Topic: MITM-Attacke auf das Forum , Passwörter ändern falls gestern eingeloggt. (Read 2196 times)

Übrigens, wenn ihr euch um solche Gedanken/Sorgen macht, ist vielleicth Qubes OS etwas für euch:
http://qubes-os.org/

Basiert auf XEN Virtualisierung und Linux. Es lässt den Rechner in abgetrennten Sandboxen laufen.

Und alles hilft nicht, wenn der Serverbetreiber seine Hausaufgaben nicht gemacht hat oder man aus Bequemlichkeit auf die im Browser eingebauten Cert Authorities zurückgreift. Wenn zumindest der Server mitspielt, helfen Mechanismen wie sie in Kartenlesegeräten der Sicherheitsklasse 3 (Tastatur/Display) oder 4 (Authentifizierter Client) eingebaut sind. Dazu muss das externe Gerät aber aktiv sein und entsprechende Benutzerschnittstellen aufweisen. Ein Tag oder eine Smartcard reicht dafür nicht.

2FA mit explizit verifiziertem Zertifikat ist schon recht gut, solange der Serverbetreiber seinen Job versteht.

Das kannst du schon einfach haben, es gibt RFID-Leser, die die Seriennummer des Transponders als Tastatureingabe eintippen.
Nachteil: Das Passwort ist immer fest (Der Transponder ist nicht beschreibbar oder wenn, auch nicht besser als ein Zettel, weil nur eine Nummer), immer recht einfach (Eine Hex- oder Dez-Seriennummer, also 0-9 oder 0-9&A-F), und recht kurz.
Hilft gegen einen Bruteforcer also 'n scheiß.
Und klauen kann man es eh.

In der letzten Elektor war ein USB-Stick, der 4 beliebige Passwörter speichern kann, die man per Drehschalter auswählt.
Schalter einstellen, einstecken, dreimal Numlock drücken, schon kommt das Passwort als Tastatur raus.

Aber auch da: Keylogger und Trojaner nehmen es mit, weg ist es.
Einzig 2FA könnte da was ändern.

Ich stell mir das so vor... Der Empfänger per USB neben dem PC. Am Schlüsselbund den Transponder und wenn ich nach einem Passwort gefragt werde, dann das ich per Hotkey ein Programm im Hintergrund startet und ich in das Passwortfeld mit der Maus zeige. Transponder gegen den Leser halte und die Eingabe wird übermittelt.

Chefin, ich finde VMs und auch Linux-VMs ingesamt praktisch. Allerdings sind sie glaube ich lange nicht soo sicher.
Es scheint zumindest Datenlecks und deren Exploits zu geben, z.B.:
http://thoughtsoncloud.com/index.php/2013/07/how-your-data-leaks-from-a-virtual-machine/
http://arstechnica.com/security/2012/11/crypto-keys-stolen-from-virtual-machine/

Letztendlich weiss ich auch nicht, wie sicher Du bist, wenn sich ein Virus auf BIOS Ebene einnisten sollte oder auf dem Host ein Keylogger läuft.

Daher finde ich "Brain 1.0" gar nicht schlecht 

Habe mir sogar folgendes Passwortkonzept gerade überlegt:

Was haltet ihr davon?

(und nochmal sorry, dass wir so am OP vorbeischreiben..)

Was für ein Problem möchtest Du damit lösen? Gegen MITM hilft das erst mal nicht, wenn der Betreiber der Gegenstelle nicht mitspielt. Gegen unbefugten Zugriff auf Passwörter auch nur begrenzt.

Kennt einer eine Möglichkeit sich die Passwörter mittels RFID hinterlegen und auslesen zu lassen? Zumindest auf dem lokalen Rechner. Ich wäre an einer Open Source Lösung interessiert. Der Transponder hat paar kb , da könnte man dutzende Passwörter drauf speichern. Technik hab ich da, weiß nur nix mit anzufangen.

Wenn du nicht sicher weist, ob dein PC in gefahr ist, hilft es, Keepass ausschliesslich auf Stick zu haben, so das ein Hacker erstmal garnicht bemerkt das keepass existiert. Weitere Sicherheitsfeatures wären zb mehr als eine Datei zu haben. Datei 1 für Larrifarri Passwörter irgendwelcher Foren oder Produktregistrierungen. Eine weitere für die doch deutlich wichtigeren wo es ums Geld geht.

Die Grundverschlüsselung der eigentlichen Datei entspricht sicherheitstechnisch der Verschlüsselung der Wallet im Bitcoin-Client.

