Die Nutzung von 2FA/MFA erhöht Deine Sicherheit.

1. offizieller Beitrag

    > Die Nutzung von 2FA/MFA erhöht Deine Sicherheit.


    Sehe ich bei/nach einem Login.


    2FA: kann, will ich nicht. Handy weg alles weg. Wenn 2FA nicht einmal zwei oder mehrere Geräte (z.b. bei github.com) akzeptiert dann ist das Zeug, die Rechenleistung und den Stromverbrauch, den es dafür brauch, nicht Wert! :)


    Ehrlich jetzt!


    Denn es macht keinen Sinn wenn ich als Mensch (Vergesslich) mal nicht meinen 500g schweren oder mittlerweile DIN A5 grossen Beton Klotz namens Smartphone dabei habe, muss aber irgendwie etwas machen und komme nicht weiter weil die 'Sicherheit' für den Token zuhause oder beim Dieb liegt.

    Es ist schlicht Sinnlos und nur gut gemeint.


    Früher hatte ich immer einen Dongel am Schlüsselbund mit Tokens. Besser, aber auch den vergisst man.


    Frage: Wie geht es besser?


    VG Florian

    Community Doks: https://vdr-projects.github.io/


    Das Konzept ein tragbares, leicht stehlbares Gerät mit fragwürdiger Software darauf als Authentifizierungsmerkmal zu verwenden, verstehe ich auch nicht wirklich.


    Das Handy ist aber nicht der Faktor zur Authentifizierung, sondern ein darauf gespeicherter Code(Token). Aus diesem wird das einzugebende OneTimePasswort generiert.

    Der Token wird gerne per QR-Code übertragen, kann aber auch eingetippt werden und lässt sich deshalb auch als Zeichenfolge anzeigen (meist automatisch unterhalb des QR-Codes) .


    Niemand hindert einen diesen Code zu notieren, oder auf beliebig viele Geräte zu kopieren. Damit sind die Geräte quasi identisch und vom Gegenüber nicht unterscheidbar.

    Wichtig ist halt, dass der Code(Token) nicht in die falschen Hände fällt.

    Das gilt aber auch für das Handy selbst und meinen Desktop-Computer sieht man mir nicht so schnell unbemerkt aus der Hosentaschen ;) .


    Die Generierung des OPT-Codes ist standardisiert, da gibt es auch Tools für Linux, sogar für die Konsole.

    Use oathtool Linux command line for 2 step verification (2FA)

    In dem Beispiel wird noch pgp verwendet um die Tokens verschlüsselt auf der Platte zu lagern.

    Ich habe mir auf der Basis noch ein Skript zusammen gebastelt, damit das bequem bedienbar wird.


    Wenn es ein Dongle sein soll, die fido2-Dongele sollen dank Passkey inzwischen auch Backup-fähig = kopierbar sein.

    Die Entwicklung von Passkey ist recht neu, früher ging das nicht, daher habe ich noch keine Erfahrung damit gemacht.


    Eine nicht Backup-fähige Lösung kommt für mich auch nicht in Frage, da die Scherereien bei einem Hardware-Defekt sonst immens sind. Der Sicherheitsgewinn ist aber eher überschaubar.

    Das Risiko, dass einem das Original gestohlen wird, wird immer am höchsten sein, sei es nun ein Handy oder Dongle.

    Gruss
    SHF


    Gefällt mir 1

    Mir ist das ehrlich gesagt auch ein Dorn im Auge.


    Ist ja gut gemeint. Klar ist ein Passwort im Prinzip ein Riskofaktor. Aber eigentlich hoffe ich schon seit Jahren das endlich mal jemand diese lästigen Passwörter ablöst. Ich hab immer mal verglichen, aber bis heute keinen Passwort-Manager gefunden dem ich wirklich vertrauen wollte. So läuft es bei mir eigentlich so, dass ich versuche für alles je ein anderes Passwort zu haben und die so auslege das man sie im Kopf behalten kann.


    Für "wichtige Dienste" hab ich tatsächlich 2FA im Einsatz. Das sind aber im Wesentlichen Dienste die irgendwie etwas mit Geld zu tun haben. Bank, Amazon, eBay, PayPal, ... Wenn ich den Aufwand mit jeden X-beliebigen Forum jetzt auch noch treibe, dann kann ich diesem Chaos gar nicht mehr Herr werden.


