Zwei-Faktor-Authentifizierung erklärt mit APP [Online Banking]

Sicher Passwörter 2Auth Steffen Lippke Hacking Series

Sicher, Sicherer, Passwort? In diesem Tutorial zeige ich Dir alles über Authentifizierungsmöglichkeiten und wie Du diese umgehen kannst. Bereit?

Inhalt des Tutorials

1 GUIDE: Logins sicherer machen
- 1.1 Um was geht’s? – Authentifizierung
- 1.2 Knappe Einordnung
2 Grundlagen
- 2.1 Authentifizierung einfach erklärt
3 Hacking
4 Sicherung: TSL, SSL, RSA, 2-W.A.
- 4.1 Sicherungsmaßnahme

GUIDE: Logins sicherer machen

Um was geht’s? – Authentifizierung

Was für Arten von Authentifizierung gibt es? Was ist nach neusten Standards „sicher“? Wie können Hacker trotzdem Accounts hacken? Dieses Tutorial soll eine Einführung in Login-Möglichkeiten geben und erklären, wie diese jeder umgehen kann.

Knappe Einordnung

Passwörter, Iris-Scans und Wissensabfragen gehören zu den präventiven Maßnahmen zum Schutz von Deiner Software und Hardware. Schon die alten Römer haben Sicherheitsabfragen genutzt, um ihre Identität zu bestätigen. Nur ein geweihte konnten durch das Tor treten, wenn Sie die korrekte Antwort wussten.

Seit der Antike sind noch weitere Authentifizierungsarten hinzugekommen, die unsere Systeme sicherer machen sollen. Die Kriminellen (heute nennt viele sie Hacker) können jegliche noch so sichere Login-Art umgehen. Sie haben ja nicht die letzten 2000 Jahre sich auf die faule Haut gelegt: Typische Passwortlisten, Keylogger und viele mehr entwickelten schlaue IT-Spezialisten.

Grundlagen

Authentifizierung einfach erklärt

IT-Spezialisten unterscheiden im Allgemeinen drei wesentliche Grundtypen von Identitätsüberprüfungen: Wissen, Besitz und Körper

Wissen: Passwörter, PINs, Sicherheitsfragen, Wissensprüfungen sind Möglichkeiten, wie Der Nutzer seine Person mit Wissen bestätigen kann.
Besitz: Personalausweis, USB-Sticks, Hardware-Tokens, RSA-Security ID, Software-Tokens, (Standort) oder Smartphone besitzen nur eine bestimmte Person. Das Betriebssystem prüft den Besitz dieser Gegenstände (und dessen Zustand). Besitzt die Person den gewünschten Gegenstand, geht das System davon aus, dass die richtige Person vor dem Bildschirm sitzt. Deshalb solltest Du Deine Karten bei Verlust oder Diebstahl sperren lassen.
Körper: Vielen Smartphones stellen Verfahren zu Verfügung, mit dem das Betriebssystem bestimmte Körpermerkmale als Login nutzt. Mit dem Gesicht, einem Fingerabdruck, der Augen-Retina oder einer Unterschrift können sich Nutzer bei z.B. Bank-Accounts anmelden.

Bei einer 2-Weg-Authentifizierung sollt ein Login-Fenster immer zwei verschieden Arten von Identitätsüberprüfungen durchführen: Wenn das eingegebene Passwort korrekt ist, muss der Nutzer mit einem USB-Stick sich verifizieren. Dieser USB-Stick enthalt einen Hardware-Token, der nur der echte Inhaber des Kontos besitzt.

Bei eine 3-Weg-Authentifizierung brauchen wir drei Typen…. Usw.

Hacking

Spurensuche – Sniffen wie die Profis

Um einen Login zu umgehen, wollen wir Passwörtern bei Logins im Browser sniffen.

Das vorgestellte Verfahren geht nur, wenn der Browser eine unverschlüsselte Verbindung mit dem Server über HTTP herstellen kann. Bei HTTPs können wir nur noch die Domain sehen.

Die Nutzdaten sind kryptografisch verschlüsselt. Hochleistungsserver brauchten viel Strom und viele Jahre, um eine Verbindung entschlüsseln zu können.

Blick in den Code – HTML, JavaScript und mehr

Wenn Du Dich bei z.B. Facebook anmeldest, füllst Du ein Formular aus. Die eingegebenen Formulardaten fasst der JavaScript Code im Browser zusammen und sendet das POST-Anfragen an den Server. Bei Sniffern wollen Hacker genau diese POST-Request aus der Vielzahl aller Netzwerkanfrage herauszufiltern, und das Passwort in Klartext ablesen.

ATTACKE! – 7 Schritte zum Passwort

Vorbemerkung: Führe folgendes nur bei Deinen eigenen System aus. Jegliche Sniffing(versuche) sind strafbar, auch wenn die Verbindung nicht verschlüsselt ist. Im Internet stehen Webseiten bereit, mit der Du solche Sniffing-Versuche durchführen kannst.

Downloade und installiere Dir das Netzwerk-Tool Wireshark. In eine vorhergehenden Wireshark Tutorial bin ich auf das Tool und dessen Funktion eingegangen.
Starte den Mitschnitt von Wireshark im Promiscuous Mode an Deinem Wlan Adapter / Ethernet-Anschluss.
Gebe in die Filter-Leiste oben request.method == „POST“ ein und starte die Suche. Sobald Du mehr als 2 Sekunden die Daten mitgeschnitten hast, kann das Programm schon mehr Paket aufgelistet haben, als Dein Bildschirm anzeigen kann. Beim Laden einer ganzen Webseite kommen 100te neue Pakete hinzu. Wireshark snifft nicht nur an Deinem Browser, sondern registriert jegliche Synchronisierungsaktivität von Deiner Cloud, Account und anderen „Internet“-Programmen.

Lösche den Mitschnitt

Versuche Dich auf einer Webseite http://www.benwiggy.com/hacking/website_hacking.php in einen Account einzuloggen, welche noch mit HTTP arbeitet. So können wir uns einen Post Request generieren. Starte den Wireshark Mitschnitt erst, wenn Du die entsprechende Seite aufgerufen hast und den Loginnamen und Passwort ausgefüllt hast. Starte den Mitschnitt und Klicke auf den Button „Login“

Wenn Du das Post Paket gefunden hast, dann klicke darauf. Es öffnet sich ein Fenster mit allen Bits in HEX-Code, die der Browser genauso über die Leitung zum Server gesendet hat.

Dann klicke auf den Pfeil zum Vergrößern beim TCP. Tada – schon haben wir ein Passwort gefunden

Das haben wirs die Nuss war nicht hart genug

Sicherung: TSL, SSL, RSA, 2-W.A.

Sicherungsmaßnahme

Jetzt sieht Du mal, wie einfach der Hack von Passwörtern ist. Nutze immer HTTPs soweit es geht. SSL verschlüsselt mit RSA die Verbindungen. 2-Wege Authentfizieurng erhört die Sicherheit

Credits

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY

Credits: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, freiverfügbar nach EULA