Auch eine Möglichekit für paranoiker: VM-Ware drauf, Linux VM Installieren, aber als Laufwerkspfad nun einen USB-Stick angeben. So kann man eine Linux-VM von einem Stick aus starten innerhalb von Windows. Das passende VM-Ware liegt dann als Datei mit auf dem Stick. Da VM-ware player free ist, kann ich das überall auch mal schnell installieren und starte die VM, das wäre wohl sogar in einem Internetcafe möglich.

Schadsoftware selbst ist heute kein monogamer Block, sonderen ein modulares System. Der erste Step ist die Infizierung. Ist das erledigt, lädt die Infektionsroutine die eigentliche Schadsoftware nach. Als erstes kommt dann ein Virenscannerblocker dazu, dann kommen Analysetools. Anhand dieser Analysen weis man dann welche Module man braucht. wird da schon keepass entdeckt, wird natürlich das passende Modul nachgeladen. Ebenso wenn VM entdeckt werden. Allerdings wird dann zu 99% die löschroutine angeworfen und sich selbst terminiert. Jede Schadsoftware fürchtet VMs, weil sie dort der Analyse schutzlos ausgeliefert sind. Deswegen gibt es für Random-hacks praktisch keine Module die eine VM aus dem Host heraus infiizieren. Lediglich wenn man Targetsoftware benutzt, richtet man sich entsprechend drauf ein. Aber dann hat man das Target auch schon länger auspioniert und weis um seine Paranoia und Schwächen.

Aus diesem grund sind VM grundsätzlich erstmal sicher. Ausserdem tut sich Windowsschadsoftware schwer wenn sie eine Linux-VM hacken sollen. Diese Kombination hat also ein hohes Sicherheitspotential, da sie nur temporär überhaupt angreifbar ist, dann aber kaum nutzbare Aktivitäten hat. Man kann zudem die virtuelle Netzwerkkarte einfach deaktivieren und hat so einen Rechner der garnicht mit dem Netz verbunden ist. Über die Virtuallisierung in den Gast zu hacken scheint wohl nicht zu gehen. jedenfalls habe ich da noch nie etwas gehört was in diese Richtung ging. Alle Hacks gingen über das virtuelle Netzwerk und das die VM sozusagen Vertrauen geniest.

Der Aufwand steigt natürlich an, wenn man die Sicherheit hoch setzen will. Und es wird nie etwas unüberwindliches geben. Es ist immer nur ein Wettrüsten.

Bin zwar ein anderer und auch kein User von KeePass (sondern einem anderen Passwort-Safe), aber ich denk mal, ich kann da auch antworten.  In meinem Fall ist es so, dass ich noch nie ernsthaft ein wichtiges Passwort in einem Internet-Cafe gebraucht hätte.  Wenn ich es schon vorher absehen kann, dann würd ich es mir verschlüsselt am Handy speichern (kann ja hinterher geändert werden, um jede Gefahr zu beseitigen).  Und ich wüsste nicht, warum ich wirklich so dringend ein Passwort benötigen könnte, von dem ich vorher nichts weiß.  (Und falls doch, im ärgsten Notfall halt zurück setzen lassen.)

Ich hab's schon geahnt und wollte die Box nicht aufmachen...
Über vernünftige Passwörter kann man noch ewig diskutieren! 

Aber, Chefin, aus Interesse:
Wie machst Du das z.B. in einem Internet-Cafe im Ausland? Hast Du KeePass auf einem mobilen Gerät laufen, von dem die Nummern abtippst?

Das Problem mit Lastpass o.ä. sehe ich nämlich primär darin, dass ich auf unsicheren Rechnern mich nicht nur mit _einem_ sondern gleich mit _allen_ Passwörtern gefährde.

Da könnte ich mir wenn dann langfristig eher so etwas in diese Richtung vorstellen:
http://myidkey.com/

Ich benutze Keepass. Die damit generierten Passwörter sind garantiert nicht per Bruteforce oder Wörterbuch zu knacken. Und ich benutze nie ein Passwort doppelt.

Keepass selbst habe ich auf 32stellige Passwörter gesetzt, das sieht dann so aus:

FmkNpnb5FvT0Nbb9R8Sup5X9wv0UeJzw
oder
r0QgsKXvfoSYUOAQHr9ASC21IoWT6nM1

Ich habe da schon probleme beim Abschreiben mit der Hand. Natürlich können die genauso mitgelesen werden. Einem Computer ist es egal ob er 4 oder 32 stellen dann speichert.

