Kategorien
Chrome Facebook Firefox Google Internet & Medien Opera

Zwei-Faktor-Authentifizierung: Nicht immer so sicher, wie versprochen.

Viele Webseiten bieten Ihren Nutzern eine zweifache Absicherung des Login-Bereiches an. Dazu gehört beispielsweise auch Ebay. Bei der sogenannten Zwei-Faktor-Authentifizierung wird dir nach der Eingabe der Logindaten ein zusätzlicher Code gesendet. Der meist per SMS oder per E-Mail versendete Code muss dann ebenfalls auf der Webseite eingegeben werden, damit der persönliche Bereich freigegeben wird. Aber auch diese Absicherungs-Variante ermöglicht Hackern den Webseiten-Einbruch ohne deine Logindaten zu kennen.

Webbrowser, wie beispielsweise Chrome oder Firefox, legen bei Webseitenanmeldungen Cookies an, die später zur Wiedererkennung verwendet werden. Da macht auch eine Zwei-Faktor-Authentifizierung meist keine Ausnahme.

Es sei denn, der Webseitenbetreiber verzichtet auf Cookies beim Login-Vorgang. Dadurch geht der Komfort bei der Anmeldung verloren, weil du jedes mal beide „Sicherheitsschleusen“ durchschreiten musst. Aber Bequemlichkeit ist das größte Sicherheitsrisiko.

So kommen die Hacker an deine Anmeldedaten

Ein Angreifer führt ein Session Sidejacking durch, um an deine Anmeldedaten zu kommen. Dabei zeichnet er deinen Datentraffic auf. Die hierzu verwendete Software kann unterschiedlich sein (z. B. Wireshark). Mit diesem Tool hat er zuvor schon das Netzwerk, z. B. einen öffentlichen Hotspot, infiziert.

Anschließend analysiert er deinen Datentraffic (z. B. mit Hamster und Ferrit) und extrahiert damit die Login-Cookies. Das Passwort und/oder die Zugangscodes sind in den Cookies zwar nicht in Klarschrift sichtbar, aber das ist auch nicht nötig. Der Hacker verwendet den kompletten Cookie, um sich gegenüber der Webseite zu authentifizieren. Da ist kein Passwort notwendig, weil die Webseite ihn als „Wiederkehrer“ erkennt.

Wie schützt man sich?

Wenn man einmal davon absieht, dass man sich auf sensiblen Webseiten nicht anmeldet, wenn man unbekannte WLAN/LAN-Netzwerke nutzt, dann ist eine gute Firewall unerlässlich. Außerdem sollte das Anlegen von Cookies gänzlich untersagt und die Browserdaten nach jeder Onlinesession gelöscht werden.

Auf die HTTPS-Webseiten (SSL/TLS-Verschlüsselung) alleine, sollte man sich auf keinen Fall verlassen.

Kategorien
Handy & Telefon iPad iPhone

iPhone gekapert? So kommt man wieder an das gesperrte iPhone ran

Mitte 2014 machte die Meldung die Runde, dass in Australien Hacker dort iPhones, iPads und Macs übers Internet gekapert und gesperrt haben und von den Besitzern Lösegeld fordern. Wer Opfer eines solches Kaper-Angriffs wurde, muss aber keineswegs zahlen. Es gibt einen Weg, die gesperrten Geräte wieder freizubekommen.

Handy kapern – So funktioniert’s

Das Kapern ist keineswegs eine Sicherheitslücke in Apples iCloud, sondern schlicht Schlampigkeit im Umgang mit den eigenen Kennwörtern. Die Opfer haben aus Bequemlichkeit dasselbe Kennwort für mehrere Dienste verwendet. Wird dieses Master-Kennwort geklaut oder ausgespäht, kommt man kinderleicht an alle Onlinedienste. Eben auch an den Dienst „iPad, iPhone und Mac suchen“ von Apple, über den sich die Geräte aus der Ferne sperren lassen.

Gesperrt und gekapert – Was nun?

Ist man Opfer einer solchen Kaperung, ist guter Rat teuer. Im wahrsten Sinne des Wortes. Denn die Hacker verlangen für die Entsperrung eine saftige Gebühr. Zahlen muss man die aber nicht. Denn es gibt einen simplen Trick, um wieder an das gesperrte iPhone zu kommen. Und zwar so:

1. Rufen Sie die Seite iforgot.apple.com/password/verify/appleid auf, und setzen Sie Ihr Apple-Kennwort zurück. Wählen Sie als neues Kennwort ein möglichst komplexes Passwort, das – ganz wichtig – nicht für andere Onlinedienste verwendet wird.

apple-kennwort-zuruecksetzen

2. Anschließend aktivieren Sie die zweistufige Anmeldung, um das zukünftige Kapern zu verhindern. Beim zweistufigen Anmelden kommt ein zusätzlicher PIN-Code zum Einsatz, den Apple per SMS oder iMessage an das ausgewählte Gerät schickt. Zum Anmelden ist dann neben dem normalen Kennwort der PIN-Code erforderlich. Selbst wenn Hacker die Apple-Zugangsdaten stehlen, ist der Zugang nur mit dem Handy (und dem darauf gesendeten Code) möglich.

