claus ginsel: Welche Vorteile bringen absetzige Anmeldeverfahren?

Guten Morgen

bei verschiedenen Login-pflichtigen Internet-Seiten (MSDN, IONOS, Amazon) ist mir aufgefallen, dass dort erst ein Anmeldename abgefragt, nach Absenden dieser geprüft, und bei Erfolg das Passwort abgefragt wird (damit ist nicht MFA gemeint).

In welcher Hinsicht ergeben sich daraus Vorteile, Brute-Force-Abwehr vielleicht?

Gruß Claus

akzeptierte Antworten

  1. Hallo,

    bei verschiedenen Login-pflichtigen Internet-Seiten (MSDN, IONOS, Amazon) ist mir aufgefallen, dass dort erst ein Anmeldename abgefragt, nach Absenden dieser geprüft, und bei Erfolg das Passwort abgefragt wird (damit ist nicht MFA gemeint).

    In welcher Hinsicht ergeben sich daraus Vorteile, Brute-Force-Abwehr vielleicht?

    ich glaube nicht, dass das Verfahren irgendwie sicherer ist. Okay, man kann im ersten Schritt schon mal prüfen, ob der Anmeldename überhaupt bekannt ist und braucht im Fehlerfall gar nicht erst das Passwort durch Netz zu schicken. Denn ein Passwort gar nicht zu übermitteln ist noch besser, als ein Passwort verschlüsselt zu übermitteln.

    Einen schönen Tag noch
     Martin

    PS: Woher kommt denn der Begriff absetzig? Hab ich noch nie gehört, und ich konnte mir auch nichts darunter vorstellen, bis ich deinen Beitrag gelesen hatte.

    --
    Kaffee ist nur schädlich, wenn Ihnen ein ganzer Sack aus dem 5. Stock auf den Kopf fällt.
    1. Moin Martin

      Begriff absetzig

      Da fragst Du mich was, allgemeiner Sprachgebrauch, wenn man mal ne Pause braucht 😉

      Gruß Claus

      1. Moin Martin

        Begriff absetzig

        allgemeiner Sprachgebrauch

        Hm. Gegend mit Bergbau? Dann wäre es eigentlich „absätzig“ (jenseits der Sole, des Ganges e.t.c.) Aber wer weiß bei Slang schon wie das geschrieben wird. Würde vorliegend so auch passen, weil das Passwort quasi woanders (nächstes Formular) eingegeben wird als der Benutzername.

        Aber Pause? Klar „absetzen“. Man kann ja auch Zeit „absitzen“.

    2. ich glaube nicht, dass das Verfahren irgendwie sicherer ist. Okay, man kann im ersten Schritt schon mal prüfen, ob der Anmeldename überhaupt bekannt ist und braucht im Fehlerfall gar nicht erst das Passwort durch Netz zu schicken. Denn ein Passwort gar nicht zu übermitteln ist noch besser, als ein Passwort verschlüsselt zu übermitteln.

      Eine Vorab-Prüfung des Benutzernamens trägt den Nachteil in sich, dass ein Angreifer, der einen potentiellen Benutzername kennt, eine Information erhält, ob ein Benutzer mit diesem Merkmal überhaupt Nutzer des Dienstes ist. (Falls nur in diesem Fall nach einem Passwort gefragt oder eine andere Form der Authentifizierung gewählt und somit offenbar wird.) Das ist genau dann problematisch, wenn als Benutzername ein (potentiell) öffentlich bekanntes Merkmal wie die Mailadresse als Anmeldename benutzt wird.

      Beispiel:

      Würden Banken das so machen (Benutzername=Emailadresse) und im Falle eines unbekannten Benutzers keine weitere Authentifizierung durchführen (und sei es als Fake), dann könnte eine „interessierte“ Person oder Organisation ganz einfach erfahren wer bei welcher Bank Kunde ist und wie sich die weitere Authentifizierung gestaltet (woraus sich ggf. weitere Information ergeben) und so z.B. das Phishing „optimieren“.

      Ich denke, Rolf liegt am nächsten.

