Sicherheit - Kunckel EDV Systeme

Passkeys Nachtrag

von Wolfgang Kunckel | Jul 13, 2023 | Sicherheit

Ein kleiner Hinweis zu unserem Artikel FIDO2 und Passkeys…: Die Sourcecode-Verwaltung GitHub (www.github.com) erlaubt jetzt auch die Nutzung von Passkeys zum Einloggen!

FIDO2 und Passkeys…

von Wolfgang Kunckel | Jun 5, 2023 | Allgemein, iOS, MacOS, Sicherheit

Eine Welt ohne Passworte? Wäre das nicht wunderbar? Einfach auf allen Webseiten sich anmelden und nichts eingeben, weder Benutzernamen noch Kennwort? Und es sieht so aus, als würde das so werden. Dazu arbeiteten verschiedene große IT-Firma zusammen, unter dem Dach des sogenannten FIDO Konsortiums. (Links dazu weiter unten).

Das Problem mit den Kennworten ist groß und wird immer größer: Die Empfehlung von Sicherheitsforschern ist, für jede Webseite ein langes Kennwort und nach Möglichkeit auch gleich den Schutz durch einen zweiten Faktor einzurichten. Um das zu machen, muss man allerdings (fast) zwingend einen Passwort-Manager nutzen, es sei denn, Sie können sich 1000 unterschiedliche, komplizierte Kennworte merken – Glückwunsch. Das mit dem Passwort-Manager ist den meisten Menschen aber schon viel zu kompliziert, und entweder benutzen sie dann nur ein Kennwort für alles – GANZ GEFÄHRLICH oder nur wenige wieder benutzen Kennworte – auch gefährlich.

Wie soll das aber nun genau funktionieren mit der kennwortlosen Zukunft?

Die Idee dahinter ist die, dass mittlerweile fast jeder Mensch ein digitales Endgerät hat, was eine sogenannte biometrische Identifikation ermöglicht, also FaceTime oder Fingerabdrucksensor, Windows Hello oder tatsächlich einen festen Schlüssel wie den YubiKey. Damit ist der Mensch sicher und eindeutig identifiziert, und diese Voraussetzung ist die Basis für einen interessanten Ablauf zur Anmeldung an Webseiten.

Wie geht das genau?

1.) Sie richten sich einen Account auf einer neuen Webseite ein. Wenn die Webseite Passkeys unterstützt (es werden immer mehr) dann schickt Ihnen der Server ein Bündel an Informationen, z.B. auch die genaue URL – das wird bei Phishing wichtig mit sehr ähnlich aussehenden URLs.

2.) Mit diesen Informationen erzeugt Ihr Rechner/iPhone lokal ein Schlüsselpaar, einen zum Zuschließen (den öffentlichen Schlüssel) und einen zum Aufschließen (den privaten Schlüssel). Der öffentliche Schlüssel wird dann an die Webseite geschickt, die den abspeichert, der private Schlüssel verläßt Ihren Rechner NIE.

3.) Wenn Sie sich später auf dieser Webseite anmelden, dann fragt der Rechner/das iPhone, ob sie den gespeicherten Passkey nutzen wollen. Und hier kommt schon mal der Schutz vor Phishing ins Spiel: Dies Abfrage kommt NICHT, wenn die URL nicht exakt so ist wie bei der Anmeldung.

4.) Stimmen Sie zu, werden Sie aufgefordert, sich zu identifizieren: Per Facetime oder Fingerabdruck z.B.

5.) Die Webseite schickt Ihrem Gerät jetzt einen Code, verschlüsselt mit Ihrem öffentlichen Schlüssel.

6.) Ihr Gerät entschlüsselt diese Nachricht, wenn das klappt ist gesichert, dass der Code von der richtigen Webseite kommt.

7.) Ihr Gerät schickt eine Antwort, die es mit einer Signatur markiert, die mit dem privaten Schlüssel erstellt wird. Diese Signatur ist NICHT der private Schlüssel, das ist lediglich eine Art verschlüsseltes Etikett.

8.) Die Webseite prüft mit dem hinterlegten öffentlichen Schlüssel, ob das Etikett passt, wenn ja, sind sie drin – um mal einen bekannten Tennisspieler zu zitieren.

Passkeys können über verschiedene Geräte hinweg synchronisiert werden, am Export und Import wird grad noch gearbeitet. Und der oben geschilderte Ablauf ist aus Gründen der Verständlichkeit stark vereinfacht dargestellt.