Um die zweistufige Anmeldung zu aktivieren, rufen Sie die Seite appleid.apple.com auf und klicken auf Ihre Apple-ID verwalten. Melden Sie sich hier wie gewohnt mit Ihren (neuen) Apple-Zugangsdaten an. In der linken Spalte folgt ein Klick auf Kennwort und Sicherheit. Geben Sie gegebenenfalls die Antworten auf die Sicherheitsfragen ein, und klicken Sie auf Weiter. Dann klicken Sie oben unterhalb von Zweistufige Bestätigung auf Erste Schritte und folgen den Anweisungen des Assistenten.

apple-iphone-gekapert-zweistufe-bestaetigung

3. Im letzten Schritt wenden Sie sich an den Apple-Kundendienst. Schildern Sie den Fall, um trotz Codesperre wieder Zugriff aufs Handy oder Tablet zu bekommen. In der Regel dauert die Freigabe seitens des Apple-Kundendienst nur wenige Stunden. Danach können Sie das zuvor gekaperter iPhone oder iPad wieder wie gewohnt nutzen.

Kategorien
Facebook Internet & Medien

Der verbesserte Zugangsschutz bei Facebook: Aktivieren Sie die Zweifaktor-Identifizierung gegen Missbrauch Dritter

Manchmal kann man nicht verhindern, dass Dritte den Login bei Facebook beobachten. Insbesondere gilt das für den Arbeitsplatz. Da können Kollegen schon mal etwas genauer hinschauen. Die Folgen können gravierend sein. Es können gefälschte Fotos oder Kommentare eingestellt werden. Und was das für Konsequenzen nach sich zieht, zeigen die Nachrichten im Fernsehen oder im Radio. Viele Anwälte durchforsten Postings um einen Grund zu finden, Ihre überteuerten Abmahnungen zu versenden. Aber auch die Fahndungsarbeit der Polizei lässt Facebook nicht außen vor. Die Einrichtung einer zweites Sicherheitsabfrage erschwert hier den Zugriffsversuch durch unberechtigte Personen.

Die zweite Sicherheitsabfrage ist bei der Registrierung standardmäßig deaktiviert. Mit ein paar Änderungen in den Einstellungen wird die erhöhte Sicherheit eingeschaltet. Sie erhalten nach der Einrichtung der zusätzlichen Authentifizierung einen Code per SMS auf Ihr Handy. Alternativ können Sie die Sicherheitsfreigabe auch per App vornehmen.

Melden Sie sich als erstes bei Facebook mit Ihren normalen Zugangsdaten an. Danach klicken Sie auf das Zahnradsymbol der „Einstellungen“ und wählen im Kontextmenü die Option „Kontoeinstellungen“.

bild-1-facebook-sicherer-zweite-identifikation-zugangsschutz-handy-code-sicherheit-einrichten-standard-deaktiviert-unberechtigt-zugriff

Wechseln Sie zur Kategorie „Sicherheit“ und klicken Sie bei „Anmeldebestätigungen“ auf den Link „Bearbeiten“.

bild-2-facebook-konto-account-zugriff-verhindern-unberechtigt-fahndung-polizei-anwalt-abmahnung-durchforsten-teuer-zugriff-verändern

Setzen Sie in die Checkbox das Häkchen um die zusätzliche Sicherheitsstufe (Code per SMS) einzurichten.

bild-3-sicherheit-einstellungen-zahnrad-symbol-facebook-account-anmelden-registrieren-kontoeinstellungen-anmeldebestätiungen-zweifaktor-identifizierung

Danach wird direkt das erste Dialogfenster eingeblendet. Mit dem Button „Los geht´s“ startet der Einrichtungsassistent. Im nachfolgenden Fenster wählen Sie zur SMS-Benachrichtigung die Option „Andere“ aus. Danach klicken Sie auf „Weiter“. Wenn Sie noch zusätzlich per App die Bestätigung nutzen möchten, wählen Sie hier „Android, iPhone oder iPod Touch“ aus. Danach folgen Sie den Anweisungen um den Codegenerator auf dem Mobilgerät zu aktivieren.

