Neuer Trend: Benutzername und Passwort Eingaben nacheinander

[Ranayna]

Seit einiger Zeit ist dieses Vorgehen zumindest bei "Enterprise" Services fast ueberall so.
Ich finds persoenlich aetzend, weil so Autotype ueber Keypass nicht mehr zuverlaessig ist, weil die Ladezeiten fuer die Passworteingabe teilweise extrem unterschiedlich sind.

 

[piepenkorn]

@piepenkorn Amazon hat das auch. Da bestellst du doch sicher auch?

Neeee, ich bestelle dort nix.
Aber danke für deinen Hinweis.

 

[TomH22]

Das heißt du würdest auch mit einem falschen Username zur Passworteingabe umleiten? Da seh ich oft das Gegenteil.

Nein, das in keinem Fall, da das einfach nur Resourcenverschwendung ist. Nur wenn ich eine kombinierte Username/Password Seite habe, würde ich eine entsprechend unspezifische Meldung ausgeben.

Aber im Grunde ist der Sicherheitsgewinn davon minimal und, wie man eben sieht, mit modernen Login-Methoden nicht wirklich vereinbar. Manche Praktiken, die vor 10 Jahren in Security Schulungen gelehrt wurden, sind heute obsolet.

In vielen Fällen ist es sowieso mehr oder weniger öffentlich bekannt, das ein Benutzer ein Konto bei einem bestimmten Dienst hat. Wenn ich eine Mail von max.mustermann@googlemail.com bekomme, weiß ich das es auch ein Google Konto mit max.mustermann@googlemail.com gibt. Genauso wenn ich eine PayPal Zahlung von hans.meier@gmx.de bekomme, dann weiß ich das er bei GMX und bei PayPal ist.

Und die diversen Datenbanken mit "abhanden gekommen" Login Daten sind voll mit aktiven, gültigen EMail Adressen. Es reicht in der Regel, eine Testmail an eine dieser Adressen zu schicken, dann sieht man schon ob das Konto noch gilt. Vielleicht hat man sogar Glück und der Trottel am anderen Ende verifiziert die EMail für indem er antwortet, die eingebetteten Bilder runterlädt, usw. dann weiß man das das Konto aktiv genutzt wird.

 

[floq0r]

Nein, das in keinem Fall, da das einfach nur Resourcenverschwendung ist. Nur wenn ich eine kombinierte Username/Password Seite habe, würde ich eine entsprechend unspezifische Meldung ausgeben.

Wie soll das dann funktionieren?
Wenn ich getrennt überprüfe und bei ungültiger E-Mail Adresse nicht umleite dann weiß der User doch, dass die E-Mail nicht hinterlegt ist. Das hab ich ja in #11 gemeint.

 

[TomH22]

Wenn ich getrennt überprüfe und bei ungültiger E-Mail Adresse nicht umleite dann weiß der User doch, dass die E-Mail nicht hinterlegt ist. Das hab ich ja in #11 gemeint.

Genau. Du fragest ja, ob ich extra eine Art "Fake Umleitung" bauen würde, nur um die Tatsache zu verschleiern, das kein Konto existiert. Und das würde ich nicht machen. Entweder habe ich nur lokale Anmeldungen (also ohne Weiterleitung zu einem externen Identity Provider - so wie hier bei Computerbase), dann kann ich meine Seite so bauen, das Username und Password auf der gleichen Seite sind und eine entsprechend schwammige Meldung ausgeben.

Da das aber heute in vielen Fällen nicht mehr sinnvoll möglich ist, nimmt man in Kauf, das man erkennen kann, ob der Benutzername gültig ist. Der Verlust an Sicherheit dabei ist minimal und kann durch andere Maßnahmen (z.B. Chaptas, Geolocation, 2FA, usw. ) ausgeglichen werden.

 

[andy_m4]

Der Nachteil bei getrennten Login-Seiten ist, das es schwieriger wird nen Passwortmanager zu nehmen.
Ich bin deshalb kein Freund davon.

 

[floq0r]

Genau. Du fragest ja, ob ich extra eine Art "Fake Umleitung" bauen würde, nur um die Tatsache zu verschleiern, das kein Konto existiert. Und das würde ich nicht machen.

