Zwei-Faktor-Authentifizierung: doppelt verschlossen hält besser

CorinaS

Betrüger*innen nehmen am liebsten den Weg des geringsten Widerstands. Um unsere Daten im Netz zu schützen, brauchen wir deshalb ein gutes Schloss – am besten ein doppeltes.

Die Zwei-Faktor-Authentifizierung (2FA) kennen die meisten vom E-Banking: Nebst dem Benutzernamen und Passwort musst du zusätzlich einen Code eingeben. Das zweistufige Anmeldeverfahren schützt auch bei anderen Aktivitäten im Netz. Passwortdiebstahl wird damit überflüssig, denn dein Login ist doppelt geschützt.

So funktioniert die Authentifizierung

Die 2FA sollte bei allem, was wir im Internet machen, der neue Standard sein. Berührungsängste braucht es keine. Doppelt verschlossen heisst nämlich einfach:

Benutzername und Passwort eingeben
Den erhaltenen einmaligen Code eintippen

Je nach System erhältst du den Code per SMS oder E-Mail. Es gibt auch Authentifizierungs-Apps, mit denen du die einmalige Zahlenkombi generieren kannst. Schau einmal in den Einstellungen deiner Apps nach, ob sie 2FA anbieten.

2FA aktivieren für My Swisscom

Die 2FA bei My Swisscom ist freiwillig und kostenlos. Hinterlege dazu beim nächsten Login einfach deine Handynummer oder ändere deine Login-Methode. So erhältst du künftig zusätzlich zum Passwort einen Code per SMS. Du kannst wählen, ob du den doppelten Schutz immer nutzen möchtest oder nur für geschützte Bereiche und ungewöhnliche Loginversuche.

Du wurdest aufgefordert, 2FA einzurichten? In einigen Fällen kann das System eine 2FA verlangen.

Nützliche Links

Hast du noch Fragen zur zweistufigen Anmeldung? Die Swisscom Community hat Antworten.

WalterB

@CorinaS

Was machen die welche kein Handy haben?

hed

@WalterB

Die müssen entweder auf die zusätzliche Sicherheit verzichten oder sich ein Handy zulegen. Früher oder später wird man ohne Handy gewisse Services im alltäglichen Leben gar nicht mehr beziehen können.

WalterB

@hed

Man könnte aber auch per E-Mail einen Code verschicken den es sitzt nicht allen Menschen das Geld so locker im Geldbeutel um noch ein Handy zu kaufen. 😉

hed

@WalterB

Nur um ein SMS zu empfangen, braucht man kein teures Smart-Phone.

Aber klar, wenn man zwischen SMS und Mail auswählen könnte, so wäre das sicher kundenfreundlicher.

POGO 1104

Code per Email alles schön und recht - Problem nur, wenn man nicht mehr ins Webmail reinkommt wegem Passwort 🤷‍♂️

WalterB

@POGO 1104

Jede Code Variante hat seine Vor-und nachteile und es gibt auch heute noch viele Geschäfte welche einen Code per E-Mail senden.

Man könnte es einfach beim Swisscom Login noch zusätzlich als Variante anbieten.

Lowex

Variante die ich gerade verfolge ist die Yubico-Keys und schaue wo es überall bei der Anbieter funktionieren könnte. Im Youtube wird von diese Methode viel erzählt. Einfach nur so nebenbei, auch ausserhalb von Swisscom meine ich

WalterB

@Lowex

Fremde Login Schlüssel ist nicht die Idee von der eigenen Swisscom Blattform da dann eine grössere Gefahr besteht das diese geknackt wird.

Cruncher

2FA mit SMS ist die wohl unsicherste Variante. Leider bietet Swisscom nur diese und MobileID an.

Das hat auch den Nachteil wenn zB das Handy verloren geht nichts mehr geht. Ich könnte nicht mal selber meine SIM sperren.

Es wäre endlich an der Zeit das Swisscom für 2FA auch TOTP via App zulässt oder von mir aus auch U2F via zB Yubikey.

@WalterB Ich glaube du müsstest dich über die Yubikeys noch ein wenig informieren. Ich glaube momentan gibt es für Privatanwender praktisch nichts sicheres als das, was auch einfach zu bedienen ist.

Black Mamba

merci @CorinaS pour cet article sur le double verrouillage 😀

“Errare humanum est, perseverare diabolicum”

“L’erreur est humaine, persévérer [dans son erreur] est diabolique”

hed

@Cruncher

Auch mit einer App kann das Handy verloren gehen oder der Key, wenn man ein System mit Key verliert.

Cruncher

@hed Ja klar. Aber wenn du den TOTP zB in iCloud oder 1Password oder Bitwarden, dann passiert das nicht. Schon nur wenn du die App zB auf einem 2. Gerät speicherst.

SMS geht mit MultiDevice nur auf 1 Gerät. Genau so MobileID!

Und wer nur 1 Key hat ist eh selber Schuld. Es gibt Leute die haben ein Konzept für solche Security Angelgenheiten und diese wollen möglichst SMS vermeiden. MobileID wäre sicher aber da nur auf 1 Gerät beschränkt leider nicht brauchbar.

Werner

2FA nur mit SMS finde ich eigentlich auch keine gute Idee, aber hat man mehrere Apple Geräte kann man das Problem mit der Apple iMessage Funktion “Senden und Empfangen über mehrere Geräte” ein wenig entschärfen.