bild-3-handy-sicherheit-code-auswählen-sms-android-iphone-ipad-festlegen-senden-facebook-zweifaktor-authentifizierung-einrichten

Im nächsten Fenster geben Sie Ihre Handy-Nummer ein und bestätigen mit „Weiter“.

bild-4-telefonnummer-eintragen-code-erstellen-sicherheit-erhöhen-zugriff-facebook-unberechtigt-handy

Kurz darauf erhalten Sie eine SMS mit einem Code…

bild-6-sms-handy-bestätigung-code-erhalten-facebook-aktivieren-anderer-browser-app-android-iphone-ipod-touch-codegenerator

…den Sie dann in die Bestätigungsmeldung eintragen. Mit der Schaltfläche „Bestätigung“ schließen Sie die Einrichtung der zweifachen Authentifizierung ab.

bild-5-sicherheitsabfrage-facebook-zuckerberg-sozial-netzwerk-code-sms-handy-eingeben-dialogfenster-erhalten

Sollte dann jemand versuchen, sich mit den ausgespähten Login-Daten auf Ihrem Facbook-Account Zugriff zu verschaffen, wird der zusätzliche Bestätigungscode verlangt.

bild-7-zusätzlich-code-einloggen-erforderlich-fremd-zugriff-verhindert-facebook-account-unberechtigt-login-versuch-vereitelt-sms

Im gleichen Augenblick erhalten Sie per SMS einen Zugangscode. Dies ist das Zeichen, dass jemand versucht hat auf Ihr Facebook-Account zuzugreifen. Nun sollten Sie schnellstens Ihre Zugangsdaten ändern.

Kategorien
Shopping

Kreditkartenzahlungen im Internet sicherer machen

Die Zahlungsvorgänge sind  im Internet recht einfach und bisweilen leider auch gefährlich. Nicht jeder Onlineshop sichert seine Kreditkartenzahlungen richtig ab. Dazu kommt noch, dass zahlreiche „Phishing-Seiten“ im Netz versuchen, mit gefälschten Bankwebseiten Ihre Kreditkarten-Daten abzugreifen. Auch die „Skimming„-Methode ist im Augenblick bei den Dieben sehr beliebt. Hier wird am Geldautomat versucht, mit zusätzlich angebrachter Technik Ihre Bankdaten auszuspähen. Wenn Sie aber nicht auf Kreditkartenzahlung im Web verzichten möchten, dann fragen Sie Ihre Bank doch mal nach dem „Mastercard-Securecode“ oder dem „Verified by Visa“.

Nicht sicher genug: Die CVC- /CVV-Nummer

Das sind zusätzliche Passwörter, die bei der Zahlung im Internet eingegeben werden müssen. Die Eingabe der dreistelligen Prüfziffer (CVC- /CVV-Nummer) auf der Rückseite der Kreditkarten ist nicht immer ausreichend. Viele Banken lassen offensichtlich eine zu hohe Anzahl von Eingabeversuchen zu, mit der man durch Ausprobieren, oder automatisierte „Brute-Force-Angriffe“ früher oder später die richtige Prüfziffer herausfinden kann.

Sicherheit durch ein zusätzliches, persönliches Kennwort

Diese zusätzliche Sicherheitssperre gibt es nicht automatisch. Sie muss erst eingerichtet werden. Ihr Bankberater kann Sie darüber informieren. Bei den großen Bankhäusern sollte das kein Problem darstellen.

Informationen erhalten Sie beim Bankberater

Die großen Bankhäuser wie beispielsweise die Commerzbank, die Sparkassen und die Deutsche Bank, bieten dieses Sicherheitsverfahren an.

bild-1-mastercard-kreditkarte-zahlung-onlineshop-secure-code-verified-by-visa-persönliches-kennwort-erweiterung-skimming-phishing-unterstützen-absichern

Beide Verfahren, der „Mastercard Securecode“ und das „Verified by Visa“, stellen zwar eine zusätzliche Sicherheit für den Käufer dar, werden leider aber nicht bei allen Online-Shops eingesetzt. Im Zweifel gilt aber: Lieber nicht in einem ungesicherten Online-Shop kaufen!

Die sicherste Methode

Die sicherste Methode für „König Kunde“ ist immer noch der Einkauf auf Rechnung. Da schlägt man zwei Fliegen mit einer Klappe. Vor der Zahlung können Sie sich vom Zustand und der Qualität des Artikels überzeugen und gegebenenfalls bei Mängeln die Sendung direkt wieder zurückschicken. Zum Zweiten können Sie eventuelles Zahlungsziel ausreizen, wenn auf der Rechnung beispielsweise heißt: „Zahlung innerhalb einer Woche nach Rechnungserhalt“.