Nachtrag

Nachtrag: Man kann alle diese Passkeys und Kennworte im Schlüsselbund auf dem Mac oder dem iPhone speichern, wir würden aber aus Gründen zu einem anderen Kennwortmanager raten. 1Password wäre da unsere Empfehlung, die Unterstützung für Passkeys angekündigt haben. Und das wollen sie am 6.06.2023 bekannt geben, was ja bekanntlich einen Tag nach der WWDC von Apple ist.

Und das ist etwas, was ich mir von Apple auf der WWDC erwarte: Eine noch mehr erweiterte Unterstützung für Passkeys, zum Beispiel auf der Seite für die AppleID. Und wenn sie – also Apple – schon mal dabei sind, dann könnten sie doch vielleicht auch gleich das Problem mit der viel zu einfachen Accountübernahme lösen. Dazu haben wir hier schon was geschrieben, auch, wie sie sich dagegen schützen k önnen.

Lesetips:

FIDO/FID2: Fast Identity online
mehr zu Passkeys findet sich hier
Eine kurze Erklärung von 1Password
und ein Artikel von Heise.de

Nachtrag 2:

1Password unterstützt jetzt mit einer Betaversion der Safari-Erweiterung Passkeys! Und das kann man schon mal z.B. bei Adobe anwenden. Der Anmeldedialog hat dann einen Link: „Mit Hauptschlüssel anmelden“.

Zwei-Faktor aber sicher…

von Wolfgang Kunckel | Mai 8, 2023 | Allgemein, Sicherheit

In der aktuellen c‘t ist das Schwerpunktthema die „Zwei-Faktor-Autorisierung“. Die gilt aktuell als Königsweg zur Sicherung von Zugängen, aber auch hier lauern Fallstricke.

Zur Auffrischung: „Zwei-Faktor-Autorisierung“ (oder 2FA) erfordert zur Anmeldung neben dem Benutzernamen und dem Kennwort noch einen zusätzlichen, unabhängigen Faktor. Das kann sein eine dann von der Webseite gesendete SMS, eine App, auf der man den Zugang bestätigen muss oder ein Sicherheitsschlüssel.

SMS hat die Schwachstelle, dass jemand mit einer ergaunerten SIM-Karte die SMS abfängt.

Der Artikel der c‘t beschreibt sehr schön, wie man mit gefälschten Webseiten, die sich nur durch ein falsches „i“ unterscheiden, das Opfer dazu bringt, diese falsche Seite zu nutzen

Der Angreifer schreibt dann über einen sogenannten „Reverse Proxy“ so allerlei mit, unter anderem speichert er sich einen „Session Cookie“ ab. Das schicken Webseiten dem Browser und der zeigt das wie eine Eintrittskarte bei jedem neuen Seitenaufruf vor – der User muss sich nicht jedesmal abmelden.

Der Angreifer warten jetzt ab, bis der User nichts mehr tut. Dann kopiert er sich den „Session Cookie“ (die Eintrittskarte) in seinen eigenen Browser, geht zur Webseite, zeigt die Eintrittskarte vor und ist drin – trotz 2FA!

Schutz davor: 1.) niemals auf Links in Mails klicken, immer über gespeicherte Bookmarks oder direkten Aufruf auf die angeblich betroffene Webseite gehen und 2.) nach Benutzung z.B. der Banking-Seite sich abmelden, nicht einfach Fenster schließen oder Browser beenden. Beim Abmelden wird der „Session Cookie“ annuliert (die Eintrittskarte wird entwertet).

Aufmerksam bleiben!

Mal wieder – Malware…

von Wolfgang Kunckel | Mai 3, 2023 | Sicherheit, Software

Es ist mal wieder eine Schadsoftware für den Mac aufgetaucht. Die wird im Moment über Telegram vertrieben, kommt in verschiedenen Ausprägungen und immer als Installationsdatei.

Nicht sehr geschickt gemacht:

Nach dem Download kann man die heruntergeladene Datei nicht mit Doppelklick öffnen, das System wirft eine Warnmeldung aus, dass es die heruntergeladene Datei nicht auf Schadsoftware überprüfen konnte. Das liegt an einem fehlenden Zertifikat der Entwickler.

Man muss dann schon den Trick anwenden und die Datei per Rechtsklick und „Öffnen…“ zur Plünderung des Systemes einladen. Und um das dann tun zu können, braucht das Programm noch das Systemkennwort und diverse Freigaben für Ordner. Der Dialog für die Kennwortabfrage sieht etwas „selbstgebastelt“ aus.

Erst, wenn man den Schädling quasi mehrfach den roten Teppich ausgerollt hat, legt er los und liest fröhlich Kennwörter aus dem Schlüsselbund aus.

Was tun?

Wenn Sie alle die oben genannten Dinge getan haben und Sie sich das Programm über Telegram oder andere dubiose Quellen geladen haben – uns eben anrufen.

