Pitt_G.
Admiral
- Registriert
- Aug. 2007
- Beiträge
- 9.089
@pseudojymbo die Frage ist berechtigt und ich finde, ja das ist u.U. ein Risiko.v.a. wenn man ein recht teures Modell hat.
In der Praxis werden den Leuten die Geräte schonmal aus der Hand gerissen , da ist nix mit PIN. Manchmal werden die Leute auch genötigt PINs rauszurücken.
Fingerabdruck, oder FaceID helfen erstmal auch nur bedingt, wenn Du von jemand oder ner ganzen Gruppe genötigt wirst.
In der Praxis werden den Leuten die Geräte schonmal aus der Hand gerissen , da ist nix mit PIN. Manchmal werden die Leute auch genötigt PINs rauszurücken.
Fingerabdruck, oder FaceID helfen erstmal auch nur bedingt, wenn Du von jemand oder ner ganzen Gruppe genötigt wirst.
Ja, ist es. Denn die Aufforderung zur Biometrischen Authentifizierung entspricht nicht einer "Bildschirmsperre". Und um die E-Mail-App aufzurufen, muss ich die Bildschirmsperre erst mal grundsätzlich bezwungen haben. Bei meiner Banking-App kann ich Biometrie als einen Mechanismus zur Authentifizierung nutzen, kann aber auch ein beliebiges, vom Betriebssystem vollkommen unabhängiges Passwort vergeben. Ergo ist das für mich schlicht keine Bildschirmsperre.bisy schrieb:
J
J3m2EHoW
Gast
Wie sieht es mit den Passwordmanagern aus, was würdet ihr da empfehlen; Keepass oder Bitwarden?
Drewkev
Geizkragen
- Registriert
- Okt. 2016
- Beiträge
- 39.977
Zunächst einmal ist es eine gute Idee sich Gedanken zu machen und nicht unbedingt einfach alles unbedacht zu tun. Manche Antworten auf Deine Frage wir dann doch zu sorglos, nach dem Motto "es kann überhaupt nichts passieren".pseudojymbo schrieb:
Generell sind Smartphones heute eher sicherer als ein klassischer PC (egal ob der mit Windows, Linux oder MacOS läuft):
Auf dem PC haben normalerweise alle Anwendungen die im Kontext einen Benutzers laufen auf alle Dateien dieses Benutzers lesenden und schreibenden Zugriff. Genauso wird ausführbarer Code (EXE Dateien, Powershell Scripte, etc.) der für den Benutzer lesbar ist in der Regel einfach ausgeführt (In bestimmten Situationen - z.B. bei Zugriff auf Netzlaufwerke, gibt es zwar Warnungen, aber die kann man auch leicht wegklicken). Du kannst ein beliebiger Programm aus dem Internet runterladen, installieren und es hat auf alle deine Dateien Zugriff. Du musst also vertrauen, das die Programme nur das tun, was sie offiziell sagen....
Smartphone Betriebssysteme sind da deutlich anders, die isolieren Apps voneinander. D.h. eine App kann erst mal nur ihre eigenen Dateien zugreifen. Zugriffe auf z.B. Fotos, Kontakte, usw. gehen nur über die offiziellen Schnittstellen des Betriebssystems, dazu muss die App die entsprechende Berechtigung bekommen, dazu wird in der Regel der Benutzer gefragt.
Während es auf dem PC z.B. kein großes Problem ist, das ein beliebiges Programm z.B. den Browser Cache auslesen kann, ist das auf einen Smartphone in der Regel nicht möglich. "In der Regel" heißt, das es per Design nicht möglich sein sollte. In Realität gibt es gelegentlich Implementierungsfehler die genau das durchbrechen. Die Risiken sind aber für einen Durchschnittsanwender gering, da der Aufwand für den Angreifer sehr hoch im Vergleich zum Nutzen ist.
