Die Nutzung von 2FA/MFA erhöht Deine Sicherheit.

  • Ist schon ganz nett, aber hilft nicht gegen Phishing, wenn du Passwort und TOTP auf der falschen Seite eintippst.

    Ich dachte, das hätte ich auch erwähnt, aber man kann nie genug darauf hinweisen!


    Daher auch nie Links aus E-Mails anklicken!

    Inzwischen sind die zum Teil echt gut geworden, was "alternative" URLs angeht.

    Die Codes sind zwar meist nur 30 Sekunden gültig, die Server akzeptieren sie aber meist in einem größeren Zeitfenster.

    Zum Teil deutlich länger, wie ich schon zufällig festgestellt habe.

    Aber selbst 30 Sekunden würden wohl schon reichen. Der Angreifer braucht sich, wie du schreibst, ja bloß einloggen und die Session offen halten.


    Und so ein USB-Key ist nicht klonbar, weil dann der private Schlüssel in Gefahr wäre.

    Theoretisch sicher richtig.

    Für das Sicherheitsniveau, was ich anstrebe, würde mir aber ein gutes Masterpasswort für den Stick reichen.

    Natürlich muss das Backup sicher verwahrt werden und wenn USB-Key abhanden kommt, muss man eh handeln.

    Passkeys sind dann quasi die Softwarevariante dieser Keys, damit es die Nicht-Poweruser einfacher haben. ...

    Meine Hoffnung war, dass auf der Basis eine weniger restriktive Variante der USB-Keys möglich wäre. Quasi ein Key-Manager on a USB-Stick.

    Keine Ahnung, ob das wirklich funktionieren würde, mit der Technik hinter Passkeys habe ich mich bislang noch nicht beschäftigt.


    Ich dachte gerade noch: Eigentlich gute Idee.

    Aber zumindest mein Provider erfordert für "Volle 2FA Unterstützung" das ich Protokolle wie IMAP und SMTP abschalte. Halte ich dann für nicht wirklich praktikabel.

    Bei meinem Provider kann man, bei Nutzung von 2FA im Webinterface, ein extra Passwort für IMAP und SMTP erstellen.

    Die Funktion ist ziemlich versteckt, irgendwo in den FAQ stand aber wie es geht.

    IMAP und SMTP unterstützen keine 2FA. (Zumindest ist das mein Wissensstand.)


    Ich glaube den wesentlichen Vorteil bringt das TOTP-Verfahren tatsächlich im Szenario "man loggt sich von fremden Geräten ein". An der Stelle macht dann auch das "Duale Verfahren" meines Mailproviders wieder Sinn. Wenn ich 2FA einrichte, dann gilt das nur für das Webinterface. Aber das ist ja auch was ich nutzen würde, wenn ich von fremden PCs meine Mails lese.

    Auf fremder Hardware ist extreme Vorsicht angesagt, wer die Hardware kontrolliert, kontrolliert alles.

    Das gilt im Prinzip auch für die ganzen Cloud- und Hosting-Geschichten.


    Ohne zweiten Faktor Mails in einem beliebigen Internetcafe zu checken, halte ich heutzutage schon fast für fahrlässig und selbst mit TOTP-Verfahren hätte ich noch bedenken. Immerhin würde das einem aber eine gewisse Sicherheit bieten.

    Wenn es nötig gewesen wäre meine Mails auf einem fremden Gerät abzurufen, würde ich jedenfalls das Passwort als "verbrannt" ansehen und austauschen.


    Mailprovider sind extrem beliebte Ziele bei Kriminellen, weil man von da aus recht einfach ganze Online-Identitäten übernehmen kann. Ich möchte nicht wissen wie viele Internetcafes in Urlabsregionen dafür mit Keyloggern oder dergleichen präpariert wurden.


    Selbst komplexere Passwortmuster können mal geleakt gewesen und in den diversen Datenbanken gelandet sein. Jeder 2te Faktor hilft, aber wie schon geschrieben jeder muss auch diese Sicherheit leben wollen und müssen.

    Klar, 2 Faktoren sind besser als einer.

    Wenn man starke Passwörter wirklich nur einmal verwendet ist die Wahrscheinlichkeit aber eher gering.


    Nach meiner Erfahrung sind eher leicht erratbare Passwörter und deren mehrfache Nutzung das Problem.