    Und was mir bei dem ganzen 2FA-Kram bisschen Angst macht, ist, dass die Anbieter dann üblicherweise sagen: Zweiten Faktor verloren und wir können dir nicht mehr helfen. Account weg und gut. Alleine schon deshalb sehe ich von 2FA eher ab, denn gerade bei den "weniger wichtigen" Diensten ist es eigentlich eher die Regel das ich nach X Monaten das Passwort dann vergessen habe und mir ein neues zusenden lassen muss.

    Ich weiß nicht genau, wo diese Diskussion herkommt, aber hier ein paar Anmerkungen.


    Bei guten Diensten kann man mehr als einen Authenticator registrieren, "Handy weg, alles weg" gilt so also nicht. Alternativ kann man den Init-Code in mehrere Authenticator-Apps auf verschiedenen Geräten eintragen, die erzeugen dann die gleichen TOTP.

    Ansonsten sollte ein Dienst sowas wie Recovery Codes anbieten, also alternative OTPs.


    Und man kann seinen eigenen Generator hosten: https://docs.2fauth.app/


    Passkeys sind auch interessant, aber noch besser gefällt mir FIDO2 mit Hardware-Token, aber mindestens zwei, besser drei, die man unterschiedlich lagert. Das hat auch den Vorteil, dass man ein verlorenes Token aus den Accounts entfernen kann, so dass es keinen Zugriff mehr hat.


    Lars

  • fnu

    Hat das Thema geschlossen.
    • Offizieller Beitrag

    Vielen Dank mini73 , ist mir auch ein Rätsel wo wieder so eine Diskussion basierend auf gefährlichem Halbwissen herkommt.


    2FA mit Einmalcodes wird weltweit nachweislich als Sicherheitsplus für alle Nutzeranwendungen im WWW angesehen, aus wirklich gutem Grund. Ich bin sehr froh das unser vdr-portal.de diese Option seit einiger Zeit nun endlich auch bietet, inkl. verschiedenster Optionen:



    Es ist überhaupt kein Komfortverlußt sich einen Code eben vom Smartphone abzuschreiben, das Ding hat man doch so oder so immer an der Frau, am Mann. Es ist dazu möglich jeden Browser/Session seiner Wahl als sicher zu markieren ohne das erneut ein Code abgefragt werden würde. Es gibt soviele Lösungen für den 2. Faktor, je nach persönlichen Vorlieben, keine Lösung ist vorgeschrieben. Und ein Wechsel der Lösung ist Dank der Einmalcodes auch kein Problem.


    Bei uns im IT Geschäft sind 2FA Lösungen permanent zugegen, werden oft mehrmals am Tag abgefragt und ich hatte in den vielen Jahren noch nie ein Problem eine App zu wechseln oder eine App von einem Alten auf eine neues Gerät umzuziehen.


    Aber was mich am meisten stört an der Diskussion um des Kaisers Bart hier, niemand wird gezwungen 2FA im vdr-portal.de einzusetzen! Jeder kann diese einmalige Meldung ausschalten, für jede separate Session nötig, sie kommt dann auch nicht wieder.


    Ich schaue mir nun an in welche Richtung die Diskussion hier geht, aber wenn Ihr Langeweile habt, findet sich sicher Besseres um Eure Zeit sinnvoll zu investieren. Jeder von Euch ist persönlich für seine Zugangssicherheit hier verantwortlich.

    HowTo: APT pinning

    Einmal editiert, zuletzt von fnu ()

    Gefällt mir 4

  • fnu

    Hat das Thema geöffnet.

    Das Thema ist aufgekommen weil (einige?) Benutzer eine Meldung erhalten haben. Ja, die verschwindet nach dem ersten Klicken wohl dauerhaft. Also nicht weiter schlimm.


    Aber mich würde doch mal ein technischer Aspekt dieser TOTP Tokens interessieren. Zumindest bei GitHub kann ich mir diese Zeichenfolgen (Seed?) beliebig oft anschauen oder speichern. Entsprechend muss das ja im Klartext gespeichert sein.


