0d088 – Wie sicher ist 2-Faktor- Authentifizierung heutzutage wirklich?

Für die heutige Folge, hat sich Sven einmal auf die dunkle Seite begeben und erklärt uns Wege und Szenarien, wie Menschen mit weniger guten Absichten den zweiten Faktor der Authentisierung von euch stibitzen können.

Hausmeisterei

Datenverluste 

News

Thema: Bypassing 2FA

Fun and other Thinks

Aufgenommen am: 12.01.2022
Veröffentlicht am: 13.01.2022
Intro & Outro Chiptune  CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson 

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

5 Gedanken zu „0d088 – Wie sicher ist 2-Faktor- Authentifizierung heutzutage wirklich?

  1. xenobyter

    Hallo ihr zwei,

    ihr habt über die „Sicherheitslücke in der ePA“ gesprochen. Abgesehen davon, dass cih die Einschätzung der ct (und die Eure) hier inhaltlich nicht teile hattet ihr nach der Spezifikation der ePA gefragt. Diese ist öffentlich einsehbar:
    Aktensystem: https://fachportal.gematik.de/dokumentensuche?tx_gemcharacteristics_productlist%5BformIdentifier%5D=form-2849&tx_gemcharacteristics_productlist%5Btype%5D=ProdT&tx_gemcharacteristics_productlist%5Bproducttype%5D=82&tx_gemcharacteristics_productlist%5Bproducttypeversion%5D=186#c2849
    Frontend (des Versicherten): https://fachportal.gematik.de/dokumentensuche?tx_gemcharacteristics_productlist%5BformIdentifier%5D=form-2849&tx_gemcharacteristics_productlist%5Btype%5D=ProdT&tx_gemcharacteristics_productlist%5Bproducttype%5D=85&tx_gemcharacteristics_productlist%5Bproducttypeversion%5D=187#c2849

    Im konkreten Fall müsstet ihr noch die Spezifikation für Konnektoren und Primärsysteme zur Beurteilung hinzuziehen.

    Viel Spass beim Lesen

    xenobyter

    Antworten
  2. Maddin

    Ich habe das Stichwort Raumakustik gehört?! 😀

    Generell unterscheidet man zwischen Absorbern und Diffusoren.

    Absorber absorbieren Schall (binden, fangen ein).
    https://de.wikipedia.org/wiki/Schallabsorption
    Beispiel: Dicke stoffbezogene Tonnen in den Ecken von Räumen die mit Steinwolle gefüllt sind.

    Diffusoren lenken den Schall in verschiedenste Richtungen um, damit er gleichmäßiger im Raum verteilt wird.
    https://de.wikipedia.org/wiki/Diffusor_(Akustik)
    Beispiel: Skyline Diffusor (Verschieden lange Holzklötze auf eine Platte geschraubt)

    Ja, Eierpappen sind nur als Brandbeschleuniger gut und wirken sich akustisch so gut wie gar nicht aus.
    Mann müsste die Seite der Form die die Wand berührt ausfüllen. Mit Bauschaum um Höhen zu absorbieren oder mit was sehr schwerem und dichtem ausfüllen damit sie reflektieren (als Diffusoren arbeiten).

    Die meisten Räume im Haus habe eher ein Problem mit tiefen Frequenzen. Man sollte also eher über Bassfallen nachdenken, bevor man sich mit den Schaumstoffteilen die ganzen Höhen aus dem Raum rauszieht.

    Generell gilt:
    – Mehr Masse schluckt mehr (Steinwolle ist besser als Glaswolle ist besser als Schafswolle).
    – Da Schallwellen eine länge haben und tiefe Wellen länger sind, ist die Tiefe von Absorbern von großer Bedeutung. Größere Elemente schlucken tiefere Frequenzen.
    – Steinwolle verschlingt Schall
    – Massive Elemente reflektieren

    Fun Fakt, ein Drum-Riser (Extra Podest für den Schlagzeuger) ist auch nur ein Kontrabass (sprich ein Resonator) weil bei bestimmten tiefen Frequenzen (Abhängig von Meterial und Längen) das ganze ding schwingt (resoniert).

    LG

    Maddin
    2D1H

    Antworten
    1. Sven Hauptmann Beitragsautor

      Genau. Und Akustik-Schaumstoff ist nur ein Absorber und kein Diffusor, weshalb die Form mit den vielen kleinen Pyramiden ziemlich unsinnig ist. Die Pyramiden machen nur Sinn, wenn die Schallwelen in alle möglichen Richtungen abgestrahlt werden sollen und dafür aus massivem (schall reflektierendem) Material sind.
      Und Eierpappen sind nicht hart (reflektiv) genug, um als Diffusor zu agieren und nicht massiv genug, um zu absorbieren und damit völlig sinnlos 😉 Nur die optisache Ähnlichkeit zu den Pyramidenabsorbern haben dazu geführt, dass man sie immer mal wieder in Proberäumen sieht.
      Aber weisst Du, warum Absorber immer noch mit Pyramiden-Schaumstoff genutzt werden? Das sind doch nur Staubfänger, die genauso gut absorbieren würden, wenn sie nur halb so tief aber dafür quaderförmig wären. Sowas kann man übrigens dann gut hinter Bildern/Postern mit einem etwas dickerem Rahmen verstecken.
      Fallen Dir noch andere Mythen aus der Musik ein?

      Antworten
  3. Deus Figendi

    Hallo,
    Ihr habt nach ESO-Zeux in der IT gefragt und ich glaube dass es da einiges gibt, was mir nicht ad hoc einfällt, aber gerade bei unbedarften Benutzern grasiert (sowas wie: du musst den USB-stick immer in den gleichen Port stecken. Oder immer in einen anderen als letztes Mal…)
    Auch so Mythen dass man eine Münze reibt, wenn ein Automat sie nicht annimmt ist irgendwie entfernt noch IT

    Aber was mit sofort einfiel sind Virenscanner, ich lebe seit 10-15 Jahren ganz gut ohne Virenscanner und wenn ich sporadisch doch mal über Festplatten scanne ist dann auch nix. Auch als ich Virenscanner noch benutzte haben die höchst selten gut funktioniert (auf jeden Fall mehr false positive und false negative als true positive). Stattdessen liest man gelegentlich in der Presse, dass Virenscanner gigantische Sicherheitslücken aufreißen, selbst Malware sind (z.b. cryptominer beinhalten) und dergleichen.

    Ich bin überzeugt, dass Virenscanner mehr schaden als nutzen und der Glaube in deren Nutzen daher in die schwurbelecke gehört.

    Antworten
    1. Stefan

      Guten Morgen,

      na mit den Virenscannern schlägst du bei mir ja glatt ein offenes Fenster ein.
      Sie haben einen Sinn, aber in der Form wie Sie beworben werden und wie Sie propagiert werden, ist es einfach nur falsch.
      Genrell sollte man einen Virenscanner haben und auch regelmäßig mal seine Systeme scannen. Aber das ersetzt, wie du richtig anmerkst, nicht den gesunden Menschenverstand. Frei nach dem Kinde „Kenn ich nicht, trau ich nicht.“ ist die richtige devise. Aber das Thema werden wir uns auf jedenfall noch einmal genauer vornehmen müßen. Es passt dann nur leider nicht in die Schwurbel-Ecke, da es dafür zu groß und zu komplex ist.

      Ich danke dir für deine Vorschläge und werde Sie mal alle mit auf die Liste des potentiellen Schwurbel packen.

      Danke dir.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.