    Sollten wir aber deshalb auch nur auf die kleinste Verbesserung verzichten, diese gar diskreditieren, weil es ja eh nichts bringen würde oder weil es zu unbequem ist?

    Von diskreditieren der Technik ist, zumindest von meiner Seite, keine Rede.

    Das einzige, was ich eventuell diskreditiere, ist das Handy als sicheren Aufbewahrungsplatz für Irgendwas ;) .


    Aber es muss schon erlaubt sein mal darüber zu diskutieren, ob 2FA für einen normalen User-Zugang in diesem Forum nötig ist. Oder ob man auch auf andere Weise die Sicherheit verbessern kann. (Moderator-Zugänge sind ein ganz anderes Thema!)

    Bequemlichkeit ist für die meisten halt alles, da kann man nichts machen.

    Darüber aufregen hilft nicht, das Abwürgen der Diskussion genau so wenig, so überzeugt man niemanden. Aufklärung und das Aufzeigen von Alternativen kann aber Erfolg haben (hoffentlich).


    Daher auch mein Vorschlag, sich mal einem Passwortmanager anzusehen.

    Starke Passworte auf dem Computer gespeichert ist IMHO 10 mal besser als sich überall mit einem ähnlichen, unsicheren Passwort einzuloggen.

    Und bequemer geht es nun wirklich nicht, so ein Passwortmanager nimmt einem sogar das eintippen ab.


    So wie ich den üblichen Computer-User kenne, wäre es für mich jedenfalls schon ein Erfolg, wenn nur ein einziger, animiert durch diesen Thread, sein schwaches, evtl. mehrfach genutztes Passwort gegen ein brauchbares tauscht.

    Gruss
    SHF


    • Official Post

    Aber es muss schon erlaubt sein mal darüber zu diskutieren, ob 2FA für einen normalen User-Zugang in diesem Forum nötig ist.

    Nochmal zum Mitschreiben es ist keine Vorrausetzung hier, jeder hat die Wahl es (nicht) zu nutzen. Ein entsprechender Hinweis erfolgt zur Information dass es diese Funktion gibt und kann ausgeblendet werden.


    wenn nur ein einziger, animiert durch diesen Thread, sein schwaches, evtl. mehrfach genutztes Passwort gegen ein brauchbares tauscht.

    Das ist wohl wahr 👍🏻


    Das einzige, was ich eventuell diskreditiere, ist das Handy als sicheren Aufbewahrungsplatz für Irgendwas

    Keine Ahnung was Du für ein "Handy" besitzt, aber moderne Smartphones sind verschlüsselt und die Sicherheits-Apps nutzen zusätzliche Authentifizierung. Diese kleinen Computer stehen heute PC in nichts nach und wie bei diesen wird deren Sicherheit ja eigentlich auch nur durch die Faulheit der Nutzer ausgehebelt ...


    Daher auch mein Vorschlag, sich mal einem Passwortmanager anzusehen.

    Nun, dort sammelt man dann mehrere Passwörter, das heißt Zugangssicherheit hier wieder oberstes Gebot, somit nur verschoben das Ganze. Wer faul ist, wird auch hier faul sein ... einmal im Kreis gedreht.

    HowTo: APT pinning

  • Passkeys und FIDO2/Webauthn-Credentials auf einem Yubikey sind technisch das selbe und werden vom Browser mit der gleichen API angesteuert.


    Unterschied:

    - Auf dem Yubikey gespeicherte private Schlüssel bleiben in der Hardware und können nicht ausgelesen/kopiert werden. Verlierst du die Hardware, verlierst du den Zugang.

    - Passkeys vom Betriebssystem (Windows, macOS, Android, iOS usw.) werden in dem dahinter liegenden Cloudaccount gespeichert und durch das Cloud-Passwort geschützt. Verlierst du das Cloudkonto, verlierst du den Zugang. Irgendwann wird es da sicherlich auch eine Ex-/Import-Funktion geben, aber noch gibt's das nicht.


    Aktuell speichert der Yubikey 25 FIDO2-Accounts, aber die arbeiten an mehr, weil sie erwarten, dass diese Art der Anmeldung sich verbreitet und ein durchschnittlicher User mehr Accounts hat, als ihm lieb ist.


