Inhalt wurde gelöscht…
Ich glaube es geht gar nicht so sehr gegen den Standard 2FA sondern eher um die Anwendungsfreundlichkeit.
Wir haben bei uns in der Bude auch Sicherheitsanwendungen da kräuseln sich die Fußnägel.
Mein Laptop ist zum Glück per Kabel verbunden, das erspart mir zumindest für den einiges, aber alle 90 Tage ein neues „sicheres Passwort“ also mit Zahlen und Zeichen gewisse Länge, hast du das endlich im Kopf ist es Zeit für ein neues.
Ergebnis das ach so sichere Passwort wird auf einen Zettel geschrieben.
Der mobile Zugriff ist noch nerviger:
Dasselbe Passwort wie am Rechner (zum Glück), für den Mailzugang 2FA jeden Morgen und bei Programmöffnung eine 6 stellige Pin die ebenfalls alle 90 Tage getauscht werden muss (zum Glück hier reicht wirklich der Wechsel zwischen 2 pin’s)
Für den mobilen Teams Zugang dann nochmal 2FA einmal täglich.
Ich verbringe also jeden Morgen erstmal einige Minuten damit meine Technik zu starten und alle 90 Tage alles tauschen.
Das nervt.
Warum nicht 1x 2FA am Morgen für alles?
Warum alle 90 Tage ein neues Passwort kreieren was nicht 2x verwendet werden darf?
Und online Banking soll in Deutschland ja auch übertrieben aufwendig sein.
Ich fand schon das alte System GaGa wo ich Username, Passwort und TAN brauchte nur um mich einzuloggen.
Das alte System hier (vor mobiler Identifikation) war Personennummer und TANgenerator (hab ich auch noch, funktioniert auch noch aber nicht am Telefon ^^)
Bei dem Vergleich ging es auch mehr um die Nutzerfreundlichkeit.
Ich denke hier ist es wichtig zu Unterscheiden ob es um die Digitalisierung der behördlichen Prozesse oder um die Digitalisierung des Kundenkontakts geht.
Und was den Kundenkontakt angeht können große Konzerne wie Amazon durchaus Pate stehen.
Einfach für die Fragen: Wie komme ich zu dem Produkt das haben will (z.B. Ausweis beantragen) und wie kann ich das gewünschte Produkt dann bezahlen.
Stell dir ein Portal wie Amazon vor, wo du dich durchklickst zu was immer Du gerade benötigst von dem Portal aus kommst du direkt zu der jeweiligen Behörde, egal ob Kommune, Land oder Bund und wenn du mit deinen Eingaben fertig bist drückst du auf „zur Kasse“ und bezahlst mit deiner Kreditkarte die anfallenden Gebühren
Fertig.
Das wäre Anwenderfreundliche Digitalisierung: ein Zugang/Portal zu allem.
Und wenn du in dem Portal wählst Elterngeld wirst du zur entsprechenden Behörde umgeleitet, wählst du hingehen ALG II landest du eben bei dieser Behörde, brauchst du einen Pass landest du eben beim Einwohnermeldeamt.
Einmal in dem persönlichen Einstellungen des Portals die Kommune angeben fertig.
Inhalt wurde gelöscht…
Meine Hoffnung ist ja, dass Passkeys von Apple etwas Bewegung in Abschaffung von Passwörtern bringt. Ich selbst besitze schon seit einiger Zeit einen Yubikey, doch leider bieten immer noch viel zu wenige Dienste einen Login nur dem Sicherheitsschlüssel an – man kann schon froh sein, wenn überhaupt Zwei-Faktor-Authentifizierung damit unterstützt wird. Das ist dann auch sehr viel komfortabler als mit der Authenticator-App.
Schon witzig.
In einem anderen Thema wird darüber gejammert, dass ja irgendwer die gesicherten Identitäten speichern muss um die eindeutige Identifikation digital zu ermöglichen.
Hier soll man seinen Fingerabdruck freiwillig einem privaten Unternehmen hinterherwerfen.
Ist wie mit dem abhören.
Wehe irgendein Abhörskandal von irgendeinem Geheimdienst taucht auf.
Schreien alle Datenschutz und meine Geheimnisse …
Dieselben gehen dann nach Hause und mach dem Tür öffnen: „Siri mach ma Licht an“
Hallo Olaf,
Kannst du deine These stuetzen, dass es sich um “die selben” Diskussionsteilnehmer_innen handelt?
Nein, denn das es dieselben Diskussionsteilnehmer/-innen seien ist nicht Bestandteil meiner Aussage sondern eine Interpretation deinerseits.
Während bei der Sache mit dem Aufschrei um Abhören hab ich vor längerer Zeit mal einen Schreiberling gelesen der einmal einen Text übers Abhören schrieb und kurz darauf einen Text der die Möglichkeiten der akustischen Steuerung bejubelt.
Diese koinzidenz lässt besagten Rückschluss zu, zumal niemand von denen die über Geheimdienste und deren Möglichkeiten berichtet solche Systeme wie Siri überhaupt nur erwähnt.
Gleiches gilt übrigens für alle die überall mit Sinn und Unsinn „Datenschutz“ rufen. Solche Leute sollten in solchen Diskussionen/Berichten ebenfalls die heimischen Abhörsysteme aus den USA zumindest kritisch erwähnen, allerdings hört und liest man in dem Zusammenhang so überhaupt nichts.
Eben: Wir haben uns nicht zu 2FA geäußert, was ja meistens Sinn macht, sondern speziell zu überzogenen Anforderungen an 2FA in der PSD2-Richtlinie, wo sogar SMS verboten wurden (oder jedenfalls die meisten Banken das so interpretieren).
Bitte korrekt zitieren! Sonst diskutieren wir hier Strohmänner.
1 „Gefällt mir“
Inhalt wurde gelöscht…
Zumal wir mit HBCI schon seit vielen Jahren einen sicheren und interoperablen Standard hatten, der mit PSD2 nun von vielen Danken beerdigt wurde. Ich hatte jahrelang zuhause ein Script laufen, das die Umsätze von unserer gemeinsamen Kreditkarte einmal in der Nacht runtergeladen und in HTML gerendert hat (kaum zu glauben, aber das online Banking kann das bis heute nur bei dem Inhaber der ersten Karte anzeigen). Das ging mit der Umstellung auf PSD2 ersatzlos kaputt weil unsere Hausbank jetzt jedesmal eine TAN haben möchte.
Genau darum geht es doch: Eine Kreditkarte muss gar nicht 100%ig abgesichert sein. Ja, SMS können von (insbesondere staatlichen) Vollprofis mit enormem Aufwand gehackt werden. Aber sie wären sicher genug für ein Zahlungsmittel, denn wenn eine von 100.000 Transaktionen auf einem Hack beruht, dann verteuert das jede einzelne Transaktion um Bruchteile eines Cent. Dieses kollektivierte Risiko hätten man besser hingenommen.
Deswegen sagen wir: Die EU-Kommission übertreibt es komplett mit ihrem Sicherheitsniveau.
1 „Gefällt mir“
Kann man das auch mal für nichtNerds übersetzen?
Ich sehe allerdings nur geringe Verbesserung, wenn nun app für 2FA und app für onlinebanking auf dem gleichen Gerät aktiv sind. Allerdings muss ich zugeben, dass ich nicht wirklich weiß, wie man das sonst lösen wollte, ohne mobiles banking einzuschränken.
Dass aber keine Bank den yubikey unterstützt und stattdessen alle auf proprietäre Lösungen setzen, ist absolut unverständlich.
Inhalt wurde gelöscht…
"My question is: how do Sakari and others like it get access to the number routing system?
I presume the answer is the phone companies give it to them when they ask (pay) for it. It should be legally easy (that is easy to craft a law), to prevent such a transfer without first sending a text to the number and requiring an affirmative reply. A similar provision should be in place for out-going call number spoofing. That is, in both cases, you should require that someone telling you this is their phone number, should independently verify the claim before presenting that number as belonging to those making the claim."
Aus den Antworten auf den Beitrag aus dem Link.
Ich denke mal als nichtNerd hat dieser User einen Punkt.
Die Dienste die solche Forwards anbieten sind das Sicherheitsleck, nicht der SMS Dienst als solches.
Aber trotzdem Danke für die Erklärung was du meinst.
Ohne jetzt Interna auszuplaudern kann ich aber sagen, dass vor einigen Jahren viele Schnittstellen zwischen den Mobilfunkunternehmen und solchen SMS Diensteanbietern auch auf der Seite der Mobilfunker schlecht bis nicht abgesichert waren. Prüfungen ob Absendernummern valide waren und überhaupt von dieser Schnittstelle angenommen werden durfte waren eine Seltenheit. Klar, versaut ja auch das geschäft, jede SMS bringt dem Mobilfunkprovider ja Geld.
2 „Gefällt mir“
Ich bin kein Experte in diesem Thema, aber könnte man es nicht ähnlich handhaben wie mit dem Elektronischen Personalausweis:
Um eine TAN am Handy zu generieren muss man mittels NFC die Bankkarte auslesen? Dann reicht Kontrolle des Handys nicht mehr aus, sondern man muss, wie früher, die Bankkarte besitzen.
Der Blogbeitrag, den Du hier verlinkt hast, beschreibt gerade keinen Weg, wie man SMS zu bereits vergebenen Nummern kapern kann, sondern nur, dass man sich billig eine Mobilfunknummer einrichten lassen kann - ein banaler Vorgang also. Das ist Desinformation und keineswegs ein berechtigter Einwand zu dem Beitrag von @vieuxrenard
2 „Gefällt mir“
Hmm, es wird doch beschrieben, dass man bei einem SMS-Weiterleitungsservice für recht wenig Geld und ohne Nachweis jede beliebige Nummer eingeben kann und dann Kurznachrichten, die an diese Nummer gehen sollten, weitergeleitet bekommt. Ist das keine Möglichkeit, eine fremde Nummer zu kapern? 
4 „Gefällt mir“