News Datenleck bei IdentifyMobile: Fast 200 Millionen SMS für 2FA im Klartext einsehbar

[s1ave77]

Wenn mein Authentikator weg ist, dann bin ich richtig am Arsch bei vielen Diensten. Und ein irreparabler Handyschaden oder ein Wasserschaden ist definitiv etwas was oft passiert. Die Info das man sich mit MFA auch gerne ausschließt ist nicht zu ignorieren.

Echt. Wo besorgst du deine Infos - bitte die Quellen wechseln.

1. Beim aktivieren von OTP als 2FA, wenn du per QR Code die Verbindung herstellst, wirst du im Prozess explizit darauf hingewiesen, die Backup-TOTP-Codes sicher aufzubewahren. Das sind mehrere und erlauben ein LogIn per Code, dann sind sie verbrannt.

Soviel dazu.

2. Die allermeisten OTP-Apps haben eine Backup-Option. Mal besser mal naja .

Mein Authenticator Pro (Ist im Store und auf GitHub) erstellt lokal verschlüsselte Backups. Diese kann ich einfach auf einem anderen Gerät wiederherstellen und weitermachen. Läuft bei mir auf Telefon und Tablet, als Redundanz.

 

[Duran]

Ich habe ohnehin nie verstanden wo das zusätzliche Sicherheit generieren soll.

Ich bekomme eine SMS? Schön, aber die kann auch der Partner oder die Familie lesen. Ist mein Handy geklaut, können es auch fremde lesen. Über WLAN ist auch nichts wirklich sicher.
Hier wurden neue Probleme geschaffen. Mein Banking oder Login funktioniert nicht mehr wenn das Handy gerade nicht da ist oder die Rufnummer abgelaufen.

Doppelpasswort war schon richtig gut eigentlich und selbst das ist nicht überall notwendig. Wenn sowieso nur aufs eigene Konto überwiesen werden kann, brauche ich den Schutz nicht.

PS: Die Rufnummer kann geleaked werden und in irgendeiner Datenbank auftauchen.

 

[s1ave77]

@Duran SMS ist nach Push-Verfahren, wie sie z.B. Google nutzt, eh die schlechtest mögliche Wahl.

Bei OTP werden Secrets ausgetauscht, die nur die App und die Seite kennen. Funktioniert dann ohne Kommunikation.

Die Token verfallen nach 30s. Ohne App geht's da nicht rein, ähnlich wie bei Wireguard. Das ist durchaus sicher beides. Das Telefon muß bei OTP Apps eine Auth-Sperre haben. DIe OTP-Apps haben dann zusätzlich eine Interne.

Bei OTP auf die Backup-Codes achten!!! Die erlauben Zugriff ganz ohne Smartfone, ganz Oldschool per Tasturzugriff .

So kannst du die Einstellungen der Webseite anpassen oder das Backup der OTP-App auf einem neuen Gerät wiederherstellen und dann weitermachen, als wäre nichts geschehen.

 

[ReVan1199]

Was ich nicht verstehe, warum viele immer 2FA mit einem Smartphone gleichsetzen. Wenn man TOTP verwenden kann, gibt es auch viele gute Anwendungen am PC wie KeepassXC, 2fast – Two Factor Authenticator, Bitwarden, Passbolt, etc. Ich würde mich nicht abhängig von meinem Smartphone machen lassen.

 

[andy_m4]

warum viele immer 2FA mit einem Smartphone gleichsetzen.

Ja. Ein Smartphone ist ein eher semi-guter Faktor. Viel zu komplex. Außerdem läuft da noch anderer Kram drauf, was potentiell problematisch ist. Plus die Tatsache, das gerade im Android-Bereich die Versorgung mit Sicherheitsupdates teilweise schwierig ist.
Hin zu kommt noch, das man mit dem Smartphone ja durchaus auch genau die Zugänge nutzt, die man mit 2FA absichert, wodurch dann darüber nicht nur der erste, sondern auch der zweite Faktor geht. Das ist prinzipiell keine gute Idee, weils den Sinn von 2FA aushebelt. Auch wenn allenthalben versprochen wird, das da nix passieren kann, weil das getrennte Apps sind. Ist zwar richtig, das die App-Trennung auf Android und Co i.d.R. deutlich besser ist als üblicherweise auf nem PC, aber als wirklich sicher/verlässlich würde ich das dennoch nicht einstufen.

gibt es auch viele gute Anwendungen am PC

Das gleiche Problem gilt natürlich auch hier. Du darfst dann an dem selben PC natürlich nicht die Sachen machen, die Du absichern willst.
Vom Komplexitätslevel ganz zu schweigen.