Ich splitte dieses Thema in Einzel Posts um die Übersichtlichkeit zu erhalten. Es geht mir darum, dass jeder Leser diverse Probleme mit der Sicherheit wie sie heute gelebt werden sollte zu verstehen. Den dieses Thema ist nicht für jeden verständlich, aber in der jetzigen Zeit unabdingbar. Gerade die Generation vor Internet tuen sich schwer, ab wann selbst verschulden anfängt oder dritte mit im Bunde stehen. Ich bin noch so ein Zwischen Mensch, der mit C64/Amiga und den ersten Internet artigen Mailbox System gelernt hatte. BTX war damals die Einstiegsdroge in die Digitale-Welt von morgen, die durch das Internet WWW im herkömmlichen Sinne abgelöst wurde.

Ich beginne mal mit Folgenden Themen:

Amazon und sein Zwei Wege Authentifikation + Google Authentifikator
Passwortsicherheit im Allgemeinen
Geräte zum Halten des Google Authentifikator
E-Mail und Sozial Engineering -> wie kann ich verhindern das ich gelinkt werde

Was mir sonst noch einfällt ... PayPal und eBay ist ja auch ein heißes Thema, den von dort kommen die Aktuellen Tricks zum Linken der Amazon Händler/Kunden her.

Dazu werde ich womöglich eine Übersicht diverser Zwei Wege Systeme liefern und auch ein bisserl was über die Geschichte darüber schreiben.

Die nächsten 2 Posts werden von mir Reserviert und nach und nach gefüllt!

Seit einiger Zeit häufen sich „aberwitzige“ Angebote auf der Verkaufsplattform von Amazon, um leichtgläubige Kunden anzulocken und ihr Geld über diverse Socialengineering tricks anzugreifen. Das schlimme daran ist wie mit dieser Situation umgegangen wird. Zum einen wird der Schwarze Peter der Handelsplattform zugeschoben, auf der anderen Seite ist diese Handelsplattform so kulant und klärt viele Probleme. Oft liest man so Zitate, wir wurden gehackt und haben erst jetzt das Problem klären können.

Ist das wirklich so? Ist die Online Plattform fürs Hacking in die Pflicht zu nehmen?
Antwort ist Ja und Nein!


Ja: die Datenbank wurde direkt Angegriffen und so sind massenweise Accounts mit Passwörter im Umlauf
Nein: der Verkäufer hat keine Ahnung von Passwortsicherheit, ist so Blauäugig und rotiert seine Passwörter auch nicht und verhält sich noch anders wertig fahrlässig.

Ich möchte jetzt hiermit Tipps mit Umgang von Passwörter und Sicherheitstools von diversen Anbietern besprechen. Dabei ist jeder Part relativ umfangreich, aber gut zu wissen! Es ist im eigentlichen Sinn kein Katz und Maus spiel mehr, sondern ein Fehlverhalten und aneinander reihen von unvorsichtige Taten im Allgemeinen Sinne. Denn die Sicherheit in der IT, entwickelt sich zu ein sehr abstraktes Thema.

Zwei wege Authentifikation via Amazon

Jeder Amazon User (Händler und Kunde) sollte diese Funktion verwenden. Auf Amazon Deutschland kann man diese Option nicht auswählen, sondern nur auf Amazon USA. Man muss eines wissen, Amazon verwendet eine Globale User Datenbank und alle Einstellungen von Amazon USA sind auch für Amazon Deutschland gültig, wie auch vice versa.

Vorbereitung am Handy

Schritt für Schritt Anleitung:
Als erster‘s müssen wir unser Handy vorbereiten. Dazu laden wir aus dem App-Store zwei Programme runter und installieren sie.


Google Authentificator (von Google)
Barcode Scanner (von ZXing Team)

Dazu einfach mit sein PC auf https://play.google.com/store Anmelden und in der Suche nur den App Namen eingeben.

6/google1.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257958)

6/google2.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257959)

Hier kann man auch gleich überprüfen, wie viele Geräte noch mit dem Google Konto verlinkt sind. Diese sollte man dann auch noch bereinigen!!

Aktivierung auf Amazon

Als nächstes müssen wir uns auf www.amazon.com anmelden. Die Navigation ist auf der Deutschen und Amerikanischen Seite gleich.