Wie soll das

Man muss ja, auch wenn man getrennt überprüft, das nicht in der Fehlermeldung mitteilen.

dann gehen?

 

[kim88]

Also zu Passwortmanager kann ich sagen, dass ich mit geteilten Login Seiten mit 1Password absolut keine Probleme habe. Klappt bei Google, Adobe, Bitbucket, etc problemlos

 

[Autokiller677]

Gute Passwortmanager bekommen das schon länger problemlos hin. Probleme gibts wohl vor allem beim Keepass und Derivaten, weil da die Browser Integration eh häufig sehr begrenzt ist, um es mal positiv auszudrücken.

Und ich weiß nicht genau wie gut die browsereigenen PW Manager da schon sind.

 

[TomH22]

dann gehen?

Ich kann auch sowas schreiben wie „Login nicht möglich“. Ich habe auch schon Sites erlebt, die knallhart ohne Fehlermeldung einfach auf der Login Seite bleiben und scheinbar „garnichts“ machen.

Aber wofür überhaupt? Logins über den regulären Browser Anmelde-Dialog machen ja nur Sinn, wenn der Angreifer im Prinzip schon alle Credentials hat, und vielleicht noch aus 2 oder 3 Passwörtern ausprobieren muss, welches das Richtige ist. Oder er hat eine Username/Passwort Kombi irgendwo abgegriffen und versucht nun diese Kombi bei Diensten wo es sich lohnt (eBay, Amazon, usw.) Da macht man aber auch pro Dienst einen Versuch, entweder klappt der, oder eben nicht.

Klappt natürlich heutzutage in der Regel auch nicht mehr so einfach, da diese Dienste meist bei einem unbekannten Gerät versuchen, einen zweiten Faktor zu nutzen (EMail Link, SMS, usw.), selbst wenn der Anwender offiziell kein 2FA eingerichtet hat.

Meistens helfen heute die Opfer beim Hacking Ihrer Konten mit, z.B. in dem sie Bestätigungs SMS an vermeintliche Freunde, die angeblich ihr Handy verloren haben, o.ä. weiterleiten.

 

[andy_m4]

weil da die Browser Integration eh häufig sehr begrenzt ist, um es mal positiv auszudrücken.

Und ich weiß nicht genau wie gut die browsereigenen PW Manager

Naja. Passwort-Manager will man eigentlich nicht im Browser haben, weil Browser gegenüber dem Internet exponiert sind und Passwörter gleichzeitig sensible Daten sind die man nicht in fremde Hände wissen will.
Gleiches gilt für Browser-Integration, weil da zumindest ein kleinen Spalt die Tür vom Browser Richtung Passwort-Manager aufgemacht wird.

Was ne Alternative ist ist halt den Browser den Username und Passwort per simulierten Tastatureingaben zu geben. Das funktioniert auch bei zweiseitigen Login aber unkomplizierter läufts natürlich, wenn Du halt so ein Standardlogin-Formular auf einer Webseite hast.

 

[xexex]

synology NAS auf jeden fall, evernote, check24, Microsoft, ...

Bei Microsoft unter anderem deshalb, weil du meist kein Kennwort mehr benötigst, sondern bei eingerichtetem 2FA eine "Passwordless" Anmeldung über die App kommt.

 

[floq0r]

Ich kann auch sowas schreiben wie „Login nicht möglich“. Ich habe auch schon Sites erlebt, die knallhart ohne Fehlermeldung einfach auf der Login Seite bleiben und scheinbar „garnichts“ machen.

Aber wofür überhaupt?

Eine Umleitung zur Passworteingabe impliziert (zumind. bei MS oder eben nach vorherigem Test mit einer definitiven Fake-Adresse) einen gültigen User-Account. Alles andere weist auf das Gegenteil hin, auch wenn die Seite "einfach nichts macht". Es gibt ja auch XHR deren Result ich prüfen kann um das in einem Script zu automatisieren.
Das "wofür" ist ein anderes Thema, uU will ich ja nicht einmal Zugriff auf den Service sondern einfach nur wissen ob jemand den ich kenne einen Account hat (z.B. auf einer Dating-Site)