2FA im WCP?

  • Hallo zusammen,

    ich habe eine Frage (bzw. bin geschockt), dass es (meines Wissens) im WCP keine 2FA gibt. Stimmt das? In einem Beitrag vom 27. August 2018 schrieb ein ehemaliger Netcup Mitarbeiter

    2FA unterstützen wir über das CCP. In anderen Panels können Sie sich vom CCP aus via SSO mit 2FA anmelden.

    Was soll das bringen, wenn ich die fünf (!) Buchstaben und Zahlen von xxxxx.webhosting.systems in wenigen Sekunden durchprobieren kann (um nicht zu sagen dann auch noch zu Brute-Forcen, falls es noch nicht gephisht ist. Aber sowas macht ja sowieso niemand von uns...)? Klar, die 2FA im CCP ist gut, aber in meinen Augen nicht ausreichend. Safety first.

    Würde mich über eure Meinungen, Gedanken und Lösungsvorschläge freuen ;)

  • Zumindest im SCP (Servercontrolpanel) kann man den Passwort-basierten Login deaktivieren. (Das nennt sich dort "Sicherheitsmodus".) In diesem Fall ist der Login nur noch über das CCP möglich, welches sich, wie du ja geschrieben hast, mit 2FA absichern lässt.


    Vielleicht ist etwas Ähnliches im WCP auch möglich?

  • Was soll das bringen, wenn ich die fünf (!) Buchstaben und Zahlen von xxxxx.webhosting.systems in wenigen Sekunden durchprobieren kann (um nicht zu sagen dann auch noch zu Brute-Forcen, falls es noch nicht gephisht ist.

    Dann fehlt Dir aber immer noch eine gültige Kombination aus Benutzername und Passwort? Oder worauf willst Du raus? :/


    (Ich stimme Dir aber zu, dass es super wäre, wenn man den direkten Login ins Plesk Panel bei Bedarf deaktivieren könnte und nur noch übers CCP rein kommt.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Nein, das ist es ja. Ich habe alles durchforstet, kaum Einstellungsmöglichkeiten.

    Das ist alles.

  • Dann fehlt Dir aber immer noch eine gültige Kombination aus Benutzername und Passwort? Oder worauf willst Du raus? :/

    Ja, stimmt das man die Kombi braucht, aber ich denke ein Hosting könnte ein interessantes Angriffsziel sein (ich denke das dürfte klar sein). Aber: Man kann das ja auch mit Brute-Force (also Ausprobieren) knacken. Selbst mit einem sehr guten Passwort nicht zu unterschätzen. Und da würden im Idealfall sogar mehrere Faktoren schon was bringen...

  • Aber: Man kann das ja auch mit Brute-Force (also Ausprobieren) knacken. Selbst mit einem sehr guten Passwort nicht zu unterschätzen. Und da würden im Idealfall sogar mehrere Faktoren schon was bringen...

    Ich hoffe doch mal stark, dass die Komplexität aus Username und Passwort ausreicht, um bei einem solchen Angriff irgendein Rate-Limiting seitens Netcup zu triggern. Das sollte ja schon auffallen, falls da auf einmal zig Millionen Kombinationen getestet werden.


    Ansonsten: Vollste Zustimmung, 2FA all the things!

  • Ich hoffe doch mal stark, dass die Komplexität aus Username und Passwort ausreicht, um bei einem solchen Angriff irgendein Rate-Limiting seitens Netcup zu triggern. Das sollte ja schon auffallen, falls da auf einmal zig Millionen Kombinationen getestet werden.

    Stimmt schon. Solange die Anfragen nicht auf einmal kommen. Und seit dem Microsoft Fall (thezerohack.com/how-i-might-have-hacked-any-microsoft-account) ist diese Methode ja auch nicht gerade unbekannt... Hoffentlich ist das WCP/Plesk da Microsoft überlegen.

    Andres Thema: Ist 2FA noch "sicher", oder lieber z. B. Yubikey (also MFA, evtl. physisch)?

  • Stimmt schon. Solange die Anfragen nicht auf einmal kommen. Und seit dem Microsoft Fall (thezerohack.com/how-i-might-have-hacked-any-microsoft-account) ist diese Methode ja auch nicht gerade unbekannt... Hoffentlich ist das WCP/Plesk da Microsoft überlegen.

    Auch da frage ich mich, wieso das vorher niemandem aufgefallen ist. Im Falle von Netcup: Vor allem sind die fünf alphanumerischen Zeichen des Webhostings bereits >60 M Möglichkeiten und da ist ja noch kein einziges Passwort getestet worden ... Ich setze starke Hoffnungen in die Systeme von Netcup, dass solch ein Angriff detektiert werden würde :).

    Zitat

    Andres Thema: Ist 2FA noch "sicher", oder lieber z. B. Yubikey (also MFA, evtl. physisch)?

    Diese Frage verstehe ich nicht ganz. Geht es dir hier darum, ob OTP-basierte 2FA noch sicher ist? Ansonsten ist ein Yubikey mit z. B. U2F auch "nur" ein zweiter Faktor. (Bin aber Fan der Yubikeys und empfehle sie auch gerne anderen.)

  • Ja, stimmt das man die Kombi braucht, aber ich denke ein Hosting könnte ein interessantes Angriffsziel sein

    dafür gibts eine einfache und sogleich simple Lsg., setz im WCP ein Passwort mit 20 od. mehr Zeichen

    der Komplexität Groß-/Kleinbuchstaben und Ziffern (da kannst ruhig den Zufallsgenerator 'ranlassen, weil des musst Dir nicht merken);


    bei einer Länge von 20 hast da rund pasted-from-clipboard.pngMöglichkeiten;

    und sollten tatsächlich morgen Quantencomputer bei der NSA, beim KGB, bei der CIA, beim FBI, und sonstige Komikerläden auftauchen,

    die da Brute-force anlegen, werden die ihren Spaß haben,

    auch wenn die 1020 Mglkt.en/Sekunde schaffen, braucht des immer noch länger als des Paläolithikum her is¹;

    ¹ um genau zu sein: hätten die Vorfahren (= Dinosaurier) damit bekonnen, hätten sie es immer noch nicht geschafft ;)

    (aber so nebenbei a paar Mio. Tschernobyls, Fukushimas und sonst. Bruchbuden dabei hinterlassen:()


    und melde Dich künftig im WCP nur noch per SSO vom CCP an:)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Perfekte Sicherheit gibt es doch sowieso nicht :)

    doch, Passwörter unter der Tischmatte, schau ich mir an, wie Du da 'ran kommst, ohne

    die Bude zu stürmen ...:D

    soll heißen, jeder Passwortsafe im Netz is f. Hugo od. die NSA;)

    (wenn ich an 2ten Faktor brauch um an Passwortsafe aufzumachen,

    der wiederum meinen 2ten Faktor darstellt is des a Designfehler:P)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Verstehe nicht, warum deine Aussage zeigen soll, dass es perfekte Sicherheit gibt?

    sollt ein Witz gewesen sein; und der Hinweis damit gegeben sein:

    "Was Du nicht Online brauchst, lass auch Offline" bzw.

    "Was Du nicht digital brauchst, lass auch analog"

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)