ComputerBase Menü
Aktuelles

Handy: Sicherheit, zweifach Bestätigung ...

  • Ersteller Ersteller markus-1969
  • Erstellt am Erstellt am
M

markus-1969

Gast
https://www.computerbase.de/forum/threads/amazon-gehackt-trotz-2fa.2196416/

hat mich zum Nachdenken gebracht: Ich hab wo es geht die Zweifach - Autentifizierung eingerichtet und das Passwort auf dem mailaccount auf dem die ganzen mails zusammen laufen verkompliziert.

Aber dennoch folgende Fragen:

1)

Man trenne die Autentifizierungssysteme: nicht zweifach autorisiert zweimal z. B. über die gleiche mailadresse sondern einmal z. B. mail und einmal Handy.

Was ist nun besser auf dem Handy und sicherer ? Die App oder keine App sondern SMS ?

2)

Gilt der Grundsatz "so wenig Apps auf dem Handy wie möglich" und was sind die Hauptwege, um auf das Handy zuzugreifen ? Wie läuft z. B. der typische Zugriff auf die homebanking app ab ... keylogger ? Bildschirm übertragen ? gefakte mails die zu bestimmten falschen Seiten führen ... apps aus unsauberen quellen die nicht das machen was sie sollen aber dafür das was sie nicht machen sollen

ich nutze z. B. gar keine mails auf dem Handy

->

A)

Was sind die Hauptgefahren bzw. Hauptangriffswege um die zweifach - Sicherung per App oder SMS zu knacken ?

B)

Was muß man beachten bzw. wie muß man mit dem Handy umgehen, damit die Gefahren minimiert werden ?



Danke und viele Grüße


Markus
 
Zuletzt bearbeitet von einem Moderator:
Was für Gefahren? Hirn einschalten und gut ist. 2FA ist sicher. Keine Ahnung warum du so ne Panik schiebst.

Einfach nutzen. Ich nutze das seit es das gibt. Ja ich bin Opfer eines Pishing-Mail-Angriffs geworden aber da muss man ganz klar sagen, da war ich selber Schuld und dämlich. Ja Sie war absoolut gut, nahezu perfekt gestaltet, aber ich habe einmal nicht in den Absender geschaut. Die bank konnte das Geld z um Glück zurückholen und ich hatte keinen Schaden, aber 1000 EURO waren für ne Woche erstmal weg.

Das passiert mir nicht mehr.

Und ganz ehrlich? Ich verstehe auch nicht wirklich was dein Problem ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: acidarchangel, Lotsenbruder und wilk84
Wenn eine schadhafte App es schafft sich zu rooten, hast du sowieso verloren. Das geht über alte Android-Versionen oder bei neuen Versionen über Zero-Day-Exploits.

SMS hat noch zusätzlich die Gefahr des SIM-Swappings. Diese Mühe wird gerne bei Leuten gemacht, bei denen es sehr viel zu holen gibt.
 
  • Gefällt mir
Reaktionen: Firefly2023
Völlig unnötige und künstliche Panikmache, die du da betreibst. Wie Firefly2023 schon sagte, einfach das Gehirn benutzen, wie im analogen Leben (hoffentlich), dann wird auch in der Regel nicht passieren.
 
  • Gefällt mir
Reaktionen: Firefly2023
Du fragst sehr generisch, die Antworten auf deinen Fragen hängen aber von vielen Faktoren ab, aus denen sich dann Angriffswege ergeben, oder eben nicht. Z.B. welches Handy, welches Betriebssystem, welche Softwareversion, welche App etc. etc. etc. Deine Fragen lassen sich so nicht so einfach allgemeingültig beantworten. Dein Beispiel eines "typischen Zugriffs" auf "eine" Homebanking App gibt es halt so nicht, sondern nur den speziellen Zugriff unter bestimmten Voraussetzungen bei einer bestimmten App, oder, falls es z.B. eine Schwachstelle in einer Komponente gibt, die in mehreren Apps verwendet wird, dann auch möglicherweise in mehreren.

Am generischsten ist noch immer Phishing, dabei wirst du einfach durch Fake Nachrichten in eine Falle gelockt, bei der du letztendlich deine Zugangsdaten selber preisgibst, oder gar Geld überweist. Enkeltrick und Co.
 
Zuletzt bearbeitet:
Die anderen haben durchaus Recht, dass sich diese Fragen nicht ganz so generell beantworten lassen, aber ich versuch es trotzdem mal.

markus-1969 schrieb:
Was ist nun besser auf dem Handy und sicherer ? Die App oder keine App sondern SMS ?
Zum Vergrößern anklicken....
Eigentlich immer App. SMS bietet keine Sicherheitsvorteile, aber dafür den Nachteil, dass jemand an deine Nummer kommen kann ohne dass du was dagegen tun kannst oder das überhaupt mitkriegst. Sim Swapping als Begriff wurde a schon genannt. Kommt bei "normalen" Leuten selten vor, aber wozu das Risiko eingehen?

markus-1969 schrieb:
Gilt der Grundsatz "so wenig Apps auf dem Handy wie möglich"
Zum Vergrößern anklicken....
Apps sind auf iOS und Android ziemlich isoliert und die Gefahr, dass dir eine App die Daten abgreift ist gering. Installier einfach was du willst/brauchst.

markus-1969 schrieb:
Wie läuft z. B. der typische Zugriff auf die homebanking app ab ... keylogger ? Bildschirm übertragen ? gefakte mails die zu bestimmten falschen Seiten führen
Zum Vergrößern anklicken....
Da gibt es zig Wege wie am PC auch. Praktisch immer ist aber die aktive Mithilfe des Opfers erforderlich. Fernwartungssoftware auf dem Smartphone, gefälschte Login-Seiten, aktive Weitergabe von MFA-Codes per Telefon oder Chat wird alles praktiziert.

