Frage:
Verlieren 2FA-Sites Informationen, indem sie eine korrekte Kennwortschätzung bestätigen?
Ben Sandeen
2016-06-03 23:26:48 UTC
view on stackexchange narkive permalink

Hier ist die Ansicht meines relativ Laien zu diesem Problem.

Viele Websites preisen die Multifaktorauthentifizierung (MFA) als enorme Steigerung der Sicherheit der Benutzerkonten an und können sein, wenn sie ordnungsgemäß implementiert werden .

Es scheint jedoch, dass einige Websites den Benutzer nur zur Eingabe seines MFA auffordern, nachdem sie ihr Kennwort korrekt eingegeben haben. Ich habe dies nur mit gmail.com und Outlook.com getestet, aber da es sich um zwei große E-Mail-Anbieter handelt, stelle ich mir vor, dass sie nur zwei von vielen Tätern sind.

Der Grund dafür ist (zumindest auf den ersten Blick) eine so große Sicherheitslücke, dass Cracker das Passwort eines Benutzers erraten können, bis ihnen die Aufforderung zur MFA angezeigt wird Sie wissen, dass sie das Passwort des Benutzers haben. Es scheint, als würden Websites dies abschaffen und sagen: "Aber da der Benutzer MFA hat, kann der Cracker nicht in sein Konto gelangen."

Was sie zu vergessen scheinen, ist, dass der Benutzer wahrscheinlich Konten hat andere Websites und verwendet möglicherweise das gleiche Passwort für diese Website. Jetzt hat der Cracker möglicherweise Zugriff auf alle Benutzerkonten im Internet, von denen viele wahrscheinlich keine MFA implementiert haben, sodass der Benutzer vollständig anfällig für Angriffe ist.

Gibt es Fehler in meiner Argumentation oder Annahmen, die dies zu einem Nicht-Problem machen würden? Wenn nicht, warum beheben große Unternehmen wie Google und Microsoft dieses Problem nicht?

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/40756/discussion-on-question-by-ben-sandeen-do-2fa-sites-leak-info-by-confirming-a-cor).
Für leicht vergessliche Benutzer wäre es ein großer Aufwand, für jeden Passwortversuch einen 2FA-Code angeben zu müssen.
Warum hängt das mit 2FA zusammen?Wenn ich Ihr Passwort brutal erzwingen kann und davon ausgegangen wird, dass der Benutzer das Passwort für alle seine Konten wiederverwendet, bleibt er in derselben Position, unabhängig davon, für welchen Dienst er brutal erzwungen wurde.Oder verstehe ich Ihren Standpunkt falsch, warum dies ein spezifisches Problem für 2FA ist?
@Zaibis Ohne 2FA erwarten Sie, dass Sie anfällig für Brute-Forcing sind.Der Punkt des OP ist, dass 2FA dieses Problem lösen soll ... aber anscheinend löst es es nicht zu 100%.
@MikeOunsworth: Mein Kommentar wurde aus der Sicht eines Dienstes gesprochen, der keine 2FA bereitstellt.Stellen Sie sich vor, mein Dienst bietet kein 2FA, es spielt für mich keine Rolle, ob einer meiner Benutzer einen Dienst mit oder ohne 2FA brutal erzwungen hat, wenn er sein pw auch für meinen Dienst wiederverwendet hat.Und andererseits ohne Urteil: Wer würde erwarten, dass andere Websites, die 2FA verwenden, meine eigene Website nicht sicherer machen, ohne dass ich selbst etwas unternehme?Ich bezweifle, dass das für irgendjemanden vernünftig klingt.
Fünf antworten:
Mike Ounsworth
2016-06-03 23:46:30 UTC
view on stackexchange narkive permalink

Wenn ich Ihre Frage richtig verstehe, besteht der Angriff, den Sie vorschlagen, darin, Kennwörter gegen einen Server wie diesen zu erzwingen. Sobald der MFA-Bildschirm angezeigt wird, versuchen Sie es mit diesem Kennwort auf anderen Websites, auf denen dieser Benutzer Konten hat am.

