1Password

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Nein, die Aussage soll sich so lesen: "Wenn du es akzeptierst, dass man dir ein Token übersendet, um das PW neu zu setzen, bist du nicht glaubwürdig, wenn du damit nicht einverstanden bist, dass man dir kein Token für das Login übersendet."

    Du widersprichst dir: Du hältst offenkundig E-Mail für sicher, jedenfalls beschwerst du dich nicht, wenn es darum geht, dein PW neu zu setzen, jedoch für unsicher, wenn es darum geht, sich einzuloggen.
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?
  • Amin Negm-Awad schrieb:

    Du widersprichst dir: Du hältst offenkundig E-Mail für sicher, jedenfalls beschwerst du dich nicht, wenn es darum geht, dein PW neu zu setzen, jedoch für unsicher, wenn es darum geht, sich einzuloggen.


    Ich habe meines Wissens nirgendwo geschrieben, dass ich es total in Ordnung finde, mir Passworte (egal ob Klartext oder Generierungstoken) per E-Mail schicken zu lassen.
    Unterstellungen sind keine gute Argumentation.

    Davon abgesehen vergesse ich meine Kennwörter sehr sehr selten. Naja, eigentlich regelmäßig, aber ich habe sie ja zum Glück auf einem externen, energieunabhängigen persönlichen Datenträger hinterlegt.
    Ein Token bekäme ich bei absolut jedem Login auf der Seite oder (wie im Falle der Kreditkarte) bei jeder Aktivität auf der Seite. Die erhöhte Frequenz sehe ich einfach als erhöhtes Sicherheitsrisiko (E-Mail) bzw. datenschutztechnisch kritisch (SMS) an.

    Würde ich meine Passwörter vergessen und passierte dies regelmäßig wäre Deine Argumentation nachvollziehbar. Da diese Argumentation aber (zumindest im Fall des Autors der von Dir zitierten Textstellen) absolut an den Haaren herbeigezogener Unfug ist, erklärt dies zum Einen mein Verständnisproblem und zum Anderen macht es die gesamte Argumentation für mich ungültig.

    Des Weiteren ist Deine doppelte Verneinung in der 'Vereinfachung' alles Andere als durchblickfördernd. :P
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P
  • Marco Feltmann schrieb:

    Amin Negm-Awad schrieb:

    Du widersprichst dir: Du hältst offenkundig E-Mail für sicher, jedenfalls beschwerst du dich nicht, wenn es darum geht, dein PW neu zu setzen, jedoch für unsicher, wenn es darum geht, sich einzuloggen.


    Ich habe meines Wissens nirgendwo geschrieben, dass ich es total in Ordnung finde, mir Passworte (egal ob Klartext oder Generierungstoken) per E-Mail schicken zu lassen.
    Unterstellungen sind keine gute Argumentation.

    Nein, geschrieben hast du es nicht. Du akzeptierst es hier in diesem Dienst. Das ist keine Unterstellung, sondern folgt aus der Existenz deines Accounts.

    Das Herbeigezogene scheint seine Ursache dann doch eher darin zu finden, die Bedrohung nicht durchdacht zuhaben.

    Übrigens macht das fast jeder Dienst so. Ich nehme an, dass du bei weiteren angemeldet bist, bei denen du das offenkundig auch akzeptierst. Dass du das nicht sagst oder dir nicht eingestehst, ändert daran wenig.

    Marco Feltmann schrieb:

    Davon abgesehen vergesse ich meine Kennwörter sehr sehr selten.Naja, eigentlich regelmäßig, aber ich habe sie ja zum Glück auf einem externen, energieunabhängigen persönlichen Datenträger hinterlegt.
    Würde ich meine Passwörter vergessen und passierte dies regelmäßig wäre Deine Argumentation nachvollziehbar. Da sie aber (zumindest im Fall des Autors der von Dir zitierten Textstellen) absolut an den Haaren herbeigezogener Unfug ist, erklärt dies zum Einen mein Verständnisproblem und zum Anderen macht es die gesamte Argumentation für mich ungültig.

    Des Weiteren ist Deine doppelte Verneinung in der 'Vereinfachung' alles Andere als durchblickfördernd. :P

    Ich nehme an, dass das ein Scherz sein soll. Oder musst *du* dein PW vergessen haben, damit ein Angreifer auf den Link klickt?

    Schau mal gleich in deine E-Mails. (Die Adresse willst du ja auch nicht hinterlegen.)
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?
  • Amin Negm-Awad schrieb:

    Ich überlege schon, dies zu übernehmen. Dann habe ich garantiert kein gespeichertes PW auf dem Server.