    Nehmen wir an es wäre hier im Forum auch so (Tokens im Klartext gespeichert). Wie würde das dann gehandhabt falls jemand die Datenbank klauen würde? Ist dann nicht 2FA auf einmal wirkungslos weil der "Daten-Dieb" nun auch für alle Konten die OTPs erzeugen kann?


    Dagegen: Passwörter werden heute meist als "Salted Hash" gespeichert. Selbst wenn jemand diese Hashes klaut kennt er die Passwörter nicht. Und da jedes einzelne Passwort einen anderen Salt hat müsste jedes einzelne Passwort individuell via Brute Force geknackt werden.


    mini73 Hab ich auch gesehen. Bin über Heise drauf gekommen. Allerdings liegen dort letztlich auch die Tokens alle im Klartext. Keine Ahnung wie schlau es ist nun auf Shared-Hosting sowas selber zu hosten.

    M-Reimer ja, irgendwo muss sowas gespeichert werden, dein SSH-Key liegt so gesehen auch im Klartext auf deiner Platte. Deshalb ist mein größter Favorit ja auch ein USB-Dongle. Ich habe die "große" Variante, die nicht nur FIDO2 kann, sondern auch meinen SSH-Key speichern kann. Damit liegt der nirgendwo erreichbar herum.


    Was den Seed für die TOTP betrifft, da habe ich nicht genug Wissen, wie das läuft. Ich gehe aber davon aus, dass diese bei GitHub zumindest mit deinem Passwort verschlüsselt gespeichert werden (wie dein SSH-Key zu Hause). Was die Forumssoftware macht, weiß ich nicht.


    (Jetzt habe ich auch verstanden, dass es um eine Meldung hier im Forum geht. Hatte ich irgendwie überlesen. Für mich sah es so aus, als ob aus einem anderen Thread etwas ausgeschnitten wurde. Mein Fehler.)


    Lars

    • Offizieller Beitrag
    Zitat von M-Reimer

    Zumindest bei GitHub kann ich mir diese Zeichenfolgen (Seed?) beliebig oft anschauen oder speichern. Entsprechend muss das ja im Klartext gespeichert sein.

    Zu diesem Zeitpunkt ist diese Zeichenfolge schon nicht mehr gültig, die OTP sind doch nur 60sek einmalig zur Verifikation Deiner Authenfizierung gültig.


    Zitat von M-Reimer

    Ist dann nicht 2FA auf einmal wirkungslos weil der "Daten-Dieb" nun auch für alle Konten die OTPs erzeugen kann?

    Nein, weil dem Dieb ja die Gegenseite, die OTP App, fehlt ... glaubt hier wirklich jemand das Verfahren wäre so leicht auszuhebeln? Würde es dann von IT Sicherheitsexperten weltweit empfohlen?


    Aber klar, eines ist sicher, eine absolute Sicherheit gibt es nie, aber man kann mit 2FA diese Risiken weiter reduzieren. Leben muss jeder die Sicherheit dann auch selbst.


    Hab mal eine der verfügbaren Erklärung rausgesucht, wahlfrei:


    2FA: Zwei-Faktor-Authentifizierung mit TOTP - IT Security Blog

    ...

    HowTo: APT pinning

    4 Mal editiert, zuletzt von fnu ()

    Gefällt mir 1

    Ich glaube, das hast Du falsch verstanden. Es ging um den Seed, also den „Startwert“ für die TOTP-Berechnung. Damit der Server Deinen TOTP prüfen kann, muß er ja mit demselben Startwert „nachrechnen“, also muß der irgendwo gespeichert sein, und ist somit „abgreifbar“, wenn man die DB klaut.


    Nachtrag: im verlinkten Artikel wird diesbezüglich vom Secret-Key gesprochen.


    „Der für jeden User einmalige Secret-Key muss sicher gespeichert werden.“

    • Offizieller Beitrag

    Erinnerte mich an ein einem Heise Artikel, den ich vor nicht allzulanger Zeit dazu gelesen hatte:


    Erwartete Angriffswelle auf Zwei-Faktor-Authentifizierung & wie man sich schützt
    Sobald eine IT-Sicherheitsmaßnahme weitverbreitet ist, hebeln Cyberkriminelle sie systematisch aus. Das gilt auch für die Zwei-Faktor-Authentifizierung (2FA).
    www.heise.de

    HowTo: APT pinning

    Zitat von fnu

    Aber was mich am meisten stört an der Diskussion um des Kaisers Bart hier, niemand wird gezwungen 2FA im vdr-portal.de einzusetzen!