Ansonsten gilt, was wir immer predigen: Augen auf beim Softwarekauf.

Programme nur laden aus bekannten Quellen
Misstrauisch sein und bleiben. Wenn etwas zu gut klingt um es zu sein – dann ist das meist auch so.
Grade Programme, die vorgeben, bestimmte Softwarepakete aus den Fesseln eines Abos zu befreien sind meist schädlich
Wenn sich ein Programm nicht per Doppelklick öffnen läßt – Finger weg
Das Systemkennwort bei Installationen brauchen nur wenige Programme, und da sollte man zweimal gucken, bevor man das eingibt.

Sicherheitshinweis…

von Wolfgang Kunckel | Mrz 9, 2023 | Allgemein, iOS, Sicherheit

„Bitte lassen Sie Ihr iPhone nicht unbeaufsichtigt…“. Ständige Durchsage am Flughafen, gilt aber tatsächlich auch für das iPhone. In den letzten Tagen gab es etwas Aufregung um die Sicherheit beim iPhone.

Es gibt tatsächlich eine Design-Schwachstelle, die es erlaubt, das Kennwort zur Apple-ID zu ändern, ohne das alte Kennwort zu kennen.

Szenario:

Notwendig dazu: Die Kenntnis der Geräte-PIN und Zugriff auf das Gerät. Der Ablauf ist dann wie folgt:

Das Opfer wird beim Entsperren des iPhones beobachtet oder heimlich ein Video gemacht.
Das Telefon wird dem Opfer entwendet
Der Böse meldet sich sofort an, ruft die iCloud-Einstellungen auf und muss dazu die PIN eingeben. Dann kann er das Kennwort für iCloud durch ein neues ersetzen, ohne das alte Kennwort zu kennen!
Es erfolgt keine Zwei-Faktor-Abfrage oder die Nutzung eines Sicherheitsschlüssels.
Anschließend werden alle im Account befindlichen Geräte gesperrt.
Danach erfolgt die „Ernte“. Der Angreifer startet Banking-Apps und testet die mit der Anmelde-PIN. Klappt das, macht er eine Überweisung. Das Sicherheitsverfahren ist dann meist eine Push-TAN, und die Push-TAN-App ist gesichert mit welcher PIN?

Abhilfe

Die PIN zum Anmelden am Gerät sollte sich von anderen PINs unterscheiden. Da der Angreifer ja keine Identifizierung mit FaceID oder TouchID machen kann, muss er für Programme, die geschützt sind, immer eine PIN eingeben. Dann ist es schlecht, wenn diese PINs z.B. für die Banking-App oder das intelligente Türschloß zu Haus genau so sind wie die Anmelde-PIN. Also: ändern. Man kann ja gern für diverse Apps eine PIN haben, für die Anmeldung sollte sie 6-stellig und einzigartig sein, also nirgends anders auf dem iPhone genutzt.
Gehen Sie in die Einstellungen, dort „Bildschirmzeit“. Setzen Sie dort einen Code, der sich vom Anmeldecode unterscheidet.
Tippen Sie auf „Beschränkungen“, schieben Sie den Hauptschalter auf ein. Sie müssen jetzt die neue PIN eingeben.
Scrollen Sie nach unten bis auf „Codeänderungen“ und „Account-Änderungen“. Schalten Sie beide auf nicht erlauben.

Das wars. Immer, wenn Sie jetzt Einstellungen an der AppleID oder am Code machen wollen, ist das ausgegraut. Sie müssen dann in die Bildschirmzeit, Beschränkungen ausschalten, PIN eingeben, Ihre gewünschten Änderungen machen, wieder in die Bildschirmzeit, Beschränkungen einschalten, PIN eingeben.

NACHTRAG: Der Punkt in den Einstellungen „Sicherheit & Face ID“ ist mit eingeschalteten Beschränkungen nicht sichtbar! (Der Angreifer kann also nicht, wie irgendwo kolportiert, schnell eine „Alternatives Erscheinungsbild“ anlegen und dann mit FaceID sich anmelden.)

War da was? Da war was: WWDC 2022*

von Wolfgang Kunckel | Jun 10, 2022 | Allgemein, MacOS, Sicherheit, Software, TechTip

Am 6.Juni war Apple World Wide Developer Konferenz, und trotz der im Vorfeld geleakten Dinge gab es noch eine Handvoll Überraschungen.