6/anmeldung1.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257960)

Das zieht sich wie ein roter Faden durch den Anmeldungsprozess

6/anmeldung2.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257961)

Bis jetzt ist ja alles gleich, doch die feinen Unterschiede liegen unter der Motorhaube! Wir wollen jetzt unseren Accound erhöhte Sicherheitsfunktionen Aktivieren. Dazu geht man unter:

1 -> Your Account -> Settings -> 2 -> Login & Security Settings -> Advanced Security Settings -> 3 -> Edit

6/secsettings1.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257962)

6/secsettings2.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257963)

6/secsettings3.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257964)

Ab jetzt kommt eine Folge von Abfragen und Verifikationen. Für den kleinen Mann empfehle ich das Haupthandy zu verwenden, für Firmen eine andere Lösung. Ich empfehle immer die Authenticator App als Hauptcodegenerator zu verwenden und das Telefon-SMS als Backup!

6/secactivated2.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257965)

Diesen Barcode jetzt mit dem Google Authentificator einscannen und den erzeugten Code im Verifikationsfeld eintragen und bestätigen.

6/android1.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=258000)

6/android3.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=258003)

Wenn alles Eingetragen wurde, dann sollte euren Advanced Security Settings so ausschauen.

6/secactivated4.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=257966)

Es sind zwar ein paar mehr Clicks, aber auch von jeden Leihen durchzuführen und das ohne Probleme!

Wie verhaltet sich die Anmeldung und was ist der Vorteil?

Im Grunde ist alles beim Alten, nur ein Schritt ist mehr zu tun!

6/anmeldung3.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=258008)

In diesen neuen Schritt wird jetzt der Authentifikator Code aus der Google App eingetippt. Dazu nimmt man sein Hand her, startet die App und gibt diesen Zeitabhängigen Code in die Amazon HP ein.

6/anmeldung4.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=258009)

6/anmeldung5.jpg
→ Bild in der Galerie (http:../galerie/details.php?image_id=258010)

Man kann sich jetzt überlegen ob man sein PC vertraut und sozusagen das Gerät frei gibt. Das hat den Vorteil sich nur einmal darum zu kümmern und Angreifer haben ohne den Google Authentifikation Key keine Möglichkeit diese Hürde zu überspringen. Versucht er es dennoch, würde über die Backupfunktion auf das Handy Amazon Authentifikations-SMSs eintrudeln und ungewöhnliche Aktivitäten auf den Amazon hinterlegter E-Mail ablaufen.

Meine Empfehlung ist es, immer die Zwei Wege Code frisch einzutippen. Besonders auf Geräten wo sich die Familie tummelt und das Programm für den E-Mail Empfang installiert ist.

Für Firmen ergibt sich folgendes verhalten:

Der Rechner auf dem mit Amazon interagiert wird, wird keine E-Mail abgefragt oder ein Programm dazu installiert. Wenn mehrere Leute mit dem Amazon Account arbeiten, gibt es ein Gerät wo diese Google Authentifikation installiert ist und bei Bedarf nimmt es sich dieser Co-Worker einfach das Gerät. Dort ist es auch legitim das Co-Worker Computer zu vertrauen, um diesen Schritt für diesen User auszulassen. In diesen Fall ist aber eine Passwort Rotation dringendst anzuraten. Wenn das Passwort aushängt in der Abteilung, sollte man im Wochenrhythmus, aber mindestens im Monatsrhythmus die Passwörter wechseln!

Der Zweite Weg übern Google Authentifikator verhindert dann sozusagen das Externe Einloggen!

Amazon bietet auch an mehrere Geräte für ein Account Gültige Keys anzunehmen. Dann sind im Amazon Account mehrere Geräte hinterlegt. Wenn schon der Co-Worker diese App haben will, dann kille ich Regelmäßig den Co-Worker oder kann so aus der Amazon Home Page den User Sperren und neu Anlegen. Klingt halt alles sehr mühsam aber ich bin der Meinung, wenn Geld in Spiel ist muss man sich so verhalten. Dazu später mehr, in Verbindung mit Bankdaten und deren Software!

Passwort Erstellung für Otto-normal User

Ein sicheres Passwort hat Groß und Klein Schreibung. Beinhaltet Zahlen und Sonderzeichen. Sollten sozusagen lang sein. Wer kann sich das merken?

