ich weiß gar nicht wie ich am besten anfangen soll. Leidiges Thema ist die 2-Faktor-Authentifizierung meines Mailanbieters, in diesem Fall Mailbox.org wie bei einigen hier im Forum.
Da es Mailbox leider noch immer nicht geschafft hat U2F zu integrieren und man bei der 2FA relativ beschränkt beim OTP bleibt fängt hier für mich das leidige Thema an.
Der Mailzugang ist mitunter das höchste Gut, hat hier ein fremder Zugriff und schafft es das Kennwort zu ändern wäre es für mich der Super-GAU. Da man bei einem OTP nicht zwangsläufig im physischen Besitz eines bestimmten Bestandteiles sein muss wie bspw. einem Nitrokey ist die ganze Sache für mich nicht sicher genug. Smartphones sowie Computer können durch Schadsoftware kompromittiert sein was meiner Ansicht nach keinen ausreichenden Schutz für den Mailzugang bietet.
Meine Frage an euch, wie regelt ihr dieses Thema? Sieht ihr das ganze weniger eng wie ich? Oder nutzen einige von euch einen Token für OTP am Schlüsselbund?
Wollte gerade schreiben, dass es auch Hardware Geräte für TOTP Tokens gibt. wahrscheinlich wäre das noch das sicherste. Ich glaube ich habe mal gelesen, dass man mit Yubikeys auch TOTP Tokens über eine extra Software generieren kann. (Ich besitze selbst keinen Yubikey).
Mailbox.org hat früher vorkonfigurierte Yubikey´s (Besitz) verkauft. Der Nutzer musste, nach Erhalt des Yubikeys, sich noch einmal mit seinen Credentials anmelden und dann seinen Yubikey zusammen mit einer 4-stelligen Geheimzahl (Wissen) anmelden.
Ich habe es so gemacht und es funktioniert auch heute noch problemlos. Durch die Kombination von Besitz und Wissen kann der Yubikey, sollte er mal verloren gehen, nicht zum einloggen bei mailbox.org genutzt werden.
Leider bietet Yubikey diese vorkonfigurierten Key´s nicht mehr an. Allerdings kann man einen selbst erworbenen Yubikey in seinem Account bei mailbox.org selber anmelden. Dazu gibt es auch ein entsprechendes How-to.
Ich sehe das nicht so eng, wenn man ein Mobiltelefon nutzt, welches noch aktuelle Sicherheitsaktualisierungen erhält, nicht jeden Mist darauf installiert, und sich auf separaten Geräten in die Weboberfläche einloggt - dann fährt man eigentlich ziemlich sicher.
Das schützt aber natürlich nicht im Fall von komplexen Angriffen gegen deine Systeme.
Falls du einen H-/TOTP Tokengenerator, einen NitroKey, oder Ähnliches mit einer lokalen Implementierung besitzt, ist es eigentlich schon fast nebensächlich, dass es „nur OTP“ ist; auch wenn U2F natürlich mehr und bessere Eigenschaften hat.
H-/TOTP ist bei ordentlicher Implementierung, wenn der Anbieter sich an die best-practices hält, ziemlich sicher, solange das Geheimnis nicht vom Server oder aus deinen Generator geholt wird.
In diesen Fällen hast du aber größere/andere Probleme.
Man sollte natürlich trotzdem immer vorsichtig sein, und die Logindaten nur in der richtigen Seite eintragen.
Selber nutze Ich NitroKeys, welche Ich ständig bei mir trage oder ordentlich lagere - Ich würde aber auch jeden anderen H-/TOTP Generator ohne Batterie, oder mit wechselbarer nutzen.
Aber das vorallem, weil Ich nicht ständig ein Mobilgerät mit mir führe, auf keines angewiesen sein möchte, trotzdem weitere Generatoren bräuchte (keine Reset-Optionen festgelegt), und auch die anderen Funktionen der NKs verwende.