    Warum denn nicht einfach ein etabliertes Verfahren ohne Pferdefuß? Die betreffenden RFCs habe ich oben gepostet. One-Time-Pad ohne sichtbare Koppelung an einen Account ist immer noch die beste Lösung.
  • kmr schrieb:

    Marco Feltmann schrieb:


    Die Aussage liest sich für mich wie folgt: Weil viele Dienste es falsch machen ist es automatisch sicher. Und das sehe ich anders.
    Wobei ich bisher noch nie ein Passwort zugesendet bekommen habe…


    Nein? Dann melde Dich mal für die Hotspot-Nutzung bei der Telekom an. ;)

    Ist ja egal. Er hat gerade ein Token zugeschickt bekommen, mit dem man ein neues PW setzen kann. Und das obwohl er gar nicht sein PW vergessen hatte, sondern es zum Glück auf einen energieunabhängigen, persönlichen Datenträger hinterlegt hat!!!!!!!!!!!
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?
  • kmr schrieb:

    Marco Feltmann schrieb:

    bzw. datenschutztechnisch kritisch (SMS) an.


    Wieso ist denn eine SMS "datenschutztechnisch kritisch"?
    Soweit ich das überflogen habe, ist das ja ziemlich nah an dem Vorschlag aus dem Artikel.
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?
  • Amin Negm-Awad schrieb:

    Soweit ich das überflogen habe, ist das ja ziemlich nah an dem Vorschlag aus dem Artikel.


    Jetzt musste ich diesen Artikel ja doch mal lesen. Burps. Ich kriege bei Security und Kryptographie grundsätzlich Sodbrennen, wenn Leute versuchen, ein bereits erfundenes Rad neu zu erfinden. Nichts in diesem Artikel ist neu, noch nichtmals das Halbwissen. Spontan fallen mir dazu ein:
    1. HMAC-Based One-time Password (HOTP) algorithm (specified in RFC 4226),
    2. Time-based One-time Password (TOTP) algorithm (specified in RFC 6238),
    3. 0Auth.
    Die Verwendung eines *OTP ohne zusätzliches Merkmal (Passwort) ist grober Unfug, so lange das *OTP über einen unsicheren Kanal geschickt wird. Und alle zur Verfügung stehenden Kanäle sind per definitionem unsicher. Passwörter lassen sich damit also nicht ablösen. Man kann nur das Passwort-Handling sicherer machen. Dafür gibt es bereits die in 1 und 2 beschriebenen, bisher anerkannt sicheren Verfahren. 0Auth 2.0 ist so eine Sache … aber das hängt jetzt auch schon recht lange am Haken ohne dass gravierende Lücken aufgetaucht sind. Ein neues Verfahren müsste sich diesen Stand erst mühsam ersitzen. Ich sehe kein einziges Argument für das in dem Artikel vorgeschlagene Verfahren. Aber eine ganze Menge dagegen.
  • Amin Negm-Awad schrieb:

    Nun, die Leute haben einige Beiträge weiter oben genau so argumentiert, und beziehen ihr Sicherheitswissen nicht aus dem TV. (Glaube ich jedenfalls nicht.)


    Da fällt uns doch gerade in diesem Augenblick wieder ein schönes Beispiel auf die Füße, wie man also normaler Mensch mit IT-Sicherheit im Regen steht.

    SPON faselt wirr:
    "Der Angreifer kann nur auf dem Sicherheitsniveau des gerade eingeloggten Users agieren. Das bedeutet: Wer unter Windows mit einem
    "Benutzer"-Profil und nicht als "Administrator" surft, ist sicherer unterwegs, da "Benutzer" weniger Rechte haben. Wie man Benutzer-Profile
    anlegt, wird hier erklärt."


    Heureka, da ich aber Glück gehabt! Der Angreifer konnte zwar bequem und unbemerkt alle meine Daten raustragen, aber wenigstens konnte er keinen neuen Treiber im System installieren. Das wird ihm gehörig den Spaß an solchen Angriffen verderben!!1
  • kmr schrieb:

    Marco Feltmann schrieb:

    bzw. datenschutztechnisch kritisch (SMS) an.
    Wieso ist denn eine SMS "datenschutztechnisch kritisch"?

    Ein definitiv personenbezogenes Datum, welches eine bestimmte Person gezielt nachzuverfolgen versteht.
    Was bei einer E-Mail Adresse ja nicht per se gegeben sein muss.
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P
  • Marco Feltmann schrieb:

    kmr schrieb:

    Marco Feltmann schrieb:

    bzw. datenschutztechnisch kritisch (SMS) an.
    Wieso ist denn eine SMS "datenschutztechnisch kritisch"?

    Ein definitiv personenbezogenes Datum, welches eine bestimmte Person gezielt nachzuverfolgen versteht.
    Was bei einer E-Mail Adresse ja nicht per se gegeben sein muss.


