2FA deaktivieren besser absichern



  • Aktuell gibt es das Problem, das ich zum Deaktivieren kein 2FA eingeben muss. Und das ergibt folgendes Angriffsszenario:

    1. 2FA ist erzwungen
    2. Nutzer meldet sich an und verwendet 2FA
    3. Nutzer geht Kaffee holen und sperrt den Bildschirm nicht, oder er lässt jemanden kurz was machen. (alles böse, ja ich weiß) ;-)
    4. Angreifer deaktiviert 2FA und aktiviert mit eigenem Gerät.

    Wenn man das nun auf den Passwort ändern Dialog vergleicht, wird hier erst das alte Passwort abgefragt, bevor man ein neues eingeben kann.


  • ChurchToolsMitarbeiter

    Hi Jonny,

    ich sehe das Problem, aber ich sehe nicht wirklich die Notwendigkeit das zu fixen. Wenn ich meinen PC in der Bibliothek offen rum stehen lasse, dann kann ich nicht Google dafür verantwortlich machen, dass jmd meine E-Mail liest.

    Zweitens. Der Angreifer muss in deinem Szenario immer noch das Password des Nutzers eingeben, bevor er die 2FA aktivieren kann. Somit muss der Angreife a) Zugriff auf den PC mit eingeloggtem User haben und b) das Password des Nutzers.


  • ChurchToolsMitarbeiter

    PS: Was ich noch erwähnen wollte. 2FA ist ja nach wie vor erzwungen, auch wenn der Angreifer es deaktiviert. Sprich, beim nächsten Login wird der User erneut gebeten sich das einzurichten. Das kann der Angreifer oder User über die Oberfläche deaktivieren (außer er ist Admin / Super Admin, aber dann hätte der Angreifer ganz andere Möglichkeiten)



  • hey hbuerger,

    @hbuerger sagte in 2FA deaktivieren besser absichern:

    ich sehe das Problem, aber ich sehe nicht wirklich die Notwendigkeit das zu fixen. Wenn ich meinen PC in der Bibliothek offen rum stehen lasse, dann kann ich nicht Google dafür verantwortlich machen, dass jmd meine E-Mail liest.

    Ja, generell dabei. Aber wenn die Person dann noch gleich mein Kennwort ändern kann und dann von überall Mails liest, würde ich Google schon was erzählen...

    Zweitens. Der Angreifer muss in deinem Szenario immer noch das Password des Nutzers eingeben, bevor er die 2FA aktivieren kann. Somit muss der Angreife a) Zugriff auf den PC mit eingeloggtem User haben und b) das Password des Nutzers.

    Da bin ich nicht dabei. b) ist nicht erforderlich. Ich kann ein OTP token deaktivieren und direkt ein neues aktivieren ohne das ich nach einem aktuell gültigen Token gefragt werde. Das ist so wie wenn ich das Passwort ändern könnte ohne das alte einzugeben. Die Sicherheit des Passworts/OTP Token wird drastisch reduziert.

    b) ist übrigens super einfach und habe ich meinem Pastor gerade am Telefon erklärt. Stichwort: gespeicherte Passwörter im Browser. Alternativ die ehrliche Frage wie viele Passwörter der Anwender hat bzw. wie und wo er sie aufschreibt... Ich hätte noch X andere Ideen.

    Aus Sicherheitssicht hätte ich gesagt, muss ich erst beweisen, das ich berechtigt bin etwas zu deaktivieren/ändern.

    Grüße
    Jonny


  • ChurchToolsMitarbeiter

    @jonny sagte in 2FA deaktivieren besser absichern:

    Da bin ich nicht dabei. b) ist nicht erforderlich. Ich kann ein OTP token deaktivieren und direkt ein neues aktivieren ohne das ich nach einem aktuell gültigen Token gefragt werde.

    Ich habe es eben bei anderen Anbietern überprüft. Keiner verlangt einen OTP Token um 2FA zu deaktivieren.

    Zudem habe ich selber noch mal geprüft, wenn man die 2FA im Profil deaktiviert und wieder aktivieren will muss man das Passwort eingeben. Also der Angreifer kann nicht mit seinem Handy 2FA neu aktivieren. Bitte prüfe das noch mal. Sollte es doch möglich sein bei euch, dann ist das ein Bug, der so nicht gewollt ist. Dann bitte aber direkt an support@churchtools.de schreiben, damit wir das Problem dort lösen können und nicht hier im Forum weiter diskutieren.

    Zusammenfassend, wir handeln gerade so wie es z.B. GitHub oder andere Anbieter auch tun.


Log in to reply