Zwei-Faktor-Authentifizierung

Als Freund der Sicherheit schlage ich eine (für alle User optionale) Zwei-Faktor-Authentifizierung vor.

Zwei-Faktor-Authentifizierung (kurz 2FA) beeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten.
Hier muss man (sofern die Option aktiviert ist) neben dem Passwort auch noch einen generierten Code zum Login eingeben.
https://de.wikipedia.org/wiki/Zwei-Faktor-Authentifizierung

https://www.youtube.com/watch?v=GnfpWnojSG4 (Video: 2-Faktor Authentifizierung mit Authy)

In der gängigen Praxis sieht das so aus:
Den einen Faktor bilden die Kombination aus Username / Email + Passwort.
Den zweiten Faktor bildet ein meist 6-stelliger Code, den man über unterschiedliche Wege erhalten kann. Unter anderem per SMS, Mail, eine mobile Authenticator App wie Google Authenticator, über die Allmy-App, wenn man dort angemeldet ist - Dies sind gängige Methoden der 2FA.

Dies hat zur Folge, dass einem potenziellen Eindringling, um an euren Account zu kommen, euer Passwort alleine nicht reich. Er muss zudem auch noch Zugriff auf die zugehörige Quelle eures Codes (meist Smartphone/Handynummer oder Email Account) haben, was den unberechtigten Zugriff deutlich erschwert.

Zwei-Faktor-Authentifizierung ist mittlerweile auf vielen Internetportalen Standard.

Auch wenn auf Allmy jetzt keine wichtigen Informationen wie Kreditkarte etc. hinterlegt sind, halte ich das für eine sinnvolle Sicherheitsmaßnahme und auch einen guten Weg, den Sicherheitssinn der Userschaft etwas zu verbessern.

Das Feature soll für alle User optional sein und niemand soll dazu gezwungen werden (auch wenn ich enen Hinweis auf dieses Sicherheitsfeature für sehr sinnvoll halte)

Fennek schrieb:den Sicherheitssinn der Userschaft etwas zu verbessern

hat doch niemand was zu verbergen, oder?
abgesehen davon ist das dem normalverbraucher wohl zu "komplex", moechte nicht wissen wieviele ueberhaupt verschiedene passwoerter fuer verschiedene dienste benutzen...

aber guter vorschlag und von mir natuerlich zustimmung(ja)

Fennek schrieb:um an euren Account zu kommen, euer Passwort alleine nicht reich

wie sollte jemand an mein password kommen?

Kannst du mir ein Beispiel konstruieren (Handy verloren, gemeinsame/multi-user Nutzung von Laptop/Tab, ...), in dem mir das hilft?

Bishamon schrieb:wie sollte jemand an mein password kommen?

nunja,...

je nach passwort/user, kann das sehr einfach sein...

Bishamon schrieb:Kannst du mir ein Beispiel konstruieren (Handy verloren, gemeinsame Nutzung von Laptop/Tab, ...), in dem mir das hilft?

das verstehe ich nicht ganz, und was ist "Tab"?

neoschamane schrieb:"Tab"

Tablett

neoschamane schrieb:je nach passwort/user, kann das sehr einfach sein...

Die Versuchsmöglichkeiten sind doch beschränkt? Glaube mich zu erinnern, dass die fehlgeschlagenen Versuche auch dem eigentlichen User angezeigt werden ....

Bishamon schrieb:Die Versuchsmöglichkeiten sind doch beschränkt? Glaube mich zu erinnern, dass die fehlgeschlagenen Versuche auch dem eigentlichen User angezeigt werden ....

es gibt so viele "angriffsszenarien"(angriffsvektoren)....

stichwort z.b.: Social Engineering

Wikipedia: Social Engineering (Sicherheit)

@Bishamon
Ein Fall ist: Du nutzt bei vielen Diensten das selbe Passwort. Jetzt wird einer dieser Dienste gehackt (wie die Geschichte zeigt, sind auch die Großen davor nicht sicher). Nun kann man sich mit deinem Passwort in alle deine Konten einloggen ohne weitere Hürde.