Nicht grundsätzlich. Über den Browser ist das Risiko größer, dass Du auf eine gut gemachte Fake-Seite hereinfällst. Wenn jemand es schafft z.B. in einem öffentlichen WLAN Hotspot Dir einen kompromittierten Nameserver unterzuschieben, dann kann eventuell meine-sparkassse.de ganz woanders hinzeigen. Aber auch das ist schon eine sehr aufwändiger Angriff, und für einen Durchschnittsnutzer nicht so praxisrelevant. Im Zweifelsfall Online Banking mit dem Handy eben nicht gerade im WLAN einer dubiosen Kneipe machen...pseudojymbo schrieb:
Wäre mir neu. Vielleicht ist das nur bei Android so. Ich habe eben die Apps meiner beiden Kreditkarten auf meinen iPhone ausprobiert, und kann problemlos einen Screenshot vom Kontostand machen. Giro-Konto App habe ich jetzt nicht auf dem Smartphone, ich nutze Online Banking tatsächlich eher am PC, aber mehr aus Komfortgründen, IBAN Nummern eingeben, etc. finde ich am PC komfortabler..one schrieb:
2FA setzt man hauptsächlich ein, damit ein kompromittiertes Passwort allein nicht den Zugriff auf einen Benutzeraccount über ein Drittgerät ermöglicht. Du beziehst Dich auf den Fall, dass das Endgerät selber kompromittiert wurde oder von einem unberechtigtem Benutzer benutzt wird.dermoritz schrieb:
Aber eigentlich hat man heute oft ja 3 Faktoren: Das Password, das Gerät mit der 2FA App, und falls eingerichtet, die biometrische Ebene als dritten Faktor. Wenn das Password in einem Passwordsafe auf dem gleichen Gerät gespeichert ist, und mit dem gleichen biometrischen Merkmal entsperrt wird, fällt es als Faktor allerdings weg.
Das verringert eher die Sicherheit, als dass es sie erhöht, weil Du es im Falle eines Verlustes nicht sperren/löschen kannst. Moderne Smartphones mit verschlüsseltem Dateisystem schmeißen beim "Löschen" übrigens einfach den Root-Schlüssel weg, dann ist das ganze Dateisystem wertlos, und das geht in Sekundenbruchteilen.pseudojymbo schrieb:
Das ist schon mal der richtige Weg. Jede Form von Password Schema führt entweder zu geringem Komfort und/oder früher oder später zu geschwächten Passwörtern.pseudojymbo schrieb:
Das ist in der Tat oft sicherer, denn wie Du richtig erkannt hast, kann die Passworteingabe ausspioniert werden. Wenn Dich jemand dabei heimlich filmt, dann kann er sich das auch in Ruhe ansehen.pseudojymbo schrieb:
Wenn man es richtig macht, besteht dieses Risiko nicht. Alle Anbieter von 2FA bieten eine oder mehrere Recovery Optionen, entweder z.B. hinterlegen von Telefonnummern für den Empfang des Codes oder auch einen Recoverycode den man sich irgendwo sicher ablegen kann, Microsoft macht das z.B. so.pseudojymbo schrieb:
Ich mag das mit dem Recoverycode am liebsten, und der liegt ausgedruckt in einer Schublade zu Hause. Papier ist übrigens ziemlich Hacker-sicher da man physischen Zugriff auf den Zettel braucht.
Natürlich könnte jemand bei mir einbrechen und dann meinen Microsoft-Account hacken. Bisher sind aber Online- und Offline Kriminelle noch nicht so gut vernetzt, das ich das Risiko sehr hoch einschätze.
Aber bei allen diesen Dingen kommt es auch auf Deine persönliche Situation an.
Wenn man z.B. eine Person ist, über die viel öffentlich bekannt ist, und vor der man z.B. auch annehmen kann, das sie Geld hat, dann muss man eher damit rechnen, das auch mal jemand einen gezielten Angriff probiert, und dann ist der Recovery Code in der Schublade keine so gute Idee mehr.
Und dafür muss man nicht Schauspieler, Influencer oder Politiker sein. Niedergelassene Ärzte und Anwälte fallen auch in diese Kategorie. Meist findet man sogar leicht raus, wann diese Leute im Urlaub sind, wenn man einfach mal in ihrer Praxis/Kanzlei nach einen Termin fragt...
Ergänzung ()
Ja klar. Aber na und? Passwörter kann man ja immer zurücksetzen. Ich mache es mittlerweile bei irgendwelchen Online Shops die ich einmal im Jahr nutze, das ich ein Password generiere und nirgendwo speichere. Wenn ich dann das nächste mal da was kaufe, lasse ich es rücksetzen und generiere ein neues.pseudojymbo schrieb:
Ich hatte irgendwann einfach keine Lust mehr, das ich >150 Passwörter in meinem Password Manager zu verwalten.
Wichtig ist, dass Du nicht den Zugriff auf Deinen Haupt-EMail Account verlierst. Bei mir ist dieser Account mit 2FA gesichert, hat dafür aber ein vergleichsweise "schwaches" Passwort was ich mir gut merken kann (es ist immer noch stark genug, nur eben nicht 20 Zeichen lang, wie die meisten generierten Passwörter). Dieses Passwort ist auch nicht im Passwort-Manager gespeichert. Das gleiche gilt übrigens für das Masterpassword des Password-Managers.
Zuletzt bearbeitet:
(diverse Typos)
J
J3m2EHoW
Gast
@TomH22 Vielen Dank für die umfangreiche Antwort.
