[\/et_pb_text][et_pb_text admin_label=“Text Beitrag | Angriffsmethoden“ _builder_version=“4.16″ text_font=“|300|||||||“ text_text_color=“#000000″ custom_padding=“21px|||||“ z_index_tablet=“500″ text_text_shadow_horizontal_length_tablet=“0px“ text_text_shadow_vertical_length_tablet=“0px“ text_text_shadow_blur_strength_tablet=“1px“ link_text_shadow_horizontal_length_tablet=“0px“ link_text_shadow_vertical_length_tablet=“0px“ link_text_shadow_blur_strength_tablet=“1px“ ul_text_shadow_horizontal_length_tablet=“0px“ ul_text_shadow_vertical_length_tablet=“0px“ ul_text_shadow_blur_strength_tablet=“1px“ ol_text_shadow_horizontal_length_tablet=“0px“ ol_text_shadow_vertical_length_tablet=“0px“ ol_text_shadow_blur_strength_tablet=“1px“ quote_text_shadow_horizontal_length_tablet=“0px“ quote_text_shadow_vertical_length_tablet=“0px“ quote_text_shadow_blur_strength_tablet=“1px“ header_text_shadow_horizontal_length_tablet=“0px“ header_text_shadow_vertical_length_tablet=“0px“ header_text_shadow_blur_strength_tablet=“1px“ header_2_text_shadow_horizontal_length_tablet=“0px“ header_2_text_shadow_vertical_length_tablet=“0px“ header_2_text_shadow_blur_strength_tablet=“1px“ header_3_text_shadow_horizontal_length_tablet=“0px“ header_3_text_shadow_vertical_length_tablet=“0px“ header_3_text_shadow_blur_strength_tablet=“1px“ header_4_text_shadow_horizontal_length_tablet=“0px“ header_4_text_shadow_vertical_length_tablet=“0px“ header_4_text_shadow_blur_strength_tablet=“1px“ header_5_text_shadow_horizontal_length_tablet=“0px“ header_5_text_shadow_vertical_length_tablet=“0px“ header_5_text_shadow_blur_strength_tablet=“1px“ header_6_text_shadow_horizontal_length_tablet=“0px“ header_6_text_shadow_vertical_length_tablet=“0px“ header_6_text_shadow_blur_strength_tablet=“1px“ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ global_colors_info=“{}“]<\/p>\n
Angriffsmethoden bei denen Passw\u00f6rter versagen<\/h3>\n
Angreifer werden nur dann kreativ, wenn es keinen einfacheren Weg gibt Passw\u00f6rter und damit digitale Identit\u00e4ten zu stehlen. Au\u00dferdem muss sich der zus\u00e4tzliche Aufwand bzw. die zu erwartenden Beute lohnen. Wenn Sie noch kein Opfer einer Attacke waren, dann sind Sie entweder sehr gut oder es Sie machen nach au\u00dfen den Anschein, dass nichts zu holen ist. Der zweite Punkt ist auch irgendwie unbefriedigend! Falls eines Ihrer Online-Konten oder Ihrer Zug\u00e4nge bereits \u00abgehackt\u00bb wurden, dann finden Sie nachfolgend eine der Angriffsmethoden, die Ihre Abwehr wahrscheinlich \u00fcberlistet hat:<\/p>\n
- \n
- H\u00e4ufig bestehen Logins aus eMail-Adresse und Passwort. Credential Stuffing<\/strong> macht sich diesen Umstand zu Nutze und \u00fcberpr\u00fcft bereits gestohlene Anmeldedaten auf Validit\u00e4t. Egal wie komplex und stark Ihr Passwort auch immer sein mag: Bei dieser Angriffsmethode spielt die Passwortst\u00e4rke keine Rolle, denn es ist bereits bekannt. Credential Stuffing kommt t\u00e4glich mehr als 20 Millionen Mal vor. Sind f\u00fcr die erfolgreiche Anmeldung allerdings weitere Faktoren wie ein Einmalkennwort (OTP), ein pers\u00f6nliches Device oder biometrische Merkmale notwendig f\u00fchrt Credential Stuffing den Angreifer ins Leere.<\/li>\n
