iCloud Hack – wie kann ein sicheres Login schützen?

03.09.2014 / 0 Comments

Sicherheitsexperten diskutieren die mutmaßlichen Gründe, die es Hackern vor kurzem ermöglichten, auf eine Unmenge an persönlichen Fotos und Videos von Prominenten zuzugreifen und diese Online zu verbreiten. Dabei gibt es bereits eine einfache Methode, um diese in Verdacht stehenden Ursachen von vornherein auszuschließen.

Diese Geschichte erzeugte weltweit Schlagzeilen und schlägt immer noch hohe Wellen. Mehrere weibliche bekannte Persönlichkeiten wurden vor kurzem Opfer von Hackern, die ihre persönlichen Fotos und Videos ins Netz stellten. Ungefähr 100 Prominente sind unter den Opfern aufgeführt.

Der Hacker behauptet, dass er Apples iCloud-Service für den Zugriff auf die Promi-Fotos ins Visier genommen hat. Apple untersucht momentan diesen Fall, obgleich noch nicht bestätigt wurde, dass die Sicherheitsmaßnahmen des iCloud-Dienstes tatsächlich durchbrochen wurden.

Nach den ersten Berichten über diesen Vorfall haben einige Programmierer auf einen Bug / eine Sicherheitslücke in Apples Find-My-iPhone-Service hingewiesen und erklärten damit einen möglichen Exploit, den der Hacker genutzt haben könnte. Diese mögliche Sicherheitslücke könnte es Hackern erlaubt haben, eine unbegrenzte Anzahl von Brute-Force-Angriffen einzusetzen, um damit eine gültige Kombination von Benutzernamen und Passwort für den Find-My-iPhone-Service zu erraten. Dieselben Zugangsdaten hätten dann verwendet werden können, um letztendlich die iCloud-Konten der Opfer zu hacken.

Allerdings hat der Hacker angeblich abgestritten, diese Sicherheitslücke genutzt zu haben, um den iCloud-Service zu kompromittieren. Einigen Sicherheitsexperten zufolge ist eine Phising-Attacke oder ein Hacken der E-Mails die wahrscheinlichere Vorgehensweise gewesen.

Alle Methoden, die die Experten aufführen, werten Anmeldungen mit Benutzernamen und Passwort aus, um dann Dienste wie iCloud anzugreifen und bloßzustellen. Es sind die gleichen Methoden, die für Angriffe auf viele andere Sharing-Dienste wie Google Drive, Dropbox und Box verwendet werden.

Mit Brute-Force-Angriffen werden Nutzerkonten seit den Anfängen des Internets ins Visier genommen. Hacker besitzen häufig sehr leistungsstarke Computer sowie das nötige Handwerkzeug, um solche Angriffe durchzuführen. Sie haben Zugang zu Netzwerken anderer Computer, die benutzt werden können, um an Millionen von Kombinationen bestehend aus Benutzernamen und dazugehörigem Passwort zu gelangen und innerhalb von Sekunden auf die Nutzerkonten zuzugreifen.

Eine weitere bevorzugte Technik ist das sogenannte Phishing. Hacker haben großen Erfolg damit, Nutzer mithilfe von gefälschten E-Mails und Webseiten dazu zu bewegen, ihre Zugangsdaten preiszugeben. Diesen Mails und Webseiten wird der Anschein offizieller Kommunikation oder Portalen von Geldinstituten, Energiedienstleistern oder Großkonzernen wie Apple, Google, PayPal oder Amazon gegeben.

 

Eine Zwei-Faktor-Authentifizierung kann Hackerangriffe und Phishingattacken verhindern, aber die Technologie-Riesen setzen auf eine sehr angreifbare Methode.