Ansonsten würde Ich auch ein aktuelles Smartphone nutzen können, mit irgendeiner Art von Offline-Backup.
2-Faktor für die Authentifizierung per Weboberfläche kann ich verstehen aber was wenn man Imap / POP3 nutzt? Dann müsste ich ein Master-Passwort für den Mailprogramm nutzen, der eigentliche Zugang ist dann aber immer noch mit Passwort / Benutzername gesichert.
Danke euch für die ganzen Antworten. Yubikeys nutze ich bereits, jedoch habe ich die etwas abgespeckte Ausführung die nur U2F und FIDO2 unterstützt. Im Besitz von Nitrokeys (die aktuelle 3er Version) bin ich ebenfalls, nur hier muss man wahrscheinlich noch lange warten bis dieser voll umfänglich nutzbar ist. Eine App für das Smartphone, so wie es Yubico anbietet, ist mir nicht bekannt.
Das man sich auch nicht jeden Mist aufs Smartphone ziehen sollte und dieses mit aktuellen Sicherheitsupdates versehen ist ist ja eigentlich selbstverständlich. Eine hundertprozentige Sicherheit wird es dennoch nie geben, deshalb die Frage der Sicherheitsoptimierung um das mögliche auszuschöpfen. Jeder sieht es ja auch anders eng und das ist auch in Ordnung, jedoch wollte ich dies etwas weiter ausreizen als nur eine einfache Authenticator App zu nutzen. Ich nutze doch sehr gerne die Weboberfläche von Mailbox.org, schon alleine aufgrund der Wegwerf-Adressen und der Einrichtung von Filterregeln.
Eventuell lege ich mir noch aktuelle Yubikeys zu um die interne OTP Funktion zu nutzen oder ich warte noch bis sich was bei Nitrokey tut, hier sehe ich jedoch schwarz das sich Zeitnah was tut. Schade finde ich auch das Mailbox.org U2F nicht anbietet, dies wurde schon vor Jahren im User-Forum angesprochen, umgesetzt wurde es bis heute leider nicht.
Ich habe auch schon mit dem Gedanken gespielt mir einen OTP Hardware Token zu holen im Kreditkartenformat. Der große Vorteil liegt meiner Ansicht nach hierbei das dieser, außer am Tag der Einrichtung was via NFC geschieht, nie mit der Außenwelt kommuniziert. Hier kenne ich jedoch überhaupt keine Erfahrungswerte zu diesen Geräten was die Ausfallsicherheit und die Zeitsynchronisierung betrifft. Hier müsste ich mich auf die Angaben des Herstellers verlassen. Und hier ist dann schon der nächste Haken das ich für mich keine Vertrauenswürdigen Infos zum Hersteller finde, da ist mir irgendwie zu viel Leere im Netz. Hier wäre z.B. der Hersteller Token2 aus der Schweiz, viel finde ich nicht dazu. Eventuell hat da jmd. von euch mit Erfahrung?
Ich mische mich mal eben ein, was spricht denn gegen die Apps die den Code generieren? Mein Passwort manager kann OTP jetzt auch mittels QR code scan, ich bin dabei jetzt von der Google App hin zum Passwort Manager die Tokens zu übertragen. Ist natürlich nicht kompatibel und man muss 2FA erst deaktivieren und wieder neu aktivieren.
Der Manager läuft mit der App OpenKeyChain welche wohl auch mit Hardware token die Schlüssel verwenden kann, statt Passwörter.
Ich verstehe den Vorteil nicht? Oder das was hier diskutiert wird, dann entschuldigt, wollte nicht stören.
Aus den Apps mit eigenen Tokengenerator lassen sich in allen Fällen die Geheimnisse für OTP extrahieren, wenn entsprechende Rechte vorliegen.
Bei deinen Passwort Manager werden die Geheimnisse wahrscheinlich auch in der Datenbank gespeichert, welche über OpenKeyChain (und ggf. PGP Hardware-Token) entsperrt werden kann? Dann befinden sich die „Geheimnisse“ im Arbeitsspeicher, zumindest solange die Datenbank offen ist, und könnten von dort, mit den entsprechenden Rechten, ausgelesen werden.
