Ist schon ganz nett, aber hilft nicht gegen Phishing, wenn du Passwort und TOTP auf der falschen Seite eintippst.
Ich dachte, das hätte ich auch erwähnt, aber man kann nie genug darauf hinweisen!
Daher auch nie Links aus E-Mails anklicken!
Inzwischen sind die zum Teil echt gut geworden, was "alternative" URLs angeht.
Die Codes sind zwar meist nur 30 Sekunden gültig, die Server akzeptieren sie aber meist in einem größeren Zeitfenster.
Zum Teil deutlich länger, wie ich schon zufällig festgestellt habe.
Aber selbst 30 Sekunden würden wohl schon reichen. Der Angreifer braucht sich, wie du schreibst, ja bloß einloggen und die Session offen halten.
Und so ein USB-Key ist nicht klonbar, weil dann der private Schlüssel in Gefahr wäre.
Theoretisch sicher richtig.
Für das Sicherheitsniveau, was ich anstrebe, würde mir aber ein gutes Masterpasswort für den Stick reichen.
Natürlich muss das Backup sicher verwahrt werden und wenn USB-Key abhanden kommt, muss man eh handeln.
Passkeys sind dann quasi die Softwarevariante dieser Keys, damit es die Nicht-Poweruser einfacher haben. ...
Meine Hoffnung war, dass auf der Basis eine weniger restriktive Variante der USB-Keys möglich wäre. Quasi ein Key-Manager on a USB-Stick.
Keine Ahnung, ob das wirklich funktionieren würde, mit der Technik hinter Passkeys habe ich mich bislang noch nicht beschäftigt.
Ich dachte gerade noch: Eigentlich gute Idee.
Aber zumindest mein Provider erfordert für "Volle 2FA Unterstützung" das ich Protokolle wie IMAP und SMTP abschalte. Halte ich dann für nicht wirklich praktikabel.
Bei meinem Provider kann man, bei Nutzung von 2FA im Webinterface, ein extra Passwort für IMAP und SMTP erstellen.
Die Funktion ist ziemlich versteckt, irgendwo in den FAQ stand aber wie es geht.
IMAP und SMTP unterstützen keine 2FA. (Zumindest ist das mein Wissensstand.)
Ich glaube den wesentlichen Vorteil bringt das TOTP-Verfahren tatsächlich im Szenario "man loggt sich von fremden Geräten ein". An der Stelle macht dann auch das "Duale Verfahren" meines Mailproviders wieder Sinn. Wenn ich 2FA einrichte, dann gilt das nur für das Webinterface. Aber das ist ja auch was ich nutzen würde, wenn ich von fremden PCs meine Mails lese.
Auf fremder Hardware ist extreme Vorsicht angesagt, wer die Hardware kontrolliert, kontrolliert alles.
Das gilt im Prinzip auch für die ganzen Cloud- und Hosting-Geschichten.
Ohne zweiten Faktor Mails in einem beliebigen Internetcafe zu checken, halte ich heutzutage schon fast für fahrlässig und selbst mit TOTP-Verfahren hätte ich noch bedenken. Immerhin würde das einem aber eine gewisse Sicherheit bieten.
Wenn es nötig gewesen wäre meine Mails auf einem fremden Gerät abzurufen, würde ich jedenfalls das Passwort als "verbrannt" ansehen und austauschen.
Mailprovider sind extrem beliebte Ziele bei Kriminellen, weil man von da aus recht einfach ganze Online-Identitäten übernehmen kann. Ich möchte nicht wissen wie viele Internetcafes in Urlabsregionen dafür mit Keyloggern oder dergleichen präpariert wurden.
Selbst komplexere Passwortmuster können mal geleakt gewesen und in den diversen Datenbanken gelandet sein. Jeder 2te Faktor hilft, aber wie schon geschrieben jeder muss auch diese Sicherheit leben wollen und müssen.
Klar, 2 Faktoren sind besser als einer.
Wenn man starke Passwörter wirklich nur einmal verwendet ist die Wahrscheinlichkeit aber eher gering.
Nach meiner Erfahrung sind eher leicht erratbare Passwörter und deren mehrfache Nutzung das Problem.
Sollten wir aber deshalb auch nur auf die kleinste Verbesserung verzichten, diese gar diskreditieren, weil es ja eh nichts bringen würde oder weil es zu unbequem ist?
Von diskreditieren der Technik ist, zumindest von meiner Seite, keine Rede.
Das einzige, was ich eventuell diskreditiere, ist das Handy als sicheren Aufbewahrungsplatz für Irgendwas .
Aber es muss schon erlaubt sein mal darüber zu diskutieren, ob 2FA für einen normalen User-Zugang in diesem Forum nötig ist. Oder ob man auch auf andere Weise die Sicherheit verbessern kann. (Moderator-Zugänge sind ein ganz anderes Thema!)
Bequemlichkeit ist für die meisten halt alles, da kann man nichts machen.
Darüber aufregen hilft nicht, das Abwürgen der Diskussion genau so wenig, so überzeugt man niemanden. Aufklärung und das Aufzeigen von Alternativen kann aber Erfolg haben (hoffentlich).
Daher auch mein Vorschlag, sich mal einem Passwortmanager anzusehen.
Starke Passworte auf dem Computer gespeichert ist IMHO 10 mal besser als sich überall mit einem ähnlichen, unsicheren Passwort einzuloggen.
Und bequemer geht es nun wirklich nicht, so ein Passwortmanager nimmt einem sogar das eintippen ab.
So wie ich den üblichen Computer-User kenne, wäre es für mich jedenfalls schon ein Erfolg, wenn nur ein einziger, animiert durch diesen Thread, sein schwaches, evtl. mehrfach genutztes Passwort gegen ein brauchbares tauscht.