- Bei Phishing<\/strong> bzw. Man-in-the-Middle<\/strong> Angriffen geben Sie den Hackern Ihr Passwort sogar freiwillig. \u00abIhre Bank\u00bb oder irgendein Online-Service, den Sie auch tats\u00e4chlich nutzen, schickt Ihnen eine eMail und fragt zur Sicherheit Ihre Anmeldedaten erneut ab oder verspricht Ihnen ein kostenloses \u00abWas-auch-immer\u00bb wenn Sie sich hier und jetzt sofort anmelden. Das Portal ist ein Fake, Ihre Anmeldedaten sind korrekt und schon ist es passiert. Auch hier hilft Ihnen ein komplexes Passwort nicht, Mehrfaktor-Authentifizierung aber schon. Man geht davon aus, dass 0,5% aller eMails Phishing-.Mails sind. Bei ca. 293 Milliarden (Quelle: Statista.com) eMails pro Tag, ist das Risiko durch Phishing mit knapp 1,5 Milliarden t\u00e4glichen Angriffen sehr hoch. Im Gegensatz zu fr\u00fcher sind Phishing-Mails heute nur noch sehr schwer zu identifizieren. Lediglich der gesunde Menschenverstand, hohe Wachsamkeit und Mehrfaktor-Authentifizierung k\u00f6nnen hier helfen.<\/li>\n
- Bei Keystroke Logging<\/strong> oder Malware-Sniffing<\/strong> erfasst und \u00fcbertr\u00e4gt Malware Ihre Tastatureingaben und damit u.a. auch die eingegebenen Anmeldedaten. Diese Methode ist f\u00fcr Hacker sub-optimal, da aus der F\u00fclle der Eingaben erst Anmeldenamen und Passwort herausgefiltert werden m\u00fcssen. Trotzdem kommt auch diese Variante laut Microsoft sehr h\u00e4ufig vor. Beim Einsatz einer Mehrfaktor-Authentifizierung \u00e4ndert sich der OTP bei jeder Anmeldung und sch\u00fctzt dementsprechend auch gegen diese Angriffsmethode.<\/li>\n
- Spray-and-pray: Dieser Begriff aus dem unkoordinierten Massen-Marketing ist bei Hackern unter dem Begriff Password-Spraying<\/strong> bekannt. Dabei werden typische Passw\u00f6rter, die h\u00e4ufig verwendet werden, bei einer gro\u00dfen Anzahl von Nutzerkonten ausprobiert. Im Gegensatz zu Brute-Force-Attacken (W\u00f6rterbuch-Attacken) ist Password-Spraying eine gezieltere Form des Angriffs. Diese Art wird auch \u00abLow and Spray\u00bb genannt, weil durch die gro\u00dfe Anzahl der damit attackierten Konten, die Richtlinien zur Kontosperrung (Anzahl fehlerhafter Anmeldungen in einer festgelegten Zeit) ausgehebelt werden k\u00f6nnen. Password-Spraying kommt im Gegensatz zu den viel bekannteren Brute-Force-Attacken sehr h\u00e4ufig vor und macht 16% aller Angriffe aus. Wenn Sie Passw\u00f6rter wie \u00abPasswort\u00bb, \u00abPasswort123\u00bb oder \u00abqwertz\u00bb etc. verwenden, geh\u00f6ren Sie fr\u00fcher oder sp\u00e4ter ganz sicher zu den Password-Spraying-Opfern. Komplexe und starke Passw\u00f6rter k\u00f6nnen hier einen Unterschied machen. Der Einsatz einer Mehrfaktor Authentifizierung sch\u00fctzt Sie auch hier garantiert!<\/li>\n
- W\u00e4hrend die oben aufgef\u00fchrten Angriffsmethoden sehr h\u00e4ufig bis h\u00e4ufig vorkommen, werden Accounts seltener durch Verfahren mit den komisch klingenden Namen Dumpster Diving, Network Scanning, Blackmail, AD-Extraktion oder Insider Threat angegriffen.<\/li>\n<\/ul>\n
Bei drei der vier h\u00e4ufigsten Angriffsmethoden ist die Passwortst\u00e4rke (L\u00e4nge und Komplexit\u00e4t des Passworts) also irrelevant. Die Ausnahme ist Password-Spraying. Microsoft empfiehlt trotzdem ein Passwort > 8 Zeichen inkl. Sonderzeichen und Zahlen zu verwenden. Und m\u00f6glichst keine bekannten Begriffe, die im Zusammenhang mit Ihrem Namen und\/oder der Anmeldung stehen (z.B. Outlook123 f\u00fcr das Outlook Login) bzw. aus Zeichen, die auf der Tastatur nebeneinanderliegen. Eine Passwort-Manager App kann Ihnen helfen, komplexe Passw\u00f6rter zu generieren und sich diese auch zu merken bzw. merken zu lassen.<\/p>\n
<\/p>\n