Am Ende ist der wichtigste Schutz, dass man seine Software regelmäßig aktualisiert (auf Smartphones dank den Stores kein so großes Problem) und nicht auf fragwürdiges Zeug klickt. Wenn irgendwer anruft und einem das komisch vorkommt, auflegen und ggf. direkt bei der Firma anrufen, ob das von denen kommt. Wenn jemals irgendwer einen MFA-Code will, definitiv auflegen.

markus-1969 schrieb:
apps aus unsauberen quellen die nicht das machen was sie sollen aber dafür das was sie nicht machen sollen
Zum Vergrößern anklicken....
Potentiell eine Möglichkeit, aber man installiert im Normalfall ja auch nicht zig Apps von irgendwo aus dem Internet. Die Untersuchungen von Apple und Google kratzen meistens auch nur an der Oberfläche und bilden keinen 100% verlässlichen Schutz. Besonders was später per Update rein kommt ist dann nochmal weniger gesichert.

Alles in allem sind die "coolen" Angriffe per Zero Day Schwachstelle, die dir über gefälschte Apps untergeschoben werden oder direkt aus dem Browser triggern, extrem selten. Meistens nutzt man einfach nur die Naivität der Menschen aus.

Wie das in dem von dir verlinkten Thread ablief, ist ja leider noch unklar. Da kann man schlecht Tipps zu abgeben wie man es hätte verhindern können. Eventuell hat da auch jemand über Kontakt zum Amazon Support Zugang bekommen. Die Mitarbeiter dort sind manchmal die größte Schwachstelle und da hilft dann auch ein komplexes Passwort und MFA nur bedingt. Das ist aber jetzt reine Spekulation.
 
  • Gefällt mir
Reaktionen: Nilson
2FA per SMS ist Mist aus allerlei Gründen (Anbieter die nur Telefonnummern abgreifen wollen, Mobilfunk-Modems sind unsichere Blackboxen, fragwürdige Verschlüsselungsstandards, Telefonnummer kann ohne dein Mitwirken oder Wissen geklaut werden). Und letztenendes landen die SMS-Texte mit den Codes ja auch in einer App - der Nachrichten/SMS-App - die auf dem gleichen Wege wie eine 2FA App angegriffen werden könnte.

Ohne Frage ist 2FA via SMS besser als gar kein 2FA, aber es ist strikt schlechter als eine 2FA App aka TOTP.

Man kann ein altes Handy zu einem reinen 2FA Authenticator umfunktionieren wenn man etwas zusätzliche Sicherheit will: Selbst wenn eine schadhafte App auf dein Handy gelangt und aus seiner Sandbox ausbrechen kann kommt es nicht an die 2FA Seeds weil die App schlicht nicht auf dem gleichen Handy ist.
  1. Handy auf Werkseinstellungen zurücksetzen
  2. Beim Einrichten einmal mit dem Internet verbinden, alle Accounts ablehnen aber alle Updates einspielen (Systemupdate, Google Play Systemupdate, App Updates)
  3. 2FA App installieren, z.B. Aegis
  4. Internetverbindung löschen und alle Funkverbindungen abschalten (Wifi, Bluetooth, Mobile Daten, Standort, NFC, WiFi- und Bluetooth-Scanning, u.s.w.)
  5. Alle Apps bei denen es geht deaktivieren, ggf. adb debloat script nutzen. Alle Funktionen deaktivieren, insb. Quick Settings auf dem Lockscreen
Ich würde dafür ein altes Handy nehmen das ohnehin keine Updates mehr bekommt und daher für den normalen Gebrauch nicht mehr sicher ist. So wie oben beschrieben ist es aber auch ohne Updates sehr sicher.

Achtung: TOTP braucht eine präzise aktuelle Uhrzeit, die das Handy normalerweise vom Internet bekommt. Wenn der Akku komplett leer geht verliert das Handy Datum und Uhrzeit und ohne Internet muss man diese von Hand wieder einstellen.

Davon ab muss man aber bedenken dass 2FA-Codes ja nur 6 Ziffern lang sind. Das sind 1 Million verschiedene Codes. Der Server akzeptiert den aktuell gültigen Code und den vorherigen (damit man immer genug Zeit hat zum eintippen). Das heißt in 1 von 500.000 Fällen errät ein Angreifer den Code einfach. 2FA ist also kein todsicherer Schutz sondern in erster Linie mal ein Weg für den Anbieter Kosten beim Support einzusparen weil sie weniger Accounts wiederherstellen müssen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz