ausgerechnet paypal ...

[gaym0r]

Dass PayPal auf einem alten Sicherheits-Standard aufsetzt, und die Stärkung der Sicherheit verpassen könnte, wenn es a) uninformiert bleibt

Du denkst ernsthaft Paypal ist sich nicht bewusst wie sie TOTP implementiert haben?

und b) den Wunsch der Kunden sonst nicht mitkriegt.

Natürlich werden sie auf einen einzelnen Kunden hören der sich sowas wünscht und ein paar Millionen investieren um dies anzupassen.

Achja, und dann bitte auch GitHub, Microsoft, Google und Co. informieren, dass sie doch bitte alle ihre Systeme mal sicher machen sollen, weil irgendein Entwickler meint, dass sie unsicher sind.

Diese Warnung der TOTP-App hätte ausbleiben können, wenn PayPal ihre MFA-Implementierung aktuell halten würde.

Erklär mir doch erstmal was an der Implementierung veraltet und unsicher ist für eine TOTP Anwendung. Wissen wir überhaupt was genau angemeckert wird?

Aber du kannst ja gerne beim Red Hat Authenticator anfragen, dass diese Warnung bitte unterbleiben soll, weil passt schon mit der alten Security.

Was genau soll überhaupt der Red Hat Authenticator sein.
Ich schätze ihr meint FreeOTP? Da sind sie nämlich auch schon in den GitHub-Issues am diskutieren wie sinnvoll diese Meldung ist.

Ich finds echt gut wie du so viel schreibst und meine doch sehr einfache Frage genau gar nicht beantwortest.

 

[wirelessy]

Joh, wenn du die Antwort nicht siehst - klingt nach nem du-Problem.
Ich bin dann mal, ist alles gesagt
Hab verstanden, dass du erst dann was änderst, wenn der erste TOTP kompromittiert wurde.

 

[gaym0r]

Joh, wenn du die Antwort nicht siehst - klingt nach nem du-Problem.
Ich bin dann mal, ist alles gesagt

Also du willst mir sagen, dass alle große Firmen (Google, Microsoft, Github etc.) eine riesige Sicherheitslücke haben, nur weil die FreeOTP App das sagt? Du willst es nicht weiter erklären und einen Angriffsvektor skizzieren und jeder der es hinterfragt und mehr Infos haben möchte ist selbst das Problem? Geil, so will ich auch mal durchs Leben stolzieren.

 

[ed_lumen]

freeOTP beschwert sich übrigens zb NICHT über web.de, meine fritzbox oder die deutsche bahn.

es wäre interessant, wenn irgendwann hier jemand die ergebnisse der diskussion bei github kolportieren würde.

 

[BeBur]

• Also wenn eine App "dringend abrät", dann erwarte ich als Nutzer, dass es ein konkretes Anngriffsszenario gibt das gegen die Nutzung spricht. Und kein "könnte besser sein".
• Ich kann auch den Token-Anbieter nicht sinnvoll informieren ohne konkrete Informationen zu haben, was genau denn das Problem sein soll. "Meine App hat gesagt, euer Token ist nicht gut, ändert das mal bitte" ist keine seriöse Problembeschreibung auf die ich eine ernsthafte Reaktion erwarte.
• Ebenso kann ich keine informierte Entscheidung treffen, ob ich das Verfahren mit diesen Parametern nun nutzen will oder nicht. Googlen kann ich danach auch nicht (außer halt bei so einem prominenten Fall wie Paypal).
• Prinzipbedingt kann die App keine Alternativen Vorschlagen. Es wir einfach davor gewarnt, das Verfahren in der Form einzusetzen. Mit etwas bösen Willen aber auch mit Unverständnis wie solche Dinge funktionieren kann man aus der Meldung ein "Schalte 2FA besser wieder aus" rauslesen. Das Wording ist also so schlecht gewählt, dass es eher noch die Sicherheit des Nutzers verringert.

Fazit: Ziemlicher Fail.