WinFuture-Forum.de: WLAN/ WPA2 Sicherheitslücke - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
  • 2 Seiten +
  • 1
  • 2

WLAN/ WPA2 Sicherheitslücke

#16 Mitglied ist offline   dale 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.210
  • Beigetreten: 15. Februar 08
  • Reputation: 64

geschrieben 03. November 2017 - 13:51

Ich sags nochmal alternative für PCs wo man sich sicher sein will = Kabel

das geht auch beim Lappi und nochmal HTTPS + SMS TAN oder TAN Generator sind eigentlich recht sicher wenn man nicht dauernd sein Handy mit PC synct und sich irgend einen Banking Trojaner eingefangen hat.

Und selbs Tan Generatoren wurden schon überlistet siehe hier https://www.heise.de...us-2356713.html

weil der User so blöd war nochmal aufs Display zu schauen was da für ne Summe stand..
0

Anzeige



#17 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 03. November 2017 - 16:08

Der TAN Generator wurde nicht überlistet. Nur der User der davor saß.
Wenn man natürlich nicht in die URL Zeile guckt und schaut ob da wirklich die Bank Domain steht, geschweige denn die Daten auf dem Generator prüft, hilft keine Technik.

SMS TAN würde ich nicht empfehlen. Das hat einen zu großen Angriffsfaktor
0

#18 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.591
  • Beigetreten: 14. August 15
  • Reputation: 392

geschrieben 03. November 2017 - 16:21

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 03. November 2017 - 16:08)

SMS TAN würde ich nicht empfehlen. Das hat einen zu großen Angriffsfaktor

Welchen? Online Banking und Sicherheitsprüfung auf einem Gerät ist natürlich schlecht. Aber solang man Online Banking auf dem Computer macht und die SMS auf dem Smartphon empfängt, sollte dies durch den Umstand dass das Smartphone als SMS Empfänger ein eigenenständiges Gerät ist, genauso sicher sein wie ein TAN Generator der auch ein eigenständiges Gerät darstellt. Das könnte man nur umgehen in dem man sich eine Kopie der SIM Karte besorgt. Was aber extra Aufwand erfordert und nicht eben mal so online gemacht werden kann.

Dieser Beitrag wurde von Gispelmob bearbeitet: 03. November 2017 - 16:22

AMD Ryzen 9 5950X, Asus ROG Strix X570-F Gaming, 32GB Corsair DDR4-3200, Asus Geforce GTX 3060 12GB, Creative Sound Blaster AE-7, 240GB SSD, 500GB SSD, 3x 1TB SSD, Win11 Home, 4x Acer G246HL Bbid, Logitech MX518 Gaming Mouse, Logitech G440 Mousepad, Logitech K120 Keyboard, Razer Tiamat 7.1 V2 Headset, Creative Inspire 5.1 5300 Soundsystem
1

#19 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 03. November 2017 - 17:49

Hast wohl noch nie was von SS7 gehört nehm ich.

SMS-Tan daher: Nein.
Tan-Generator: Ja.
0

#20 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.770
  • Beigetreten: 09. Februar 12
  • Reputation: 866
  • Geschlecht:Männlich

geschrieben 03. November 2017 - 18:04

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 03. November 2017 - 17:49)

Hast wohl noch nie was von SS7 gehört nehm ich.

Umd das zu knacken, braucht der Angreifer aber überhaupt erst mal deine Telefonnummer. Und auch sonst sind diese Angriffsmöglichkeiten alle sehr theoretisch. Es ist doch nicht so, dass jeder so leicht wie bei einem Windows-Activation-Hack sich mal eben in deine Leitung hacken kann.

Also da bin ich Normalo bei meinem Telefon-Banking und SMS-TAN ganz entspannt. Bei anderen (wichtigeren) Leuten mag das anders sein.
0

#21 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 03. November 2017 - 18:40

Geld ist Geld.
Gerade Normalos schauen weniger auf ihre Kontoauszüge als welche mit viel Geld drauf.

