1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › 2FA: Wie sicher sind TOTP…

Es liegt in der Verantwortung des Nutzers?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Es liegt in der Verantwortung des Nutzers?

    Autor: robinx999 24.06.22 - 21:03

    So ein Satz "Auf der anderen Seite liegt es jedoch auch in der Verantwortung der Endanwender, sich nicht auszusperren und immer mehrere 2FA-Zugänge anzulegen. "
    Erscheint mir in der Praxis doch recht unbrauchbar.
    Die Leute verschusseln nun mal Regelmäßig Dinge klar kann man Regeln für das Zurücksetzen definieren die mit zeitlichem Verzug reagieren, oder eine Kontoübernahme nachträglich Rückgängig machen können (so dass auch bei einem Zurück gesetztem Key dieser noch genutzt werden kann, das auch bei einer E-Mail Adressänderung noch 2 Wochen die Mails zusätzlich an die alte Adresse gehen)
    Auch könnte man den Versand per Post an die Adresse starten, aber selbst da könnte ein Hacker ja evtl. einen Nachsendeauftrag fälschen

    Aber der praktische Punkt das die Geräte verloren gehen, der zweite nicht mehr wieder gefunden wird, oder evtl. sogar bei Schicksalsschlägen wie einem Hausbrand der Stick nicht gerettet wird.

    Also ich denke ein Rücksetzprotokol braucht es immer irgendwie. Es einfach auf den Nutzer abzuwältzen finde ich doch recht gewagt, dann würde auch nach wie vor ein Passwort reichen wenn der Nutzer das selbe auf mehreren Websites verwendet oder es irgendwo eingibt wo es nicht hin gehört hätte dieser auch Schuld

  2. Es kann nur einen geben ..

    Autor: senf.dazu 25.06.22 - 08:54

    Gerade die Rücksetzungsprotokolle bieten aber Angriffsflächen - nicht zuletzt deswegen weil der eine Service seine eigen Methode A der andere B macht. Und man diese "Sonderfälle" einfach nicht wichtig genug nimmt um die Mitarbeiter drauf zu schulen und zu einzuüben. Da ist Wildwuchs vorprogrammiert. "Können Sie mir mal eben schnell helfen" "Aber gerne"

    Also sollte man die vielleicht einfach lassen - und für den neuen angemeldeten Fido2 Key - entweder einen komplett neuen pseudonymen Account (inkl. neuem Nickname) anlegen wobei natürlich der alte verloren geht, bzw. bei einem personell zugeordneten Account die persönliche Identifikation des Nutzers mit dafür vorgesehenen rechtsicheren Mitteln wie dem Online Ausweisen mit dem ePerso machen ? In letzteren Fall führt dann die Neuanmeldung den Serviceanbieter ggf wohl wieder zu den alten Accountdaten ..

    So ein Schlüsselverlust passiert ja nur eher selten - und der Ärger läßt sich mit Zweitschlüsseln durchaus weiter reduzieren.

    Für Sicherheit ist's wichtig das auch die Wiederherstellungsprozeduren standardisiert werden - und sich sowohl Servicebetreiber als auch Kunden daran durch gelegentliche Ausübung gewöhnen können. Dadurch das die Methode bei Service Anbieter A und B die gleiche ist.

    Am sichersten also so das es gar keine Wiederherstellungsprozeduren gibt sondern nur Neuanmeldeprozeduren.



    6 mal bearbeitet, zuletzt am 25.06.22 09:10 durch senf.dazu.

  3. Re: Es kann nur einen geben ..

    Autor: robinx999 25.06.22 - 09:43

    Natürlich bieten sie angriffsfläche, aber einfach sagen Account ist weg Pech gehabt ist schwierig
    Abgesehen von persönlichen Daten z.B.: Google Drive, gibt es auch bezahlte Inhalte, von kompletten Bilbiotheken an gekauften Filmen / Spielen bei Google / Amazon / Steam oder auch Abos wie Spotify. Ich glaube der Rechtsstreit könnte spannend werden wenn jemand sagt er hat das Spotify Abo als 99¤ Jahresabo freigeschaltet und jetzt gibt es kein zurücksetzen

    Das Bankkonto kann man auch nicht einfach sperren nur weil der Login nicht mehr möglich ist

    Klar die Frage wie hoch die Hürde ist ob es einen Video Ident gibt, einen Brief an die hinterlegte postalische Adresse geschickt wird ist eine Frage aber einfach sagen es gibt kein Zurücksetzen kann keine Option sein