    Ist ein Webdienst gut, kannst du mehrere Hardware-Keys als Zugang registrieren. Das Backup ist also nicht eine Kopie deines Schlüssels, sondern ein weiterer Schlüssel, was den Vorteil hat, dass man einen verlorenen Schlüssel sperren kann, anstatt das Schloss austauschen zu müssen (setzt natürlich eine Liste der Accounts voraus, wo man seinen USB-Key registriert hat).


    Bei OS-Passkeys bin ich mir nicht sicher, dass du mehrere hinterlegen kannst, das ist sicherlich nicht vorgesehen, wenn auch technisch möglich. Dafür gibt es ja das "Cloud-Backup"...


    Einen vernünftigen Hardware-Key kann man übrigens per Fingerabdruck sichern, genauso wie den Zugang zu seinem Handy.

  • Nochmal zum Mitschreiben es ist keine Vorrausetzung hier, jeder hat die Wahl es (nicht) zu nutzen.

    Sorry, das war vielleicht missverständlich ausgedrückt.

    Ich meine natürlich die persönliche Entscheidung der Nutzung, nicht das Angebot seitens des Forums.

    (Welches ich ausdrücklich begrüße, um das mal endgültig klar zu stellen!)

    Keine Ahnung was Du für ein "Handy" besitzt, aber moderne Smartphones sind verschlüsselt und ...

    Die Bemerkung war mit einem leichten Augenzwinkern gemeint (daher auch der ;) ).


    Das Konzept seine sensiblen Daten auf einem Gerät zu bündeln und das dann ständig offen mit sich herum zu schleppen, finde ich halt nicht gut.

    Das mag aber Geschmackssache sein...

    Nun, dort sammelt man dann mehrere Passwörter, das heißt Zugangssicherheit hier wieder oberstes Gebot, somit nur verschoben das Ganze. Wer faul ist, wird auch hier faul sein ... einmal im Kreis gedreht.

    Klar, wenn sich der User nicht ums Thema Sicherheit schert, kann man es gleich vergessen.


    Oft kommen die Probleme aber daher, dass man sich die vielen Passwörter einfach nicht merken kann.

    Vielleicht seit Ihr ja besser, aber ehrlich gesagt ist auch bei mir nach etwa einer Hand voll guter und wirklich unabhängiger Passwörter/Phrasen Schluss.


    Bei jedem einigermaßen zeitgemäßen Passwortmanager werden die Passwörter standardmässig verschlüsselt. Allzuviel kann man da eigentlich nicht falsch machen, man muss nur ein brauchbares Masterpasswort wählen.

    Da man ab da nun nur noch dieses eine Passwort eingeben muss, merkt man sich das durch die Wiederholung am Ende auch viel besser.


    Wenn die Passwörter lokal gespeichert sind, fällt auch zumindest der direkte Angriffsvektor übers Internet weg, der ja bei jedem Onlinedienst besteht.

    Da man die Passwörter online nicht mehr eingeben muss, kann man da dann auch längere und damit sicherere wählen, ohne dass es einem mehr Arbeit macht.


    Letztendlich ist es halt eine Risiko-Abwägung, 100% Sicherheit gibt es nicht.

    Wenn man es nicht völlig verbockt, kann man, denke ich, so ein brauchbares Sicherheitsniveau erreichen und das dazu ziemlich komfortabel.


    Passkeys vom Betriebssystem (Windows, macOS, Android, iOS usw.) werden in dem dahinter liegenden Cloudaccount gespeichert und durch das Cloud-Passwort geschützt. Verlierst du das Cloudkonto, verlierst du den Zugang.

    Ach, in die Richtung geht das.

    Das hatte ich in dem Artikel irgendwie anders verstanden.


    Als ich mich das letzte mal über diese Hardware-Keys informiert hatte, waren die noch recht neu und Firefox konnte gerade frisch damit was anfangen. Es muss also inzwischen locker 5 Jahre her sein.

    Damals waren die da noch bei keinem "meiner" Onlinedienste unterstützt.

    Stand heute, ist es da leider nicht wesentlich besser geworden :( .


    Einzig die Möglichkeit SSH-Zugänge abzusichern könnte aktuell interessant sein.

