Zwei-Faktor-Authentifizierung: doppelt verschlossen hält besser

@CorinaS

Was machen die welche kein Handy haben?

@WalterB

Die müssen entweder auf die zusätzliche Sicherheit verzichten oder sich ein Handy zulegen. Früher oder später wird man ohne Handy gewisse Services im alltäglichen Leben gar nicht mehr beziehen können.

@hed

Man könnte aber auch per E-Mail einen Code verschicken den es sitzt nicht allen Menschen das Geld so locker im Geldbeutel um noch ein Handy zu kaufen.

@WalterB

Nur um ein SMS zu empfangen, braucht man kein teures Smart-Phone.

Aber klar, wenn man zwischen SMS und Mail auswählen könnte, so wäre das sicher kundenfreundlicher.

Code per Email alles schön und recht - Problem nur, wenn man nicht mehr ins Webmail reinkommt wegem Passwort

@POGO 1104

Jede Code Variante hat seine Vor-und nachteile und es gibt auch heute noch viele Geschäfte welche einen Code per E-Mail senden.

Man könnte es einfach beim Swisscom Login noch zusätzlich als Variante anbieten.

Variante die ich gerade verfolge ist die Yubico-Keys und schaue wo es überall bei der Anbieter funktionieren könnte. Im Youtube wird von diese Methode viel erzählt. Einfach nur so nebenbei, auch ausserhalb von Swisscom meine ich

@Lowex

Fremde Login Schlüssel ist nicht die Idee von der eigenen Swisscom Blattform da dann eine grössere Gefahr besteht das diese geknackt wird.

2FA mit SMS ist die wohl unsicherste Variante. Leider bietet Swisscom nur diese und MobileID an.

Das hat auch den Nachteil wenn zB das Handy verloren geht nichts mehr geht. Ich könnte nicht mal selber meine SIM sperren.

Es wäre endlich an der Zeit das Swisscom für 2FA auch TOTP via App zulässt oder von mir aus auch U2F via zB Yubikey.

@WalterB Ich glaube du müsstest dich über die Yubikeys noch ein wenig informieren. Ich glaube momentan gibt es für Privatanwender praktisch nichts sicheres als das, was auch einfach zu bedienen ist.

Vielen Dank @CorinaS für diesen Artikel zum Thema Doppelverriegelung 😀

“Errare humanum est, perseverare diabolicum”

„Irren ist menschlich, im Irrtum verharren ist teuflisch“

@Cruncher

Auch mit einer App kann das Handy verloren gehen oder der Key, wenn man ein System mit Key verliert.

@hed Ja klar. Aber wenn du den TOTP zB in iCloud oder 1Password oder Bitwarden, dann passiert das nicht. Schon nur wenn du die App zB auf einem 2. Gerät speicherst.

SMS geht mit MultiDevice nur auf 1 Gerät. Genau so MobileID!

Und wer nur 1 Key hat ist eh selber Schuld. Es gibt Leute die haben ein Konzept für solche Security Angelgenheiten und diese wollen möglichst SMS vermeiden. MobileID wäre sicher aber da nur auf 1 Gerät beschränkt leider nicht brauchbar.

2FA nur mit SMS finde ich eigentlich auch keine gute Idee, aber hat man mehrere Apple Geräte kann man das Problem mit der Apple iMessage Funktion “Senden und Empfangen über mehrere Geräte” ein wenig entschärfen.

Äxgüsi, aber 2FA über SMS an das selbe Mobiltelefon ist ja wohl ein schlechter Scherz!

Wie wäre es, wenn Swisscom eine *echte* und nicht abfangbare 2FA über das TOTP anbieten würde?

Das wäre aus meiner Sicht ein echter Sicherheitsgewinn, weil dazu ein zweites Gerät verwendet werden könnte. Sorry, 2FA über das idente Gerät ist wohl ein schlechter Witz!

Äxgüsi, aber 2FA über SMS an das selbe Mobiltelefon ist ja wohl ein schlechter Scherz!

Wie wäre es, wenn Swisscom eine *echte* und nicht abfangbare 2FA über das TOTP anbieten würde?

Das wäre aus meiner Sicht ein echter Sicherheitsgewinn, weil dazu ein zweites Gerät verwendet werden könnte. Sorry, 2FA über das idente Gerät ist wohl ein schlechter Witz!

