Bitcoin Forum
November 12, 2024, 04:25:39 PM *
News: Check out the artwork 1Dq created to commemorate this forum's 15th anniversary
 
   Home   Help Search Login Register More  
Pages: « 1 [2]  All
  Print  
Author Topic: MITM-Attacke auf das Forum , Passwörter ändern falls gestern eingeloggt.  (Read 2242 times)
nonServiam
Hero Member
*****
Offline Offline

Activity: 652
Merit: 500


View Profile
December 05, 2013, 10:12:23 PM
 #21

Was für ein Problem möchtest Du damit lösen? Gegen MITM hilft das erst mal nicht, wenn der Betreiber der Gegenstelle nicht mitspielt. Gegen unbefugten Zugriff auf Passwörter auch nur begrenzt.


Ich stell mir das so vor... Der Empfänger per USB neben dem PC. Am Schlüsselbund den Transponder und wenn ich nach einem Passwort gefragt werde, dann das ich per Hotkey ein Programm im Hintergrund startet und ich in das Passwortfeld mit der Maus zeige. Transponder gegen den Leser halte und die Eingabe wird übermittelt.
amigaman
Sr. Member
****
Offline Offline

Activity: 406
Merit: 250



View Profile
December 06, 2013, 04:45:19 AM
 #22

Das kannst du schon einfach haben, es gibt RFID-Leser, die die Seriennummer des Transponders als Tastatureingabe eintippen.
Nachteil: Das Passwort ist immer fest (Der Transponder ist nicht beschreibbar oder wenn, auch nicht besser als ein Zettel, weil nur eine Nummer), immer recht einfach (Eine Hex- oder Dez-Seriennummer, also 0-9 oder 0-9&A-F), und recht kurz.
Hilft gegen einen Bruteforcer also 'n scheiß.
Und klauen kann man es eh.

In der letzten Elektor war ein USB-Stick, der 4 beliebige Passwörter speichern kann, die man per Drehschalter auswählt.
Schalter einstellen, einstecken, dreimal Numlock drücken, schon kommt das Passwort als Tastatur raus.

Aber auch da: Keylogger und Trojaner nehmen es mit, weg ist es.
Einzig 2FA könnte da was ändern.
mezzomix
Legendary
*
Offline Offline

Activity: 2730
Merit: 1263


View Profile
December 06, 2013, 06:46:33 AM
 #23

Und alles hilft nicht, wenn der Serverbetreiber seine Hausaufgaben nicht gemacht hat oder man aus Bequemlichkeit auf die im Browser eingebauten Cert Authorities zurückgreift. Wenn zumindest der Server mitspielt, helfen Mechanismen wie sie in Kartenlesegeräten der Sicherheitsklasse 3 (Tastatur/Display) oder 4 (Authentifizierter Client) eingebaut sind. Dazu muss das externe Gerät aber aktiv sein und entsprechende Benutzerschnittstellen aufweisen. Ein Tag oder eine Smartcard reicht dafür nicht.

2FA mit explizit verifiziertem Zertifikat ist schon recht gut, solange der Serverbetreiber seinen Job versteht.
BeeCoin
Sr. Member
****
Offline Offline

Activity: 308
Merit: 250


View Profile
December 06, 2013, 09:01:07 AM
 #24

Übrigens, wenn ihr euch um solche Gedanken/Sorgen macht, ist vielleicth Qubes OS etwas für euch:
http://qubes-os.org/

Basiert auf XEN Virtualisierung und Linux. Es lässt den Rechner in abgetrennten Sandboxen laufen.
Pages: « 1 [2]  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!