    Dass das geht scheint relativ neu zu sein (Debian ab Bullseye), mir war es jedenfalls noch nicht bekannt.


    Das Backup ist also nicht eine Kopie deines Schlüssels, sondern ein weiterer Schlüssel,

    Das ist das Einzige, was mir an dem Konzept nicht gefällt.

    Das die Keys nicht kopierbar sind kann bei gewissen Anwendungen vorteilhaft sein, für mich sehe ich aber nur Nachteile.

    Ich bräuchte jeden USB-Key doppelt und müsste immer beide anmelden.

    Wenn man das nicht will müsste man irgendwo einen Notfallcode oder dergleichen sicher hinterlegen.

    was den Vorteil hat, dass man einen verlorenen Schlüssel sperren kann, anstatt das Schloss austauschen zu müssen

    Irgendwie sehe ich den Unterschied nicht.

    Ich muss doch in beiden Fällen den verlorenen Schlüssel sperren und einen neuen anlernen um wieder den Ausgangszustand zu erreichen?


    Es gibt inzwischen auch mehrere opensource FIDO2 USB-Keys, zum Teil auch professionell fertig zu kaufen. Evtl. gibt es da bei einen die Möglichkeit zum Backup.

    Aktuell habe ich aber keine Ahnung ob die was taugen, da müsste man sich vorher erstmal schlau machen.


    Einen vernünftigen Hardware-Key kann man übrigens per Fingerabdruck sichern, genauso wie den Zugang zu seinem Handy.

    Blind darauf verlassen würde ich mich nicht, die Sicherheit hängt da wohl stark vom verbauten Sensortyp ab. Zumindest die einfachen, optischen lassen sich angeblich recht leicht überlisten.


    Vor ein paar Jahren war das sogar mal bei den Mythbusters.

    Ich fand's recht unterhaltsam anzuschauen. -> Suche: mythbusters fingerabdrucksensor

    Gruss
    SHF


  • Das die Keys nicht kopierbar sind kann bei gewissen Anwendungen vorteilhaft sein, für mich sehe ich aber nur Nachteile.

    Ich bräuchte jeden USB-Key doppelt und müsste immer beide anmelden.

    Wenn man das nicht will müsste man irgendwo einen Notfallcode oder dergleichen sicher hinterlegen.

    Falls willst du denn mit der Kopie deiner Passkeys, wenn du die sowieso sperren und neu erzeugen musst?

    Irgendwie sehe ich den Unterschied nicht.

    Ich muss doch in beiden Fällen den verlorenen Schlüssel sperren und einen neuen anlernen um wieder den Ausgangszustand zu erreichen?

    Ja, so gesehen hast du Recht. Da hilft dir aber auch ein Backup nicht. Wenn du den USB-Key oder dein Handy mit den Passkeys verlierst, musst du alle sperren und neu erzeugen. Dafür brauchst du einen zweiten Zugang. Ich bin mir nicht sicher, ob es dafür einen Ablauf bei FIDO2 gibt, dass man den Schlüssel auf einem vorhandenen Stick, mit dem man sich gerade angemeldet hat, ändern kann. Müsste man recherchieren.

  • Da hilft dir aber auch ein Backup nicht. Wenn du den USB-Key oder dein Handy mit den Passkeys verlierst, musst du alle sperren und neu erzeugen.

    In dem Fall hilft mir ein Backup nicht.

    Wenn ich den USB-Key aber "nur" beschädige oder zerstöre, ihn also noch besitze, kann ein Backup eine menge Zeit sparen.


    Bei einem USB-Gerät, was ich an meinem Schlüsselbund mit mir herum trage und täglich mehrfach benutze, wird es früher oder später mechanische Problem geben.

    Dafür brauchst du einen zweiten Zugang.

    Der Clone des Originals sollte doch auch noch gehen?


    Es darf einem halt der neue Besitzer des Originals nicht zuvor kommen und einen "aussperren".

    Das Problem besteht aber generell. Zumindest habe ich nichts gesehen, was das verhindern könnte.

    Gruss
    SHF


  • Ich transportiere meinen Yubikey übrigens in so einer kleinen Samttasche, die bei irgendeinem Inearkopfhörer dabei war. Am Schlüsselbund ist mir zu "mechanisch".

  • Hey. Da bin ich wieder als Themen Ersteller.