Und Handynummer rausbekommen ist im Zeitalter von Social Engineering keine große Hürde.
0

#22 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.770
  • Beigetreten: 09. Februar 12
  • Reputation: 866
  • Geschlecht:Männlich

geschrieben 03. November 2017 - 21:35

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 03. November 2017 - 18:40)

Geld ist Geld.
Gerade Normalos schauen weniger auf ihre Kontoauszüge als welche mit viel Geld drauf.

So so ... ja ja ... mit dem Thema hat es WAS zu tun?

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 03. November 2017 - 18:40)

Und Handynummer rausbekommen ist im Zeitalter von Social Engineering keine große Hürde.


Und selbst wenn man die Telenummer hat (Handynummer = IMEI?? Oder was meinst du? ). Wie geht es dann weiter?

Man sollte nicht alle Laborfälle auf den Normaluser übertragen.
0

#23 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 04. November 2017 - 06:52

Beitrag anzeigenZitat (dale: 01. November 2017 - 09:07)

Ist auch die Frage was macht ihr unverschlüsselt über WLAN

alle Mailclients nutzen TLS oder SSL
Onlinebanking SSL und noch dazu hängt fast alles bei mir am Kabel.


Eh, Du bist da sicherlich kein gutes Allgemeinbeispiel: bei Dir kann ich mir das noch vorstellen, daß Du das WLAN vom LAN getrennt hast. :)

Die anderen? Einmal ins WLAN reingepatcht und schon kann aufs NAS und die Passwortlisten im .txt/.doc/.xls-Format zugegriffen werden.


Wobei ich diese Patches kritisch sehe. "Alle" schmeißen was raus und nennen das "Patch", aber was die machen... "ja dann ist das Problem weg". :huh:

Wenn man sich anschaut, wo die Schwachstelle liegt, kann so ein Patch ja nur den WLAN-Standard verletzen oder - was war's - 802.11s deimplementieren. Aber das hätte ich dann schon gerne gewußt, was das Zeuch macht.



Plus, aber das geht allgemein in die Runde: Vergeßt endlich dieses Märchen mit den MAC-Filtern. Jedes(!) WLAN-Paket, welches von irgendwem gesendet wird, beinhaltet die MAC-Adresse des Clients - unverschlüsselt. Ein son Paket abgefangen und das in mein Paket reingeschrieben und euer MAC-Filter interessiert mich nicht mehr. Das ist Augenwischerei.

Für Zugangskontrolle, die nicht auf "jeder der kommt darf rein wenn er den Schlüssel kennt oder ausfindig macht" rauslaufen soll, bleibt nur WPA-Enterprise; das ist zwar aufwendig zu konfigurieren, aber dafür kann man dann tatsächlich sagen, ich darf und du darfst nicht, weil man sich dann am WLAN nicht mit dem PSK, sondern mit Benutzernamen und Kennwort anmeldet (oder Zertifikaten, aber das ist nicht unbedingt notwendig).

Note: Sowas geht mit Fritzboxen nicht, denn die sind laut offizieller Aussage AVMs keine Netzwerkgeräte.

Dieser Beitrag wurde von RalphS bearbeitet: 04. November 2017 - 06:54

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#24 Mitglied ist offline   dale 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.210
  • Beigetreten: 15. Februar 08
  • Reputation: 64

geschrieben 04. November 2017 - 10:15

Ja Ralph da haste Recht and ganz ehrlich die kritischen Passwörter sollte man dokumentiert haben auf Papier in einem Tresor so machen wir es auch im Job nix Digital.

Zu den Patches stimme ich auch zu z.B. Sophos hat noch nix draussen für ihre APS die an der UTM hängen da dort auch nur Geräte dran hängen die SSL erzwingen macht uns das noch kein Kopfweh.
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0