Zwei-Faktor-Authentifizierung

neoschamane schrieb:funktioniert das nicht so mit den banken und diesen TANs?

Ja, MobileTAN ist vom Prinzip her gleich. Du bekommst eine einmalige TAN per SMS.

@neoschamane
Er meinte glaub ich, wenn man an einem kompromittierten PC seinen Email Account zur 2FA (manche Dienste bieten auch 2FA über Email an) nutzt.

Fennek schrieb:Er meinte glaub ich, wenn man an einem kompromittierten PC seinen Email Account zur 2FA (manche Dienste bieten auch 2FA über Email an) nutzt.

jep, desweg schrieb ich auch von a: handy und b: temporaer...

damit ist zwar mein loginpasswort fuer allmy kompromittiert, aber an das handy kommt der angreifer nicht ran und der 2te faktor ist ohnehin nur fuer die eine sitzung gueltig...

@Fennek
@neoschamane

der Grund meines Unbehagens ist, dass als Nebeneffekt die Kundendaten immer aktuell sind (Email/Handynummer).
Oder zumindest eine Emailadresse/Handynummer, die ich unterwegs abrufe/mitnehme.

@Bishamon
Nicht zwangsweise. Bei den meisten Diensten bekommst du einfach einen QR-Code angezeigt, den du mit einer Authenticator App (Google Authenticator, MS Authenticator, Authy...) scannen musst (siehe Video im EP), wozu du weder email noch Telefonnummer aktuell haben musst. Wenn du natürlich deinen Code per SMS / Email haben willst, ist das hinfällig.

Fennek schrieb:Ein Fall ist: Du nutzt bei vielen Diensten das selbe Passwort. Jetzt wird einer dieser Dienste gehackt (wie die Geschichte zeigt, sind auch die Großen davor nicht sicher). Nun kann man sich mit deinem Passwort in alle deine Konten einloggen ohne weitere Hürde.

Sorry, diese Leute sind aber selber schuld.

Fennek schrieb:Oder halt in deinem Betriebssystem oder so. Sprich Virus / Spyware.

Man sollte sein Gerät von Zeit zu Zeit einfach mal überprüfen.

Man kann doch nicht jedem die Patschepfötchen halten.


Und da dein Vorschlag für alle User optional ist, wird er wohl denen, die ihn bräuchten nichts nutzen. Ich gehe nämlich nicht davon aus, dass die das Häkchen setzen.



Persönlich wäre ich dagegen aber da du es, wie gesagt, optional hältst, enthalte ich mich.

KFB schrieb:Persönlich wäre ich dagegen

begruenden kannst die ablehnung auch?

@neoschamane
Habe ich bereits.

@KFB
Nunja, ich persönlich treffe auch viele Sicherheitsvorkehrungen und pflege meine Passwortsicherheit, aber nutze trotzdem wenn möglich 2FA. Einfach "für den Fall, dass". Spätestens bei einem Hack des Servers ist es nämlich nicht mehr die Leichtsinnigkeit des Users. Und da greift die 2FA wunderbar.

Fennek schrieb:Nunja, ich persönlich treffe auch viele Sicherheitsvorkehrungen und pflege meine Passwortsicherheit, aber nutze trotzdem wenn möglich 2FA. Einfach "für den Fall, dass". Spätestens bei einem Hack des Servers ist es nämlich nicht mehr die Leichtsinnigkeit des Users. Und da greift die 2FA wunderbar.

soweit "blickt" doch heutzutage kaum einer mehr;)

@Fennek
Okay, das ist ein Argument aber wie oft ist das speziell hier schon passiert? Wenn man seine Passwörter auch regelmäßig ändert, verringert man sein Risiko.


Und darüber hinaus sollte man ein einem solchen Forum möglichst wenig rückverfolgbares hinterlegen, das fängt bei der E-Mail an.



Missversteh mich nicht, ich sehe deinen Punkt aber 2FA und ich werden keine Freunde mehr ;)

Fennek schrieb: Spätestens bei einem Hack des Servers ist es nämlich nicht mehr die Leichtsinnigkeit des Users.

wenn der password-hash gesalzen und nicht grad mit md5 (md5 rainbow table) errechnet worden ist, reicht ein Dump der Datenbank nicht. Hat der Hacker mehr als die DB, ist es eh schon zu spät.

@Bishamon
Es muss ja nicht mal direkt das Kapern der Datenbank sein, sondern es reicht eine Schwachstelle auf teilen des Servers (ich denke da z.B. an Heartbleed), mit der u.a. Passwörter abgefangen werden können.

What leaks in practice?

We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.

http://heartbleed.com/

Was ich damit sagen will:
Es muss nie etwas passieren. Es kann sein, dass ich mir die Mühe mit 2FA immer umsonst mache. Aber wenn es doch mal so weit ist, bin ich froh, sie zu haben.

Fennek schrieb:wenn es doch mal so weit ist, bin ich froh, sie zu haben.

ich hab auf ja geklickt. wer es haben will .... :)

@Fennek
Allgemeine Frage: Ab wieviel Zuspruch wird Dennis eigentlich tätig?

@KFB
Grundsätzlich gibt es keine Menge an Zuspruch, die ihn dazu verpflichtet, zu handeln. Also eine Idee, die komplett seinen Werten widerspricht wird auch bei noch so viel Zuspruch nicht umgesetzt.
Ebenso steht es ihm auch frei, eine Idee umzusetzen, die nicht mehrheitlich Zuspruch gefunden hat, wenn sie ihm gefällt.

Grundsätzlich ist es aber so, dass er sich Ideen mit "mehrheitlichem Zuspruch" schon ansehen wird und die Machbarkeit überdenken wird.

Finde das mehr als übertrieben, bei jedem Anmelden erst noch auf eine Mail warten? Denke nicht, das DNS hier jedem extra eine SMS mit KEY senden wird.

Also, das NEIN kommt von mir. Wobei es mir am Ende Banane ist, wenn es für mich so bleibt wie es ist kann man es gerne für jene die es wollen machen wie auch immer, von mir aus mit persönlichem Vorstellen und Abholen einer TAN in Hongkong ... ;)

nocheinPoet schrieb:wenn es für mich

was verstehst Du an "optional" nicht?

nocheinPoet schrieb:von mir aus mit persönlichem Vorstellen und Abholen einer TAN in Hongkong

absolut ueberfluessig.

Fennek schrieb:die ihn dazu verpflichtet

Mir ging's eher darum, ab wann er aufmerksam wird. Von einer Verpflichtung sprach ich nie. Und mir ist auch bewusst, das Aufmerksamkeit nicht gleich Umsetzung bedeutet.

@neoschamane

Habe es schon verstanden, nur noch mal explizit betont ... ;)

nocheinPoet schrieb:Finde das mehr als übertrieben, bei jedem Anmelden erst noch auf eine Mail warten? Denke nicht, das DNS hier jedem extra eine SMS mit KEY senden wird.

Es gibt ja immer noch die Methode, einen mobile Authenticator zu nutzen. Den schmeiß ich immer schon an, während ich mich im Browser anmelde. Dann habe ich den Code schon zur Hand, wenn ich bei der Anmeldung am Punkt bin, wo ich ihn eingeben muss.

Die Implementierung davon geht sogar anscheinend recht easy über PHP:
https://medium.com/@richb_/easy-two-factor-authentication-2fa-with-google-authenticator-php-108388a1ea23

Wenn man sich natürlich für Mail oder SMS entscheidet, dauert es dementsprechend länger.