Ist die Zwei Faktor Authentifizierung sicher ?

[Cherubsamuel]

Zu Anmelden bei Diensten benutze ich schon ein starkes Passwort aus 32 Zeichen.

Mich würde aber mal interessieren wie sicher die Zwei Faktor Authentifizierung ist.
Gibt es da eventuel Schwachstellen ?

Ich nutze den Google Authenticator auf meinem Galaxy S6 mit Android 7.
Auf dem Galaxy S6 läuft auch Kaspersky Internet Security.

 

[Nilson]

Das längste Passwort hilft dir nicht, wenn die Datenbank geknackt wird (oder das Passwort anders öffentlich wird) . Dagegen bietet 2FA einen zusätzlichen Schutz.

 

[Fujiyama]

Hast du die Frage schon in Google eingegeben?
wenn ich danach suche werden auch die möglichen Schwachstellen genannt.

 

[StarAce]

Am besten wären ohnehin die FIDO-Sticks...

 

[Cherubsamuel]

Am besten wären ohnehin die FIDO-Sticks...

Hab ich schon dran gedacht,aber viele Dienste unterstützen das noch nicht,
und dann ist das Problem noch wenn der Stick mal verloren geht

 

[askling]

Wenn du nicht beides auf dem gleiche Gerät benutzt, gibt es eigentlich keine echte Schwachstelle.

Die Schwachstelle bei gezielten Angriffen ist bei 2fa meistens eher Social Engineering. Wenn sich das alles per Kundenservice zurücksetzen lässt hilft auch das beste Sicherheitskonzept nichts.

 

[Yuuri]

wenn die Datenbank geknackt wird

Da hilft einem aber gar nichts mehr, denn dann kann ich 2FA ganz einfach deaktivieren.

2FA schützt nur, wenn das Passwort kompromittiert wurde. Es ist quasi nichts weiter, als eine weitere Art von Passwort, lediglich durch einen Algorithmus gejagt und eine (meist) sechsstellige Zahl dargestellt, welches mit deinem Authenticator bei der Einrichtung synchronisiert wurde und du bestätigen musst.

und dann ist das Problem noch wenn der Stick mal verloren geht

Bei den Hardwarekeys ist es immer die Empfehlung, dass man mindestens zwei Keys registriert, wodurch bei Verlust eines Keys nicht alle Zugänge verwehrt werden. Bei einem Verlust eines Keys, holt man sich nen neuen, richtet diesen genauso ein und verwendet das ehemalige Backup als "Alltagsquelle".

 

[andy_m4]

Mich würde aber mal interessieren wie sicher die Zwei Faktor Authentifizierung ist.

Vielleicht wäre es erst mal wichtiger zu erklären, wovor Zwei-Faktor-Authentifizierung schützt. Dann wird fast automatisch klar, wie sicher es ist.
Recht schön erklären kann man es z.B. Anhand von Online-Banking. Wenn Du Online-Banking machst, musst Du Dich ja auf der Bankseite einloggen. Dann kannst Du z.B. Überweisungen machen.
Was ist aber nun, wenn das Passwort fürs Online-Banking in falsche Hände fällt oder Dein Rechner verseucht ist. Der Angreifer könnte ja dann einfach Überweisungen auf Deine Kosten machen.
Dagegen hilft die TAN. Wenn Du eine Überweisung machst, wird Dir auf ein anderes Gerät (wichtig ist; das es ein anderes Gerät ist; also ein echter zweiter Faktor; wenn die TAN auf Deinen etwaig verseuchten Computer kommt nützt das wenig als Schutz) eine Nummer geschickt mit dem Du die Transaktion bestätigen musst. Die Chance das ein Angreifer Deinen Computer und Dein TAN-Gerät gleichzeitig unter Kontrolle hat ist extrem gering. Darauf beruht die Sicherheit.

Ich nutze den Google Authenticator auf meinem Galaxy S6 mit Android 7.

Du weißt schon, das Google ein Unternehmen ist welches sein Geld mit Daten sammeln verdient. Also wenn, dann würde ich Passwörter nicht gerade über die laufen lassen.

Auf dem Galaxy S6 läuft auch Kaspersky Internet Security.

Das nützt nur begrenzt was. Android-Smartphones sind eher als nicht vertrauenswürdig einzustufen. Das liegt zum einen daran, das die i.d.R. selten und nur verzögert Sicherheitsupdates erhalten. Das liegt zum anderen daran, das da sehr viele Closed-Sachen verbaut sind wo von außen gar keiner gucken kann, ob das sicher ist oder nicht.

Abgesehen davon, das die App-Stores voll mit irgendwelchen Apps sind die (nebenbei) Daten sammeln. Und die werden auch von diesen Security-Programmen nicht wirklich zuverlässig erkannt.

 

[micjun18]

ein starkes Passwort aus 32 Zeichen

Ich hoffe nicht nur eins sondern für jeden Dienst ein eigenes Passwort

 

[Cherubsamuel]

Ich hoffe nicht nur eins sondern für jeden Dienst ein eigenes Passwort

Ich nutze natürlich für Dienst ein anderes Passwort.

