Diskussionsforum
Menü

Handy weg - und nun?


12.10.2019 20:51 - Gestartet von SP-Jesus
Leider haben es viele Anbieter versäumt, eine Backuplösung bei der 2FA einzubauen, falls das Gerät verloren geht. Einige wie Slack versenden für diesen Fall Backup-Codes, Google empfiehlt hingegen sich von einem bekannten Gerät einzuloggen, welches nicht durch die 2FA überprüft werden muss. Aber selbst das funktioniert nicht, wenn man in Deutschland im Zug unterwegs ist und ständig mit dem eigentlich bekannten Laptop die Mobilfunkzelle wechselt.

Einige Anbieter erlauben auch eine Backup-Nummer zu hinterlegen, diese sollte sich dann aber nicht im selben Dual-SIM-Handy befinden.

Meiner Meinung nach ist das ganze Prozedere noch nicht zu 100% ausgereift.
Menü
[1] DcPS antwortet auf SP-Jesus
03.09.2020 10:15
Benutzer SP-Jesus schrieb:
Leider haben es viele Anbieter versäumt, eine Backuplösung bei der 2FA einzubauen, falls das Gerät verloren geht. Einige wie Slack versenden für diesen Fall Backup-Codes, Google empfiehlt hingegen sich von einem bekannten Gerät einzuloggen, welches nicht durch die 2FA überprüft werden muss. Aber selbst das funktioniert nicht, wenn man in Deutschland im Zug unterwegs ist und ständig mit dem eigentlich bekannten Laptop die Mobilfunkzelle wechselt.

Einige Anbieter erlauben auch eine Backup-Nummer zu hinterlegen, diese sollte sich dann aber nicht im selben Dual-SIM-Handy befinden.

Meiner Meinung nach ist das ganze Prozedere noch nicht zu 100% ausgereift.

Völlig richtig. Zusätzlich werden Daten wir Rufnummern erfragt, die eine Mißbrauchsgefahr nur vergrößern.
Gut finde ich den Sicherheitsmechanismus bei Whatsapp, bei dem unregelmäßig nach längerer Inaktivität (scheinbar dem Nutzerverhalten angepaßt - bei mir im Wochenbereich) plötzlich der sechsstellige Sicherheitscode abgefragt wird.

Was fehlt: Ein Sperrcode. Auf dem Gerät kann der vermeintliche Sicherheitscode hinterlegt werden, ein Angreifer wird den zuverlässig als echt akzeptieren und eingeben. Wird der Sperrcode eingegeben, geht dann auf dem Gerät nichts mehr. Bei Geräteverlust ideal, so eine Falle. Auch bei Diebstahl einer Geldkarterecht brauchbar - auf den Postweg hat man weniger Einfluß.

Wenn es dann irgendwann in Browsern F2A-Code-Filler gibt, bekommen wir dann vermutlich den Dreiwegeschutz.
Regelmäßig alles einzugeben, ist ziemlich kompliziert.
Google prüft Geräteadressen (MAC?), und meldet sich, wenn mal ein anderes Gerät verwendet wird. sehr sicher, wenig störend. Brauche ich dann mehr Schutz?
Menü
[2] uwest antwortet auf SP-Jesus
27.10.2020 06:40
Benutzer SP-Jesus schrieb:
Leider haben es viele Anbieter versäumt, eine Backuplösung bei der 2FA einzubauen, falls das Gerät verloren geht. Einige wie Slack versenden für diesen Fall Backup-Codes, Google empfiehlt hingegen sich von einem bekannten Gerät einzuloggen, welches nicht durch die 2FA überprüft werden muss. Aber selbst das funktioniert nicht, wenn man in Deutschland im Zug unterwegs ist und ständig mit dem eigentlich bekannten Laptop die Mobilfunkzelle wechselt.

Google speichert das Privileg, daß ein bestimmtes Gerät nicht 2FA-pflichtig ist, in einem Cookie. Das hat mit Laptop, Zug und Mobilfunkzellen herzlich wenig zu tun.

Außerdem bietet Google Backup-Codes und die Möglichkeit, mehrere 2FA-Wege zu hinterlegen. Das ist auch nützlich, wenn man einen mal nicht zur Hand hat.

Für anderweitige Backups (Backup-Codes, Schlüssel in der Authenticator-App etc.) ist aber wieder der Anwender zuständig.