Ein weiterer Fall: Du nutzt einen öffentlichen PC / jemand nurtzt deinen PC / Du surfst in einem öffentlichen bzw. unbekannten WLAN. Da lässt sich dein Passwort in vielen Fällen einfach auslesen.

neoschamane schrieb:Social Engineering

ich teile mit niemanden meine Zahnbürste und mein passwords

mein passwords haben nichts mit meinen Hobbies, meinem Geburtstag und dem Namen meines Hundes zu tun.

Bishamon schrieb:mein passwords haben nichts mit meinen Hobbies, meinem Geburtstag und dem Namen meines Hundes zu tun.

aber so geht es schon los;)
Du faengst schon an mir ev. relevante daten zu verraten, eben was Du nicht _verwendest_...

in der informatik spricht man da von "suchraeumen", und der ansatz ist diese mal einzuschraenken(kleiner zu machen)

mit zwei faktor auth. vergroessert man den suchraum....

vorweg: solange das optional bleibt, hast du meine Stimme.

Fennek schrieb:Du nutzt bei vielen Diensten das selbe Passwort

verwende ich nicht.

Fennek schrieb:Du nutzt einen öffentlichen PC

mache ich nicht, da ich nicht weiß, ob ein Keylogger läuft.

Fennek schrieb: Da lässt sich dein Passwort in vielen Fällen einfach auslesen.

läuft doch über https ?

Bishamon schrieb:heute um 11:46
vorweg: solange das optional bleibt, hast du meine Stimme.
Fennek schrieb:
Du nutzt bei vielen Diensten das selbe Passwort
verwende ich nicht.
Fennek schrieb:
Du nutzt einen öffentlichen PC
mache ich nicht, da ich nicht weiß, ob ein Keylogger läuft.
Fennek schrieb:
Da lässt sich dein Passwort in vielen Fällen einfach auslesen.

https greift erst bei der uebermittlung und dient dazu "Man in the middle" angriffe abzuwehren, es hilft dir aber nichts wenn die daten schon VOR dem senden abgegriffen werden...

neoschamane schrieb:es hilft dir aber nichts wenn die daten schon VOR dem senden abgegriffen werden...

dazu müsste aber auf meinen Geräten ein keylogger zu sein.
oder ein programm, dass sich in meinen Browser hängt.

?

Bishamon schrieb:oder ein programm, dass sich in meinen Browser hängt.

Oder halt in deinem Betriebssystem oder so. Sprich Virus / Spyware.

Ich meine, ich merke grundsätzlich schon, dass du ein grundlegendes Sicherheitsverständnis hast. Ich will dir auch nicht aufzwängen, dass du das nutzen sollst. In deinem Fall wär es halt mehr ein doppelter Boden "für den Fall, dass".

Bishamon schrieb:dazu müsste aber auf meinen Geräten ein keylogger zu sein.
oder ein programm, dass sich in meinen Browser hängt.

ich haette schon ein problem wenn ein closed source OS laufen wuerde;)
aber konkret ging es ja um oeffentlichen pc, den Du eh nicht verwendest...

ist mal die maschine selbst kompromittiert ist es eh zu spaet...

neoschamane schrieb:aber konkret ging es ja um oeffentlichen pc,

bei einer zusätzlichen email-authentifizierung, hätter der Keylogger gleich beide Zugänge.

Dann hat man das Problem sogar verschlechtert.

@Bishamon

Bishamon schrieb:bei einer zusätzlichen email-authentifizierung, hätter der Keylogger gleich beide Zugänge.

Deshalb hat man ja auch eine 2FA für seinen Mail Account ;)

Bishamon schrieb:bei einer zusätzlichen email-authentifizierung, hätter der Keylogger gleich beide zugänge.

wenn der zweite faktor temporaer ist und z.b via handy uebermittel wird, ist das problem aber eingeschraenkt...

funktioniert das nicht so mit den banken und diesen TANs?

neoschamane schrieb:TANs

ein Tan verliert nach der ersten Verwendung seine Gültigkeit.

Email-Adresse und Password nicht.

Bishamon schrieb:ein Tan verliert nach der ersten Verwendung seine Gültigkeit.

das meinte ich mit temporaer...