Dies ist eine großartige Frage! Guter Fund! Sie scheinen jedoch zwei Punkte zu übersehen:

  1. Dies ist nicht schwächer als kein MFA, das auch das richtige Passwort bestätigt ... indem Sie es zulassen.

  2. Kein vernünftiger Hacker wird versuchen, ein Passwort brutal gegen einen Live-Server zu erzwingen, wodurch die Rate normalerweise auf 5 Vermutungen pro Sekunde begrenzt wird. Oder verfügen Sie bei großen Anbietern wie GMail oder Outlook über komplexe Betrugserkennungssysteme, die verdächtige Aktivitäten automatisch per IP blockieren. 99,999 ...% der Zeit wird das Brute-Forcing von Passwörtern gegen Passwort-Hashes durchgeführt, die direkt aus der Datenbank gestohlen wurden, auf der Sie (m | b) Illusionen von Passwörtern pro Sekunde erraten können.

    3. ol >

    Obwohl ich Ihnen zustimme, dass hier möglicherweise Daten verloren gehen, ist das Risiko meines Erachtens minimal und wird durch die Unannehmlichkeiten des Benutzers, mit seinem OTP-Anhänger herumzufummeln, nur um herauszufinden, dass sie Tippfehler machen, bei weitem aufgewogen Das Kennwort.

    Adresskommentare aktualisieren, da dies zu einer heißen Netzwerkfrage geworden ist:

    Es gibt zwei Arten der Multi-Faktor-Authentifizierung (auch bekannt als "2FA" oder "MFA"), über die wirklich separat nachgedacht werden muss:

    1. SMS oder Push-Benachrichtigung 2FA : Wenn Sie zum Auf dem 2FA-Bildschirm wird ein Code an Ihr Gerät gesendet, den Sie eingeben müssen. Für viele Benutzer ist dies wahrscheinlich der einzige 2FA-Typ, dem Sie ausgesetzt waren. Der in der Frage beschriebene Angriff funktioniert in diesem Fall nicht, da der Benutzer einen 2FA-Code erhält, den er nicht angefordert hat, und weiß, dass etwas nicht stimmt. Darüber hinaus ist es in diesem Fall schädlich, den 2FA-Schritt auszuführen, unabhängig davon, ob das Kennwort korrekt ist, weil:

      • Ein Angreifer kann möglicherweise dazu führen, dass der Benutzer eine riesige monatliche Daten- / SMS-Rechnung erhält oder sein Gerät abstürzt, indem er seinen Speicher mit Benachrichtigungen füllt.
      • Es leckt auch, welche Benutzer 2FA aktiviert haben und welche einfache Ziele sind.

      2. "Offline" 2FA mit Codegenerator-Token, Apps oder Smartcards / USB-Sticks mit aktiviertem öffentlichen Schlüssel (siehe Abbildung) unten). Dies ist die Art von 2FA, die Regierung, Militär und Unternehmen verwenden. Während es für Endbenutzer weniger sichtbar ist, ist es aufgrund des Werts der zu schützenden Daten bei weitem der wichtigere Typ von 2FA. In diesem Fall gibt es keine "integrierte" Benachrichtigung an den Benutzer, wenn ein Angreifer zu seinem 2FA-Bildschirm gelangt. Und normalerweise müssen alle Benutzer 2FA verwenden, sodass es nicht schadet, wenn bekannt ist, welcher Benutzer 2FA aktiviert hat, da es sich um alle handelt.

      ol>

      Stellen Sie sich dieses Szenario für Fall 2 vor: Ein Unternehmens-VPN, das sich über dem Windows Active Directory befindet. Öffentlich ausgerichtete VPNs werden den ganzen Tag von Kennwortschätzern eingeschlagen, sodass diese Protokolle nichts Ungewöhnliches sind. Wenn ich jedoch das Kennwort des Benutzers auf dem 2FA-Bildschirm des VPN bestätigen lassen kann, kann ich zu seinem Laptop gehen und mich sicher anmelden, dass das Windows-Konto nicht gesperrt wird - was vom Benutzer / der IT sicherlich bemerkt wird. Die Frage weist korrekt auf eine Sicherheitslücke hin, die das Muster "Auf den 2FA-Bildschirm gelangt und nichts eingegeben / etwas Falsches eingegeben hat" auf jeden Fall als schwerwiegender als Ihr Standard "Falscher Benutzername / Passwort" kennzeichnen und den Endbenutzer benachrichtigen sollte Ziehen Sie ihr Passwort zurück.