    Ein per SMS geschicktes OTP ist ja nun mal eben kein personenbezogenes Datum, gell. Es könnte ggf. personenbeziehbar sein, aber das gilt unter der Prämisse der "besimmten Person, die gezielt nachzuverfolgen versteht" ja auch in gleichem Maße für die Email-Adresse. Für letztes ja sogar noch umso mehr, als dass die landläufige Email-Adresse unmittelbaren Rückschluss auf den Inhaber zulässt.
  • Die Mobilfunknummer, an welche eben jene SMS gesendet wurde, ist ein personenbezogenes Datum: sie gehört zu so ziemlich genau einer einzigen Person.
    Und eben deshalb halte ich meine Mobilfunknummer für ausgesprochen schützenswert, obwohl GSM alles Andere als abhör- und abfangsicher ist. Einfach weil mich jede Pappnase direkt persönlich so erreichen kann.

    Für E-Mail gibt es so genannte 'Wegwerf-Mailadressen'. Das baut dann mindestens eine Ebene der Indirektion dazwischen. Und da viele Anbieter nicht einmal eine Registrierung verlangen und man via Proxy auch noch seine IP ein wenig verschleiern kann wird eine Zuordnung zu einer bestimmten Person etwas erschwert.

    Von 'Wegwerf-Mobilrufnummern' habe ich hingegen noch nichts gehört.
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P
  • Marco Feltmann schrieb:

    Die Mobilfunknummer, an welche eben jene SMS gesendet wurde, ist ein personenbezogenes Datum: sie gehört zu so ziemlich genau einer einzigen Person.
    Und eben deshalb halte ich meine Mobilfunknummer für ausgesprochen schützenswert, obwohl GSM alles Andere als abhör- und abfangsicher ist. Einfach weil mich jede Pappnase direkt persönlich so erreichen kann.

    Für E-Mail gibt es so genannte 'Wegwerf-Mailadressen'. Das baut dann mindestens eine Ebene der Indirektion dazwischen. Und da viele Anbieter nicht einmal eine Registrierung verlangen und man via Proxy auch noch seine IP ein wenig verschleiern kann wird eine Zuordnung zu einer bestimmten Person etwas erschwert.

    Von 'Wegwerf-Mobilrufnummern' habe ich hingegen noch nichts gehört.


    Ich beginne zu verstehen. Dein Problem ist nicht die Unsicherheit der SMS, sondern dass Du nicht Deine Mobilfunknummer rausrücken möchtest? Wie auch immer. Es gibt sinnvolle, etablierte Alternativen zu dem Murks aus dem Artikel, daher ist diese Dikussion eh obsolet. ;)
  • Marco Feltmann schrieb:

    Amin Negm-Awad schrieb:

    Er hat gerade ein Token zugeschickt bekommen

    Nein.
    Wenn du eine inzwischen ungültig gewordene E-Mail-Adresse eingegeben hast, dann handelst du nicht nur häufig rechtswidrig, sondern birgt dies keinen Vorteil: Du kannst ebenso für ein Login-Token eine Wegwerfadresse verwenden und den Spam getrost ignorieren. Du weißt ja, wann du dich einloggst.

    Und ich würde jedem Dienst eher eine E-Mail-Adresse anvertrauen als ein Passwort.
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?
  • kmr schrieb:

    Amin Negm-Awad schrieb:

    Soweit ich das überflogen habe, ist das ja ziemlich nah an dem Vorschlag aus dem Artikel.


    Jetzt musste ich diesen Artikel ja doch mal lesen. Burps. Ich kriege bei Security und Kryptographie grundsätzlich Sodbrennen, wenn Leute versuchen, ein bereits erfundenes Rad neu zu erfinden. Nichts in diesem Artikel ist neu, noch nichtmals das Halbwissen. Spontan fallen mir dazu ein:
    1. HMAC-Based One-time Password (HOTP) algorithm (specified in RFC 4226),
    2. Time-based One-time Password (TOTP) algorithm (specified in RFC 6238),
    3. 0Auth.
    Die Verwendung eines *OTP ohne zusätzliches Merkmal (Passwort) ist grober Unfug, so lange das *OTP über einen unsicheren Kanal geschickt wird. Und alle zur Verfügung stehenden Kanäle sind per definitionem unsicher. Passwörter lassen sich damit also nicht ablösen. Man kann nur das Passwort-Handling sicherer machen. Dafür gibt es bereits die in 1 und 2 beschriebenen, bisher anerkannt sicheren Verfahren. 0Auth 2.0 ist so eine Sache … aber das hängt jetzt auch schon recht lange am Haken ohne dass gravierende Lücken aufgetaucht sind. Ein neues Verfahren müsste sich diesen Stand erst mühsam ersitzen. Ich sehe kein einziges Argument für das in dem Artikel vorgeschlagene Verfahren. Aber eine ganze Menge dagegen.
    Noch einmal: Bei den allermeisten (ich mutmaße allen üblichen) Diensten kannst du dir mindestens ein Token zur Veränderung des PW zusenden lassen, was jeder Angreifer forcieren kann. Demnach kann ein Passwort nie sicherer sein als E-Mail: Komme ich an die E-Mail des Angegriffenen $irgendwie heran, kann ich öffentlich und ohne weitere Schutzmaßnahmen dafür sorgen, dass ich ein neues PW besorge. (Sei es, weil es in der E-Mail steht, sei es, weil da ein Token steht, um mir ein neues zu besorgen.) Damit ist das PW ja nie sicherer als E-Mail.