Ergänzung (14. November 2020)

Wenn du nicht beides auf dem gleiche Gerät benutzt, gibt es eigentlich keine echte Schwachstelle.

Die Schwachstelle bei gezielten Angriffen ist bei 2fa meistens eher Social Engineering. Wenn sich das alles per Kundenservice zurücksetzen lässt hilft auch das beste Sicherheitskonzept nichts.

Naja also auf dem Smartphone nutze ich natürlich Apps wie Web.de,Gmail und GMX für meine Emails,manchmal auch am PC..

 

[BeBur]

Die Verwendung einer beliebigen 2FA verringert die Angriffsfläche absolut dramatisch, du solltest daher am ehesten danach schauen, was für dich praktikabel ist.

Jedenfalls brauchst du Backups / Fallbacks bei 2FA.

 

[mxb1n]

Mit am häufigsten (neben Datenbanken) wird ja meist der Computer kompromittiert.
Passwörter egal wie lang, werden dann beim Eintippen mitgelesen oder Gespeicherte ausgelesen.

Wenn der Angreifer dann an deine Email-Adresse gelangt, sind auch meist alle anderen Accounts verloren, egal ob er die Passwörter kennt oder nicht. (ganz simpel; Passwort vergessen-Funktion)
Deshalb kann ich zumindest für die E-Mail-Adressen und alle Accounts, womit ohne TAN bezahlt werden kann (Amazon,Paypal usw.) eine ZF-Authentifizierung empfehlen, wo du dein Handy benutzen musst.
Wichtig ist auch, nicht selber die Authentifizierung auszuhebeln, indem du deinen Pc als vertrauenswürdig einstufst (bei Paypal z.B.), denn dann meldet sich der Angreifer einfach über deinen Pc unwissentlich im Hintergrund an.

100% sicher ist natürlich auch das alles nicht, es gibt bestimmt (bisher) vereinzelte Fälle, wo beide Geräte (Pc und Handy) infesziert werden, durch eine USB-Verbindung z. B., aber ist bisher denke ich, nicht so gängig.

Anmerken möchte ich auch noch, dass die Backups der ZFA nicht auf dem Pc gespeichert bleiben sollten, (wie bei einem Kumpel, im Textdokument), sondern sich diese Auszudrucken und sicher zu verwahren.

 

[Tokolosh]

Du weißt schon, das Google ein Unternehmen ist welches sein Geld mit Daten sammeln verdient. Also wenn, dann würde ich Passwörter nicht gerade über die laufen lassen.

Ohne Google in Schutz nehmen zu wollen, aber was hat ein one-time passcode generator mit den Account-Passwörtern selber zu tun?
Zudem ist der Google Authenticator Open Source und der Quellcode auf Github, soweit ich weiß.

 

[Snowi]

Mich würde aber mal interessieren wie sicher die Zwei Faktor Authentifizierung ist.
Gibt es da eventuel Schwachstellen ?

Das kommt stark auf die Implementierung an. Wenn du von deiner Seite nichts falsch machst (Bei TOTP gibt es ein "Secret", das man nach Möglichkeit nirgends angeben sollte, als in der App + Backup) spielt in der Regel nur die Implementation des Anbieters eine Rolle. Also z.B. wenn du 2FA an hast, muss Amazon, Twitch, Computerbase, Google, ... das ganze richtig implementiert haben. Da hast du keinen Einfluss drauf. Besser ist es trotzdem 2FA zu haben, auch wenn man darauf baut, dass die Anbieter unbekannte Sicherheitslücken haben. Denn die müsste man erstmal haben, und sobald die bekannt sind, werden die wohl schnell gefixt.

Hab ich schon dran gedacht,aber viele Dienste unterstützen das noch nicht,
und dann ist das Problem noch wenn der Stick mal verloren geht

Bei den Hardwarekeys ist es immer die Empfehlung, dass man mindestens zwei Keys registriert, wodurch bei Verlust eines Keys nicht alle Zugänge verwehrt werden.

Das sollte man natürlich tun. Ich hab einen aktiven und 2 als Backup, inclusive KeePass-Datei etc.
Tipp an jeden der das liest: Man sollte immer von allem wichtigen ein Backup haben. Bei mir sind das die 2FA Daten, Passwörter als KeePass-Datei und die "wichtigsten" Bilder und Dokumente.

Ohne Google in Schutz nehmen zu wollen, aber was hat ein one-time passcode generator mit den Account-Passwörtern selber zu tun?
Zudem ist der Google Authenticator Open Source und der Quellcode auf Github, soweit ich weiß.

Sehe ich ähnlich. Ich glaube nicht, dass Google hier 2FA Codes extrahiert und speichert. Google macht viel, aber so dumm sowas zu machen sind sie nicht. Damit wäre sehr schnell sämtliches Vertrauen weg, was sie noch haben.

 

[Cherubsamuel]

Ok,Danke für eure Hilfe