Anonymous1

Äxgüsi, aber 2FA über SMS an das selbe Mobiltelefon ist ja wohl ein schlechter Scherz!

Wie wäre es, wenn Swisscom eine *echte* und nicht abfangbare 2FA über das TOTP anbieten würde?

Das wäre aus meiner Sicht ein echter Sicherheitsgewinn, weil dazu ein zweites Gerät verwendet werden könnte. Sorry, 2FA über das idente Gerät ist wohl ein schlechter Witz!

Rathethu89

Äxgüsi, aber 2FA über SMS an das selbe Mobiltelefon ist ja wohl ein schlechter Scherz!

Wie wäre es, wenn Swisscom eine *echte* und nicht abfangbare 2FA über das TOT P anbieten würde?

Das wäre aus meiner Sicht ein echter Sicherheitsgewinn, weil dazu ein zweites Gerät verwendet werden könnte. Sorry, 2FA über das idente Gerät ist wohl ein schlechter Witz!

Auch Gartenmöbel in Zürich entdecken. Und Doppelstabmattenzaun kaufen!

Stimme dir voll und ganz zu! Dein Ansatz hört sich vernünftig an.

Anonymous1

@hed

Die Idee bei TOTP ist, dass man es eben *NICHT* über das identische Gerät (lies “App” / SMS / MobileID) machen muss, sondern ein x-beliebiges anderes, Internet-fähiges Gerät für die 2FA nutzen kann!

(leider scheinen das die Verantwortlichen bei Swisscom nicht realisieren zu wollen, dass 2FA sowohl über SMS als auch MobileID über das IDENTISCHE Gerät den ZWEITEN FAKTOR per se ausschliesst.

Aber - wie heisst es so schön: Die Hoffnung stirbt zuletzt! - Eventuell naschen die Verantwortlichen bei Swisscom über die Zeit auch noch vom Baum der Erkenntnis <hoff> )

Nachtrag: Der “aha-Effekt” dürfte bei den Verantwortlichen spätestens dann einsetzen, wenn sie selber Opfer eines Mobilgerät-Klaus/-Verlust wurden. Es war und ist - sicherheitstechnisch gesehen - einfach eine saublöde Idee, alles an ein einziges Gerät ketten zu wollen! Bequem? - okay SICHER???? - in your (wet) dreams!!!!

Herby

Bei Apple kein Problem.

Wenn man dann nicht nur ein Gerät von denn besitzt.

Bei einer 2FA klingelt es dort bei jedem Gerät zum sich zu… 😉

Anonymous1

@Herby

Vielen Dank für den Apple-Werbespot 😁

(es soll auch Menschen geben, welche

weder das Geld
noch die Gelegenheit
noch den Wunsch, sich “Cupertino-mässig” gleichschalten zu lassen

haben)

Das Problem bleibt bestehen, dass 2FA ohne einen echten zweiten Faktor nur eine fromme Lüge ist.

Nachtrag

Und sobald 2FA einen amerikanischen / chinesischen / schlag-mich-tot / Drittanbieter involviert, ist sie eh “gestorben”!

Glotzologe

Wenn man etwas zurückblickt……SMS-Verfahren galt als unknackbar, absolut sicher. Es gab Banken, die dies als das einzige 2FA für ihre Kunden vorsahen.

Als Alternative war da noch ein Token vorgesehen, der alle 10 Sekunden ein anderer Code zeigte.

Wenn der Benutzer sich damit auf einer Fake-Website einloggte, war der Schadenfall den jeweiligen Kontostand beschränkt.

Es geschah dann das Unglaubliche, Unvorstellbare.

Benutzer loggte sich auf einer Fake-Website ein und wurde dort im Rahmen einer “Sicherheitsüberprüfung” zur Preisgabe allerlei Daten des im Online-Vertrag eingebundenen Handy aufgefordert.

Mit jenen ergaunerten Daten war es den Betrüger möglich, eine Fake-ID-Karte zu erstellen, um sich beispielsweise in einem Swisscom-Shop ausweisen zu können.

So konnte dann ein Handy-Duplikat via Telefongesellschaft erschlichen werden (Stichwort: Multi-SIM).

Dann noch einstellen, dass all die SMS an das andere Handy gesendet werden.

Somit:

1. Login auf der echten Bankwebsite mit den via Fake-Website ergaunerten Daten.

2. Da all die SMS nun an das andere Handy gesendet werden, konnte nun in aller Ruhe das Wertschriftendepot sowie all die Konti leergeräumt werden.

Mit diesem “sicheren” Loginverfahren gab es vereinzelte gigantische Schadenfälle bis zu etwa einer Viertelmillion Franken.

Das gab es mit den anderen zuvor häufigen Loginverfahren von der Streichliste bis zu das mit dem Token nicht - da man nur den jeweiligen Kontostand abgreifen konnte.

Die Banken haben somit inzwischen CrontoSign gepusht - bei einigen Banken wiederum das einzige Loginverfahren für die Kunden.

Was die Betrüger nun machen müssen, wäre das Erschleichen des Aktivierungsbriefes, um ein weiteres Gerät ins Online-Banking des Opfers einzubinden.

Ob das inzwischen gelungen ist? Schadenfall wäre auch hier ebenso so gigantisch wie bei SMS.

Glotzologe

Pagina successiva »