    Wow, jetzt bin ich ein wenig platt von so vielen tollen Antworten als auch Hinweisen! Vielen Dank dafür!


    Auch schön und toll das der Austauschbedarf hierzu doch höher scheint und der Threat nicht im 'close' geblieben ist! Danke für das wieder aufmachen. Ich war erst sehr irritiert und eine gute Diskussion ist entstanden. (vielleicht nicht ganz so schnell mit dem Finger am Abzug ;) )


    Und JA: Meine Einleitung war tatsächlich ein wenig provokant (wie es jemand hier schrieb). Mich überkam es einfach da mir irgendwie der Austausch hierzu fehlt. Viel lesen über das Thema, viele Bedingungen müssen erfüllt werden... Es hakelt halt hier und dort und man ist gezwungen diszipliniert einen Login Vorgang erfolgreich zu bewältigen. Da wird die Bequemlichkeit in der Masse sicherlich überwiegen (indem man es meidet so gut wie es nur möglich ist).


    Ihr habt es aber tatsächlich geschafft noch mal zu schauen wie ich meine Situation verbessern kann. VIELEN DANK! :)


    In meinem besonderen Fall: Github wo ich ja dachte das sie schon ein wenig mehr können, können aber nur eine Hardware bzw App für 2FA zulassen (Stand: vor ~4Wochen; Immer nur mit der zuletzt bestätigten App/Smartphone kann ich mich Authentifizieren).


    Meine Annahme: Wenn es bei github so hakelt dann bestimmt auch bei Foren. Muss nicht stimmen. Und hat eine gute Diskussion hier geschaffen. ;)


    Früher mit mini SDCard verschlüsseltes Image für private schlüssel: Nun ja: Auch eine SD geht mal kaputt und dann lässt man es wieder :(

    Und wenn das Smartphone, Hardware/Dongel weg ist, habe ich irgendwann keine Möglichkeit mehr einen Account zu reaktivieren.

    Irgendwie vermutlich schon aber das dauert dann bis man sich durch den Support durchgearbeitet hat. Letzten Endes gerät man in eine Abhängigkeit die auch gefährlich oder monetäre Forderungen/ Bedingungen einher bringen kann.


    Nochmals: Danke für euren Austausch!

    Community Doks: https://vdr-projects.github.io/


  • Jeder hat heutzutage ein 2. Smartphone rumliegen - meist veraltet und nur mehr "an der Lifeline" (Ladekabel) zu betreiben, aber einen der Authentikatoren darauf noch als Reserve zu installieren und die Daten zu ex- und importieren, das läßt sogar der Google-Authenticator und z.B. Aegis zu.

    Das "Authentication-Reserver-Handy" sollte man nur gut verwahren und gelegentlich pflegen. Es muß nur im WLAN noch funktionieren, SIM ist nicht notwendig dazu.

  • Jeder hat heutzutage ein 2. Smartphone rumliegen - meist veraltet und nur mehr "an der Lifeline" (Ladekabel) zu betreiben, aber einen der Authentikatoren darauf noch als Reserve zu installieren und die Daten zu ex- und importieren, das läßt sogar der Google-Authenticator und z.B. Aegis zu.

    Das "Authentication-Reserver-Handy" sollte man nur gut verwahren und gelegentlich pflegen. Es muß nur im WLAN noch funktionieren, SIM ist nicht notwendig dazu.

    genau so ist das problem erst erkannt worden! mein zweit handy ging (weil zuletzt instlliert/benutzt) und erstes handy wollte nicht mehr. bzw github hat den token nicht gewollt. Anderes handy genommen: ging. und dann macht 2FA keinen Sinn bzw zu gefährlich.


    bei github scannst du den qr code und musst ihn mit deiner handy app bestätigen. funktioniert dann aber nur mit diesem handy/app dann.

    Community Doks: https://vdr-projects.github.io/


    • Official Post

    Ok, weil flobee seine Zeugs nicht im Griff hat und das 2FA System nicht verstehen möchte, macht es keinen Sinn bzw. ist zu gefährlich ...


    Basierend auf der Aussage war die Diskussion leider überflüssig wie nichts und es wurde ja auch alles gesagt.

    HowTo: APT pinning

  • fnu

    Closed the thread.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!