[\/et_pb_text][et_pb_text admin_label=“Text Beitrag | Schutz durch 2FA“ _builder_version=“4.16″ text_font=“|300|||||||“ text_text_color=“#000000″ z_index_tablet=“500″ text_text_shadow_horizontal_length_tablet=“0px“ text_text_shadow_vertical_length_tablet=“0px“ text_text_shadow_blur_strength_tablet=“1px“ link_text_shadow_horizontal_length_tablet=“0px“ link_text_shadow_vertical_length_tablet=“0px“ link_text_shadow_blur_strength_tablet=“1px“ ul_text_shadow_horizontal_length_tablet=“0px“ ul_text_shadow_vertical_length_tablet=“0px“ ul_text_shadow_blur_strength_tablet=“1px“ ol_text_shadow_horizontal_length_tablet=“0px“ ol_text_shadow_vertical_length_tablet=“0px“ ol_text_shadow_blur_strength_tablet=“1px“ quote_text_shadow_horizontal_length_tablet=“0px“ quote_text_shadow_vertical_length_tablet=“0px“ quote_text_shadow_blur_strength_tablet=“1px“ header_text_shadow_horizontal_length_tablet=“0px“ header_text_shadow_vertical_length_tablet=“0px“ header_text_shadow_blur_strength_tablet=“1px“ header_2_text_shadow_horizontal_length_tablet=“0px“ header_2_text_shadow_vertical_length_tablet=“0px“ header_2_text_shadow_blur_strength_tablet=“1px“ header_3_text_shadow_horizontal_length_tablet=“0px“ header_3_text_shadow_vertical_length_tablet=“0px“ header_3_text_shadow_blur_strength_tablet=“1px“ header_4_text_shadow_horizontal_length_tablet=“0px“ header_4_text_shadow_vertical_length_tablet=“0px“ header_4_text_shadow_blur_strength_tablet=“1px“ header_5_text_shadow_horizontal_length_tablet=“0px“ header_5_text_shadow_vertical_length_tablet=“0px“ header_5_text_shadow_blur_strength_tablet=“1px“ header_6_text_shadow_horizontal_length_tablet=“0px“ header_6_text_shadow_vertical_length_tablet=“0px“ header_6_text_shadow_blur_strength_tablet=“1px“ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ global_colors_info=“{}“]<\/p>\n
Wie sch\u00fctzt Mehrfaktor-Authentifizierung?<\/h3>\n
Statische Anmeldeverfahren sind also vielfach angreifbar. Oftmals sind der Name des Anmeldenden und die eMail Adresse bereits \u00f6ffentlich bekannt. Bei der Zwei- oder Mehrfaktor Authentifizierung ist f\u00fcr die erfolgreiche Anmeldung mindestens ein weiterer Faktor erforderlich. Streng genommen spricht man erst dann von einer Zwei-Faktor-Authentifizierung, wenn mindestens zwei unterschiedliche Faktoren aus den Bereichen \u00abHaben\u00bb, \u00abSein\u00bb und \u00abWissen\u00bb abgefragt werden Das Passwort ist z.B. Ihr \u00abWissen\u00bb. Au\u00dfer es ist ein Kennwort, dass auch andere kennen. Biometrische Eigenschaften, wie ein Fingerabdruck, ein Passbild, Face ID etc. geh\u00f6ren zum Faktor \u00abSein\u00bb. Chipkarte, Ausweis, EC-Karte, Hardware-Token oder eben auch Smartphones sind etwas was Sie haben.<\/p>\n
Bei einer Zwei- bzw. Mehrfaktor Authentifizierung wird ein One-Time-Passcode (=numerisches Passwort) oder ein One-Time Password dem Anmeldenden erst dann zur Verf\u00fcgung gestellt, wenn er sich durch die korrekte Kombination von Anmeldenamen und Passwort bereits authentifiziert hat. Wie der Name One-Time… bereits ausdr\u00fcckt, handelt es sich hierbei um ein Einmalkennwort, dass nur f\u00fcr die aktuelle Anmeldung g\u00fcltig ist. Meistens sind die OTPs sitzungs-basierend, d.h. sie funktionieren nur zusammen mit der urspr\u00fcnglichen Session-ID. Das schlie\u00dft Man-in the-Middle Angriffe damit per se aus, da der \u00abMittelsmann\u00bb eine neue Sitzung aufbauen muss, was wiederum eine neue Session-ID erzeugt.<\/p>\n
