Code per Email alles schön und recht - Problem nur, wenn man nicht mehr ins Webmail reinkommt wegem Passwort 
….keep on rockin' 🤘🏼🤘🏼🤘🏼
Jede Code Variante hat seine Vor-und nachteile und es gibt auch heute noch viele Geschäfte welche einen Code per E-Mail senden.
Man könnte es einfach beim Swisscom Login noch zusätzlich als Variante anbieten.
Installationen, Netzwerk, Internet, Computertechnik, OS Windows, Apple und Linux.
Variante die ich gerade verfolge ist die Yubico-Keys und schaue wo es überall bei der Anbieter funktionieren könnte. Im Youtube wird von diese Methode viel erzählt. Einfach nur so nebenbei, auch ausserhalb von Swisscom meine ich
2FA mit SMS ist die wohl unsicherste Variante. Leider bietet Swisscom nur diese und MobileID an.
Das hat auch den Nachteil wenn zB das Handy verloren geht nichts mehr geht. Ich könnte nicht mal selber meine SIM sperren.
Es wäre endlich an der Zeit das Swisscom für 2FA auch TOTP via App zulässt oder von mir aus auch U2F via zB Yubikey.
@WalterB Ich glaube du müsstest dich über die Yubikeys noch ein wenig informieren. Ich glaube momentan gibt es für Privatanwender praktisch nichts sicheres als das, was auch einfach zu bedienen ist.
Vielen Dank @CorinaS für diesen Artikel zum Thema Doppelverriegelung 😀
“Errare humanum est, perseverare diabolicum”
„Irren ist menschlich, im Irrtum verharren ist teuflisch“
“On apprend parfois plus d'une défaite que d'une victoire” — José Raúl Capablanca
@hed Ja klar. Aber wenn du den TOTP zB in iCloud oder 1Password oder Bitwarden, dann passiert das nicht. Schon nur wenn du die App zB auf einem 2. Gerät speicherst.
SMS geht mit MultiDevice nur auf 1 Gerät. Genau so MobileID!
Und wer nur 1 Key hat ist eh selber Schuld. Es gibt Leute die haben ein Konzept für solche Security Angelgenheiten und diese wollen möglichst SMS vermeiden. MobileID wäre sicher aber da nur auf 1 Gerät beschränkt leider nicht brauchbar.
2FA nur mit SMS finde ich eigentlich auch keine gute Idee, aber hat man mehrere Apple Geräte kann man das Problem mit der Apple iMessage Funktion “Senden und Empfangen über mehrere Geräte” ein wenig entschärfen.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Äxgüsi, aber 2FA über SMS an das selbe Mobiltelefon ist ja wohl ein schlechter Scherz!
Wie wäre es, wenn Swisscom eine *echte* und nicht abfangbare 2FA über das TOTP anbieten würde?
Das wäre aus meiner Sicht ein echter Sicherheitsgewinn, weil dazu ein zweites Gerät verwendet werden könnte. Sorry, 2FA über das idente Gerät ist wohl ein schlechter Witz!
Äxgüsi, aber 2FA über SMS an das selbe Mobiltelefon ist ja wohl ein schlechter Scherz!
Wie wäre es, wenn Swisscom eine *echte* und nicht abfangbare 2FA über das TOTP anbieten würde?
Das wäre aus meiner Sicht ein echter Sicherheitsgewinn, weil dazu ein zweites Gerät verwendet werden könnte. Sorry, 2FA über das idente Gerät ist wohl ein schlechter Witz!
Auch Gartenmöbel in Zürich entdecken. Und Doppelstabmattenzaun kaufen!
Stimme dir voll und ganz zu! Dein Ansatz hört sich vernünftig an.
Die Idee bei TOTP ist, dass man es eben *NICHT* über das identische Gerät (lies “App” / SMS / MobileID) machen muss, sondern ein x-beliebiges anderes, Internet-fähiges Gerät für die 2FA nutzen kann!
(leider scheinen das die Verantwortlichen bei Swisscom nicht realisieren zu wollen, dass 2FA sowohl über SMS als auch MobileID über das IDENTISCHE Gerät den ZWEITEN FAKTOR per se ausschliesst.
Aber - wie heisst es so schön: Die Hoffnung stirbt zuletzt! - Eventuell naschen die Verantwortlichen bei Swisscom über die Zeit auch noch vom Baum der Erkenntnis <hoff> )
Nachtrag: Der “aha-Effekt” dürfte bei den Verantwortlichen spätestens dann einsetzen, wenn sie selber Opfer eines Mobilgerät-Klaus/-Verlust wurden. Es war und ist - sicherheitstechnisch gesehen - einfach eine saublöde Idee, alles an ein einziges Gerät ketten zu wollen! Bequem? - okay SICHER???? - in your (wet) dreams!!!!
Bei Apple kein Problem.
Wenn man dann nicht nur ein Gerät von denn besitzt.
