N’Abend,
Markus Witt markus.witt@rwth-aachen.de writes:
On 27.09.19 11:05, Bernd Kohler wrote:
"Keine Sicherheit: Zwei-Faktor-Authentifizierung automatisiert hacken"
tl;dr: lol
Jup. Heise streut da wieder schön FUD[0].
- Twitter hat das "SMS zu Tweet"-Feature nach dem "Hack"
deaktiviert[2], was diesen Weg und nicht die Kombination von erratenem Passwort und Ausnutzung von 2FA-Schwachstellen nahelegt. 2) Muraena[3] ist ein reverse-Proxy, der nach erfolgreicher Authentifizierung durch den Nutzer den Sessioncookie abgreift. "Phishing, bei dem der Nutzer seinen zweiten Faktor preisgibt" != "2FA an sich ist unsicher" (hoffentlich offensichtlich). Funktioniert außerdem wohl bei U2F/FIDO2 prinzipbedingt eh nicht. 3) NecroBrowser[4] kann die abgefangenen Sessioncookies nutzen, um dann automatisiert Aktionen auszuführen. Oh wow.
Was man hier auch vor allem merkt: Das geht sehr von Web aus. Wie aber weiter oben in diesem Thread auch angerissen wurde, kann man YubiKeys und ähnliche HSMs auch gut für andere Sachen nutzen. Ich will jetzt nicht behaupten, dass PGP, der Sumpf aus S/MIME, X.509, PKCS#n etc., SSH, und co nicht auch ihre Unzulänglichkeiten hätten, aber es sind schonmal deutlich andere Startvorraussetzungen.
--Thomas
[0]: Fear, Uncertainty, Doubt