Aber es umgeht das Problem der Mehrfachnutzung des Passwortes und des vergessens. Der einzige Nachteil ist im Speichern der Datei und der Benutzung eines normalen Passworts als Entschlüsselungsphrase. Wer hier mehr Sicherheit möchte kann sich einen USB-Stick als zweiten Faktor generieren. Jetzt muss man den USB-Stick einstecken UND die Passphrase tippen.

Natürlich, wer das knacken will, wird auch das schaffen. Aber bis er soweit ist, keepass zu cracken hat er schon lange den Rechner so in der Hand, das jedes eintippen lange vorher mitgelesen wird. Keepass gibts auch für die verschiedensten Plattformen.

http://keepass.info/download.html

Und vieleicht auch noch interessant: der programmautor ist deutsch, die Software ist primär deutsch. Für mich jedenfalls ein weiteres Zeichen guter Software, wenn jemand seinen Namen und Adresse dafür hergibt. Das macht man nur wenn man weis das man wirklich ordentlich gearbeitet hat.

das kennwort - passwort - ist auch schlecht. passwort123 schon besser aber ausbaufähig 

Danke für die Anregungen zur Passwort-Gestaltung, RedEvil. Ich informiere mich immer wieder bei Bruce Schneier u.ä. nach dem aktuellen Stand und gestalte meine Passwörter entsprechend.

Generell finde ich es für mich persönlich unsicherer, _zu_ oft Kennungen zu ändern, weil ich sie dann vergesse und dann nachschlagen oder neu beantragen muss - was beides potentielle Sicherheitslücken darstellt. - Aber das ist ein anderes Thema (und ja, ich weiss es gibt LastPass, KeePass usw...).

da du sowieso deine passwörter immer wieder wechseln solltest regelmässig tue dies doch einfach .
Falls du zu der generation gehörst die ihr passwort ernsthaft irgendwo anders noch verwendet tausche alle passwörter aus.

Am leichtesten geht es in dem du dir einen song , gedicht oder ähnliches merkst .

#Bitcoin#Talk#Forum#Kotz#Mich#An#
#Bitcoin#De#Mein#Handelsplatz#

ect...

Auf passwörter wie KatzenNamen Kinder Namen Geburtsdaten ect... solltest du generell verzichten ausser für SPAM seiten die man nicht benötigt ^^

Kann ich eigentlich irgendwo einsehen, ob ich zu der Zeit eingeloggt war?
Ich glaube nicht, aber bin mir nicht sicher...

Wie ich schon in anderen Threads meist zum Thema "NSA und wie schütze ich mich vor Datenspionage" geschrieben habe:

Verschlüsselung auf asymetrischer Basis auf Webseiten(HTTPS) ist voll fürn Arsch.

http://www.heise.de/security/meldung/Ausgefeilte-Angriffe-auf-Bitcoin-Nutzer-2058883.html

Damit kann man vieleicht Scriptkiddys abhalten, aber wenn jemand es drauf anlegt und entsprechende Befugnisse hat, nutzt ein zertifikatbasierendes System nichts. Im Zweifel wirft der Anbieter das Handtuch, siehe Emailverschlüsselung. Aber damit ist nur klar, das derjenige verhindert das zukünftige Mails mitgelesen werden. Bereits übermittelte Mails können entschlüsselt werden. Ich denke das NSA genug Power hat das Löschen der Daten zu verhindern. Die rufen beim RZ an und lassen die Server vom Netz nehmen.

Und wie man hier und heute sieht, wir würden eine MitM selbst nicht merken. Erst der Admin kommt drauf, wenn er oft genug kontrolliert. Aber auch hier muss man von locker 24std Delay ausgehen, wo fremde alle Logins abgreifen konnten.

seltsam, der hack und diese meldung am gleichen tag:

http://www.coindesk.com/bitcoin-protocol-hack-joke/


die kleinen ratten versuchen auch alles 

Das hat theymos gestern Nacht dahin geschrieben und man konnte sich tatsächlich nicht einloggen...später konnte man es dann und hat es wohl vergessen zu entfernen.

Warum steht oben eigentlich "Login temporarily discouraged", aber dennoch kann man sich bei LOGIN einloggen???

http://www.heise.de/newsticker/meldung/Ausgefeilte-Angriffe-auf-Bitcoin-Nutzer-2058883.html