Wenn du einen externen Generator verwendest, müsste dieser irgendwie ausgelesen werden, für gewöhnlich ist das höchstens physisch möglich.
Schadsoftware hat bei diesen also ziemlich sicher keine Chance - außer bei wirklich massiven Implementationsfehlern.
(edit…) Und wenn du das OTP-Geheimnis hast, kannst du einfach eine Kopie von deinen OTP-Tokengenerator machen, ohne dass irgendjemand davon wüsste.
Wenn man bewusst sein Smartphone nutzt und keine fragwürdigen Apps installiert, sollte das mit mit einer 2FA/OTP sehr gut funktionieren. Klar hätte ich auch bei mailbox.org U2F / FIDO2 gern, aber auch den Hardware-Token kann man unterwegs verlieren, oder dieser geht „kaputt“, dann kommt man ohne weiteres nicht auf die Weboberfläche, wenn es eben dringend ist.
Ich persönlich nutze 2FA und die Kombination beim Einloggen auf die Weboberfläche PIN+OTP ist für mich vollkommen in Ordnung.
Wir sind keine Personen im Vordergrund (Politiker, CEO einer Bank, Präsident, …), daher sollten wir uns eigentlich um Gefahren alá „höhere Gewalt“ keine Sorgen machen
@anon83163390 Ich selbst nutze natürlich auch einen Passwortmanager in dem ich ebenfalls meine OTP verwalten kann. @D299 hat hier eigentlich schon den Vorteil eines Hardware Token bzw. externen Generators erwähnt.
Dies ist meines Erachtens ein deutlicher Sicherheitsgewinn, ein anderer mag das ganze eventuell anders sehen. Generell ist bei mir der E-Mail Dienst, der Dienst, der nicht über den Passwortmanager verwaltet wird und dabei würde ich gerne bleiben. Ein Passwortmanager in dem auch die OTP verwaltet werden ist eine 2 in 1 Lösung und macht ja den eigentlichen Sinn der 2FA etwas zunichte. Korrigiert mich gerne, wenn ich da falsch liege. Das Ganze wäre für mich wesentlich einfacher und entspannter, wenn Mailbox.org U2F anbieten würde.
Es geht ja schließlich um das eigene Sicherheitsgefühl das gestillt werden muss auch wenn es vielleicht für viele unberechtigt ist. Meine Ansicht hierhinter stellt schließlich einen Zuwachs an Sicherheit dar und nicht umgekehrt.
@lukas Verlieren kann man den Hardware Token natürlich, da wäre es ärgerlich, wenn ich unterwegs den Zugang dann nicht habe. Verloren ist der Zugang an sich ja aber nicht, mehrere Hardware-Token ist sowieso ein MUSS wenn ich dies schon nutze. Viele Dienste nutzen ja auch bei Einrichtung von U2F ein Recovery-Kennwort das ich sicher aufbewahren kann. Ich denke durch „höhere Gewalt“ im Internet kann sich so ziemlich keiner schützen, außer die Großmutter die das Internet nicht nutzt. Die teilt meine Bedenken nicht
Die Geheimnisse extrahieren? PGP ist geknackt?
Es wird ein Benutzer, das PW und ein OTP Token in einer mit PGP verschlüsselten Datei hinterlegt.
Wie kann man man da was extrahieren?
Das Passwort oder der Token bleiben während der Verwendung 30 Sekunden im Speicher, dann wird der mehrmals überschrieben.
Ich selbst habe keine Smartcard, obwohl man den Ledger zu einer machen könnte und diese mit OpenKeyChain verwenden. Yubikey und andere gehen wohl auch.
Ich sehe aber darin kein Unterschied, ein Passwort einzugeben, um den Token oder das PW für den login zu erhalten, oder eine Smartkarte zu benutzen, das Passwort und der Token sind in den 30 Sekunden ebenso abgreifbar.