Vielen Dank für die Antwort, aber nur zur Klarstellung, ich bin mir völlig bewusst, dass MFA für die Konten, die es haben, unbestreitbar sicherer ist.: P. Mein Bedenken war, dass es Crackern immer noch ermöglicht, das Passwort eines Benutzers zu erhalten und gleichzeitig einem Benutzer (möglicherweise falsch und irreführend) Sicherheit zu geben
@BenSandeen Ich denke, Sie vermissen, dass MFA den rechtmäßigen Eigentümer darüber informiert, dass jemand sein Passwort hat.Ohne MFA weiß der Angreifer bereits, dass er das Passwort erhalten hat (weil er sich angemeldet hat) * und * er kann sich erfolgreich anmelden (der tatsächliche Schaden) * und * der Kontoinhaber weiß nicht, dass jemand sein Passwort hat.Mit MFA weiß der Angreifer, dass er das Passwort erhalten hat (nicht schlechter), aber er kann sich nicht anmelden (es lohnt sich) und (hier ist das Bit, von dem ich denke, dass Sie es vermissen) * der Kontoinhaber wird über den Anmeldeversuch benachrichtigt * undweiß, dass jemand sein Passwort erraten hat, damit er es ändern kann (und alle anderen).
@Schwern Wie gut der Benutzer benachrichtigt wird, wenn ein MFA-Versuch fehlschlägt, hängt wahrscheinlich von Dienst zu Dienst ab.Ich glaube nicht, dass ich jemals eine solche Benachrichtigung gesehen habe (vielleicht habe ich noch nie ein MFA-Login verpfuscht). Welche Websites bieten das an?Können alle Websites, die MFA anbieten, einen Benutzer gut benachrichtigen, wenn ein MFA-Versuch fehlgeschlagen ist?
@MikeOunsworth Guter Punkt, ich habe über E-Mail und Text nachgedacht, in die die Benachrichtigung integriert ist.Ich habe mobile Authentifikatoren vergessen.Das wäre Sache der Website.
@Schwern Ah, Sie sprechen über den SMS-Code-Stil von MFA.Fair genug;Wenn Sie einen zufälligen Code erhalten, den Sie nicht erwartet haben, ist es Zeit, Ihr Passwort zu ändern.Persönlich mache ich mir viel mehr Sorgen um den Typ [OTP-Token-Anhänger] (https://en.wikipedia.org/wiki/Security_token).SMS 2FA ist beliebt für E-Mails und andere Dinge von Endbenutzern, aber jeder Administrator, der für hochwertige Daten wie Regierungs-, Unternehmens-, Bank-, Gesundheitsdaten usw. verantwortlich ist, verwendet einen Sicherheitsanhänger.Ich frage mich, ob diese Systeme Sie benachrichtigen, wenn ein OTP-Versuch fehlgeschlagen ist.Gute Frage!
@MikeOunsworth Genau.SMS 2FA hat mich darüber informiert, dass ich kompromittiert wurde.
@DavidL.Wenn Sie eine SMS oder App-basierte 2FA verwenden, erhalten Sie eine Benachrichtigung. Das ist offensichtlich.Die Frage war, ob Offline-2FA-Methoden wie physische Code-Generierungsanhänger oder PKI-Chipkarten, die von Regierungsabteilungen / Militärs verwendet werden, eine Funktion haben, um den Benutzer zu benachrichtigen, wenn ein erfolgreicher Un / Pw-Versuch vorliegt.
