Verbesserungen
Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung
weitere Rubriken
PhilosophieTräumeOrteEsoterikLiteraturAstronomieHelpdeskGruppenGamingFilmeMusikClashVerbesserungenAllmysteryEnglish
Diskussions-Übersichten
BesuchtTeilgenommenAlleNeueGeschlossenLesenswertSchlüsselwörter
Schiebe oft benutzte Tabs in die Navigationsleiste (zurücksetzen).

Zwei-Faktor-Authentifizierung

43 Beiträge ▪ Schlüsselwörter: Allmystery, Sicherheit, Passwort ▪ Abonnieren: Feed E-Mail
Ist dieser Vorschlag sinnvoll?
25
Nein
15
Ja

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:03
Zitat von neoschamaneneoschamane schrieb:funktioniert das nicht so mit den banken und diesen TANs?
Ja, MobileTAN ist vom Prinzip her gleich. Du bekommst eine einmalige TAN per SMS.

@neoschamane
Er meinte glaub ich, wenn man an einem kompromittierten PC seinen Email Account zur 2FA (manche Dienste bieten auch 2FA über Email an) nutzt.


1x zitiertmelden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:06
Zitat von FennekFennek schrieb:Er meinte glaub ich, wenn man an einem kompromittierten PC seinen Email Account zur 2FA (manche Dienste bieten auch 2FA über Email an) nutzt.
jep, desweg schrieb ich auch von a: handy und b: temporaer...

damit ist zwar mein loginpasswort fuer allmy kompromittiert, aber an das handy kommt der angreifer nicht ran und der 2te faktor ist ohnehin nur fuer die eine sitzung gueltig...


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:24
@Fennek
@neoschamane

der Grund meines Unbehagens ist, dass als Nebeneffekt die Kundendaten immer aktuell sind (Email/Handynummer).
Oder zumindest eine Emailadresse/Handynummer, die ich unterwegs abrufe/mitnehme.


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:28
@Bishamon
Nicht zwangsweise. Bei den meisten Diensten bekommst du einfach einen QR-Code angezeigt, den du mit einer Authenticator App (Google Authenticator, MS Authenticator, Authy...) scannen musst (siehe Video im EP), wozu du weder email noch Telefonnummer aktuell haben musst. Wenn du natürlich deinen Code per SMS / Email haben willst, ist das hinfällig.


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:37
Zitat von FennekFennek schrieb:Ein Fall ist: Du nutzt bei vielen Diensten das selbe Passwort. Jetzt wird einer dieser Dienste gehackt (wie die Geschichte zeigt, sind auch die Großen davor nicht sicher). Nun kann man sich mit deinem Passwort in alle deine Konten einloggen ohne weitere Hürde.
Sorry, diese Leute sind aber selber schuld.
Zitat von FennekFennek schrieb:Oder halt in deinem Betriebssystem oder so. Sprich Virus / Spyware.
Man sollte sein Gerät von Zeit zu Zeit einfach mal überprüfen.

Man kann doch nicht jedem die Patschepfötchen halten.


Und da dein Vorschlag für alle User optional ist, wird er wohl denen, die ihn bräuchten nichts nutzen. Ich gehe nämlich nicht davon aus, dass die das Häkchen setzen.



Persönlich wäre ich dagegen aber da du es, wie gesagt, optional hältst, enthalte ich mich.


1x zitiertmelden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:40
Zitat von KFBKFB schrieb:Persönlich wäre ich dagegen
begruenden kannst die ablehnung auch?


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:40
@neoschamane
Habe ich bereits.


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:43
@KFB
Nunja, ich persönlich treffe auch viele Sicherheitsvorkehrungen und pflege meine Passwortsicherheit, aber nutze trotzdem wenn möglich 2FA. Einfach "für den Fall, dass". Spätestens bei einem Hack des Servers ist es nämlich nicht mehr die Leichtsinnigkeit des Users. Und da greift die 2FA wunderbar.


2x zitiertmelden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:44
Zitat von FennekFennek schrieb:Nunja, ich persönlich treffe auch viele Sicherheitsvorkehrungen und pflege meine Passwortsicherheit, aber nutze trotzdem wenn möglich 2FA. Einfach "für den Fall, dass". Spätestens bei einem Hack des Servers ist es nämlich nicht mehr die Leichtsinnigkeit des Users. Und da greift die 2FA wunderbar.
soweit "blickt" doch heutzutage kaum einer mehr;)


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:48
@Fennek
Okay, das ist ein Argument aber wie oft ist das speziell hier schon passiert? Wenn man seine Passwörter auch regelmäßig ändert, verringert man sein Risiko.