Hardware: Neues MacBook Air mit M2

Das war erwartet worden, nicht klar war, ob es nur ein neues Design gab oder auch noch einen neuen Prozessor: Es ist dann beides geworden. Das neue Air lehnt sich an das Erscheinungsbild des MacBook Pro an, es ist kantiger und ihm fehlt die charakteristische spitz zulaufende Form. Insgesamt ist es nur 11,3 mm dick, das alte Air (was es in der kleinsten Konfiguration als Einstiegsmodell immer noch gibt) war vorn 4,1mm dick und an der dicksten Stelle 16,1mm. Geben tut es das in vier „Nicht-Farben“: Silber, Polarstern (ein leichtes Gelbgold), Space Grau und Mitternacht. Letzteres wirkt schwarz, aus dem richtigen Winkel betrachtet sieht man, das es eigentlich tiefdunkelblau ist.

WWDC: Vier MacBook Air — Kein französisches Anführungszeichen, nein: 4 MacBook Air

Der neue M2: +20%

So plakativ läßt sich das zusammenfassen: 8 Core CPU, bis zu 10 Core GPU (2 mehr als beim alten Modell). Bis zu 24GB RAM, und der gesamte Speicher ist 50% schneller an die Prozessoren angebunden. Das sollte ein (spürbarer) Geschwindigkeitsgewinn von ca. 20% sein. Waren wir vorher mit dem M1 schon im Leistungsbereich des iMac 27″, sind wir jetzt sogar etwas schneller.

Hardware: Neues MacBook Pro 13″ mit M2

Auch dieses Modell hat den M2 bekommen, und dieses Modell ist überraschenderweise das einzige Modell mit Touchbar. Wahrscheinlich aus genau diesem Grund noch im Programm: Wer den Touchbar will, kann ihn hier bekommen.

Verfügbarkeit…?

Große Frage. Bestellt werden kann es erst im Juli, die 8GB Standardgeräte werden wohl zu Anfang einige verfügbar sein, was die CTO angeht – da haben wir grad kein so ganz positives Gefühl…

Software…

Die WWDC ist ja eine Software-Veranstaltung, und an dieser Stelle hat sich auch viel getan. Eine kurze Zusammenfassung und ein persönliches Highlight…

(Wer alle Neuerungen sehen will, dem empfehlen wir einen Besuch bei den Kollegen von MacRumors…

iOS

Die bittere Pille zuerst: Das Betriebssystem für die iPhones wird auf dem 6s, dem 7 und den ersten SE NICHT mehr laufen! Ansonsten gab es viele Detailverbesserungen:

Lockscreen: Das erste, was man auf dem iPhone sieht. Jetzt mit anpassbarer Anzeige
Safety Check: Für Menschen in übergriffigen Beziehungen: Man kann jetzt in einer zentralen Stelle alle geteilten Informationen ausschalten
Keyboard Haptics: Man kann jetzt eine haptische Information, d.h. eine kleine Vibration anschalten, die bei jeder gedrückten Taste auf der Tastatur kommt.
Sicherheit: Wenn Apps auf die Zwischenablage zugreifen wollen, dann müssen sie um Erlaubnis fragen
WIFI: Man kann sich sein WLAN-Kennwort anzeigen lassen!
Sicherheitsupdates werden kleiner und lassen sich schneller installieren
Es gibt ein neues, zwischen Familienmitgliedern geteiltes Fotoalbum
Duplikate in Fotos und Kontakten lassen sich schnell aussortieren
FaceID funktioniert jetzt auch im Querformat!
iMessages (und Mails) lassen sich innerhalb von 15 Minuten bearbeiten oder zurückziehen.
Figuren in Photos lassen sich mit einem längeren Druck darauf isolieren und kopieren!

macOS ventura

Da ist mein Vorschlag also nicht eingetroffen, vielleicht auch besser so.

Die beiden für mich wichtigsten Neuerungen: Man kann sein iPhone als WebCam für Videokonferenzen nutzen, und Apple treibt das passwortlose Dasein voran. Nennt sich PassKeys, und lehnt sich an die FIDO-Allianz an. Die ganzen großen (Amazon, Microsoft, Google) sind mit im Boot.

Nachteil: Man braucht ein iPhone, also ein Gerät, um seine Identität zu bestätigen (über TouchID oder FaceID), und dafür muss man dann eine wirklich gute Ersatz/Backup-Strategie haben.

iPad OS

Und hier kommt mein persönlicher Favorit: Es gibt einen Stage Manager, der die Fensterverwaltung auf dem iPad deutlich verbessert. So langsam wird das Multitasking nutzbar…

* Würden wir die Überschrift mit einem Letraset-Bogen (wer kennst sie noch) gesetzt haben, wären die W jetzt alle…

« Ältere Einträge

Nächste Einträge »

member of wolters group — **Wir können mehr - viel mehr...**