Jetzt stellt sich noch die Frage, wie das OTP zum Anmeldenden kommt? Traditionelle Verfahren nutzen dabei einen Hardware-Token. Dieser erzeugt alle 6-Sekunden synchron zum Anmeldeserver einen neuen Passcode. Gibt der Anmeldende den Passcode innerhalb der vorgeschriebenen Zeit ein, bekommt er den gew\u00fcnschten Zugang. Der Nachteil: Hardware-Token sind ein zus\u00e4tzliches Device, dass nicht vergessen werden darf und die Zwei-Faktor Authentifizierung kostspielig macht. Auch f\u00fcr das Online-Banking gibt es TAN-Generatoren, aber die Mehrzahl der Kunden nutzen Apps auf dem Smartphone zur Freigabe von Bankgesch\u00e4ften. Auch bei der Zwei-Faktor Authentifizierung gibt es neue und sichere Verfahren die sich dort Push-Notification und Soft-Token nennen. Beide Verfahren haben eine hohe Usability, was deren Akzeptanz beim Anwender erh\u00f6ht. Der SMS Passcode dagegen spielt, wie die SMS-TAN nach dem PSD2-Update bei Banken kaum mehr eine Rolle.<\/p>\n
[\/et_pb_text][et_pb_text admin_label=“Text Gibt es durch Mehrfaktor-Authentifizierung auch einen Mehrwert?“ _builder_version=“4.16″ global_colors_info=“{}“]<\/p>\n
Gibt es durch Mehrfaktor-Authentifizierung auch einen Mehrwert?<\/h3>\n
[\/et_pb_text][et_pb_text admin_label=“Text Beitrag | MFA“ _builder_version=“4.27.4″ text_font=“|300|||||||“ global_colors_info=“{}“]<\/p>\n
![\"Push](\"https:\/\/www.prosoft.de\/blog\/wp-content\/uploads\/2019\/09\/SecurAccess-SmartWatch-Login-150x150.png\")
<\/h3>\nIm Prinzip sind auch Mehrfaktor-Authentifizierungen per Definition nur Zwei-Faktor Authentifizierungen, dann auch sie bestehen nur aus den oben erw\u00e4hnten zwei Faktoren aus 3 Bereichen. Bei dem Begriff handelt es sich also um ca. 60% Marketing und 40% Wahrheit. Bleiben wir zur Erkl\u00e4rung der Unterschiede bei der Push-Notificationen (siehe Bild): Wird hier zus\u00e4tzlich zur Freigabe der Anmeldung eine zus\u00e4tzliche PIN abgefragt, dann spricht der Werbende bereits von einer Mehrfaktor-Authentifizierung.<\/span><\/p>\n
Genauer betrachtet wird allerdings nur der Faktor \u00abHaben\u00bb ein zweites Mal f\u00fcr die Anmeldung bem\u00fcht. Trotzdem erreicht man bei der Push-Notification mehr Sicherheit, wenn der Anwender sein Smartphone so konfiguriert hat, dass Mitteilungen nicht im Sperrbildschirm f\u00fcr Au\u00dfenstehende sichtbar sind. Hier sch\u00fctzt eine zus\u00e4tzliche PIN durchaus. Neben einer PIN k\u00f6nnen auch biometrische Merkmale wie z.B. Face ID oder ein Fingerabdruck, Geofencing, Begrenzung auf IP-Adressbereiche, ungew\u00f6hnliches Anwenderverhalten zus\u00e4tzliche Soft-Facts sein, die auch tats\u00e4chlich zus\u00e4tzliche Sicherheit bringen. Viele 2FA-L\u00f6sungen wurden durch die Nutzung moderner Smartphones als Empf\u00e4nger oder OTP-Generator praktisch zuf\u00e4llig zu Mehrfaktor-Authentifizierungen.<\/span><\/p>\n
Weitere Blogbeitr\u00e4ge zum Thema<\/h3>\n
Ein Leser hat uns auf das Phishing-Tool MODLISHKA<\/strong> aufmerksam gemacht. Damit ist es m\u00f6glich Phishing Seiten zu erstellen, Zugangsdaten mitzulesen und auch eine Zwei-Faktor Authentifizierung zu umgehen. Modlishka fungiert dabei als Reverse-Proxy zwischen Opfer und der eigentlichen Zielwebseite. Durch dieses Verfahren sollen, au\u00dfer beim Einsatz von U2F-Hardwaretoken<\/a> (beispielsweise YubiKey<\/a>), vollautomatisierte Man-in-the-Middle (MITM) Angriffe m\u00f6glich sein. Man erkennt entsprechend modifizierte Webseiten an der fehlenden HTTPS-Verbindung. Ob damit auch Session-basierte OTPs umgangen werden k\u00f6nnen, erschlie\u00dft sich uns aber nicht eindeutig, da auch in diesem Fall eine neue Sitzung erstellt werden muss. Bilden Sie sich Ihre eigene Meinung und kommentieren Sie gerne diesen Beitrag. Mehr zu Modlishka finden Sie auf Golem<\/a> und ZDNet<\/a>.<\/p>\n
Sch\u00fctzt Ihre Daten
Hardware-Token im Kreditkartenformat<\/a>
Sind SMS-Passcode und Voice Call noch zeitgem\u00e4\u00df?