Möglicherweise ist ein System ein System, das Sie beim Eingeben eines Kennworts zur 2FA-Seite führt, den Code jedoch nur sendet, wenn das Kennwort korrekt ist.Dies könnte jedoch ziemlich ärgerlich werden, wenn Sie sicher sind, dass Sie Ihr Passwort korrekt eingegeben haben, aber keine Textnachricht erhalten haben ... Dann wäre es schwieriger, die Ursache zu ermitteln (z. B. falsches Passwort oder Problem mit dem Senden von Codes).
@BenSandeen "_Mein Problem war, dass es Crackern immer noch erlaubt, das Passwort eines Benutzers zu erhalten_" Aber wenn das Ziel darin besteht, den gewonnenen Benutzer / Pass auf anderen Sites (ohne 2FA) zu verwenden, könnten die Cracker in der ersten nur zu diesen anderen Sites gegangen seinOrt (Mikes Kommentare zur Ratenbegrenzung auseinander).Das Auslösen eines 2FA (auf Websites, die es verwenden) für falsche / falsch eingegebene Kennwörter wird dies nicht aufhalten.
Ich liebe diese Frage!So eine tolle Debatte!@TripeHound Ein interessanter Anwendungsfall für diesen Angriff wäre eine 2FA-Unternehmensplattform, die mit Active Directory verknüpft ist.Nehmen wir an, ich hätte eine kurze Liste potenzieller Kennwörter für diesen Benutzer. Ich könnte sie mit der 2FA-Plattform mit Blick auf das Internet testen, bis ich die richtige kenne, und dann zu ihrem Desktop gehen und mich anmelden"Dafür muss die IT entsperrt werden.
@MikeOunsworth Aber müsste die webbasierte Plattform die Passwörter nicht über AD ausführen und würde daher immer noch die Sperre auslösen (ich bin kein AD-Experte, frage nur).
@TripeHound Möglicherweise, aber da öffentlich zugängliche VPNs den ganzen Tag über mit Brute-Force-Kennwortversuchen überhäuft werden (fragen Sie einen Linux-Administrator, wie viele GB SSH-Protokolle täglich durch Brute-Force-Kennwortversuche generiert werden), wie kommt es, dass mein Windows-Konto nicht funktioniert?nicht ständig ausgesperrt?
Betreff: Code / OTP Typ 2FA, es ist wahrscheinlich am besten, diesen Faktor * zuerst * vor dem Passwort zu erfragen.Dies ist jedoch nicht möglich, wenn nur eine Teilmenge der Benutzer 2FA aktiviert hat, da Sie die Gruppe der anfälligeren Benutzer nicht verlieren möchten.
@otus Ich kann nicht glauben, dass ich nicht daran gedacht habe.Wechseln Sie zum 2FA-Bildschirm, unabhängig davon, welche Benutzer 2FA aktiviert haben und welche Ziele einfach sind.
Warum gibt es all diese RSA SecurID-Gadgets?
@cornelinux Da es das beste Bild war, das ich bei Google finden konnte, das mehrere Arten von Authentifikatoren enthielt.Ich würde gerne ein anderes Bild verwenden, wenn es ein besseres gibt.
Benoit Esnard
2016-06-03 23:45:39 UTC
view on stackexchange narkive permalink