  4. Wiederherstellungsprozeduren sind genauso schräg wie Paßwörter - abschaffen

    Autor: senf.dazu 26.06.22 - 08:44

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Natürlich bieten sie angriffsfläche, aber einfach sagen Account ist weg
    > Pech gehabt ist schwierig
    > Abgesehen von persönlichen Daten z.B.: Google Drive, gibt es auch bezahlte
    > Inhalte, von kompletten Bilbiotheken an gekauften Filmen / Spielen bei
    > Google / Amazon / Steam oder auch Abos wie Spotify. Ich glaube der
    > Rechtsstreit könnte spannend werden wenn jemand sagt er hat das Spotify Abo
    > als 99¤ Jahresabo freigeschaltet und jetzt gibt es kein zurücksetzen

    Seh ich nicht so.
    Denn für bezahlte Inhalte oder gelieferte Waren wirst du dich persönlich geouted haben (Name, Anschrift, Alter, ..). Und die ID für deine Person mußt du bei der dann folgenden Neuanmeldung halt irgendwie neu abliefern. Sei es ePerso, sei es ne neue Kreditkartenzahlung. Und anhand dieser persönlichen Identifikation kann man (der Serviceanbieter) auch den alten Account wieder zuordnen. Womit die formal strikt ausgeführte Neuanmeldung zur Wiederherstellung wird/werden kann.

    Ob's in Zukunft überhaupt noch pseudonyme Accounts geben wird ist eh die Frage. (Einige in der Politik wollen das wohl lieber abschaffen - und betätigen kräftig die Hebel Haßrede, (Kinder)Pornographie, ..).

    Theoretisch könnte man sich ja mit dem ePerso und seiner pseudonymen Anmeldung ("eingeschränkte Wiedererkennung") bei einer Webseite anmelden. So etwas könnte man ja theoretisch für Webseiten auf denen man nur ein pseudeonymes Konto haben will nutzen - um so eine wiederholte Neuanmeldung ohne Verlust der Accountdaten zu erreichen. Da gäb's dann im Augenblick nur das kleine aber wohl handhabbare Problem das mit dem Ablauf des ePerso nach 5 oder 10J dann das alte Pseudonym verloren geht. Und damit dann auch die Neuanmeldung mit Wiederherstellung. Ist aber vielleicht gar nicht so verkehrt wenn man bei gleich welcher Webseite seine Credentials/Keys einmal alle 5..10J wechselt/auf den technisch aktuellen Stand bringt.

    Und bei Fido/Fido2 sollte das Anlegen eines zweiten Schlüssels auch wirklich so einfach gemacht worden sein - wer das nicht hinkriegt - und den zweiten Schlüssel dann an einem sicheren Ort hinterlegt - bzw. einfach immer drauf achtet das mindestens zwei Geräte angemeldet sind - der ist wirklch selbst schuld. Wiederanmeldeprozeduren und Fido2 wären sagen wir mal ein grober Stilbruch.

    Wer also als Anbieter sagt "wir brauchen unbedingt eine Spezialprozedur für die Wiederherstellung" der löchert die Sicherheit - vorsätzlich. Oder ohne vorher nachzudenken. Was dem Vorsatz gleichkommt. Jede zusätzlich Prozedur bietet neue Angriffsflächen - und vor allem - Möglichkeite zur mißratenen Implementation seitens irgendeiner der vielen Webservices.



    11 mal bearbeitet, zuletzt am 26.06.22 09:03 durch senf.dazu.

