
Sicher, Sicherer, Passwort? In diesem Tutorial zeige ich Dir alles über Authentifizierungsmöglichkeiten und wie Du diese umgehen kannst. Bereit?
GUIDE: Logins sicherer machen
Um was geht’s? – Authentifizierung
Was für Arten von Authentifizierung gibt es? Was ist nach neusten Standards „sicher“? Wie können Hacker trotzdem Accounts hacken? Dieses Tutorial soll eine Einführung in Login-Möglichkeiten geben und erklären, wie diese jeder umgehen kann.
Knappe Einordnung
Passwörter, Iris-Scans und Wissensabfragen gehören zu den präventiven Maßnahmen zum Schutz von Deiner Software und Hardware. Schon die alten Römer haben Sicherheitsabfragen genutzt, um ihre Identität zu bestätigen. Nur ein geweihte konnten durch das Tor treten, wenn Sie die korrekte Antwort wussten.
Seit der Antike sind noch weitere Authentifizierungsarten hinzugekommen, die unsere Systeme sicherer machen sollen. Die Kriminellen (heute nennt viele sie Hacker) können jegliche noch so sichere Login-Art umgehen. Sie haben ja nicht die letzten 2000 Jahre sich auf die faule Haut gelegt: Typische Passwortlisten, Keylogger und viele mehr entwickelten schlaue IT-Spezialisten.
Grundlagen
Authentifizierung einfach erklärt
IT-Spezialisten unterscheiden im Allgemeinen drei wesentliche Grundtypen von Identitätsüberprüfungen: Wissen, Besitz und Körper
- Wissen: Passwörter, PINs, Sicherheitsfragen, Wissensprüfungen sind Möglichkeiten, wie Der Nutzer seine Person mit Wissen bestätigen kann.
- Besitz: Personalausweis, USB-Sticks, Hardware-Tokens, RSA-Security ID, Software-Tokens, (Standort) oder Smartphone besitzen nur eine bestimmte Person. Das Betriebssystem prüft den Besitz dieser Gegenstände (und dessen Zustand). Besitzt die Person den gewünschten Gegenstand, geht das System davon aus, dass die richtige Person vor dem Bildschirm sitzt. Deshalb solltest Du Deine Karten bei Verlust oder Diebstahl sperren lassen.
- Körper: Vielen Smartphones stellen Verfahren zu Verfügung, mit dem das Betriebssystem bestimmte Körpermerkmale als Login nutzt. Mit dem Gesicht, einem Fingerabdruck, der Augen-Retina oder einer Unterschrift können sich Nutzer bei z.B. Bank-Accounts anmelden.
Bei einer 2-Weg-Authentifizierung sollt ein Login-Fenster immer zwei verschieden Arten von Identitätsüberprüfungen durchführen: Wenn das eingegebene Passwort korrekt ist, muss der Nutzer mit einem USB-Stick sich verifizieren. Dieser USB-Stick enthalt einen Hardware-Token, der nur der echte Inhaber des Kontos besitzt.
Bei eine 3-Weg-Authentifizierung brauchen wir drei Typen…. Usw.
Hacking
Spurensuche – Sniffen wie die Profis
Um einen Login zu umgehen, wollen wir Passwörtern bei Logins im Browser sniffen.
Das vorgestellte Verfahren geht nur, wenn der Browser eine unverschlüsselte Verbindung mit dem Server über HTTP herstellen kann. Bei HTTPs können wir nur noch die Domain sehen.
Die Nutzdaten sind kryptografisch verschlüsselt. Hochleistungsserver brauchten viel Strom und viele Jahre, um eine Verbindung entschlüsseln zu können.
Blick in den Code – HTML, JavaScript und mehr
Wenn Du Dich bei z.B. Facebook anmeldest, füllst Du ein Formular aus. Die eingegebenen Formulardaten fasst der JavaScript Code im Browser zusammen und sendet das POST-Anfragen an den Server. Bei Sniffern wollen Hacker genau diese POST-Request aus der Vielzahl aller Netzwerkanfrage herauszufiltern, und das Passwort in Klartext ablesen.
ATTACKE! – 7 Schritte zum Passwort
Vorbemerkung: Führe folgendes nur bei Deinen eigenen System aus. Jegliche Sniffing(versuche) sind strafbar, auch wenn die Verbindung nicht verschlüsselt ist. Im Internet stehen Webseiten bereit, mit der Du solche Sniffing-Versuche durchführen kannst.
- Downloade und installiere Dir das Netzwerk-Tool Wireshark. In eine vorhergehenden Wireshark Tutorial bin ich auf das Tool und dessen Funktion eingegangen.
- Starte den Mitschnitt von Wireshark im Promiscuous Mode an Deinem Wlan Adapter / Ethernet-Anschluss.
- Gebe in die Filter-Leiste oben request.method == „POST“ ein und starte die Suche. Sobald Du mehr als 2 Sekunden die Daten mitgeschnitten hast, kann das Programm schon mehr Paket aufgelistet haben, als Dein Bildschirm anzeigen kann. Beim Laden einer ganzen Webseite kommen 100te neue Pakete hinzu. Wireshark snifft nicht nur an Deinem Browser, sondern registriert jegliche Synchronisierungsaktivität von Deiner Cloud, Account und anderen „Internet“-Programmen.


Sicherung: TSL, SSL, RSA, 2-W.A.
Sicherungsmaßnahme
Jetzt sieht Du mal, wie einfach der Hack von Passwörtern ist. Nutze immer HTTPs soweit es geht. SSL verschlüsselt mit RSA die Verbindungen. 2-Wege Authentfizieurng erhört die Sicherheit
Credits
Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY
Wie stelle ich fest, ob mein WLAN gehackt ist?
Hallo, ich habe bereits einen Post verfasst, wie einfach ist es Wlans zu hacken https://lippke.li/wlan-hacken/
Wenn Du sicher gehen willst, setzt Du Deinen Router zurück und setzt ein neuens Passwort.
Nutze einen Passsatz und kein Passwort, weil das Hacking sonst zu einfach ist:
Statt:
Password1234
Besser:
„Das ist mein super sicheres Wlan-Passwort 4ever!“