Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsDatenleck bei IdentifyMobile: Fast 200 Millionen SMS für 2FA im Klartext einsehbar
Angriffe über SS7 sollten längst der Vergangenheit angehören und stellen heute kein realistisches Szenario mehr dar. SS7 kommt bei LTE und 5G nicht zum Einsatz und UMTS ist seit 2021 in Deutschland abgeschaltet. Bleibt nur noch GSM, was aber nur von sehr alten Handys genutzt wird, die üblicherweise keine Internetfunktionen im modernen Sinn haben und zudem auch einen sehr geringen Marktanteil haben dürften.
Beispiel Atomkraftwerk wo der Begriff ursprünglich herkommt: Man plant ggf. für explodierende Druckkessel, ausfallende Kühlwasserpumpen, etc. (der GAU) und trifft Vorkehrungen, um eine Kernschmelze zu verhindern.
Alles wo dennoch größere Mengen Strahlung austreten ist dann ein Super-GAU, weil offensichtlich nicht ausreichende Vorbereitungen für dieses Szenario getroffen wurden.
Auch wenn die Kernphysiker es "Super-GAU" nennen mögen: Die Vorfälle in Tschernobyl und Fukushima sind für mich lediglich die größten anzunehmenden Unfälle, die ein AKW erleiden kann.
Bei mir gibt es da immer zwei Mechanismen: Einmal 3D Secure (im Falle von Visa) und dazu noch eine weitere 2FA, bei der ich sowohl eine SMS als auch eine Mail erhalte (beide mit jeweils unterschiedlichem Code). Zuerst muss ich einen beiden Codes eintippen und anschließend kommt dann die 3D Secure Verifizierung. Somit ist meine VISA-Karte immer sehr "nervig" in der Verwendung (ich bevorzuge aus diesem Grund meine AmEx von Payback, die unkomplizierter handbar ist).
Dein Seitenhieb gegen die Datenschützer versteh ich nicht. So ziemlich alles das, wovor die "Aluhüte" immer gewarnt haben, ist bisher eingetroffen. Und häufig sogar schlimmer, als vorhergesagt.
Für mich ist Paypal am nervigsten, weil das für jeden Scheiss ne SMS schickt. Und man auch nach kurzer Zeit wieder abgemeldet wird und noch mal SMS bekommt.
Stell' auf OTP-App um . Hab ich gemacht und seitdem kommt alle paar Monate mal die Aufforderung, sich per SMS zu verfifizieren.
Das ist jetzt komplett enspannt mit PP, vorher war das ne Katastrophe, vor allem, wenn du einkaufen willst und der Provider beschließt, die SMS erst mal einen Moment zu sammeln und dann einiges später im Bulk auszuliefern. Ist mir einmal passiert.
Du meinst die PP App? Die will ich aber nicht nutzen. ^^ Hab schon genug auf dem Handy. Interessanterweise schlägt PP mir ständig vor mich über die App zu Authen, obwohl ich die gar nicht nutze.
Ist so was für eine solche Firma dann eigentlich das Todesurteil? Schon alleine das sie die Daten gespeichert haben ist ja fragwürdig. Könnte ja auch von einem Mitarbeiter abgegriffen werden. Dann noch solche Fehlkonfigurationen, denen sollten doch jetzt die Kunden weglaufen.
Ja in dem Fall ist es peinlich. Und man könnte drüber lachen. Aber dann wiederum gibt es ja fast Monatlich diese Datenleck Skandale. Und das mal wieder ein S3 Server ohne Passwort mit einer wichtigen Datenbank oder auch Daten im netzt steht und jeder drauf kann, ist ja nun nicht das erste Mal. Es ist einfach nur peinlich. Hoffe das es da Konsequenzen gibt für den Verantwortlichen. Sowas setzt doch jemand von der IT auf. Der sollte doch mindestens wissen Server-> Online-> Passwort = Gut. Und nicht einfach online damit.
Wenn Alternativen möglich sind, empfiehlt der CCC daher den Einsatz von Einmalpasswörtern, die per App generiert werden, oder den Einsatz von Hardware-Token.
Das ist auch Unsinn.
Der größte Schwachpunkt bleibt der der am Bildschirm sitzt.
Da können die Unternehmen selbst 5FA, 10FA, oder 100FA einsetzen.
Wenn der DAU am Bildschirm den Kriminellen alle PINs, PUKs, Passwörter, Nutzernamen, Fingerabdruck, Augen-Iris, etc. was auch immer übermittelt wird das nichts.
Zum Glück sind diese 2FA Codes immer nur kurze Zeit gültig, das einzige was beim Leck rumkommt, ist dass Handynummer X als 2FA bei Firma Y registriert ist.
Also peinlich und datenschutztechnisch nicht Ideal, aber sicherheitstechnisch kein riesiger Deal.
Also Sparkasse zwingt einem seine eigene App zu benutzen ..... Was erstmal nicht schlimm ist aber nerfig für Personen die ehr wenig Handy bzw noch nie deren App benutz haben
Man will sich Flugs was aus Übersee kaufen .... Man hat sich ja eine cc besorgt um weltweit einzukaufen .... Und dann wundert man sich warum es nicht durchgeht ....
Ach ich Brauch da die App .... Na dann schnell installieren .... Ach ich muss 3 Tage+ auf einem Brief seitens Sparkasse warten um meine cc in der App zu verifizieren ....
Ich bin für Sicherheit aber was die sich manchmal für nerfige Sachen ausdenken
PS bei Handy Wechsel muss die cc im Handy und der App neu hinterlegt werden und man muss wieder auf dem Brief warten ...
Bin leider gebrannt daher der "Hass" eine zeitkritische Bezahlung nicht durchbekommen (Auktion) PayPal war nicht akzeptiert ...zum Glück ging amazon pay
Ist jetzt nichts neues. SMS sind auf dem Server nur ein langer String und entsprechend im Log des Dienstes einsehbar. Der Staat mag da ja auch bei bestimmten Verdacht mit reinschauen. Also aus meiner Erfahrung in dem Bereich konnte man schon immer alle möglichen SMS mitlesen.
Die SMS Codes sind ja eine Art TOTP, wie interessant das jetzt ist sei mal dahingestellt.
Also MFA / 2FA find ich immernoch als SMS deutlich besser, weil wenn mein Handy irgendwie beschädigt wird. Kann ich meist die Simkarte wieder rausholen und retten. Oder mir vom Provider eine neu ausstellen lassen auf die Rufnummer.
Wenn mein Authentikator weg ist, dann bin ich richtig am Arsch bei vielen Diensten. Und ein irreparabler Handyschaden oder ein Wasserschaden ist definitiv etwas was oft passiert. Die Info das man sich mit MFA auch gerne ausschließt ist nicht zu ignorieren.
Am besten sind noch die Leute die immer alles mit MFA absichern wollen, das brauchst du bloß bei den Kern Sachen, alles worüber man sein PW mit der Email zurücksetzen oder wo Banking Informationen enthalten sind kann, braucht kein MFA.
Und selbst wenn jemand meine SMS mitliest, ja dann hat er den Code für den Login. Dann braucht er auch etwas mal die anderen zwei Sachen für den Login. Die Wahrscheinlich das beides bei der gleichen bösen Person zusammenläuft halt ich für extrem gering.
. Hab ich gemacht und seitdem kommt alle paar Monate mal die Aufforderung, sich per SMS zu verfifizieren.
.