      Nachtrag:

      Aus diesem Grund ist ja „verwerflich“, bei einer misslungenen Authentifizierung den Anmelder darüber zu informieren, ob denn nun der Benutzername oder das Passwort falsch war…

  2. Hallo claus ginsel,

    es gibt bei großen Diensten unterschiedliche Anmeldeverfahren. Nicht alle benötigen ein Passwort.

    Vor allem bei Firmenkunden gibt es oft eine federated Authentication, d.h. der Diensteanbieter leitet den User nach Eingabe der User-ID auf eine Authentication-Seite weiter, der der Anbieter vertraut, und bekommt darüber die Identifikation und Zugangsberechtigung.

    Beispiel: Confluence, oder Jira. Ich rufe die Seite beim Anbieter auf und gebe meine dienstliche Mailadresse an. Der erkennt: Ach, das ist eine example.com Adresse, und leitet mich zum SAML Server meiner Firma weiter. Der ist intern, authentifiziert mich per Kerberos und leitet mich zusammen mit einem SAML-Token an den Anbieter zurück.

    Ja, komplex. Aber ein Single Sign On ist einfach praktisch.

    Rolf

    --
    sumpsi - posui - obstruxi
    1. Moin Rolf

      aber sind nicht auch dienstliche Mail-Adressen als öffentlich bekannt anzunehmen und dennoch als Autorisierungsmerkmal geeignet?

      Gruß Claus

      1. Hallo claus ginsel,

        die Mailadresse allein ist es ja nicht. Der Anbieter nutzt das dafür, um den richtigen Authenticationdienst zu identifizieren.

        Und dort muss ich mich natürlich anmelden. Per Passwort, oder als single-sign-on mit Kerberos, falls ich im Firmennetz unterwegs bin.

        Bei einer Anmeldung mit Google kann es per one-click gehen, wenn ich in meinem Browser die richtigen Kekse für eine automatische Google-Anmeldung habe.

        Rolf

        --
        sumpsi - posui - obstruxi
        1. Alles klar.

          Danke Euch.

          Schönes WE Claus

  3. Hello,

    das eigentliche Problem entsteht durch mehrere korrespondierende Fehler, die alleine nicht wirksam werden müssen, aber zusammen explosiv wirken:

    • eMail-Name bei einem Provider, der diesen nach dem Verfall des Accounts nach ca. 6 Monaten wieder neu vergibt (z. B.: 1&1)
    • Passwort-vergessen-Funktion diverser Anbieter, die den eMail-Namen als sicher annimmt, und so alle erreichbaren Accounts des ursprünglichen eMail-Namens-Inhabers zur feindlichen Übernahme öffnet (wenn kein zusätzliches Credential erforderlich ist)
    • Sogenannte "Info-Mails", z. B. über geänderte Geschäftsbedingungen, über die der feindliche Übernehmer des eMail-Namens erst auf die Angriffsziele aufmerksam gemacht wird.

    Ich habe hier zusammen mit meinem Vater vor ca. zweieinhalb Jahren ein Experiment begonnen. Da er seinen Provider (1&1) nach einem Umzug nicht weiterhin beanspruchen konnte (TK hatte am Zielort exklusiv Fiber2Home verlegt), verfiel durch einen "Administrationsfehler" sein eMail-Account bei 1&1. Ich habe ihn nach ca. 6 Monaten für mich anmelden können. Mein Vater (selber IT-ler seit gefühlten 100 Jahren) war ganz gespannt auf die die von mir beschriebenen Sicherheitslücken.

    Nun bekam ich kürzlich eine eMail, die mich auf geänderte Geschäftsbedingungen einer Bank hinwies und mir ermöglicht hat, durch die "Passwort-Vergessen-Funktion" Zugang zur äußeren Hülle des Bankaccounts zu erhalten. Ich konnte Einblick in das Konto nehmen.

    Da haben mindestens drei Parteien etwas übersehen:

    • 1&1 die Wiederverwendbarkeit von eMail-Namen
    • mein Vater die Austragung des eMail-Kontakts aus der Bank
    • die Bank die Identifikationslücke zwischen gespeichertem eMailnamen und Inhaber des Bankkontos

    Der Versuch ist noch nicht beendet!

    Glück Auf
    Tom vom Berg

    --
    Es gibt soviel Sonne, nutzen wir sie.
    www.Solar-Harz.de
    S☼nnige Grüße aus dem Oberharz