Wie üblich weisen Sicherheitsexperten bei Berichten über große Hackerangriffe auf die Zwei-Faktor-Authenfizierung hin als die beste Methode, um solche Angriffe zu verhindern. Die Zwei-Faktor-Authentifizierung, die als zusätzliche Sicherheitsoption u.a. für Konten bei Apple, Google und Microsoft angeboten wird, fordert von jedem, der sich von einem neuen Ort bzw. einem fremden Gerät anmelden möchte, einen Einmalcode einzugeben, der üblicherweise per SMS an das Mobilgerät des Nutzers gesandt wird.

Die Eingabe dieses Codes während des Anmeldeprozesses ist dazu gedacht, die Identität des rechtmäßigen Kontobesitzers zu überprüfen und somit unberechtigten Zugriff auf das Konto zu verhindern, da ein Angreifer normalerweise nicht im Besitz des Mobilgeräts ist und somit auch den Code nicht erhalten kann.

Diese Schutzvorkehrung ist ganz gewiss ein Schritt in die richtige Richtung, aber das SMS-Protokoll wurde nicht mit dem Hintergedanken entworfen, vertrauliche Codes oder andere Informationen sicher zu übertragen. Somit sind diese Übertragungen nicht genügend geschützt und in Gefahr, abgefangen oder gehackt zu werden. Einige Hacker haben bereits Wege gefunden, Zwei-Faktor-Authentifizierungen zu überlisten, indem sie sich Zugriff auf die Konten beim Mobilfunkanbieter des Nutzers verschaffen und eine zweite SIM-Karte hinzufügen, so dass sie Kopien der Textbotschaften mit den Überprüfungscodes erhielten. Das Kopieren von SIM-Karten hat sich damit als eine weitere ernsthafte Bedrohung etabliert.

Andere Hacker verwenden einfach den “Man-in-the-middle” – oder Janusangriff bzw. Phishing-Programme, um bei der Zwei-Faktor-Authentifizierung Codes während der Eingabe auf dem Computer des Nutzers abzufangen.

 

Eine Zwei-Faktor-Authentifizierung als Schutz vor jeglichen Hackerangriffen ist bereits für Entwickler verfügbar. 

Um den Problemen vorhandener Zwei-Faktor-Authentifzierungsmethoden zu begegnen und den Zugriff auf Nutzerkonten aller Dienste durch Angreifer zu verhindern, hat SecSign Technologies die SecSign ID entwickelt. Die SecSign ID ist eine einfache und schnelle mobile Zwei-Faktor-Authentifizierung, für die der Nutzer keine Passwörter oder andere sensible Zugangsdaten während des Anmeldevorgangs eingeben bzw. übertragen muss.

Für die Anwendung zum Schutz eines Cloud-Sharing-Dienstes oder jeder anderen Webseite oder Anwendung benötigt die SecSign ID während der Anmeldung lediglich die Eingabe eines nicht vertraulichen Benutzernamens. Weder Passwörter noch andere sensible Nutzerdaten werden während des Anmeldevorgangs verwendet oder auf einem Server gespeichert. Somit gibt es praktisch nichts, was Angreifer mithilfe von Hacker- oder Phishingangriffen oder Schadprogrammen stehlen könnten. Ob sie nun gezielt einen Server, eine Anwendung, eine Webseite oder sogar den Nutzer selber angreifen: Es ist für sie physisch nicht möglich, an Zugangsdaten zu gelangen und diese für den Zugriff auf persönliche Inhalte zu verwenden. Webseitenanbieter usw., die diese mobile Authentifizierungsmethode nutzen, nehmen sich damit selber aus der Schusslinie, da sie durch das Nichtvorhandensein sensibler Daten für Hacker uninteressant werden.

Auf der SecSign ID Produkt Seite auf  SecSign.com erfahren Sie mehr über die patentierte Sicherheitstechnologie der SecSign ID, können den Anmeldevorgang einmal selber ausprobieren und haben Zugang zu kostenlosen Plugins für Entwickler.

 

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

21.09.2017

Read More
Do NOT follow this link or you will be banned from the site!