Mit entsprechenden Aufwand von Angreiferseite ist sehr viel möglich.
Einen Honeypot auszulegen und jemanden mit dem Smartphone daraufzulocken ist im Bereich des Soicalengineering eine einfach Übung. Die Serie Mr. Robot zeigt m.E sehr realistisch die gängisten Methoden und wieviel schwieriger es ist jemanden einen Tokengenerator zu entwenden.
Umgekehrt muss man sich überlegen, wie eine Authentifizierung ablaufen muss, wenn man davon ausgeht, dass Smartphone kompromittiert, die Keystrokes auf der PC Tastaur aufgezeichnet werden und evtl. Passwörter die irgendwo aufgeschrieben oder gespeichert waren in falsche Hände geraten sind.
Die Grundregel bei den sichersten mir bekannten Methoden lautet "2 Dinge die man hat + 2 Dinge die man weiß".
Z.B.
Haben: Signaturkarte + SecurID Token
Wissen: PIN + Grafisches Passwort
1) Siganturkarte in Kartenleser einlegen und mit PIN bestätigen. Hier ist wichtig, dass der PIN auf dem Kartenleser eingegeben wird, falls die Tastenanschläge der PC Tastatur aufgezeichnet werden.
2) SecurID Token vom Generator eingeben (30 Sekunden gültig)
3) Es werden scheinbar zufällig Bilder angezeigt, von denen man eine vereinbarte Sequenz auswählt.
Grafische Passwörter haben den Vorteil, dass man sie nicht aufschreiben muss, sondern einfach merken kann.
Ich merke mir z.B: der Affe fährt im Rennwagen und isst dabei ein Hot Dog. Entsprechend wähle ich die Bilder Affe, Rennwagen und Hot Dog.
Bei einer falschen Eingabe bricht der gesamte Login Prozess sofort ab und muss neu gestartet werden.
Selbst die Fritzbox bietet Brute Force Blockaden und doppelte Authentifizierung an. Und auf der Fritzbox sind ja keine relevanten persönlichen Daten gespeichert. Wenn mich schon jemand hackt, dann bitte nur auf der Fritzbox
. Allerdings nur als Privatperson.
Die FritzBox zu hacken wäre fatal.
Dort kann der Angreifer alle Anfragen zu einem beliebigen Proxy umleiten und bei Bedarf eine Verbindung Karpern. Z.b. den Login auf einer Seite (Bank, Microsoft, Google Account...egal), überall wo du dich einloggst kann der Angreifer dann deine Identität übernehmen.
Immer daran denken, dass alle Angriffe Mehrstufig ablaufen.
Um die FritzBox zu hacken kann ein Angreifer z.B. auch bei deiner chinesischen WLAN SmartHome Glühlampe anfangen, für die es schon seit Jahren kein Sicherheitsupdate mehr gegeben hat.
ne du hast nicht verstanden wie evilginx und die Sache mit den Auth Cookie klauen funktioniert... ich klau einfach ab Beginn des Logins den Session Cookie und kann den in einen Browser importieren und solange nutzen wie der gültig ist.
So "einfach" ist das zum Glück nicht. Der Auth Cookie wird ja per HTTPS verschlüselt, ohne weitere Schwachstelle kommt man da nicht direkt heran.
Die viel größere Gefahr bei "ich mach alles mit meinem Smartphone"-Nutzern ist meiner Meinung nach die Gegenrichtung:
Das Smartphone dient nicht nur als einziger Zugangsfaktor zum Online-Banking und damit für sämtliche denkbaren Bestellvorgänge, sondern auch als Log-In-Kriterium für sämtliche Shopaccounts, die ohne explizite Überweisung auskommen, als Bezahlsystem im Laden, als Aktivierungs-Feedback-Loop um neue Zugänge für irgend eine der genannten Funktionen einzurichten, als einziges Kommunikationswerkzeug für alle Kontaktmöglichkeiten zu Bank, Händlern und Telekommunikationsanbieter und teilweise auch noch als Auto- und Haustürschlüssel. Als Recherchetool und einzige Kontaktmöglichkeit zu Freunden, die Helfen könnten, sowieso und künftig auch als Perso.
Was, wenn das kaputt oder verloren geht respektive verloren gegangen wird?
Kein Geld, keine Zugänge, keine Möglichkeit seine Identität gegenüber irgendwem zu beweisen, um Geld oder Zugänge wiederherzustellen. Und zunehmend weniger die Fähigkeit, seinen Alltag auch nur ein paar Tage ohne zu gestalten.
Du sprichst mir aus der Seele!
Ich verstehe auch nicht wie man sich freiwillig so abhängig von einem Gerät machen kann.
Ich mag durch das berufliche Umfeld sensibilisiert sein, aber ich nutze nur Opensource Android mit den nötigsten Apps. Alle sicherheitsrelevanten Logins versuche ich nach Möglichkeit mit Kartenleser, RSA Tokens usw. am Rechner durchzuführen.
Mittlerweile kann man sich glücklicherweise bei vielen Diensten mit dem Ausweis authentifizieren auch Banken lassen auf Nachfrage hin auch noch häufig einen Kartenleser zu.