    Diskussion? Hab ich was verpasst?

    Für mich war es lediglich eine Frage bezüglich der Alternativen zum angebotenen 2FA-Verfahren.

    Zwar vielleicht etwas provokant formuliert, doch trifft sie im Kern ganz gut, was viele von der Nutzung abschreckt.


    Das es auch ohne Handy und eine ganz spezielle App geht, sondern die Erzeugung der OTPs standardisiert ist, ist den meisten Menschen nicht bekannt! (Und war es, bis ich mich mit dem Thema beschäftigen musste, mir übrigens auch nicht.)

    In den üblichen Medien wird immer "diese eine" App genannt und sonst nichts. Man muss schon explizit nach Alternativen suchen, um dann festzustellen, dass es doch einige gibt.

    Jemandem der sich beruflich täglich mit dem Thema täglich auseinandersetzt, ist das natürlich längst bekannt, der Allgemeinheit aber nicht unbedingt.


    Das Beispiel, wie es mit Linux-Bordmitteln geht, ist soweit fachlich auch korrekt und für die gewünschte Anwendung ausreichend sicher, denke ich.

    (Sollte ich da was übersehen haben, bitte korrigieren. Für Vorschläge, wie man die Sicherheit oder den Bedienkomfort erhöhen kann, aber bin ich immer dankbar.)


    Zitat von M-Reimer

    Für "wichtige Dienste" hab ich tatsächlich 2FA im Einsatz. Das sind aber im Wesentlichen Dienste die irgendwie etwas mit Geld zu tun haben.

    Auf die Liste sollte unbedingt auch der E-Mail Provider.
    Wenn jemand Zugriff auf die Emails erlangt, kann er bei anderen Diensten die Sicherheitsmaßnahmen oft einfach zurücksetzen. Die großen E-Mail Provider werden deswegen wohl auch verstärkt angegriffen.


    Ich hatte so einen Fall im Bekanntenkreis und es hat ewig gedauert, bis das Chaos wieder in aufgeräumt war. Allein der Alptraum sich beim E-Mail Provider wieder als rechtmäßiger Eigentümer zu legitimieren ...


    Zitat von fnu

    2FA mit Einmalcodes wird weltweit nachweislich als Sicherheitsplus für alle Nutzeranwendungen im WWW angesehen, aus wirklich gutem Grund.

    Im Gegensatz zu den oft verwendeten schwachen Passwörtern, ala "passwort123", ist es sicherlich ein deutlicher Fortschritt, das ist unstrittig.


    Die Gültigkeit der übertragenen OTPs ist zeitlich begrenzt, was den Missbrauch abgefangener OTPs zumindest erschwert.

    Aber mach das wirklich den Unterschied? Die Logins sollten doch eh verschlüsselt ablaufen und gegen die beliebten Pfisching-Seiten hilft es nicht unbedingt.


    Der primäre Vorteil des Verfahrens rührt meines Erachtens eher daher, dass der Init-Code/Secret-Keys nicht vom User erstellt wird. Er sollte daher ausreichend lang, einmalig und (hoffentlich*) wirklich zufällig sein.




    In vielen Fällen würde aber auch schon die Verwendung von guten Passwörtern einiges bringen.


    Passwörter mehrfach zu verwenden geht gar nicht.

    Irgend ein Dienst, Shop oder so, bei dem man angemeldet ist wird sicher irgendwann gehackt. Wie die Statistik zeigt, ist es nur eine Frage der Zeit, bis es einen erwischt.

    Zitat von M-Reimer

    So läuft es bei mir eigentlich so, dass ich versuche für alles je ein anderes Passwort zu haben und die so auslege das man sie im Kopf behalten kann.

    Da ich beim merken von sicheren Passwörtern schnell an die Grenzen stoße, bin ich, schon vor einiger Zeit, zu genau dem Gegenteil übergegangen.

    Ich erzeuge lange Zufallspasswörter >15 Zeichen, tippe noch ein paar Zeichen wahllos irgendwo rein und speichere die Logins im Passwort-Manager. Nur lokal und mit Master-Passwort.