Also ist es besser die offiziellen Apps auf dem Smartphone zu verwenden, als jedes Mal die Interentseite aufzurufen oder diese Programme auf dem PC zu haben? Zumindest lese ich das so raus.
Bezüglich des aufrufen eines falschen Links gibt es eigentlich kein Problem, weil ich die Login-Sites im gespeichert habe, damit da nichts passieren kann.
Also sollte ich, wo geht, 2FA aktivieren. Sollte ich da eine Methode gegenüber einer anderen bevorzugen?
Das mit dem Recovery-Code hört sich ziemlich sinnvoll an.
Ich habe Testweise einen Passwortmanager am laufen und da ist tatsächlich das Passwort drinnen, weil ich den Schutz für so eine sensible Stelle hochhalten wollte. Falls ich mal kein Zugriff auf die Datenbank haben sollte, kann ich es mit einem notieren Kennwort zurücksetzen. Oder im Zweifel den Betreiber kontaktieren, die haben genug Daten, damit ich mich legitimieren kann.
Muss ich für das Sperren aus der Ferne jeder Zeit GPS eingeschaltet haben? Das würde ich eher ungern machen.
Also ist es besser die offiziellen Apps auf dem Smartphone zu verwenden, als jedes Mal die Interentseite aufzurufen oder diese Programme auf dem PC zu haben? Zumindest lese ich das so raus.
Bezüglich des aufrufen eines falschen Links gibt es eigentlich kein Problem, weil ich die Login-Sites im gespeichert habe, damit da nichts passieren kann.
Also sollte ich, wo geht, 2FA aktivieren. Sollte ich da eine Methode gegenüber einer anderen bevorzugen?
Das mit dem Recovery-Code hört sich ziemlich sinnvoll an.
Ich habe Testweise einen Passwortmanager am laufen und da ist tatsächlich das Passwort drinnen, weil ich den Schutz für so eine sensible Stelle hochhalten wollte. Falls ich mal kein Zugriff auf die Datenbank haben sollte, kann ich es mit einem notieren Kennwort zurücksetzen. Oder im Zweifel den Betreiber kontaktieren, die haben genug Daten, damit ich mich legitimieren kann.
Muss ich für das Sperren aus der Ferne jeder Zeit GPS eingeschaltet haben? Das würde ich eher ungern machen.
Zuletzt bearbeitet von einem Moderator:
(Kürzung des Beitrages)
Ich bevorzuge Authenticator Apps. Warum? E-Mails und SMS werden oft genug eben verzögert zugestellt, das kann nerven. Bei den Authenticator Apps immer die Backup Codes mitsichern irgendwo, aber sicher ablegen. E-Mail hat halt den Nachteil, dass wenn der E-Mail-Account übernommen wurde, 2FA quasi ausgehebelt ist. SMS gilt auch nicht als richtig sicher, deshalb gehen die Banken auch davon weg (neben den möglichen Kosten).
OT: Bei mir kam monatelang keine Epic-Mail mehr durch, keine Ahnung woran es lag, jedenfalls war damit meine 2FA auch blockiert... seit dem versuche ich wenn möglich bei wichtigen Accounts auf Authenticator-Apps zu setzen.
OT: Bei mir kam monatelang keine Epic-Mail mehr durch, keine Ahnung woran es lag, jedenfalls war damit meine 2FA auch blockiert... seit dem versuche ich wenn möglich bei wichtigen Accounts auf Authenticator-Apps zu setzen.
J
J3m2EHoW
Gast
@tollertyp Also wenn ich 2FA aktiviere, wo ich kann, denke ich dass ich auch auf Apps setzen würde, statt auf E-Mails, da ich auch die Erfahrung gemacht habe, dass sich Apps verzögern.
Ich habe jetzt meinen Fingerabdruck als Entsperrmethode eingestellt.
Was haltet ihr von Mailanbietern wie Tutanota oder Protonmail?
Ich habe jetzt meinen Fingerabdruck als Entsperrmethode eingestellt.
Was haltet ihr von Mailanbietern wie Tutanota oder Protonmail?
Zuletzt bearbeitet von einem Moderator:
- Registriert
- Dez. 2008
- Beiträge
- 25.677
Kommt auf die 2FA an. Bei TOTP wird das Passwort ja aus der aktuellen Zeit generiert und kommt daher ohne Verzögerung aus.
Proton Mail hat reinen recht guten Ruf, so zumindest mein Eindruck. Ich selbst bin bei mailbox.org
Proton Mail hat reinen recht guten Ruf, so zumindest mein Eindruck. Ich selbst bin bei mailbox.org
verbaliBerlin
Lt. Commander
- Registriert
- Nov. 2017
- Beiträge
- 1.523
Ich hab meine bei der Geburt bekommen ;-)pseudojymbo schrieb:
