Navigation

    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search

    2FA deaktivieren besser absichern

    Feature-Vorschläge Web
    sicherheit
    2
    5
    451
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jonny last edited by

      Aktuell gibt es das Problem, das ich zum Deaktivieren kein 2FA eingeben muss. Und das ergibt folgendes Angriffsszenario:

      1. 2FA ist erzwungen
      2. Nutzer meldet sich an und verwendet 2FA
      3. Nutzer geht Kaffee holen und sperrt den Bildschirm nicht, oder er lässt jemanden kurz was machen. (alles böse, ja ich weiß) 😉
      4. Angreifer deaktiviert 2FA und aktiviert mit eigenem Gerät.

      Wenn man das nun auf den Passwort ändern Dialog vergleicht, wird hier erst das alte Passwort abgefragt, bevor man ein neues eingeben kann.

      1 Reply Last reply Reply Quote 4
      • hbuerger
        hbuerger ChurchToolsMitarbeiter last edited by

        Hi Jonny,

        ich sehe das Problem, aber ich sehe nicht wirklich die Notwendigkeit das zu fixen. Wenn ich meinen PC in der Bibliothek offen rum stehen lasse, dann kann ich nicht Google dafür verantwortlich machen, dass jmd meine E-Mail liest.

        Zweitens. Der Angreifer muss in deinem Szenario immer noch das Password des Nutzers eingeben, bevor er die 2FA aktivieren kann. Somit muss der Angreife a) Zugriff auf den PC mit eingeloggtem User haben und b) das Password des Nutzers.

        1 Reply Last reply Reply Quote 0
        • hbuerger
          hbuerger ChurchToolsMitarbeiter last edited by

          PS: Was ich noch erwähnen wollte. 2FA ist ja nach wie vor erzwungen, auch wenn der Angreifer es deaktiviert. Sprich, beim nächsten Login wird der User erneut gebeten sich das einzurichten. Das kann der Angreifer oder User über die Oberfläche deaktivieren (außer er ist Admin / Super Admin, aber dann hätte der Angreifer ganz andere Möglichkeiten)

          1 Reply Last reply Reply Quote 0
          • J
            jonny last edited by

            hey hbuerger,

            @hbuerger sagte in 2FA deaktivieren besser absichern:

            ich sehe das Problem, aber ich sehe nicht wirklich die Notwendigkeit das zu fixen. Wenn ich meinen PC in der Bibliothek offen rum stehen lasse, dann kann ich nicht Google dafür verantwortlich machen, dass jmd meine E-Mail liest.

            Ja, generell dabei. Aber wenn die Person dann noch gleich mein Kennwort ändern kann und dann von überall Mails liest, würde ich Google schon was erzählen...

            Zweitens. Der Angreifer muss in deinem Szenario immer noch das Password des Nutzers eingeben, bevor er die 2FA aktivieren kann. Somit muss der Angreife a) Zugriff auf den PC mit eingeloggtem User haben und b) das Password des Nutzers.

            Da bin ich nicht dabei. b) ist nicht erforderlich. Ich kann ein OTP token deaktivieren und direkt ein neues aktivieren ohne das ich nach einem aktuell gültigen Token gefragt werde. Das ist so wie wenn ich das Passwort ändern könnte ohne das alte einzugeben. Die Sicherheit des Passworts/OTP Token wird drastisch reduziert.

            b) ist übrigens super einfach und habe ich meinem Pastor gerade am Telefon erklärt. Stichwort: gespeicherte Passwörter im Browser. Alternativ die ehrliche Frage wie viele Passwörter der Anwender hat bzw. wie und wo er sie aufschreibt... Ich hätte noch X andere Ideen.

            Aus Sicherheitssicht hätte ich gesagt, muss ich erst beweisen, das ich berechtigt bin etwas zu deaktivieren/ändern.

            Grüße
            Jonny

            1 Reply Last reply Reply Quote 0
            • hbuerger
              hbuerger ChurchToolsMitarbeiter last edited by

              @jonny sagte in 2FA deaktivieren besser absichern:

              Da bin ich nicht dabei. b) ist nicht erforderlich. Ich kann ein OTP token deaktivieren und direkt ein neues aktivieren ohne das ich nach einem aktuell gültigen Token gefragt werde.

              Ich habe es eben bei anderen Anbietern überprüft. Keiner verlangt einen OTP Token um 2FA zu deaktivieren.

              Zudem habe ich selber noch mal geprüft, wenn man die 2FA im Profil deaktiviert und wieder aktivieren will muss man das Passwort eingeben. Also der Angreifer kann nicht mit seinem Handy 2FA neu aktivieren. Bitte prüfe das noch mal. Sollte es doch möglich sein bei euch, dann ist das ein Bug, der so nicht gewollt ist. Dann bitte aber direkt an support@churchtools.de schreiben, damit wir das Problem dort lösen können und nicht hier im Forum weiter diskutieren.

              Zusammenfassend, wir handeln gerade so wie es z.B. GitHub oder andere Anbieter auch tun.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post