    Das ist echt bequem, klappt überall und verhindert zumindest Wörterbuch und Brute Force Angriffe auf die Onlinedienste recht zuverlässig.

    Mit dem Restrisiko, dass der Passwort-Manager geknackt werden könnte, kann ich ganz gut leben. Die Daten sind nur lokal auf meinem Computer und wenn es ans Geld geht, kommt eh 2FA in irgend einer Form zum Einsatz.


    Zitat von fnu

    Es ist dazu möglich jeden Browser/Session seiner Wahl als sicher zu markieren ohne das erneut ein Code abgefragt werden würde.

    Das klappt typischer weise nur, bis man die Cookies löscht.

    Und ich lösche schon immer die Cookies beim Beenden des Browsers.


    Ausserdem eliminiert das dann eigentlich den zweiten Faktor irgendwie, zumindest gegenüber lokalen Angreifern :/ .


    Zitat von mini73

    noch besser gefällt mir FIDO2 mit Hardware-Token, aber mindestens zwei, besser drei, die man unterschiedlich lagert. Das hat auch den Vorteil, dass man ein verlorenes Token aus den Accounts entfernen kann, so dass es keinen Zugriff mehr hat.

    Dies Sticks könnten echt praktisch sein. Als ich das letzte Mal geschaut hatte, war die Unterstützung aber eher spärlich.

    Da, wo es bei mir Sinn gemacht hätte, wurde es nicht unterstützt :( . Ich muss aber bei Gelegenheit mal schauen, wie es inzwischen aussieht.


    Dann müssten für mich die Init-Code/Secret-Keys aber auch irgendwie sicherbar sein.

    Ich will einfach nicht x Sticks bei y Online-Diensten anmelden und verwalten müssen. Wenn man den Stick clonen kann, kann man ihn im Defektfall einfach tauschen.

    Bei einem Diebstahl oder Verlust, muss man natürlich trotzdem schnellst möglich die Init-Codes/Secret-Keys erneuern.

    Nach meiner Erfahrung passiert das aber selten, dagegen geht alles, was an meinem Schüssel hängt und nicht aus solidem Stahl ist, im Zeitraffer kaputt. Seien es nun der Plastikkram an Autoschlüsseln oder USB-Sticks. In irgend einer Form abhanden gekommen ist mit der Schlüsselbund aber noch nie.


    Zitat von M-Reimer

    Bin über Heise drauf gekommen. Allerdings liegen dort letztlich auch die Tokens alle im Klartext. Keine Ahnung wie schlau es ist nun auf Shared-Hosting sowas selber zu hosten.

    Ich habe es da auch gesehen.

    Für mich macht das die Sache auch unnötig kompliziert und muss dazu auch gewartet werden. IMHO ist das also nichts für den normalo User.

    Im Firmenumfeld, wo sich die IT-Abteilung drum kümmert, könnte es aber schon Sinn machen.

    Zitat von Piet

    Ich glaube, das hast Du falsch verstanden. Es ging um den Seed, also den „Startwert“ für die TOTP-Berechnung. Damit der Server Deinen TOTP prüfen kann, muß er ja mit demselben Startwert „nachrechnen“, also muß der irgendwo gespeichert sein, und ist somit „abgreifbar“, wenn man die DB klaut.

    Der Verschwörungstheoretiker würde jetzt sagen, das sei Absichtlich so gemacht worden :angst . (Nur Spaß! Wie schon erwähnt, geht es technisch einfach nicht anders!)


    Die Kompromittierung so einer Datenbank ist aber durchaus realistisch.


    Das TOTP-Verfahren war, so wie es üblicher Weise verwendet wird, meines Wissens, aber nie als Ersatz für Passwörter, sondern als Ergänzung gedacht. Damit kombiniert man die Vorteile.
    Einen wirklichen Sicherheitsgewinn (gegenüber einem starken Passwort) bietet das Verfahren nur in Verbindung mit einem starken Passwort.
    Deshalb heißt es auch ja auch Zwei-Faktor-Authentisierung ;) .


    Zitat von Piet

    Nachtrag: im verlinkten Artikel wird diesbezüglich vom Secret-Key gesprochen.