  5. Re: Es kann nur einen geben ..

    Autor: robinx999 26.06.22 - 09:07

    senf.dazu schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Natürlich bieten sie angriffsfläche, aber einfach sagen Account ist weg
    > > Pech gehabt ist schwierig
    > > Abgesehen von persönlichen Daten z.B.: Google Drive, gibt es auch
    > bezahlte
    > > Inhalte, von kompletten Bilbiotheken an gekauften Filmen / Spielen bei
    > > Google / Amazon / Steam oder auch Abos wie Spotify. Ich glaube der
    > > Rechtsstreit könnte spannend werden wenn jemand sagt er hat das Spotify
    > Abo
    > > als 99¤ Jahresabo freigeschaltet und jetzt gibt es kein zurücksetzen
    >
    > Seh ich nicht so.
    > Denn für bezahlte Inhalte oder gelieferte Waren wirst du dich persönlich
    > geouted haben. Und die ID für deine Person mußt du bei der dann folgenden
    > Neuanmeldung halt irgendwie neu abliefern. Sei es ePerso, sei es ne neue
    > Kreditkartenzahlung. Und anhand dieser persönlichen Identifikation kann man
    > auch den alten Account wieder zuordnen. Womit die Neuanmeldung zur
    > Wiederherstellung wird.
    Prepaid zahlung ist bei Google, Amazon, Netflix überhaupt kein Problem. Bei Spotify ist es eigentlich sogar (zumindest beim Einzelaccount) schlecht denen die Kontodaten zu geben, den Gutschein für 12 Monate für 99¤ gibt es sowohl in Geschäften wie auch bei Amazon direkt bieten diese das überhaupt nicht an
    Ich habe in meinem Google Konto sogar 17 Filme die letztendliche über Ultraviolet dort gelandet sind, erst kamen die nach Flixter und von dort dann mittels Import nach Google
    https://www.areadvd.de/news/ultraviolet-kostenloser-google-play-import-fuer-flixster-filme/
    Aber auch dafür musste mich Google nicht verifizieren, ebensowenig wie beim Kauf von Filmen mit Playstore Guthaben
    >
    > Ob's in Zukunft überhaupt noch pseudonyme Accounts geben wird ist eh die
    > Frage. (Einige in der Politik wollen das wohl lieber abschaffen - und
    > betätigen kräftig die Hebel Haßrede, (Kinder)Pornographie, ..).
    >
    Naja das meiste dürfte bei Accounts die nur zum konsumieren da sind hier nicht zu treffen. Netflix, Google etc. führen keine Alterskontrolle durch und lassen einem FSK / USK 18 Inhalte konsumieren die ausschließlich über Guthaben Karten bezahlt werden.
    > Theoretisch könnte man sich ja mit dem ePerso so das eigentlich eine
    > pseudonyme Anmeldung vorgesehen ist. So etwas könnte man ja theoretisch für
    > Webseiten auf denen man nur ein pseudeonymes Konto haben will nutzen - um
    > so eine wiederholte Neuanmeldung ohne Verlust der Accountdaten zu
    > erreichen. Da gäb's dann im Augenblick nur das kleine Problem das mit dem
    > Ablauf des ePerso nach 5 oder 10J dann das alte Pseudonym verloren geht.
    > Und damit dann auch die Neuanmeldung mit Wiederherstellung. Ist aber
    > vielleicht gar nicht so verkehrt wenn man bei gleich welcher Webseite seine
    > Credentials/Keys einmal alle 5..10J wechselt/auf den technisch aktuellen
    > Stand bringt.

    Der E-Perso, ja für den wird verzweifelt eine Lösung gesucht, wobei ich habe gerade mal auf meinen geschaut da ist es explizit nicht freigeschaltet worden (die hatten ja früher noch nachgefragt) und dieser ist noch Gültig bis Juli 2026 bei Personen die nur einen Reisepass haben dürfte es noch problematischer sein. Es könnte natürlich auch Anbieter geben die nur das Alter weiter leiten aber mit Video Ident den Nutzer authentifizieren.


    Aber da es halt auch ein Bezahlen ohne Authentifizierung gibt und man hat ja seine E-Mail Adresse hinterlegt gibt es Möglichkeiten der Kontaktaufnahme auch wenn dies der Zweifachtorauthentifizierung widerspricht, aber die Variante sie haben zwar 12 Monate Spotify für 99¤ gekauft und hätten noch 10 Monate davon aber wir können Ihr Konto jetzt nicht zuordnen halte ich hier definitiv nicht für eine Lösung

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Projektkoordinator (m/w/d)
    Packsize GmbH, Herford
  2. Projektleiter (w/m/d) im Bereich Breitbandinfrastruktur
    RBS wave GmbH, Stuttgart, Ettlingen
  3. Projektleiterin / Projektleiter für die Bauwerkserneuerung der Ingenieurbauwerke U-Bahn (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
  4. Fachinformatiker (m/w/d) für Systemintegration zur IT-Administration an den landkreiseigenen ... (m/w/d)
    Landratsamt Schweinfurt, Schweinfurt

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 929,99€ (UVP 1.399€)
  2. 439,99€ (UVP 749€)
  3. 319€ (Tiefstpreis)
  4. (u. a. G.Skill DDR5-6000 32GB für 219,90€, Be Quiet Tower für 99,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de