Auch Gartenmöbel in Zürich entdecken. Und Doppelstabmattenzaun kaufen!

Stimme dir voll und ganz zu! Dein Ansatz hört sich vernünftig an.

@hed

Die Idee bei TOTP ist, dass man es eben *NICHT* über das identische Gerät (lies “App” / SMS / MobileID) machen muss, sondern ein x-beliebiges anderes, Internet-fähiges Gerät für die 2FA nutzen kann!

(leider scheinen das die Verantwortlichen bei Swisscom nicht realisieren zu wollen, dass 2FA sowohl über SMS als auch MobileID über das IDENTISCHE Gerät den ZWEITEN FAKTOR per se ausschliesst.

Aber - wie heisst es so schön: Die Hoffnung stirbt zuletzt! - Eventuell naschen die Verantwortlichen bei Swisscom über die Zeit auch noch vom Baum der Erkenntnis <hoff> )

Nachtrag: Der “aha-Effekt” dürfte bei den Verantwortlichen spätestens dann einsetzen, wenn sie selber Opfer eines Mobilgerät-Klaus/-Verlust wurden. Es war und ist - sicherheitstechnisch gesehen - einfach eine saublöde Idee, alles an ein einziges Gerät ketten zu wollen! Bequem? - okay SICHER???? - in your (wet) dreams!!!!

Bei Apple kein Problem.

Wenn man dann nicht nur ein Gerät von denn besitzt.

Bei einer 2FA klingelt es dort bei jedem Gerät zum sich zu…

@Herby

Vielen Dank für den Apple-Werbespot

(es soll auch Menschen geben, welche

• weder das Geld
• noch die Gelegenheit
• noch den Wunsch, sich “Cupertino-mässig” gleichschalten zu lassen

haben)

Das Problem bleibt bestehen, dass 2FA ohne einen echten zweiten Faktor nur eine fromme Lüge ist.

Nachtrag

Und sobald 2FA einen amerikanischen / chinesischen / schlag-mich-tot / Drittanbieter involviert, ist sie eh “gestorben”!

Wenn man etwas zurückblickt……SMS-Verfahren galt als unknackbar, absolut sicher. Es gab Banken, die dies als das einzige 2FA für ihre Kunden vorsahen.

Als Alternative war da noch ein Token vorgesehen, der alle 10 Sekunden ein anderer Code zeigte.

Wenn der Benutzer sich damit auf einer Fake-Website einloggte, war der Schadenfall den jeweiligen Kontostand beschränkt.

Es geschah dann das Unglaubliche, Unvorstellbare.

Benutzer loggte sich auf einer Fake-Website ein und wurde dort im Rahmen einer “Sicherheitsüberprüfung” zur Preisgabe allerlei Daten des im Online-Vertrag eingebundenen Handy aufgefordert.

Mit jenen ergaunerten Daten war es den Betrüger möglich, eine Fake-ID-Karte zu erstellen, um sich beispielsweise in einem Swisscom-Shop ausweisen zu können.

So konnte dann ein Handy-Duplikat via Telefongesellschaft erschlichen werden (Stichwort: Multi-SIM).

Dann noch einstellen, dass all die SMS an das andere Handy gesendet werden.

Somit:

1. Login auf der echten Bankwebsite mit den via Fake-Website ergaunerten Daten.

2. Da all die SMS nun an das andere Handy gesendet werden, konnte nun in aller Ruhe das Wertschriftendepot sowie all die Konti leergeräumt werden.

Mit diesem “sicheren” Loginverfahren gab es vereinzelte gigantische Schadenfälle bis zu etwa einer Viertelmillion Franken.

Das gab es mit den anderen zuvor häufigen Loginverfahren von der Streichliste bis zu das mit dem Token nicht - da man nur den jeweiligen Kontostand abgreifen konnte.

Die Banken haben somit inzwischen CrontoSign gepusht - bei einigen Banken wiederum das einzige Loginverfahren für die Kunden.

Was die Betrüger nun machen müssen, wäre das Erschleichen des Aktivierungsbriefes, um ein weiteres Gerät ins Online-Banking des Opfers einzubinden.

Ob das inzwischen gelungen ist? Schadenfall wäre auch hier ebenso so gigantisch wie bei SMS.

Glotzologe