    Im laufe der Zeit habe ich einige Bezeichnungen dafür gelesen: Init-Code, Secret-Key, Token, Seed, Startwert allein in dieser Diskussion.
    Seed und die Bezeichnung "Token", die ich in Erinnerung hatte, sind wohl nicht korrekt.
    Aber was wäre denn jetzt der korrekte Terminus?



    * Es gab schon Fälle, von "defekten" Zufallsgeneratoren. In dem Fall wären dann, unter Umständen, alle erzeugten Secret-Keys unsicher und müssten getauscht werden. Das ist so zB. bei Debian auch schon passiert.

    Gruss
    SHF


    Gefällt mir 1

    M-Reimer ja, ich benutze einen Yubikey, schon seit ein paar Jahren.


    SHF Wie du schreibst, TOTP ist kein Ersatz für ein Passwort, sondern eine Ergänzung. Ist schon ganz nett, aber hilft nicht gegen Phishing, wenn du Passwort und TOTP auf der falschen Seite eintippst. Die Codes sind zwar meist nur 30 Sekunden gültig, die Server akzeptieren sie aber meist in einem größeren Zeitfenster. Damit bleibt einer Phishingseite genug Zeit. Und wenn die dann erst mal ein Sessiontoken hat, braucht es Passwort und Code ja nicht mehr.


    Deshalb ist Webauthn/FIDO2 ja interessanter, weil das wie bei SSH mit public/private keys arbeitet und niemals der private Teil durch das Netz geht. Und weil die Keys im Zusammenhang mit der Domain, für die sie gelten, gespeichert wird und sie automatisch ausgewählt werden, können sie nicht aus Versehen an eine Phishingseite übertragen werden.

    Und so ein USB-Key ist nicht klonbar, weil dann der private Schlüssel in Gefahr wäre. Die Lösung ist nicht ein Backup seines Keys, sondern mehrere Keys. Da die USB-Keys meist auch "nur" 20-25 FIDO2 Zugänge speichern können, brauchen Poweruser sowieso mehrere.

    Passkeys sind dann quasi die Softwarevariante dieser Keys, damit es die Nicht-Poweruser einfacher haben. Je nach Key-Manager (Google, Microsoft, Apple, Passwortmanager) liegen die dann lokal rum oder bei einem Anbieter in der Cloud. Wie sinnvoll man das finden mag, ist jedem überlassen. Es löst dann aber nicht das Problem, wie man seinen Soft-Schlüsselbund schützt. Den kann man nicht mit einem Passkey schützen (Henne/Ei). Wenn man es ernst meint, benutzt man dafür dann einen USB-Key. Dann kann ich den aber auch gleich für alles benutzen...


    Lars

    Zitat von SHF

    Auf die Liste sollte unbedingt auch der E-Mail Provider.
    Wenn jemand Zugriff auf die Emails erlangt, kann er bei anderen Diensten die Sicherheitsmaßnahmen oft einfach zurücksetzen. Die großen E-Mail Provider werden deswegen wohl auch verstärkt angegriffen.

    Ich dachte gerade noch: Eigentlich gute Idee.

    Aber zumindest mein Provider erfordert für "Volle 2FA Unterstützung" das ich Protokolle wie IMAP und SMTP abschalte. Halte ich dann für nicht wirklich praktikabel.


    mini73 Wieder aus technischem Interesse: Wie hilft dir dein Yubikey bei Diensten die nur TOTP anbieten? Die Yubikeys haben ja kein Display um einen Code anzuzeigen.

    Für TOTP mit Yubikey braucht es eine App, die den Code anzeigt. Der Startwert wird aber sicher in der Hardware gespeichert. Benutze ich so aber nicht. Ich hab darauf eigentlich nur meinen GPG/SSH-Key.


    https://support.yubico.com/hc/en-us/articles/360013789259-Using-Your-YubiKey-with-Authenticator-Codes

    Der Hauptvorteil eines Yubikeys o.ä. ist die sichere Speicherung und Portabilität zwischen Geräten. Auch auf einem fremden Gerät kann ich meinen Key bedenkenlos benutzen, um mich per SSH irgendwo einzuloggen, weil nichts auf dem Gerät gespeichert wird und das Gerät auch keinen Zugriff auf die Geheimnisse hat.

    • Offizieller Beitrag
    Zitat von SHF

    Im Gegensatz zu den oft verwendeten schwachen Passwörtern, ala "passwort123", ist es sicherlich ein deutlicher Fortschritt, das ist unstrittig.