Vielleicht verstehe ich nicht was genau gemeint ist.
Tokengenerator braucht doch einen QR-code bzw. eine Seed Zahl um die Token zu generieren. Und diese Seed Zahl ist doch das Geheimnis, oder nicht?
Etwas wiederhole Ich mich sicherlich im Text, aber Ich versuche mal auf jeden Punkt genau einzugehen. Hoffentlich nutzt es irgendjemandem.
Ja, genau, das „Geheimnis“/„Secret“, welches Tokengeneratoren brauchen/verwenden, ist die Zeichenfolge die bei der Einrichtung benötigt wird, da aus dieser und einen weiteren Wert die Token generiert werden. Für Generatoren in Appform (AndOTP, FreeOTP, …) werden sie auch gerne als QR-Code kodiert, für eine komfortablere Übertragung.
Im Fall von Tokengeneratoren auf eigener Hardware (bspw. manche Nitrokeys, oder den meines Erachtens nach überteuerten Reiner-SCT Authenticator) , von mir im Zitat als „externe Generatoren“ bezeichnet, wird das Geheimnis auf eben jener Hardware gespeichert.
Dabei lässt sich das Geheimnis dann „hinterher“ nicht einfach über das Logingerät auslesen (physische Trennung beim R.-SCT Authenticator, logische Trennung beim Nitrokey), da dafür keine Funktion implementiert ist (oder sein sollte).
Bei Software-Tokengeneratoren kann das Geheimnis „einfach“ kompromittiert werden, wenn ausreichende Berechtigungen vorhanden sind, und das Geheimnis im Klartext vorliegt - dabei ist es aber unter den richtigen Umständen egal, ob dieses die meiste Zeit verschlüsselt ist.
Das wäre bspw. der Fall, wie erwähnt, wenn das Geheimnis entschlüsselt im Arbeitsspeicher vorliegt - zwingend der Fall, damit Token generiert werden können - und aus diesen ausgelesen wird. Dass es sich nur für „wenige Sekunden“ darin befindet, und anschließend ordentlich gelöscht wird, liefert keinen Schutz vor privilegierten Schadcode, da dieser Zeitraum dafür einfach gigantisch ist. Bietet aber natürlich ggf. Schutz vor Angriffen hinterher.
Theoretisch lässt sich der Zeitraum möglichst gering halten, den das Geheimnis über im Arbeitsspeicher ist, aber das macht einen erfolgreichen (online) Angriff nur unwahrscheinlicher. Im Vergleich zu einen Tokengenerator auf eigener Hardware jedoch nicht.
Es gibt sicherlich auch andere Angriffswege.
Persönlich sehe Ich das Risiko btw. auch als gering an, wenn das Gerät ordentlich gepflegt wird. Es sind komplexe Angriffe, die im alltäglich Leben normalerweise nur für Leute wirklich Relevant sind, die gezielte Angriffe fürchten (müssen/wollen). Außer vielleicht, wenn das Gerät sicherheitskritische Löcher hat wie mancher Käse.
Ja, und Njein (PGP mit RSA, und ECC hat zwar Schwächen, ist aber zur Zeit völlig akzeptabel, mit ausreichend langen Schlüsseln).
Das Problem ist, dass die Datenbank entschlüsselt werden muss, und solange nicht jedes einzelne Feld mit einen anderen Schlüssel verschlüsselt wurde, ist diese mit ausreichenden „Rechten“ im geöffneten Zustand vollständig auslesbar.
Ob das jetzt aufgrund von Fehlern in der Software geschieht, kompromittierten Versionen, oder privilegierten Code, der Zugriff auf den Arbeitsspeicher(!) des Prozesses hat.
Dabei ist auch kein Token hinterlegt, sondern das Geheimnis zum generieren der Token, aber das war wahrscheinlich ein Flüchtigkeitsfehler.