Ich denke, das ist kein Problem. Bei der Multi-Faktor-Authentifizierung geht es nicht darum, zu verhindern, dass jemand Ihr Passwort errät, sondern dass sich jemand in Ihren Konten anmeldet.

Jeff Meden
2016-06-03 23:59:02 UTC
view on stackexchange narkive permalink

Jetzt hat der Cracker möglicherweise Zugriff auf alle Benutzerkonten im Internet, von denen viele wahrscheinlich keine MFA implementiert haben, sodass der Benutzer vollständig anfällig für Angriffe ist.

Ein Angreifer wird nicht versuchen, ein Passwort bei Google zu erraten, das er nicht auch für die Bank, Facebook oder ähnliches versuchen wird. Nur weil jetzt bekannt gegeben wurde, dass es sich um ein gültiges Passwort handelt, ist der Angreifer der Gefährdung anderer Konten nicht näher gekommen. Das erratene Passwort musste aus einer Krippe mit Vermutungen mit hoher Wahrscheinlichkeit stammen, da eine echte Brute Force auf einem Live-System niemals funktionieren wird.

Wenn Sie nachweisen könnten, dass Websites mit 2FA schlechtere Anti-Vermutungs-Algorithmen haben (I. Ich wette, sie sind mindestens genauso gut, wenn nicht sogar besser.) Im Vergleich zu Websites, die keine 2FA anbieten, wäre Ihr Punkt gültig, da ein Angreifer einen missbrauchen und sich zum anderen drehen könnte. In der Realität ist es wahrscheinlich, dass das Gegenteil der Fall ist. Gleichzeitig investieren Websites, die in 2FA investieren, auch in Anti-Ratesysteme.

Leigh Brenecki
2016-06-04 12:28:08 UTC
view on stackexchange narkive permalink

Theoretisch ist dies eine Möglichkeit (vorausgesetzt, die Site, die 2FA implementiert, verfügt über keinerlei Ratenbegrenzung oder Betrugserkennung, wie in den anderen Antworten dargelegt).

In der Praxis Es gibt auch den Usability-Faktor, über den man nachdenken muss. Stellen Sie sich vor, Sie haben ein Anmeldeformular erstellt, das einen Benutzer bei jedem Anmeldeversuch zur Eingabe von 2FA auffordert, dem Benutzer nur mitteilt, dass der Versuch nach dem 2FA-Schritt nicht erfolgreich war, und ihm nie mitteilt, ob das Kennwort oder das 2FA-Token ungültig war.

2FA ist anfangs schon ein großer Schmerz im Nacken - jedes Mal, wenn ich mich anmelde, muss ich nicht nur meinen Benutzernamen und mein Passwort eingeben, sondern auch mein Telefon (das sich möglicherweise in einem anderen Raum befindet) finden, es entsperren, Gehen Sie zu meinem Startbildschirm, suchen Sie meine 2FA-App und suchen Sie die richtige Site in der Liste. Dann ist der Code zwangsläufig fünf Sekunden nach Ablauf, sodass ich entweder warten muss, bis ein neuer Code angezeigt wird, oder versuchen muss, ihn sehr schnell einzugeben, bevor er abläuft.

(2FA-Systeme, die Die Verwendung von SMS oder Push-Benachrichtigungen ist in dieser Hinsicht besser, da sie auf meiner Smartwatch angezeigt werden - oder im Fall eines Benutzers, der keine Smartwatch besitzt, auf dessen Sperrbildschirm. In dem von uns in Betracht gezogenen Schema wäre dies jedoch der Fall Erlauben Sie einem Benutzer, mich mit endlosen Benachrichtigungen / SMS zu ärgern, solange er meinen Benutzernamen kennt, da er mein Passwort nicht richtig eingeben muss, um einen 2FA-Versuch auszulösen. Ich habe auch gehört, dass in einigen Ländern Telefonanbieter Ihnen Gebühren berechnen Für den Empfang von SMS-Nachrichten wäre dies an diesen Orten für Benutzer sogar noch schlimmer.)

Wenn Sie Ihre Benutzer dazu bringen, all dies zweimal durchzugehen, wenn sie ihr Passwort falsch eingeben, Der gesamte Prozess wird viel schmerzhafter, und Sie haben möglicherweise sogar weniger Leute, die 2FA verwenden, was Ihre Benutzer weniger sicherer macht n Durchschnitt.

