Gehackt trotz Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung (2FA) ist kein endgültiger Schutz davor, gehackt zu werden, wenn nicht die Sicherheit jedes einzelnen Glieds der Authentifizierungskette gewährleistet ist. In Grant Blakemans Fall (sein Instagram-Konto wurde übernommen) scheint der Hack seinen Ausgang beim Telefonie-Anbieter (!) genommen zu haben.

I had two-factor authentication turned on for Google […] I use 1Password and passwords I use to each service are painfully-long, complex, and unique. [Mat Honan] suggested that I check with my cell phone provider and make sure that call-forwarding had not been enabled on my number without me knowing. […] I called, and sure enough, as of Saturday morning my number had been forwarded to a number I did not recognize. Unreal. So, as far I can tell, the attack actually started with my cell phone provider, which somehow allowed some level of access or social engineering into my Google account, which then allowed the hackers to receive a password reset email from Instagram, giving them control of the account.

Nota bene: Authentifizierungs-SMS abschalten, Authentifizierung per App einschalten.

CryptoParty #13: Sicherere Passwörter

Lange und kurze Passwörter, Markov-Ketten, oclHashcat, MD5, SHA1 – die dreizehnte CryptoParty im Metalab beginnt mit einer Einführung in die Komplexität, die Sicherheit und die damit verbundene (sehr, sehr einfach erklärte) Mathematik von Passwörtern.

Antwort auf Google Chromes Passwort-Problem

Das ging ja schnell. Gerade wurde die Möglichkeit in Google Chrome, Passwörter im Klartext anzusehen, angeprangert, schon ist die – etwas eigenartige – Antwort des Google Chrome Browser Security Tech Lead Justin Schuh da.

The only strong permission boundary for your password storage is the OS user account. So, Chrome uses whatever encrypted storage the system provides to keep your passwords safe for a locked account. Beyond that, however, we’ve found that boundaries within the OS user account just aren’t reliable, and are mostly just theater.

Moment. Da gibt es noch ganz andere Sätze wie Justin Schuhs Antwort auf die Kritik des Autors direkt:

what you’re proposing is that that we make users less safe than they are today by providing them a false sense of security and encouraging dangerous behavior.

Okay. Ganzen Eintrag lesen!

Chrome: Passwörter im Klartext nach Import

Beim ersten Start von Google Chrome bietet der Browser an, verschiedene Einstellungen (und Bookmarks) aus Safari oder anderen Browsern zu übernehmen. Dabei werden Passwörter im Klartext abgespeichert.

By using words like “confidential information” and “stored in your keychain”, OSX describes the state of your saved password’s current security. It’s the very security Chrome is about to bypass, by displaying your passwords, in plain-text, outside your keychain, without requiring a password. When you visit a website, Chrome prompts for every password it can find for that domain.

Und wer’s nicht glaubt, kann ja mal mit seinem Chrome-Browser den Link chrome://settings/passwords öffnen.

Wie sicher ist mein Passwort?

Ein Online-Generator, der zeigt, wie lange ein durchschnittlicher Heimcomputer (4 Milliarden Rechenoperationen in der Sekunde) fürs Erraten eine Passwortes benötigt:

Passwort Stellen Dauer
1 1 0.0000000025 Sekunden
a 1 0.0000000065 Sekunden

Passwörter im Teufelskreis

Das Hacken von Benutzerkonten wird immer einfacher, da einmal geleakte Passwörter zukünftige Hacks enorm beschleunigen: ein Teufelskreis.

Using the same password or simple variations of the same password for securing access to different accounts has never been a good idea. However, today it’s a worse idea than ever. Major hacks and security breaches happen all the time. Occurring quickly one after another, there is little doubt the hackers are using databases of previously harvested passwords in order to try breaking into a variety of services.

Die Statistik am Anfang des Artikels ist schockierend, die Hinweise am Ende gehören in jede Sicherheitsrichtlinie. Aber klar, dein System ist sicher…

Warum Passwörter immer leichter zu knacken sind

Ein herrlich informativer, schrecklich beängstigender und den Glauben an selbst ausgedachte (aber dennoch „gute“) Passwörter auf ein Minimum reduzierender Artikel auf ars technica: Why passwords have never been weaker – and crackers have never been stronger.

Der detaillierte Artikel zusammengefasst: Je öfter Hacker durch Datenlecks und nicht genügend gesicherte Speichersysteme an tatsächlich verwendete Passwörter rankommen, desto besser werden die Algorithmen, um noch unbekannte Passwörter knacken zu können.

Der vielleicht wichtigste Hinweis im ganzen Artikel:

The most important attribute of any passcode is that it be unique to each site. (…) It’s also important that a password not already be a part of the corpus of the hundreds of millions of codes already compiled in crackers‘ word lists, that it be randomly generated by a computer, and that it have a minimum of nine characters to make brute-force cracks infeasible. Since it’s not uncommon for people to have dozens of accounts these days, the easiest way to put this advice into practice is to use program such as 1Password or PasswordSafe. Both apps allow users to create long, randomly generated passwords and to store them securely in a cryptographically protected file that’s unlocked with a single master password. Using a password manager to change passcodes regularly is also essential.

iPhone „Daten löschen“ bringt nichts

Es macht keinen Sinn, seinen sicheren Passcode auf iPhone oder iPad gegen einen einfachen (zB: eine 4-stellige PIN) auszutauschen, dafür aber die Option „Daten löschen“ zu aktivieren, denn diese Option ist bei einem realen Angriff irrelevant:

The attack of the sort used by XRY gets beneath the software that would keep that count of attempts, so „Erase after N failed attempts“ does not protect against this kind of attack.

You are absolutely correct that if you do set „Erase after N failed attempts“ someone could maliciously or accidentally destroy the data on your phone.

Die im Zitat erwähnte Software „XRY“ ist allerdings nicht ganz so „erfolgreich“ wie hier suggeriert wird.

Neujahrsvorsatz 2012: Endlich bessere Passwörter

Ben Gross, immer für fundierte Artikel zum Thema Sicherheit gut, plädiert für bessere Passwörter als Neujahrsvorsatz 2012. Was mich am meisten an seinem Beitrag schockiert, ist wie schnell Brute-Force-Attacken mittlerweile sein können.

Realistically, it’s getting to the point where unless you have a pretty fantastic password, if your password is in a database of poorly hashed passwords then someone with a bit of time can discover it. Why is that you might ask? Whitepixel the purveyors of fine open source GPU accelerated password hashing software report that it currently achieves 33.1 billion password/sec on 4 x AMD Radeon HD 5970 for MD5 hashes. This is fast enough to make rainbow tables (pre-computed hashes for a dictionary attack) much less compelling. If the attacker has any additional personal information this significantly increases the chance of a successful attack since so many people use bits of personal information in their passwords.

33,1 Milliarden Passwörter in der Sekunde!