Jeder ... ur einfach ... bam so gehts!

Der Mensch merkt sich am einfachsten Namen oder Wörter. Geburtstag etc oder andere Private Dinge. Man kann diesen Umstand her nehmen um damit komplexe Passworter zu erstellen. Man bedient sich einer Methode der einfachsten Verschlüsselung zu Anno Julius Cäsar.

Dazu geht man folgend vor:

Man nimmt sich irgend ein Wort auf das man sich bezieht. Tausche immer wieder die selben Zeichen aus und ersetze sie durch andere. Am einfachsten geht es mit Arten ähnliche Zeichen, die man leicht auf der Tastatur findet.

Hamster -> h@ms73r

Dieses erste Wort kann man als Initial PW verwenden, für alle PWs die Medium wichtig sind!

Da man mehrere Service meist verwendet und es dann extrem unübersichtlich wird, sollte man dem PW noch was anhängen um die Dienste von einander zu trennen und wenn einer der Dienste geknackt wird, nicht auch die anderen Dienste zu kompromittieren!

h@ms73r "Trennzeichen" @m@z0n, p@yp@1, 3b@y, etc .....

Der erste Part würde ich rotieren, das nach dem Trennzeichen erst bei kompromittierten Dienst/HP/Account

Bei wichtigen Passwörtern setzt man noch ein Trennzeichen und erweitert das PW durch eine zusätzliche Komponente mit mehr komplexen Sonderzeichen etc ...

E-Mail und Account Sicherheit bei PW Reset

Ein wichtiger Punkt ist auch, welche Mail Adresse im Account hinterlegt ist. Dieser Account sollte besonders beobachtet werden und nicht der selbe sein, über den die Korrespondenz abläuft.


Wenn man E-Mail Admin ist, legt man mehrere Postfächer an.
Als Otto-normal User kann man auf seiner E-Mail Adresse mehrere Alias anlegen und nach diese Filtern

zb: auf die Private E-Mail geht noch dazu accountamazon@meingmx.nix Adresse. Die meisten Web E-Mail Dienste unterstützen Automatisches Verschieben anhand der Eingangsadresse in ein Unterordner.

Wenn ich eine Firma wäre, hätte so jeder Geld intensiver Dienst sein eigenes Postfach für PW Recoverys und eine eigene Office Adresse zur Bearbeitung. Dazu erstellt man dann Weiterleitungsregeln um diese Postfächer vom Sachbearbeiter zu trennen.

Warum so Kryptisch Abstrakt?

Gerade mit den PW Recovery und dem Umstand das oft die Geschäftsemailadresse die selbe ist, öffnet man Tür und Tor für Angreifer. Die können dann auch verdächtige E-Mails unterdrücken. Ist der Zusammenhang über Weiterleitungen und Regeln verbogen, tut sich der Angreifer schwerer. Ist dann noch der Rechner auf dem die Office Korrespondenz getrennt vom Amazon Rechner (keine Ahnung wie der Marktplace jetzt im Detail funktioniert) wird es noch schwerer. Hat man die Zwei Faktor Authentifikation und Rotiert die PWs regelmäßig ist das Knacken unmöglich. Selbst bei ein verseuchten Rechner. Angreifer brauchen eine Zeit um zu reagieren. Rotiert man im Wochentakt ist das neue PW Gültig bevor der Angreifer das ältere Passwort zum Test verwendet.

Generell sind Geld relevante Dinge, Geräte technisch zu trennen! Im Bezug auf Online Banking machen das viele Firmen, nur ab dann hört sich Weitsicht leider auf.

Nach Feedback von meshua in diesen Post (http://www.sonyuserforum.de/forum/showpost.php?p=1846350&postcount=8)

Aktuelle Liste von Zwei Wege Authentifizierte Dienste (https://twofactorauth.org/)

Passwortsicherheit im Allgemeinen

Natürlich immer wieder spannend :D

Im DSLR Forum gab es swiw Probleme damit, das Leute ältere und schon länger nicht mehr genutzte User-Profile gehackt hatten, um dann mit diesen scheinbar seriösen Accounts unseriöse Kleinaneigen zu schalten.

