Skip to content

Zwei-Faktor-Authentifizierung per SMS

Nach der allgemeinen Beschreibung der Zwei-Faktor-Authentifizierung geht es nun um bekannte Implementierungen und Angriffe darauf. Ein praktisches Beispiel, wie man eine Zwei-Faktor-Authentifizierung nicht implementieren sollte, hat ja Twitter geliefert, aber es gibt noch weitere bekannte Beispiele für Zwei-Faktor-Authentifizierungen und Angriffe darauf. Am bekanntesten ist wohl die

Zwei-Faktor-Authentifizierung beim Onlinebanking

"Zwei-Faktor-Authentifizierung per SMS" vollständig lesen

Twitters Zwei-Faktor-Authentifizierung mit Haken und Ösen

Twitter hat eine optionale Zwei-Faktor-Authentifizierung eingeführt. Wenn die Zwei-Faktor-Authentifizierung, bei Twitter als "login verification" bezeichnet, aktiviert ist, wird beim Einloggen eine SMS mit einem sechsstelligen Code an eine zuvor angegebenen Telefonnummer geschickt. Erst wenn dieser Code eingegeben wurde, ist der Zugriff auf den Twitter-Account möglich. Leider ist diese Zwei-Faktor-Authentifizierung bei weitem nicht so sicher, wie sie sein sollte.

SMS mit doppelter Bedeutung

"Twitters Zwei-Faktor-Authentifizierung mit Haken und Ösen" vollständig lesen

Authentifizierung: Ein Faktor reicht nicht (mehr)

Bisher kam man bei der Authentifizierung mit einem Faktor aus, der Eingabe eines Passworts. Wer Benutzernamen und zugehöriges Passwort kannte, war mit ziemlich hoher Wahrscheinlichkeit der entsprechende Benutzer. Inzwischen gibt es so viele Möglichkeiten, Zugangsdaten auszuspähen, dass diese Annahme nicht mehr zwingend richtig ist. Also muss der bisher verfolgte Ansatz verbessert werden. Meist, indem ein zweiter Faktor hinzu genommen wird. Aber bevor es darum geht, gibt es eine sehr allgemeine Einführung in die Authentifizierung.

Authentifizierungsmethoden

"Authentifizierung: Ein Faktor reicht nicht (mehr)" vollständig lesen

Drucksache: PHP Magazin 4.2013 - GitHub-Sicherheit

Im PHP Magazin 4.2013 ist ein Artikel über die Sicherheit von Git und insbesondere GitHub erschienen.

Unter anderem geht es um zwei bekannte Schwachstellen bzw. Angriffe auf GitHub und GitHubs Reaktionen darauf: Zum einen um den "Angriff" auf das Public Key Update-Formular im März 2012, der sich schnell als Proof of Concept für eine "Mass-Assignment"-Schwachstelle entpuppte. Und zum anderen die im Januar 2013 über die neue Code-Suche entdeckten sensitiven Informationen wie zum Beispiel private SSH- und SSL-Schlüssel.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: PHP Magazin 4.2013 - GitHub-Sicherheit" vollständig lesen

Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8

Es gibt schon wieder eine 0-Day-Schwachstelle. Diesmal mal wieder im Internet Explorer, allerdings nur in Version 8. Und wie die 0-Day-Schwachstelle im Dezember 2012 wird auch diese Schwachstelle für Wasserloch-Angriffe ausgenutzt. Werfen wir mal einen Blick auf die wenigen bisher bekannten Fakten.

3. Mai - Microsoft veröffentlicht ein Security Advisory

"Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8" vollständig lesen