qualität bekannten[0] Heiseforums für Kontext) Zusammenfassung: 1) Twitter hat das "SMS zu Tweet"-Feature nach dem "Hack" deaktiviert[2], was diesen Weg und nicht die Kombination von erratenem Passwort und Ausnutzung von 2FA-Schwachstellen nahelegt. 2) Muraena[3] ist ein reverse-Proxy, der nach erfolgreicher Authentifizierung durch den Nutzer den Sessioncookie abgreift. "Phishing, bei dem der Nutzer seinen zweiten Faktor preisgibt" != "2FA an sich ist unsicher" (hoffentlich offensichtlich). Funktioniert außerdem wohl bei U2F/FIDO2 prinzipbedingt eh nicht. 3) NecroBrowser[4] kann die abgefangenen Sessioncookies nutzen, um dann automatisiert Aktionen auszuführen. Oh wow. Insgesamt also wirklich nichts interessantes - da war die Tatsache, dass Adobe einen open redirect betreibt[5] und dieser auch fleißig in freier Wildbahn ausgenutzt wird schon deutlich spannender und zeigt mal wieder, dass Werbung (und in diesem Fall insbesondere dilettantisch implementiertes Conversiontracking) ein viel größeres Problem darstellt, als man so annimmt. Gruß Markus [0] /s[1], falls das nicht offensichtlich ist. [1] <https://www.urbandictionary.com/define.php?term=%2Fs> [2] <https://www.google.com/search?q=twitter+jack+sms> [3] <https://github.com/muraenateam/muraena> [4] <https://github.com/muraenateam/necrobrowser> [5] <https://old.reddit.com/r/sysadmin/comments/d9ndnf/heres_a_phishing_url_to_give_you_nightmares/>