Bei einer 2FA klingelt es dort bei jedem Gerät zum sich zu… 
#user63
Vielen Dank für den Apple-Werbespot 
(es soll auch Menschen geben, welche
- weder das Geld
- noch die Gelegenheit
- noch den Wunsch, sich “Cupertino-mässig” gleichschalten zu lassen
haben)
Das Problem bleibt bestehen, dass 2FA ohne einen echten zweiten Faktor nur eine fromme Lüge ist.
Nachtrag
Und sobald 2FA einen amerikanischen / chinesischen / schlag-mich-tot / Drittanbieter involviert, ist sie eh “gestorben”!
Wenn man etwas zurückblickt……SMS-Verfahren galt als unknackbar, absolut sicher. Es gab Banken, die dies als das einzige 2FA für ihre Kunden vorsahen.
Als Alternative war da noch ein Token vorgesehen, der alle 10 Sekunden ein anderer Code zeigte.
Wenn der Benutzer sich damit auf einer Fake-Website einloggte, war der Schadenfall den jeweiligen Kontostand beschränkt.
Es geschah dann das Unglaubliche, Unvorstellbare.
Benutzer loggte sich auf einer Fake-Website ein und wurde dort im Rahmen einer “Sicherheitsüberprüfung” zur Preisgabe allerlei Daten des im Online-Vertrag eingebundenen Handy aufgefordert.
Mit jenen ergaunerten Daten war es den Betrüger möglich, eine Fake-ID-Karte zu erstellen, um sich beispielsweise in einem Swisscom-Shop ausweisen zu können.
So konnte dann ein Handy-Duplikat via Telefongesellschaft erschlichen werden (Stichwort: Multi-SIM).
Dann noch einstellen, dass all die SMS an das andere Handy gesendet werden.
Somit:
1. Login auf der echten Bankwebsite mit den via Fake-Website ergaunerten Daten.
2. Da all die SMS nun an das andere Handy gesendet werden, konnte nun in aller Ruhe das Wertschriftendepot sowie all die Konti leergeräumt werden.
Mit diesem “sicheren” Loginverfahren gab es vereinzelte gigantische Schadenfälle bis zu etwa einer Viertelmillion Franken.
Das gab es mit den anderen zuvor häufigen Loginverfahren von der Streichliste bis zu das mit dem Token nicht - da man nur den jeweiligen Kontostand abgreifen konnte.
Die Banken haben somit inzwischen CrontoSign gepusht - bei einigen Banken wiederum das einzige Loginverfahren für die Kunden.
Was die Betrüger nun machen müssen, wäre das Erschleichen des Aktivierungsbriefes, um ein weiteres Gerät ins Online-Banking des Opfers einzubinden.
Ob das inzwischen gelungen ist? Schadenfall wäre auch hier ebenso so gigantisch wie bei SMS.
Glotzologe
Weshalb ich - in Absprache mit meiner Bank - besagten Aktivierungsbrief geschreddert habe und ausserdem auf einen offline Token-Generator setze (uraltes Prinzip: Wissen und BESITZ)
P.S. CrontoSign (das mit den farbigen QR-Codes) ist aber zumindest bei meiner Bank schon länger “Geschichte”
Ich habe bei der Bank einen noch höheren Sicherheitslevel als “nur” 2FA. Das Portal habe ich von der Bank auf Read-Only setzen lassen, so ist das Sparkonto geschützt und falls es dennoch von Hackern geplündert wird, liegt die volle Verantwortung bei der Bank.
Der Zahlungsverkehr läuft über Postfinance, da habe ich logischerweise auch Schreibrechte, aber nur so wenig Geld auf dem Konto wie nötig. D.h. das Risiko eines Verlustes ist auch im Worstcase sehr begrenzt.
“iegt die volle Verantwortung bei der Bank”
AGBs schon gelesen?
üblicherweise steht da drin, dass der Kontoinhaber (DU) jeder Transaktion zustimmt, welche der Bank unter Einhaltung der üblichen bla-di-bla-Einstellungen übermittelt wurde.
Es würde mich *sehr* überraschen, wenn Postfinance das anders handhaben würde!
(ich vertraue da lieber einer *echten* regionalen Bank, bei welcher ich persönlich vorsprechen kann - versuch das mal bei Postfinance - “good luck”!)
aber ich werde hier etwas Off-Topic - ENTSCHULDIGUNG!
@Anonym
Laut AGB haftet in den meisten Fällen der Kunde, wenn über den eBanking-Kanal das Konto “geleert” wird. Der Fall Read-Only ist in den AGB aber gar nicht abgebildet, weil es selbst bei Grossbanken nur eine Handvoll Kunden gibt, die das je verlangt haben.
Ich habe mir das daher von der Bank schriftlich bestätigen lassen, dass im Fall eines Read-Only Zugriffs der Kunde nicht belangt werden kann, selbst wenn er unvorsichtig mit den Credentials umgeht.
Und bitte lese mein Post nochmals in aller Ruhe durch. Bei Postfinance habe ich Schreib- und Leserechte und trage daher auch die Verantwortung bei Missbrauch der Credentials. Daher habe ich bei PF das Haftungsrisiko minimiert, indem auf diesem Konto nur so wenig Geld wie nötig habe.