Keine sichere Authentifizierung unter dieser Nummer!<\/a>
Regelm\u00e4\u00dfigen Passwortwechsel vermeiden
BSI: Ein zeitgesteuerter Passwortwechsel sollte vermieden werden<\/a>
Homeoffice
Multi-Faktor-Authentifzierung f\u00fcr das Homeoffice<\/a>
Sichere Authentifizierung ohne Passwort
Passwortlose Authentifizierung<\/a><\/p>\n[\/et_pb_text][\/et_pb_column_inner][\/et_pb_row_inner][\/et_pb_column][\/et_pb_section][et_pb_section fb_built=“1″ specialty=“on“ custom_css_main_1=“max-width:15%“ disabled_on=“off|off|off“ _builder_version=“4.16″ custom_padding=“0|0px|0|0px|false|false“ custom_css_main_element=“background-color: #efefef“ global_colors_info=“{}“][et_pb_column type=“1_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_image src=“https:\/\/www.prosoft.de\/blog\/wp-content\/uploads\/2018\/12\/fazit.svg“ align_tablet=“center“ align_phone=““ align_last_edited=“on|desktop“ disabled_on=“on|on|“ admin_label=“Bild Fazit“ _builder_version=“4.16″ max_width=“35%“ module_alignment=“right“ saved_tabs=“all“ locked=“off“ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][et_pb_column type=“3_4″ specialty_columns=“3″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_row_inner column_structure=“undefined“ admin_label=“Zeile“ _builder_version=“4.16″ global_colors_info=“{}“][et_pb_column_inner type=“undefined“ saved_specialty_column_type=“3_4″ _builder_version=“4.16″ custom_padding=“|||“ global_colors_info=“{}“ custom_padding__hover=“|||“][et_pb_text admin_label=“Text FAZIT“ _builder_version=“4.16″ z_index_tablet=“500″ box_shadow_horizontal_tablet=“0px“ box_shadow_vertical_tablet=“0px“ box_shadow_blur_tablet=“40px“ box_shadow_spread_tablet=“0px“ global_colors_info=“{}“]<\/p>\n
Fazit:<\/strong><\/p>\n
Mobilit\u00e4t, BYOD und Notwendigkeit auf wichtige Daten und Informationen von \u00fcberall zu jederzeit zugreifen zu k\u00f6nnen, sind die Treiber f\u00fcr steigende Cloud-, Web- und Remote-Zugriffe. Das freut Hacker und Cyberkriminelle, denn deren Chancen auf Erfolg steigen. Zwei- oder Mehrfaktor-Authentifizierungen sind durch einen einmalig g\u00fcltigen und sitzungs-basierenden OTP die zweite sichere Verteidigungslinie. Vertrauen Sie beim Remote-Access nicht mehr auf statische Anmeldeverfahren. Tempura mutantur et nos mutamur in illis…ob wir wollen oder nicht!<\/p>\n
- Bei Phishing<\/strong> bzw. Man-in-the-Middle<\/strong> Angriffen geben Sie den Hackern Ihr Passwort sogar freiwillig. \u00abIhre Bank\u00bb oder irgendein Online-Service, den Sie auch tats\u00e4chlich nutzen, schickt Ihnen eine eMail und fragt zur Sicherheit Ihre Anmeldedaten erneut ab oder verspricht Ihnen ein kostenloses \u00abWas-auch-immer\u00bb wenn Sie sich hier und jetzt sofort anmelden. Das Portal ist ein Fake, Ihre Anmeldedaten sind korrekt und schon ist es passiert. Auch hier hilft Ihnen ein komplexes Passwort nicht, Mehrfaktor-Authentifizierung aber schon. Man geht davon aus, dass 0,5% aller eMails Phishing-.Mails sind. Bei ca. 293 Milliarden (Quelle: Statista.com) eMails pro Tag, ist das Risiko durch Phishing mit knapp 1,5 Milliarden t\u00e4glichen Angriffen sehr hoch. Im Gegensatz zu fr\u00fcher sind Phishing-Mails heute nur noch sehr schwer zu identifizieren. Lediglich der gesunde Menschenverstand, hohe Wachsamkeit und Mehrfaktor-Authentifizierung k\u00f6nnen hier helfen.<\/li>\n