Und darüber hinaus sollte man ein einem solchen Forum möglichst wenig rückverfolgbares hinterlegen, das fängt bei der E-Mail an.



Missversteh mich nicht, ich sehe deinen Punkt aber 2FA und ich werden keine Freunde mehr ;)


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 12:51
Zitat von FennekFennek schrieb: Spätestens bei einem Hack des Servers ist es nämlich nicht mehr die Leichtsinnigkeit des Users.
wenn der password-hash gesalzen und nicht grad mit md5 (md5 rainbow table) errechnet worden ist, reicht ein Dump der Datenbank nicht. Hat der Hacker mehr als die DB, ist es eh schon zu spät.


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 13:03
@Bishamon
Es muss ja nicht mal direkt das Kapern der Datenbank sein, sondern es reicht eine Schwachstelle auf teilen des Servers (ich denke da z.B. an Heartbleed), mit der u.a. Passwörter abgefangen werden können.
What leaks in practice?

We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.
http://heartbleed.com/

Was ich damit sagen will:
Es muss nie etwas passieren. Es kann sein, dass ich mir die Mühe mit 2FA immer umsonst mache. Aber wenn es doch mal so weit ist, bin ich froh, sie zu haben.


1x zitiertmelden

Zwei-Faktor-Authentifizierung

26.06.2018 um 13:06
Zitat von FennekFennek schrieb:wenn es doch mal so weit ist, bin ich froh, sie zu haben.
ich hab auf ja geklickt. wer es haben will .... :)


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 13:07
@Fennek
Allgemeine Frage: Ab wieviel Zuspruch wird Dennis eigentlich tätig?


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 13:51
@KFB
Grundsätzlich gibt es keine Menge an Zuspruch, die ihn dazu verpflichtet, zu handeln. Also eine Idee, die komplett seinen Werten widerspricht wird auch bei noch so viel Zuspruch nicht umgesetzt.
Ebenso steht es ihm auch frei, eine Idee umzusetzen, die nicht mehrheitlich Zuspruch gefunden hat, wenn sie ihm gefällt.

Grundsätzlich ist es aber so, dass er sich Ideen mit "mehrheitlichem Zuspruch" schon ansehen wird und die Machbarkeit überdenken wird.


1x zitiertmelden

Zwei-Faktor-Authentifizierung

26.06.2018 um 14:06
Finde das mehr als übertrieben, bei jedem Anmelden erst noch auf eine Mail warten? Denke nicht, das DNS hier jedem extra eine SMS mit KEY senden wird.

Also, das NEIN kommt von mir. Wobei es mir am Ende Banane ist, wenn es für mich so bleibt wie es ist kann man es gerne für jene die es wollen machen wie auch immer, von mir aus mit persönlichem Vorstellen und Abholen einer TAN in Hongkong ... ;)


3x zitiertmelden

Zwei-Faktor-Authentifizierung

26.06.2018 um 14:12
Zitat von nocheinPoetnocheinPoet schrieb:wenn es für mich
was verstehst Du an "optional" nicht?
Zitat von nocheinPoetnocheinPoet schrieb:von mir aus mit persönlichem Vorstellen und Abholen einer TAN in Hongkong
absolut ueberfluessig.


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 14:45
Zitat von FennekFennek schrieb:die ihn dazu verpflichtet
Mir ging's eher darum, ab wann er aufmerksam wird. Von einer Verpflichtung sprach ich nie. Und mir ist auch bewusst, das Aufmerksamkeit nicht gleich Umsetzung bedeutet.


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 14:46
@neoschamane

Habe es schon verstanden, nur noch mal explizit betont ... ;)


melden

Zwei-Faktor-Authentifizierung

26.06.2018 um 16:19
Zitat von nocheinPoetnocheinPoet schrieb:Finde das mehr als übertrieben, bei jedem Anmelden erst noch auf eine Mail warten? Denke nicht, das DNS hier jedem extra eine SMS mit KEY senden wird.
Es gibt ja immer noch die Methode, einen mobile Authenticator zu nutzen. Den schmeiß ich immer schon an, während ich mich im Browser anmelde. Dann habe ich den Code schon zur Hand, wenn ich bei der Anmeldung am Punkt bin, wo ich ihn eingeben muss.

Die Implementierung davon geht sogar anscheinend recht easy über PHP:
https://medium.com/@richb_/easy-two-factor-authentication-2fa-with-google-authenticator-php-108388a1ea23

Wenn man sich natürlich für Mail oder SMS entscheidet, dauert es dementsprechend länger.


melden