Benjamin_FTW
2016-06-07 02:25:42 UTC
view on stackexchange narkive permalink

Bei Systemen, bei denen 2FA / MFA "optional" ist, wie z. B. Google Mail oder Outlook.com, muss der Dienst den Aufwand für die Verwendung der 2-Faktor-Methode und die Sicherheit, die er für seine Site bringt, ausgleichen >. In einer perfekten Welt hätten Benutzer eindeutige, komplexe Passwörter für jede Site und verwenden immer 2FA, wenn verfügbar, aber in der realen Welt haben Sie Recht - Benutzer haben auf einem Dutzend Sites dasselbe Passwort und einen 2-Faktor Ein Mechanismus, der das Konto nicht automatisch sperrt und den Benutzer nach einigen ungültigen Anmeldeversuchen in einem relativ kleinen Fenster benachrichtigt, kann dazu führen, dass der Angreifer geduldig einige wahrscheinliche Vermutungen anstellt, bis er zur 2FA-Eingabeaufforderung gelangt Ich weiß, dass sie eine gültige Kombination aus Benutzername und Passwort haben. Bei all den öffentlich zugänglichen Kompromissen bei der Kennwortdatenbank auf großen Websites (wie z. B. LinkedIn), die Ihre E-Mail-Adresse als Login verwenden, kann ein Angreifer das Kennwort eines Benutzers relativ einfach logisch erraten, wenn der Benutzer sich nicht die Mühe gemacht hat, andere Websites zu aktualisieren , aber nur der, der "geknackt" wurde.

Für sicherheitskritische Apps (wie eine von mehreren, an denen ich arbeite) erfordert die Anmeldeaufforderung gleichzeitig Benutzername, Kennwort und 2-Faktor-Wert und es handelt sich um eine "Alles oder Nichts" -Authentifizierung. und wir sagen Ihnen nicht, WARUM Ihre Anmeldung fehlgeschlagen ist, es sei denn, Ihr Passwort ist abgelaufen (vorausgesetzt, Sie haben das richtige Passwort eingegeben, aber Sie müssen es nur ändern und mit einem anderen 2FA-Wert erneut eingeben, um tatsächlich Zugriff zu erhalten zur Bewerbung). Diese Anwendung hat eine "unverlierbare" Benutzerbasis und die 2FA wird von der Richtlinie benötigt, sodass sie nicht direkt mit den im OP erwähnten "2FA-optionalen" Sites vergleichbar ist.

Grundsätzlich stimme ich jedoch den obigen Kommentaren zu, dass ein "Token-on-Demand" sicherer ist als ein "Offline" -Token (wie RSA oder Google Authenticator), wenn Sie die 2-Schritt-Authentifizierung durchführen, weil Der Benutzer wird sofort wissen, dass jemand aufgrund unerwarteter SMS-Nachrichten, entweder "falsches Passwort" oder einer gültigen 2-Faktor-Zeichenfolge, versucht, auf sein Konto zuzugreifen, falls der Angreifer es richtig macht. Wenn die Site NUR bei erfolgreicher Anmeldung den SMS-2-Faktor-Wert sendet, ist dies für den von Ihnen genannten Punkt nutzlos, wenn der Benutzer informiert wird, BEVOR der Angreifer tatsächlich das richtige Kennwort erhält. Der Benutzer würde die gültige 2-Faktor-Zeichenfolge nur erhalten, wenn der Angreifer das richtige Kennwort hatte. Zu diesem Zeitpunkt ist es wahrscheinlich zu spät, und der Angreifer versucht bereits, dieselben Kombinationen aus Benutzername und Kennwort auf anderen Websites ohne 2FA zu verwenden, und der Benutzer muss sich an einem Computer befinden und verschlüsseln, um jedes Kennwort auf jeder Website zu ändern Sie verwenden es auf, was, wenn sie überall dasselbe Passwort wiederverwenden, so gut wie unmöglich ist, weil sie sich nicht an alle erinnern.

Letztendlich liegt es an der individuellen Implementierung, wie schädlich ein 2FA für andere Sites sein kann, die vom selben Benutzer verwendet werden. Im besten Fall handelt es sich um ein All-in-One-Login, wie ich es beschrieben habe, bei dem der Angreifer auch irgendwie sein 2FA-Gerät oder seine "magische Zeichenfolge" (Initialisierungstoken für etwas wie Google Authenticator) haben müsste, und wenn er das auch hat ist der Benutzer bereits gut kompromittiert.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...