Ja, das SIP-Konto ist auch in einem fremden WLAN nicht das Problem.
Du liegst nicht generell falsch.
Daher bedürfte es keiner Korrektur. Aber auch wenn es Offtopic ist, möchte ich ein paar Dinge wieder verrücken.
Wenn man etwas nicht weiß, ist man kein
Einfaltspinsel schon gar nicht in der Informatik, wo quasi alles ein Hirngespinst eines anderen Menschen ist. Also etwas in der Informatik nicht zu wissen, ist keinerlei Schande. Auch der Spruch „Wer nicht fragt bleibt dumm“ passt in der Informatik nur schwer, weil man oft gar nicht weiß, dass man fragen sollte. Daher alles gut. Zurück zu Deiner Frage:
Man braucht
nicht mal Man-in-the-Middle (
MitM) zu sein, um ein Telefon-Gespräch (also den
Inhalt) komplett mitzulauschen. Ein rein
passives Lauschen – z.B. ein Spiegeln bzw. Paket-Mitschnitt – reicht aus, um zu hören was Du telefonierst und zu sehen mit wem Du telefonierst. Aber Deine Einwahl-Daten (
Konto) bleiben sicher. Man sieht zwar auch Deinen Benutzernamen und bei wem Du Dich anmeldest, aber das Passwort wird nicht im Klartext übertragen. Weil bei SIP auch kein Downgrade auf Klartext-Passwort erlaubt = nicht möglich ist, kann selbst ein
aktiver Angreifer (z.B. MitM) nichts ausrichten. Das war bei älteren Internet-Protokollen aus den 90er und 80er Jahren noch anders z.B. E-Mail: Damit war ein Downgrade auf Klartext möglich und es war daher gegen einen aktiven Angreifer nicht gewappnet. Um so mehr brachte bei E-Mail der Zwang von TLS. Aber durch den Zwang auf Digest-Auth in SIP ist Dein Konto sicher† – solange Du ein ausreichend starkes Passwort hast (Entropie) und man das Passwort nicht anders bekommt; siehe oben.
Soviel zum
Konto. Wenn Du zusätzlich Deine
Inhalte schützen willst, dann wird es Zeit für VPN oder SIP-over-TLS/SDES-sRTP oder … und so weiter. Anders formuliert: Bist Du in einem fremden Netz, solltest Du überlegen – wie bei Politik und Militär üblich –, ob Du alles besprechen musst. Allerdings muss Politik und Militär auch von einem Angreifer außerhalb unseres Rechtsrahmens ausgehen (kümmern sich nicht um das Fernmelde-Geheimnis). Eigentlich müsstest Du Dich als Bürger nur dann darum kümmern, wenn Du besonders gefährdet bist. Und hier wird es spannend, weil aktuell unsere Grundrechte dadurch ausgehebelt werden, weil unsere Legislative glaubt, sie dürfe Ergebnisse von Angreifern außerhalb unseres Rechtsrahmens
übernehmen … deswegen, wird auch
Hinz und Kunz indirekt überwacht. Deswegen habe ich mich entschieden, bei mir alles zu verschlüsseln. Also auch die Inhalte. Aber das ist ein ganz anderes Thema – der
Inhalt –, hat nichts mehr mit der original Frage dieses Threads zu tun; und kann jeder für sich entscheiden. Hier in der Frage ging es um das
Konto.
† Theoretisch könnte ein Angreifer Dein Passwort erraten und schon nach wenigen Versuchen Glück gehabt haben. Hier arbeitet die Informatik allein mit Wahrscheinlichkeiten. Die Wahrscheinlichkeit ist so gering, dass sich ein Angreifer andere Ziele sucht. Als sicher gilt etwas, wenn man alle Menschen und Computer zusammenschließt und diese Dein Menschen-Leben lang rechnen müssten, um das Geheimnis zu knacken.