Diese 30 Sekunden, und das Schreddern des Arbeitsspeichers, bieten zwar bspw. Schutz vor menschlichen Angreifern, die dein Gerät aus deiner Hand reißen, oder sonst wie den Bildschirm sehen (o.Ä.), versuchen den Arbeitsspeicher nachträglich auszulesen, Systemen die „unbereinigten“ Arbeitsspeicher an neue Prozesse weitergeben, oder längere Zeit über behalten, Angriffen außerhalb der aktiven Verwendungszeit der Datenbank, … nicht vor bspw. Schadcode oder Ähnlichem, dieser kann auch warten, bis die Datenbank offen ist.
Wenn das Token auf dem Gerät angezeigt oder eingegeben wird, ja. Das Geheimnis ist aber nicht abgreifbar, deshalb muss man zum generieren weiterer Token immer noch Zugriff auf die Smartcard/deren Ausgabe/den „Tokengenerator auf eigener Hardware“ haben.
Jeder ordentliche Anbieter verhindert, dass ein Token mehrfach verwendet werden kann, daher hast du trotz einem bekannten Token weiterhin ausreichend Schutz vor ernsthafteren/fortwährenden Konsequenzen für das Konto, wüsstest ggf. auch zugleich, dass dieses Token bereits verwendet wurde, da du es ja selbst zur Authentifizierung generieren lässt, und kannst weitere Schritte einleiten.
Wenn das Geheimnis aber bekannt ist, was bei online Angriffen auf Software-Tokengeneratoren einfacher zu erreichen ist als bei Tokengeneratoren auf eigener Hardware, kann dieses einfach zum generieren aller anderen, gültigen Token verwendet werden.
Hier meinte ich aber eine Smartcard oder Yubikey, der benutzt wird als Schlüssel für OpenKeyChain um die Datenbank zu entschlüsseln, wo dann das Geheimnis auch liegt… Anstatt ein PW wird halt eine Smartcard verwendet…da sehe ich nicht den großen Vorteil, auch in der Handhabung.
Meine aktuelle Konfiguration ist ja ein Zweithandy wo die Token per Google Auth App generiert werden, womit ich eigentlich nach und nach in den Passwortmanager umziehen wollte.
Aber anscheinend ist das keine gute Idee.
Das gilt aber nur für das Szenario das mein Handy kompromittiert wurde, oder?
…keine Ahnung, ob das was besonderes ist, aber ich kann sagen aufHolzklopf keins meiner Internetfähigen Geräte in den letzten 20 Jahren hatte jemals eine Virus, Trojaner oder wurde sonst wie kompromittiert, noch nie wurde ein Account von mir gehackt, egal für was oder welchen Bereich, Kreditkarten oder sonstige Bezahlfunktionen von Fremden ausgenutzt oder bin auf irgendwelche Betrugsmaschen reingefallen, wo ich wirklich Schaden genommen habe… Das genialste was ich aber erleben durfte, wo ich zwar Misstrauisch war aber mich erst mal drauf ein ließ, war eine(r) der meine Kryptos klauen wollte und mich auf seine gefälschte Seite geleitet hat… ich hab dem dann extra eine neue Wallet erstellt und ihm die geschenkt, also die Zugangsdaten, hab mich doof gestellt und immer genau das gemacht was er gerade nicht wollte und immer wieder gesagt das so ein Verhalten unklug sei… am Ende hat er mir seine Masche verraten und mich gefragt, ob ich nicht mit machen wolle, man könnte so gutes schnelles Geld verdienen. Ich sagte ihm, das ich nicht dran glaubte, das es so naive Menschen gibt… er schickte mir ein Foto von seinen BTC Stand… er war damit anscheinend erfolgreich.
Was ich damit sagen will, aufgrund dieser Jahrelangen Erfahrung sichere ich meine Geräte auf physischen Zugriff von anderen ab… an eine Schadsoftware, die alles auslesen kann was ich am Gerät tue, wäre ich in weiten Teilen machtlos, bzw. habe ich keine Vorsorge getroffen.