Das ist schon interessant, auf was für Ideen manche Leute so kommen :D

reserviert:mrgreen:
Ich frage mich, ob dies wirklich ein Thema ist, was hier diskutiert werden sollte. Wichtig ist es allemal.
Der Diskutantenkreis dürfte hier aber recht klein sein / bleiben.

Du egal ... man sollte sich damit beschäftigen! Gerade dieses Thema wird immer interessanter. Tote Accounts ist wieder eine andere Geschichte, aber auch ein Teil des Problemes. Dazu gehe ich später ein, da dieses Thema extrem kompliziert ist. Gerade Forenbetreiber haben damit massive Probleme.

Hallo,

Als alternative Authenticator-App möchte ich noch FreeOTP (https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwi11pzr7-POAhUlIpoKHTgNCTQQFggfMAA&url=https%3A%2F%2Fplay.google.com%2Fstore%2Fapps%2 Fdetails%3Fid%3Dorg.fedorahosted.freeotp%26hl%3Dde&usg=AFQjCNGCuLW2CuHxHqJJYqxVwSjG025Faw&sig2=QS2Uc3JqAvjSgVkb7_DVGg&bvm=bv.131286987,d.bGs) (Android) von RedHat anführen. Damit kann man neben Amazon und Google u.a. auch andere Dienste wie seine Synology Diskstation mit "2-Step Verification" nutzen. 2014 hatte die Google-Authenticator App wochenlang Sync-Probleme - sehr ärgerlich...:cool:

Vorschlag: Eine fortlaufend aktualisierte Liste mit Diensten, die 2FA anbieten. :D

Viele Grüße, meshua

Hallo,

Als alternative Authenticator-App möchte ich noch FreeOTP (https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0ahUKEwi11pzr7-POAhUlIpoKHTgNCTQQFggfMAA&url=https%3A%2F%2Fplay.google.com%2Fstore%2Fapps%2 Fdetails%3Fid%3Dorg.fedorahosted.freeotp%26hl%3Dde&usg=AFQjCNGCuLW2CuHxHqJJYqxVwSjG025Faw&sig2=QS2Uc3JqAvjSgVkb7_DVGg&bvm=bv.131286987,d.bGs) (Android) von RedHat anführen. Damit kann man neben Amazon und Google u.a. auch andere Dienste wie seine Synology Diskstation mit "2-Step Verification" nutzen. 2014 hatte die Google-Authenticator App wochenlang Sync-Probleme - sehr ärgerlich...:cool:

Vorschlag: Eine fortlaufend aktualisierte Liste mit Diensten, die 2FA anbieten. :D

Viele Grüße, meshua

Ich werde dein Feedback noch verarbeiten. Sync Probleme treten normalerweise nur auf, wenn dein Handy sich mit ein anderen Zeitserver Sync'ed als deine Syno. Dazu tragt man bei beiden den selben Zeitserver ein und die selbe Zeitzone. Dann gibt es keine Resync Probleme. Syno backt da ein eigenes Süppchen und verwendet irgend welche Zeitserver. Google hat sein eigenen. Ich biege alle Zeitserver Einstellungen entweder auf den Google Server oder von der Uni Wien um. Das gilt auch für PCs.

Die Zeit Unterschieds Empfindlichkeit kommt übrigens von RSA Tokens, da Two Way nix anderes als so ein Token ist und von RSA abgeleitet wurden ist.

Ich werfe hier mal zwei Faktor Authentifizierung mit Hardware Token in die Runde. Ist weniger kompliziert als es sich anhört. Ich benutze schon eine ganze Weile den Yubikey Neo zusammen mit einer App auf dem Smartphone (benötigt NFC) bzw einem kleinen Progrämmchen auf dem PC. Man kann sich den Yubikey wie einen ordinären Türschlüssel vorstellen. Nur wenn du den Key hast, kommst du (zusammen mit dem normalen Passwort) rein. Selbst wenn dein PC gehackt oder dein Handy geklaut wird, kommt keiner an dein Konto.
Funktioniert wunderbar mit Google, Dropbox und Amazon, mit einem kleinen Trick (gibt's eine Anleitung auf Youtube zu) auch bei Paypal. Einmal eingerichtet ist die Benutzung super simpel. Auf Webseite gehen, Benutzername+ Passwort eingeben, Authenticator App/Programm starten, Key einstecken/scannen, generiertes Einmal-Passwort in Webseite eingeben bzw copy&paste, fertig.