2FA...es bringt scheinbar was

[the other]

Moinsen,
hier ein kurzer kleiner Bericht zur Wirksamkeit von 2fa gemäß einer Auswertung von Google:
https://www.heise.de/news/Google-So...zierung-gegen-Account-Uebernahme-6363247.html
Vielleicht als Motivationsanschub für die, die es noch nicht nutzen (daheim wie auch im Internet)...

 

[Barungar]

Ich nutze schon länger 2FA... auch auf meinem QNAP. Login nur mit Passwort und Token.

 

[blurrrr]

Mehr Sicherheit bietet es (mitunter) sicherlich, jedoch auch mehr mögliche Probleme. Geht z.B. ein entsprechendes Gerät flöten (Handy), hat man direkt "etwas grössere" Probleme. Weniger nützlich ist sowas dann mitunter, wenn die Codes an Mailadressen geschickt werden (welche wiederum nicht via 2FA geschützt sind) und die Leute ggf. einfach überall das gleiche Passwort nutzen. Dann kommt man ggf. vorerst nicht an den gewünschten Dienst (trotz bekannter Credentials), nutzt man die gleichen aber für die Mailadresse, wo der Code hingeht, ist das ganze natürlich wieder ziemlich albern und... wiviele Mailanbieter kennst Du, welche 2FA für z.B. IMAP anbieten? Ist dann halt wie im Erdgeschoss die Tür mit drölfzig Schlössern verrammeln und dazu irgendwo ein Fenster offen lassen... Muss dann also schon richtig und vor allem konsequent umgesetzt werden (und am besten direkt immer mit einem Zweitgerät, falls mit dem ersten mal was sein sollte, ansonsten dürfte das ein ziemlicher Tanz werden...).

EDIT: Bevor das falsch rüber kommt, ich befürworte 2FA schon, nur sollte es dann auch wirklich konsequent umgesetzt werden und die Codes sollten vllt nicht im öffentlich erreichbaren Mailpostfach landen.

 

[Barungar]

Also zumindest GMX deaktiviert IMAP und POP3 in dem Moment, wo man 2FA einrichtet. Dann muss man das 1. explizit wieder aktivieren und 2. sich ein eigenes Passwort für das Mailprogramm generieren. Das kann man dann auch fest im Mail-Programm eintragen und vergessen. Ja, GMX zeigt es auch nur einmal an... bis man OK sagt. Danach bekommt man das Passwort niewieder angezeigt. Und wenn man das Mailprogramm neuinstalliert muss man sicht halt ein neues Passwort für das Programm besorgen.

Und das Problem mit dem Handy verlieren sehe ich auch nicht so. Man sollte sein Handy stets sperren und auch die Funktion aktivieren, dass nach x falschen PINs das Smartphone sich löscht. Bzw. ideal hat man auch die Fernlöschung und -ortung aktiv.

Was die 2FA Codes angeht, so spielt man das Backup auf einem anderen Handy ein und schon hat man seine Token wieder.

 

[blurrrr]

Okay..... Das mit dem Backup finde ich allerdings "etwas" einfach gedacht (ausser man kauft sich jedes Jahr ein neues Handy mit dem gleichen OS (ggf. auch noch vom gleichen Hersteller)), alternativ ist man halt "gezwungen" etwas zu kaufen, was dann auch passt (also nix mit Wechsel von iOS zu Android (o.ä.)).

Und ebenso stelle ich mich jetzt mal hier hin und behaupte: Nichtmals (!) die Hälfte aller Smartphone-User macht ein Backup, hingegen zu 2FA werden bestimmt schon mehrere genötigt. Ist das Smartphone weg/defekt, war's das halt und die Probleme rollen los. Zum "Glück" (bzw "je nachdem") dürften aber genau diese Personen 2FA auch nur dort aktiv haben, wo es erzwungen ist. Mal ganz ehrlich: Jede Person die nicht "ein bisschen" technikbegeistert ist (oder ein gewisses Verständnis für die Dinge hat), macht sowieso einen weiten Bogen drum. Alles nur unnützer zusätzlicher Aufwand inkl. dem Spruch "Da ist seit 20 Jahren nix passiert, was soll denn da jetzt groß passieren.... Geh mir weg mit den Mist!"

 

[FSC830]

Ich bin privat auch kein 2FA Nutzer . Würde ich dann machen, wenn man nicht eine extra App dafür bräuchte.
Aber extra eine App kommt nicht in Frage, nicht, solange ich es irgendwie vermeiden kann.
Es mich schon an, das ich es beruflich mit 2FA zu tun habe, für MS Teams. Wir müssen (entgegen BSI Vorschlag) alle 2 Monate das PW ändern, und da SSO bei uns teilweise auch ein Fremdwort ist, kommen dann im Laufe der nächsten Stunden x Abfragen und SMS um sich am M$ Konto wieder zu authentifizieren.
Aber wenigstens kommen die Codes per SMS, ohne extra App.

Gruss

 

[the other]

Moinsen,

Das mit dem Backup

habe ich so verstanden, dass es um dsa backup der Secrets geht...also nicht einfach alles faul mit dem QR Code scannen, sondern manuell die Secrets eingeben (und bei der Gelegenheit zB im PW Manager abspeichern.
Hatte ich hier auch schon, einfach das "backup" der secrets wieder reingepackt, lief sofort weiter und kann dann auch von diversen Geräten genutzt werden.

Würde ich dann machen, wenn man nicht eine extra App dafür bräuchte.

Hm, ist eh eine individuelle Entscheidung und ich kenn dich auch nicht gut genug um das einzuordnen .
Find ich so generell aber ein eher dünnes Argument...
Das würd dann auch für openVPN Apps usw gelten...
Aber wie gesagt, das muss wohl jede*r für sich entscheiden.

 

[azrael783]

und da SSO bei uns teilweise auch ein Fremdwort ist

Sei froh, bei uns geht fast überall SSO. Ist zwar für den Nutzer sehr angenehm, aber wenn mal ein Laptop geknackt wird ist Holland in Not - zumindest bei mir und den Kollegen wäre das so, da wir Berechtigungen auf die Server und somit auf die IoT Infrastruktur unseres Unternehmens haben

 

[Barungar]

Okay..... Das mit dem Backup finde ich allerdings "etwas" einfach gedacht (ausser man kauft sich jedes Jahr ein neues Handy mit dem gleichen OS (ggf. auch noch vom gleichen Hersteller)), alternativ ist man halt "gezwungen" etwas zu kaufen, was dann auch passt (also nix mit Wechsel von iOS zu Android (o.ä.)).

Abgesehen davon, dass ich auch regelmäßig ein Backup des ganzen Smartphones mache. Mache ich explizit ein Backup aus der 2FA-App heraus. Da kann ich jedes andere Android Smartphone nehmen auf dem die App lauffähig ist. Die App wird aus dem Goole Play Store installiert, mein Backup in der App wird zurückspielen und ich habe in nicht einmal 5 Minuten alle meine Token wieder im Zugriff.

Habe ich genauso beim letzten Smartphone-Wechsel vor ca. 9 Monaten gemacht.

Ich nutze 2FA für:

• meine FritzBox (ja, die kann das auch!)
• meine Firewall
• mein QNAP NAS
• mein Mail-Postfach
• mein QNAP-ID Konto
• meine privaten Microsoft Konten
• mein Google Konto
• mein Amazon Konto
• mein PayPal Konto
• mein AWS Konto
• mein Discord Konto
• hier im Forum (heimnetz.de)
• und noch 19 weitere Dienste, die ich nicht auch noch aufzähle.

Alles mit nur einer App, klappt gut und bequem.

 

[blurrrr]

Wir haben uns da wohl irgendwie nicht verstanden... Ich sprach nicht von Dir, sondern von eher völlig unbedarften Personen was sowohl das Thema Smartphone/App-Backup angeht, als auch den "Umstand" (was viele der o.g. so empfinden) 2FA zu nutzen

Ich selbst nutze ja durchaus auch 2FA (für die "wichtigen" Dinge) via FreeOTP unter iOS, allerdings lassen sich da die Settings nicht einfach so sichern. Welche App nutzt Du denn? Falls es mich mal reitet und ich mit dem Smartphone von iOS zu Android wechseln möchte (glaub ich zwar nicht, aber wer weiss ), würde ich das ja so vermutlich aufgrund mangelnder Kompatibilität der App-Daten nicht können, oder funktioniert das dann auch? Wäre dann ja ein Backup aus der "App" selbst heraus, wie ich Dich verstanden habe, da sollte sowas dann doch theoretisch möglich sein?

 

[Barungar]

Ich benutze andOTP ... Und hier ist ein Screenshot der in der App eingebauten Sicherung.
Damit kann man alle Token in wenigen Augenblicken von einem Device zum anderen umziehen.

 

[blurrrr]

Weil es ja irgendwo zum Thema passt: https://www.youtube.com/watch?v=75375lLZUqI (thx @Howcountry )