    Selbst komplexere Passwortmuster können mal geleakt gewesen und in den diversen Datenbanken gelandet sein. Jeder 2te Faktor hilft, aber wie schon geschrieben jeder muss auch diese Sicherheit leben wollen und müssen.


    Die Ausgangsfrage dieses Threads ist schon fragwürdig, Zugangssicherheit fängt nicht erst am Login eines Forums an. Gibt es bessere Methoden einen Zugang zu schützen, vllt., kann das wirklich jeder umsetzen, vmtl. nicht. Aber die 2FA Authentifizierung wie hier im vdr-portal.de sollte wirklich jeder einfach umsetzen können. Ein Smartphone haben sehr, sehr viele und mit offenem Auge Dinge genutzt, kann jede Frau bzw. Mann seine persönliche Zugangssicherheit mehr als deutlich erhöhen, gepaart mit einem sicheren Passwortmuster.


    Aber es gibt keine absolute Sicherheit, jeder einzelne muss mitdenken. Im Gegenteil motiviert jede neue Sicherheitstechnik die "dunkle Seite" erneut. Sollten wir aber deshalb auch nur auf die kleinste Verbesserung verzichten, diese gar diskreditieren, weil es ja eh nichts bringen würde oder weil es zu unbequem ist?

    HowTo: APT pinning

    3 Mal editiert, zuletzt von fnu ()

    Ich glaube den wesentlichen Vorteil bringt das TOTP-Verfahren tatsächlich im Szenario "man loggt sich von fremden Geräten ein". An der Stelle macht dann auch das "Duale Verfahren" meines Mailproviders wieder Sinn. Wenn ich 2FA einrichte, dann gilt das nur für das Webinterface. Aber das ist ja auch was ich nutzen würde, wenn ich von fremden PCs meine Mails lese. Für das eigentliche Passwort, das man zum Zugriff auf das Webinterface dann ja nicht mehr braucht, kann man dann eine komplexe Zufallszeichenfolge hinterlegen und die in den Mailprogrammen dann einfach speichern. An der Stelle hat man dann für das "Lesen von fremden Systemen" auch einen echten Komfortgewinn. Während man vorher das "komplexe 20 stellige Passwort" hätte unfallfrei eingeben müssen, reicht dann ein kürzerer PIN und das Einmalpasswort aus der App. Einfacher, sieht professioneller aus, und ist auf fremden Systemen auch signifikant sicherer. Wenn man noch sicherer sein will, könnte man den PIN auch regelmäßig ändern, ohne dabei immer wieder das Passwort im Mailprogramm aktualisieren zu müssen.

    Auf fremden PCs lese ich nicht meine Mails und gebe auch keine Passworte in deren Browser ein. Und ein 2FA ersetzt kein schwaches Passwort. Starke Passworte sollte man immer benutzen, dabei spielt die Länge die wichtigste Rolle. Ein beliebter Trick ist, sich aus mehreren Worten mit ein paar Sonderzeichen dazwischen eine leicht zu merkende Passphrase zu erzeugen.

    Zitat von mini73

    Auf fremden PCs lese ich nicht meine Mails und gebe auch keine Passworte in deren Browser ein. Und ein 2FA ersetzt kein schwaches Passwort. Starke Passworte sollte man immer benutzen, dabei spielt die Länge die wichtigste Rolle. Ein beliebter Trick ist, sich aus mehreren Worten mit ein paar Sonderzeichen dazwischen eine leicht zu merkende Passphrase zu erzeugen.

    Top, 2FA heist ja auch nur das eine zusätzliches Passwort oder AUT notwendig ist.

    https://www.minidvblinux.de/forum/

    1x OctopusNet mit 8x DVB-C
    1x Raspberry 4 MLD 6.0 SATIP (softhddevice-drm )

    1x RockPi 4 MLD 6.0 SATIP (softhddevice-drm )

    1x Raspberry 3 als Client MLD 5.4

    1x Raspberry 2 als Client MLD 6.0

    1x Raspberry 1 (staubt gerade so vor sich hin) ;)
    1x Cubietruck

    1x MCC 100
    1x BananaPi

    1x Zotac CI327 MLD 6.0 SATIP (softhddevice)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden