Aktuelle Phishingversuche bei Facebook 89
21.12.2010
Original von netAction
Wieso kann Facebook da nichts zu? Auf unseren Webseiten loggen sich die Leute über OpenID ein, da wird gar kein Passwort abgefragt. Phishing ist kaum möglich. Dass man bei Facebook (und leider auch MK) ein Passwort braucht, ist Machtpolitik und Unwissen der User.
http://de.wikipedia.org/wiki/OpenID
Das widerspricht aber ein klein wenig dem, was im Wikipedia-Artikel darüber steht:
Die Technologie von OpenID ist gegenüber Phishing-Attacken anfällig.[6] Der Grund hierfür ist die Tatsache, dass eine Weiterleitung auf die Seite des OpenID-Providers nötig ist. Als Betreiber einer Seite, die OpenID zur Anmeldung benutzt, kann man auf einfache Weise eine Weiterleitung auf eine Seite erstellen, die der Providerseite gleicht, jedoch als Proxy dient und Benutzername und Passwort an den Betreiber weiterleitet.
Das scheint also Phishing eher zu fördern oder andere Methoden zu ermöglichen statt es wirklich einzubinden
#22Report
21.12.2010
Die Kritik ist auf sehr hohem Niveau.
Wenn du alleine am Browser bist, speicherst du den Login beim OpenID-Provider als Cookie. Die Phishing-Seite fragt nach dem Passwort und du merkst sofort, dass etwas nicht stimmt.
Solltest du woanders sein, gehst du erst zum OpenID-Provider, loggst dich dort ein und anschließend auf die eigentliche Webseite. Dann gilt das gleiche wie oben.
Bist du faul und lässt dich vom Anbieter zum OpenID-Provider leiten, tritt das beschriebene Problem auf. Dann kontrollierst du die Domain des Providers und ob personalisierte Merkmale auf der Webseite vorhanden sind. Das ist einfach, weil du dir diese Dinge nur für den einzigen Dienst merken musst und nicht für viele verschiedene.
Falls dir das alles nicht reicht, kannst du anstelle eines Passwortes einen Token (kleines Gerät am Schlüsselbund) oder SMS-Bestätigung verwenden. Auch dies ist bei vielen Diensten mit eigenem Login unpraktikabel, bei OpenID dagegen leicht umzusetzen.
Umgekehrt gelten die genannten Probleme erheblich verschäft, wenn OpenID nicht eingesetzt wird. Denk an PayPal. Du willst in einem Shop etwas bezahlen und wirst vom Shop zu PayPal vermittelt. Hier hat es ein Phisher mit der beschriebenen Methode leicht. Er bekommt sofort das Passwort zu deinem Bankkonto.
Wenn du alleine am Browser bist, speicherst du den Login beim OpenID-Provider als Cookie. Die Phishing-Seite fragt nach dem Passwort und du merkst sofort, dass etwas nicht stimmt.
Solltest du woanders sein, gehst du erst zum OpenID-Provider, loggst dich dort ein und anschließend auf die eigentliche Webseite. Dann gilt das gleiche wie oben.
Bist du faul und lässt dich vom Anbieter zum OpenID-Provider leiten, tritt das beschriebene Problem auf. Dann kontrollierst du die Domain des Providers und ob personalisierte Merkmale auf der Webseite vorhanden sind. Das ist einfach, weil du dir diese Dinge nur für den einzigen Dienst merken musst und nicht für viele verschiedene.
Falls dir das alles nicht reicht, kannst du anstelle eines Passwortes einen Token (kleines Gerät am Schlüsselbund) oder SMS-Bestätigung verwenden. Auch dies ist bei vielen Diensten mit eigenem Login unpraktikabel, bei OpenID dagegen leicht umzusetzen.
Umgekehrt gelten die genannten Probleme erheblich verschäft, wenn OpenID nicht eingesetzt wird. Denk an PayPal. Du willst in einem Shop etwas bezahlen und wirst vom Shop zu PayPal vermittelt. Hier hat es ein Phisher mit der beschriebenen Methode leicht. Er bekommt sofort das Passwort zu deinem Bankkonto.
#23Report
21.12.2010
Einfach ein SSL-Clientzertifikat erzeugen und installieren und fertig. Kein Schmerz und kein Phishing. (Klar, Leute mit mehr als einem Rechner müssen das entsprechend verteilen).
k|d
k|d
#24Report
21.12.2010
Ich hab seit gestern auch Probleme mit facebook.de. Ich bekomm immer die Meldung das meine Cookies nicht aktiviert wären - sind sie aber. Auf facebook.com gehts ohne Probleme.
#25Report
21.12.2010
Witzbold. Genau das Verteilen auf fremde Rechner oder das unbemerkte Kopieren vom eigenen Rechner ist doch das Problem.
#26Report
21.12.2010
Original von netAction
Witzbold. Genau das Verteilen auf fremde Rechner oder das unbemerkte Kopieren vom eigenen Rechner ist doch das Problem.
Eher nicht :-) Dafür hat man ja ein lokales Passwort.
k|d
#27Report
21.12.2010
An sich hört sich so eine Methodik natürlich gut an......aber ich weiß nicht ob ich mich mit einem Service für alle Seiten so wohl fühlen würde.
Irgendwie bleibt das doch der Single Point of Failure. Und sollte sich da mal eine Lücke oder ein ähnliches Problem rausstellen, dann kommt jemand gleich überall rein, wo ich eine OpenID Kennung verwende
Mir ist es da lieber für jede Seite ein eigenes kryptisches Passwort zu verwenden bei dem mich der Verlust nicht stark schmerzen würde
Irgendwie bleibt das doch der Single Point of Failure. Und sollte sich da mal eine Lücke oder ein ähnliches Problem rausstellen, dann kommt jemand gleich überall rein, wo ich eine OpenID Kennung verwende
Mir ist es da lieber für jede Seite ein eigenes kryptisches Passwort zu verwenden bei dem mich der Verlust nicht stark schmerzen würde
#28Report
21.12.2010
Das ist richtig, es gibt bei OpenID eine Domain oder IP-Adresse, die laufen muss, sonst bist du abgeschnitten. Das lässt sich aber ziemlich ordentlich ausschließen mit einem hochverfügbaren Server. Außerdem kannst du bei jedem Dienst ja weiterhin mit Name und Passwort rein.
Dass jemand an dein OpenID-Passwort kommt und dann alles aufreißen kann ist nicht so riskant wie auf dem Monitor klebende Zettel oder immer das gleiche Passwort zu verwenden. Außerdem lässt sich eigentlich immer das Passwort per E-Mail zuschicken, also ist hier bereits eine größere Schwachstelle.
Dass jemand an dein OpenID-Passwort kommt und dann alles aufreißen kann ist nicht so riskant wie auf dem Monitor klebende Zettel oder immer das gleiche Passwort zu verwenden. Außerdem lässt sich eigentlich immer das Passwort per E-Mail zuschicken, also ist hier bereits eine größere Schwachstelle.
#29Report
21.12.2010
Genau deshalb halte ich es für besser, einen lokalen Passwortsafe zu verwenden (z.B. KeePass) und für jeden Dienst ein langes, zufallsgeneriertes Passwort zu verwenden. Auf keinen Fall auf zwei Seiten das gleiche
Und ob man es glaubt oder nicht.....auf Zettel geschriebene Passwörter gehören immer noch zu den sichersten Methoden ^^
Da muß nämlich schon im privaten Umfeld jemand drauf schauen.
Aber angegriffen wird man heutzutage meistens im Netz. Also lieber ein langes Passwort auf einen Zettel schreiben als ein zu kurzes, damit man es sich besser merken kann
Und ob man es glaubt oder nicht.....auf Zettel geschriebene Passwörter gehören immer noch zu den sichersten Methoden ^^
Da muß nämlich schon im privaten Umfeld jemand drauf schauen.
Aber angegriffen wird man heutzutage meistens im Netz. Also lieber ein langes Passwort auf einen Zettel schreiben als ein zu kurzes, damit man es sich besser merken kann
#30Report
21.12.2010
Du hast mir gerade Nachteile von OpenID um die Ohren gehauen, die nur auftreten, wenn man unterwegs, paranoid und faul ist. Da ist deine handschriftliche Liste schon gar nicht anwendbar. Die bei einigen Leute außerdem eher ein Buch wäre.
Ich will dich nicht überreden und mache an dieser Stelle einen Punkt. Ich denke wir haben pro und contra geklärt.
Ich will dich nicht überreden und mache an dieser Stelle einen Punkt. Ich denke wir haben pro und contra geklärt.
#31Report
21.12.2010
Hilft ja eh nix....weil solange OpenID nicht auf einem Großteil aller Seiten verfügbar ist, die wir täglich so verwenden bleibt uns nichts anderes übrig, als auf der jeweiligen Seite ein Passwort einzugeben
Und ich glaube nicht, daß sich so ein zentraler Service jemals durchsetzen wird. Daran ist sogar schon Microsoft mit seinem "Microsoft Passport" gescheitert
Und ich glaube nicht, daß sich so ein zentraler Service jemals durchsetzen wird. Daran ist sogar schon Microsoft mit seinem "Microsoft Passport" gescheitert
#32Report
21.12.2010
Zentral ist es nicht, weil jeder wenn er Lust hat einen Provider aufmachen kann.
Ich hatte die Idee einen Dienst aufzumachen, der dich bei verschiedenen Seiten einloggt. Du gehst mit Name/Passwort dahin, klickst auf Facebook und bist drin. Bei ein paar Tests mit StudiVZ und anderen Seiten klappte das. Ist natürlich längst nicht so komfortabel wie OpenID, könnte aber bei Leuten wie mir mit über 500 Passwörtern was bringen.
Ich hatte die Idee einen Dienst aufzumachen, der dich bei verschiedenen Seiten einloggt. Du gehst mit Name/Passwort dahin, klickst auf Facebook und bist drin. Bei ein paar Tests mit StudiVZ und anderen Seiten klappte das. Ist natürlich längst nicht so komfortabel wie OpenID, könnte aber bei Leuten wie mir mit über 500 Passwörtern was bringen.
#33Report
21.12.2010
Original von netAction
Zentral ist es nicht, weil jeder wenn er Lust hat einen Provider aufmachen kann.
Ich hatte die Idee einen Dienst aufzumachen, der dich bei verschiedenen Seiten einloggt. Du gehst mit Name/Passwort dahin, klickst auf Facebook und bist drin. Bei ein paar Tests mit StudiVZ und anderen Seiten klappte das. Ist natürlich längst nicht so komfortabel wie OpenID, könnte aber bei Leuten wie mir mit über 500 Passwörtern was bringen.
Oder man nimmt einfach einen lokalen Passwort-Manager, der die Passwörter auch generiert.
k|d
#34Report
21.12.2010
Original von netAction
Ich hatte die Idee einen Dienst aufzumachen, der dich bei verschiedenen Seiten einloggt. Du gehst mit Name/Passwort dahin, klickst auf Facebook und bist drin. Bei ein paar Tests mit StudiVZ und anderen Seiten klappte das. Ist natürlich längst nicht so komfortabel wie OpenID, könnte aber bei Leuten wie mir mit über 500 Passwörtern was bringen.
Das hat nur ein paar gewaltige Nachteile:
- Man vertraut einem einzelnen seine ganzen Passwörter an und ist darauf angewiesen, daß dieser sie gut schützt und nicht mißbraucht
- Dieser Dienst müsste die Passwörter im Klartext speichern, da er sie ja an andere Seiten übermitteln muß. Das widerspricht der üblichen Vorgehensweise, nur noch einen Hash in der Datenbank abzulegen
#35Report
21.12.2010
In der Endlösung würde ich den Quellcode freigeben, damit du dir das Programm selbst irgendwo installieren kannst und damit sämtliche Fragen geklärt sind.
Das mit dem Klartext stimmt nicht, man könnte die Passwörter mit dem Masterpasswort verschlüsseln. Und das muss der Server nicht einmal bekommen, die Codierung/Decodierung kann direkt auf deinem Rechner geschehen.
Also zum Mitschreiben:
Du meldest dich bei netActionSafe an mit dem Namen Pixelspalter und dem Passwort PIX. Das Passwort wird schon während der Eingabe, also bevor es zum netActionSafe kommt, codiert zu MD5(PIX). netActionSafe bekommt MD5(PIX) von deinem Browser. Damit ein potentieller Datenbankkopierer die Daten nicht gebrauchen kann, wird davon wieder ein Hash gebildet und dieser gespeichert. In der Datenbank von netActionSafe steht also der Name Pixelspalter mit dem Generalschlüssel MD5(MD5(PIX)). So kannst du dich jederzeit wieder bei netActionSafe anmelden.
Ein Passwort im netActionSafe eintragen geht so: Du bist eingeloggt als Pixelspalter. Du tippst die Adresse model-kartei.de und das Passwort MKFREAK ein. MKFREAK wird noch auf deinem Rechner verschlüsselt mit dem Passwort PIX zu PIX_MKFREAK. Dieses verschlüsselte Passwort sendet dein Rechner zu netActionSafe, der es speichert.
Wenn du wiederkommst, passiert folgendes: Du gibst deinen Namen Pixelspalter und dein Passwort PIX ein. Dein Browser codiert PIX zu MD5(PIX) und schickt es zu netActionSafe. Dort wird das Passwort erneut mit MD5 umgewandelt zu MD5(MD5(PIX)) und in der Datenbank gesucht. Es wird gefunden und der Login in der MK angeboten.
Du klickst auf den MK-Login. netActionSafe gibt dir das verschlüsselte Passwort PIX_MKFREAK. Mit dem in deinem Browser zwischengespeicherten Masterpasswort PIX wird es decodiert zu MKFREAK. Dies wird an model-kartei.de gesendet und du bist eingeloggt.
Du siehst, der Passwortsafe braucht kein einziges Passwort zu kennen.
Das mit dem Klartext stimmt nicht, man könnte die Passwörter mit dem Masterpasswort verschlüsseln. Und das muss der Server nicht einmal bekommen, die Codierung/Decodierung kann direkt auf deinem Rechner geschehen.
Also zum Mitschreiben:
Du meldest dich bei netActionSafe an mit dem Namen Pixelspalter und dem Passwort PIX. Das Passwort wird schon während der Eingabe, also bevor es zum netActionSafe kommt, codiert zu MD5(PIX). netActionSafe bekommt MD5(PIX) von deinem Browser. Damit ein potentieller Datenbankkopierer die Daten nicht gebrauchen kann, wird davon wieder ein Hash gebildet und dieser gespeichert. In der Datenbank von netActionSafe steht also der Name Pixelspalter mit dem Generalschlüssel MD5(MD5(PIX)). So kannst du dich jederzeit wieder bei netActionSafe anmelden.
Ein Passwort im netActionSafe eintragen geht so: Du bist eingeloggt als Pixelspalter. Du tippst die Adresse model-kartei.de und das Passwort MKFREAK ein. MKFREAK wird noch auf deinem Rechner verschlüsselt mit dem Passwort PIX zu PIX_MKFREAK. Dieses verschlüsselte Passwort sendet dein Rechner zu netActionSafe, der es speichert.
Wenn du wiederkommst, passiert folgendes: Du gibst deinen Namen Pixelspalter und dein Passwort PIX ein. Dein Browser codiert PIX zu MD5(PIX) und schickt es zu netActionSafe. Dort wird das Passwort erneut mit MD5 umgewandelt zu MD5(MD5(PIX)) und in der Datenbank gesucht. Es wird gefunden und der Login in der MK angeboten.
Du klickst auf den MK-Login. netActionSafe gibt dir das verschlüsselte Passwort PIX_MKFREAK. Mit dem in deinem Browser zwischengespeicherten Masterpasswort PIX wird es decodiert zu MKFREAK. Dies wird an model-kartei.de gesendet und du bist eingeloggt.
Du siehst, der Passwortsafe braucht kein einziges Passwort zu kennen.
#36Report
21.12.2010
Original von Enno Kiel
Das schönste, was ich zu dem Thema bisher gehört habe:
"Ja, ich habe den Virenscanner wieder deinstalliert, weil der mich ständig mit irgendwelchen Warnungen genervt hat!" :D
Das kann ich mühelos toppen.
Ein kleiner deutscher Sportzeitungsverlag. Ich war an die Aufgabe des "IT-Admins" gekommen wie die Jungfrau zum Kinde. Vor Jahren hatte man dort angefangen, Outlook Express zu verwenden, und das kannst Du den Leuten ja nicht von heute auf morgen abgewöhnen. Die meisten freien Mitarbeiter, die Material schicken, nutzen auch Outlook Express. Also bekommt man jeden Tag ca. 100 bis 200 Spam- und Virenmails, weil auf jedem zweiten der Freie Mitarbeiter-PCs ein Trojaner sitzt, der deren Outlook-Adressbuch ausliest, und da steht natürlich die Verlagsadresse auch drin...
Eines Tages sitzt die Frau des Verlagsleiters, die zu allem Unglück auch noch im Verlag mitarbeitete, an einem Rechner, an den sie nicht gehört, und holt dort mit Outlook Express die Mails, die im laufe der Vormittags eingegangen sind. Der Virenscanner arbeitet ordnungsgemäß, und löscht den Inhalt von ungefähr 30 Virenmails. Die Mails an sich lässt er mit einem entsprechenden Hinweis im Posteingang stehen.
Frau B.: "Was ist das denn jetzt?" (Panik in der Stimme)
Ich: "Der Virenscanner hat die Mail gelöscht, weil da ein Virus drin war."
Frau B.: "Und wie kann ich die jetzt lesen?" (verwirrt)
Ich: "Am besten gar nicht. Es sei denn, sie wollten den Virus aktivieren."
Frau B.: "Aber wie sehe ich denn jetzt, was in der Mail steht?"
Ich: "In der Mail stand gar nichts, außer dem Virus."
Frau B.: "Aber ich würde die schon gern lesen..." (mehr beleidigt als verwirrt)
Ich: "Aber nicht auf diesem Rechner. Den brauchen wir noch."
#37Report
21.12.2010
Original von TomRohwer
Frau B.: "Was ist das denn jetzt?" (Panik in der Stimme)
Ich: "Der Virenscanner hat die Mail gelöscht, weil da ein Virus drin war."
Frau B.: "Und wie kann ich die jetzt lesen?" (verwirrt)
Ich: "Am besten gar nicht. Es sei denn, sie wollten den Virus aktivieren."
Frau B.: "Aber wie sehe ich denn jetzt, was in der Mail steht?"
Ich: "In der Mail stand gar nichts, außer dem Virus."
Frau B.: "Aber ich würde die schon gern lesen..." (mehr beleidigt als verwirrt)
Ich: "Aber nicht auf diesem Rechner. Den brauchen wir noch."
muuhaaahahaaaha... wäre es nicht so lustig, wäre es mal sowas von traurig...
#38Report
21.12.2010
Komische IT-Abteilung. Bei mir wären die Fehler, die die Viren ausnutzen, behoben worden. Statt dessen wird ein Virenscanner installiert, der die Mitarbeiter überfordert. Der nächste Trojaner ist Spionage von der Konkurrenz, dementsprechend dem Virenscanner unbekannt und wird ausgeführt.
Ums klar auszudrücken: Der Virenscanner schützt dich vor irgendwelchem Ramsch, während die wirklichen Gefahren verharmlost werden.
(Ich weiß, du warst quasi dazu gezwungen solchen Blödsinn mitzumachen)
Ums klar auszudrücken: Der Virenscanner schützt dich vor irgendwelchem Ramsch, während die wirklichen Gefahren verharmlost werden.
(Ich weiß, du warst quasi dazu gezwungen solchen Blödsinn mitzumachen)
#39Report
21.12.2010
@netAction
Also da hast Du mich jetzt irgendwo verloren auf dem Weg ;)
Also da hast Du mich jetzt irgendwo verloren auf dem Weg ;)
#40Report
Topic has been closed
Möchte ich nicht unterschreiben. Momentan hat Facebook eine abartig aufwändige zentralisierte Betrungsbekämpfung. OpenID könnte dezentral gefahren werden. Der Traffic wäre ja wohl im Vergleich zum restlichen Content winzig.