xNecromindx
Namhafter Pirat
- Registriert
- 6 Mai 2021
- Beiträge
- 1.119
- Erhaltene Likes
- 2.401
Das schlimme daran ist, das 2FA eine falsche Sicherheit vermittelt.
Leider habe ich den Link nicht zur Hand, weil heute damit ein Kollege ankam und mir das Video nur zeigte.
Da ging es um den Fall einer Youtuberin, die auch im IT-Sektor macht und deshalb genau bescheid wissen sollte, wenn von Sicherheit die Rede ist.
Die Geschichte kurz zusammengefasst: Der wurde der Youtube-Account geklaut. Jaja... hätte sie doch mal 2FA gemacht. Nun der Funfact: Hatte sie.
Die hatte alle Sicherheitsmaßnahmen aktiv, die Google für so einen Account anbietet - ALLE.
Nachdem sie dass dann anhand von Logs versucht hat nachzuvollziehen, ist sie dahintergekommen wie es funktionierte.
Ihr wurde die Web-Session während eines Urlaubs geklaut, weil sie da mal kurz in einem öffentlichen WLAN war. Zumindest war es nach ihrer Aussage der einzige nachvollziehbare Einfallsvektor.
Nachdem die Session geklaut war, konnte sie nichts mehr machen. Die Angreifer haben ganz systematisch den Account umkonfiguriert, so dass sie absolut keine Chance mehr hatte da einzugreifen.
Hat sie letztlich über den Google-Support geregelt bekommen, dem sie gleich noch den Seitenhieb mitgab, dass der nur extrem aufwendig überhaupt zu erreichen ist, wenn eben der elektronische Weg über den Account nicht mehr geht...
Was mir aber mehr durch den Kopf ging war, warum Google in seinem System überhaupt so einen für Account-Klau typischen Ablauf von Aktivitäten zulässt ohne Bremsen dort eingebaut zu haben.
Du kannst 20 unabhängige Legitimierungsstellen haben, wenn das Gesamtsystem an sich, andere Einfallstüren hat, die an all dem vorbei operieren.
Das is so ähnlich wie der Effekt bei Einbruchsopfern. Da war mal wer in der Wohnung und das erste was die Leute dann machen, ist sich das Türschloss Typ "Fort Nox" einbauen zu lassen, ignorieren aber, dass meist ein Schraubendreher reicht, um ein Fenster aufzuhebeln - ja sogar ein simpler Pflasterstein. Aber sie schlafen eben wieder ruhig. Glaube ist eben alles.
Wenn man teils grundlegende Sicherheitsaspekte missachtet, und vielen sind diese mangels Wissen nun einmal nicht klar/bekannt, nutzt einem weder 2FA etwas, noch ein 300-Stelliges Zahlenschloss an der Tastatur.
Deswegen nie dem Glauben verfallen "nu kann mir ja nichts mehr passieren". Das ist einfach falsch!
Leider habe ich den Link nicht zur Hand, weil heute damit ein Kollege ankam und mir das Video nur zeigte.
Da ging es um den Fall einer Youtuberin, die auch im IT-Sektor macht und deshalb genau bescheid wissen sollte, wenn von Sicherheit die Rede ist.
Die Geschichte kurz zusammengefasst: Der wurde der Youtube-Account geklaut. Jaja... hätte sie doch mal 2FA gemacht. Nun der Funfact: Hatte sie.
Die hatte alle Sicherheitsmaßnahmen aktiv, die Google für so einen Account anbietet - ALLE.
Nachdem sie dass dann anhand von Logs versucht hat nachzuvollziehen, ist sie dahintergekommen wie es funktionierte.
Ihr wurde die Web-Session während eines Urlaubs geklaut, weil sie da mal kurz in einem öffentlichen WLAN war. Zumindest war es nach ihrer Aussage der einzige nachvollziehbare Einfallsvektor.
Nachdem die Session geklaut war, konnte sie nichts mehr machen. Die Angreifer haben ganz systematisch den Account umkonfiguriert, so dass sie absolut keine Chance mehr hatte da einzugreifen.
Hat sie letztlich über den Google-Support geregelt bekommen, dem sie gleich noch den Seitenhieb mitgab, dass der nur extrem aufwendig überhaupt zu erreichen ist, wenn eben der elektronische Weg über den Account nicht mehr geht...
Was mir aber mehr durch den Kopf ging war, warum Google in seinem System überhaupt so einen für Account-Klau typischen Ablauf von Aktivitäten zulässt ohne Bremsen dort eingebaut zu haben.
Du kannst 20 unabhängige Legitimierungsstellen haben, wenn das Gesamtsystem an sich, andere Einfallstüren hat, die an all dem vorbei operieren.
Das is so ähnlich wie der Effekt bei Einbruchsopfern. Da war mal wer in der Wohnung und das erste was die Leute dann machen, ist sich das Türschloss Typ "Fort Nox" einbauen zu lassen, ignorieren aber, dass meist ein Schraubendreher reicht, um ein Fenster aufzuhebeln - ja sogar ein simpler Pflasterstein. Aber sie schlafen eben wieder ruhig. Glaube ist eben alles.
Wenn man teils grundlegende Sicherheitsaspekte missachtet, und vielen sind diese mangels Wissen nun einmal nicht klar/bekannt, nutzt einem weder 2FA etwas, noch ein 300-Stelliges Zahlenschloss an der Tastatur.
Deswegen nie dem Glauben verfallen "nu kann mir ja nichts mehr passieren". Das ist einfach falsch!