    Entweder ich verzichte auf die Möglichkeit, irgendwie ein neues PW zu ermöglichen, wenn das alte vergessen, verloren oder sonstwas ist, oder ich brauche dafür eine persönliche Überprüfung. (Die Sinnhaftigkeit von Captchas mal ausgeschlossen). So etwas gibt es ja auch, aber nicht gerade häufig bei Webdiensten. Dann kann ich aber genau dem Kanal, den ich für diesen Vorgang vertraue, auch gleich zum Login verwenden.

    Es ging ja auch nicht um Details im Artikel, die ich ohnehin nicht überprüfen kann, sondern um die im letzten Absatz beschriebene Grundidee. Das das nicht so ausgegoren wie ein RFC ist, liegt auf der Hand.
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?
  • Amin Negm-Awad schrieb:

    Noch einmal: Bei den allermeisten (ich mutmaße allen üblichen) Diensten kannst du dir mindestens ein Token zur Veränderung des PW zusenden lassen, was jeder Angreifer forcieren kann. Demnach kann ein Passwort nie sicherer sein als E-Mail: Komme ich an die E-Mail des Angegriffenen $irgendwie heran, kann ich öffentlich und ohne weitere Schutzmaßnahmen dafür sorgen, dass ich ein neues PW besorge. (Sei es, weil es in der E-Mail steht, sei es, weil da ein Token steht, um mir ein neues zu besorgen.) Damit ist das PW ja nie sicherer als E-Mail.


    Und wieder sind wir bei der Diskussion über Maßnahmen ohne Bedrohungen zu betrachten. Falsches Ende vom Pferd. Sei's drum: nur weil viele, oder "alle üblichen", ein Verfahren anwenden, ist das keine Aussage über dessen Qualität. Der doppelte Boden bei dem Email-Token-Link ist ja, dass der Angreifer ein neues Passwort vergibt und der Benutzer sich fürderhin nicht mehr einloggen kann. Irgendwas wird ihm ja auffallen. Der doppelte Boden bei dem Token-statt-Passwort-Quatsch über SMS ist nicht vorhanden, da der Angreifer sich jede SMS abgreifen kann (z.B. über eine reguläre Android-App) und der Benutzer mal schlicht gar nichts merkt, weil der Angreifer einfach das aktuelle Token nutzt, um sich einzuloggen.

    Daraus kann ich aber mitnichten ableiten, dass SMS per se unsicher und Email per se sicher oder unsicher ist. Es kommt doch immer auf den Gesamtkontext an. Bei Apple kannst Du z.B. das Passwort für die Apple ID nicht mehr ändern ohne dass Du die Sicherheitsfragen beantwortest. Das Token in der Mail ist also kein Sicherheitsrisiko mehr. Überdies kannst Du ein iDevice als zweiten Authentisierungsfaktor einrichten. Da geht dann bei jeder Transaktion ein OTP hin. Der Link in der Email nutzt einem Angreifer also gar nichts mehr. Der kann auf "Passwort vergessen" klicken bis er grün anläuft.
  • Amin Negm-Awad schrieb:

    Marco Feltmann schrieb:

    Amin Negm-Awad schrieb:

    Er hat gerade ein Token zugeschickt bekommen

    Nein.
    Wenn du eine inzwischen ungültig gewordene E-Mail-Adresse eingegeben hast, dann handelst du nicht nur häufig rechtswidrig, sondern birgt dies keinen Vorteil.

    Ich habe eine gültige E-Mail Adresse eingegeben. Auf diese gültige E-Mail Adresse erhalte ich E-Mails. Auch vom Forum.
    Und ich habe zu dem von Dir angesprochenen Zeitpunkt keinerlei Token zugeschickt bekommen. Immer diese müßigen Unterstellungen…

    Warum ich kein Token geschickt bekommen habe? Keine Ahnung.
    Ich habe es gerade mit einem anderen Browser getestet (und bin mit der Existenz dieses Verfahrens natürlich überhaupt nicht einverstanden, kann es aber leider nicht ändern) und eine E-Mail mit einem Token bekommen.
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P