Ich denke aber das PW-Manager immer mit Master Passwort und Datenbank arbeiten, somit ist das doch immer ein Schwachpunkt? Auch sind nicht alle Accounts mit 2FA abgesichert, weil es das entweder nicht gibt, oder von mir nicht als wichtig genug erachtet wird.
Gibt es denn so was wie ein Hardware Schlüssel, auf dem alle Passwörter gespeichert sind, den man als universal Schlüssel für alle PW verwenden kann? Also Login Prompt am Handy, Hardware über NFC dranhalten, am PC per USB oder NFC Lesegerät, mit PW bestätigen dann wird der Login mit den gespeicherten Daten ausgefüllt.
So wären die Geheimnisse nie auf dem Endgerät gespeichert… aber die Eingabe in den Login Prompt könnte doch auch von Schadecode mitgelesen werden, was im Falle eines OTR Token aber egal wäre, da dieser ja direkt benutzt wird.
Bei mailbox.org wird bei Nutzung von 2FA das Passwort neu erstellt, bei dem der Token dann Teil des Passwortes wird. Es gibt keine sonst übliche separate Maske für den Token. Ein vierstelliger fester Bestandteil des Passwort wählst du zuvor selbst aus und hängst daran den jeweiligen Token an. Sieht also so aus: abcd+Token
Für POP3/IMAP verwendest du dein „altes“ Passwort weiter, mit dem du nun keinen Zugang zur Weboberfläche mehr hast. Idealerweise verwendet mein als Login-Username nicht die Emailadresse, die man für die allgemeine Kommunikation verwendet. Gegebenenfalls beim Support nachfragen, ob man für das Login die Hauptadresse durch einen Alias tauschen kann.
Ich möchte an der Diskussion noch zwei Aspekte ergänzen.
Denken in Thread-Modell und Thread-Actor:
Ob 2FA ausreichend ist oder nicht hängt vom Thread-Modell ab. Ggf. möchtest @Lugged9592 sich vor Bedrohungen durch bestimmte Thread-Actor schützen. Haben diese ausreichend Ressourcen wäre UFA definitiv besser. Gibt es eine solche Betrachtung nicht ist es in meinen Augen eine rein hypotetische Diskussion was ist technisch besser und die ist sehr kurz ^^. Man muss sich vor Augen führen das in den meisten Fällen ja ein monetäres Interesse bgzl. Cyber-Kriminalität besteht, somit muss der Aufwand den Nutzen rechtfertigen und da legt man mit 2FA die Latte schon recht hoch
Angriffsvektor OTP-Token
Darüber hinaus bin ich mir bei der „technischen Seite“ der Diskussion nicht sicher ob wir die richtigen Risiken betrachten.
… wenn der OTP-Token extrahiert wird, kann dieser beliebig oft kopiert werden …
Wenn dem Angreifer das schon möglich ist, ist es in meine Augen auch schon zu spät …
(Bitte korrigieren wenn Blödsinn:) Wichtiger wäre in meinen Augen die Betrachtung von Angriffsszenarien welches kein Kompromitiertes Endgerät voraussetzt sondern gängigere Ansätze wie z.B. Session-Highjacking. Hier bin ich mir z.B. nicht sicher ob UFA einen nennenswerten Vorteil gegenüber 2FA hat.
Alternativen
Kenne mich bei Mailbox nicht aus aber ggf. ist da ja eine passwortlose Anmeldung möglich (dann könnte man die Web-Anmeldung darauf einschränken?)
Das geht: E-Mail Alias erstellen und dann als Hauptadresse festlegen. Das funktioniert auch mit eigener domain, sprich wenn deine E-Mail Adresse manfredmustermann at mailbox.org ist und du bei Mailbox.org einen alias manfredmustermann at eigenedomain.net hast, dann kannst du letzteren als User für das Login setzen.
