kleinanzeigen.de: SMS mit Verifizierungscode dauern zu lange

[XP-x64]

Ich habe die Zwei-Faktor-Autentifizierung aktiviert: Wenn ich mich mit mailadresse und passwort anmelde, wird von kleinanzeigen.de eine SMS mit einem code ans Handy geschickt. Der Code ist ab Versand 5 Minuten gültig. Wenn ich den code rechtzeitig im browser eingebe, kann ich mich anmelden - ansonsten nicht.

Die SMS kommt aber immer erst nach ca. 30 Minuten. Es ist mittlerweile so, daß ich die Zeit aufschreibe, an der ich mich einloggen wollte bzw. nochmals den Code angefordert hab. Irgendwann schaue ich am Handy auf den Eingang der SMS der eigentlich immer ca. 30 Minuten nach der Anforderung und damit um ca. 25 Minuten zu spät bzw. nach dem Ende der Gültigkeit des codes ankommt.

Ich kann mir nicht vorstellen, daß man mit Einstellungen auf dem Handy den Empfang von SMS verzögern kann. SMS von anderen Handys (z. B. von Vodafone nach Zielhandy o2 - Provider oder von T-Mobile nach Zielhandy o2 - Provider) sind binnen Sekunden da. Neu sind mir auch Gedanken an Handbücher, die beschreiben, wie man auf dem eigenen Handy den Eingang von SMS verzögern kann - wohl bemerkt: verzögern, denn die SMS kommen an, aber viel zu spät.

Wenn es die Einstellung des Handys nicht ist: Was bleibt ? Der Versand - Server (von kleinanzeigen.de) oder der Gateway zwischen dem Versand - Server und dem Zielnetz (o2 bzw. Provider von o2).

Was denken die Lesenden, vor allem diejenigen, die im Bereich der Programmierung von diesen Gateways Erfahrung haben über mögliche Ursachen ? Ist die Ursache "Handy" (beim Empfänger) realistisch, hakt es am webserver, am Gateway oder an unterschiedlichen Gegebenheiten der Netzbetreiber ? Was sind die üblichen Ursachen ? Wo sucht man den typischen Fehler ?

Von Seiten des "Supports" von kleinanzeigen.de kommt nichts brauchbares. Ich solle irgendwie das Handbuch lesen, an den Einstellungen rumspielen oder was auch immer - aber das Handy, das den Eingang von SMS blockiert, will ich erst einmal sehen. Den Fehler im eigenen Haus (kleinanzeigen.de) suchen will man nicht, vor allem nicht die Versanddaten prüfen und auch nicht den gateway anschauen. Wer Lust hat, Fehler im Wege des Herumirrens im Wald ("man findet den Wald vor lauter Bäumen nicht") zu suchen, wird seine helle "Freude" daran haben, wie arg strukturiert der "Support" das Problem angeht.

Wem ergeht es ähnlich ?

Ich habe nun die Karte aus dem Standard-Handy ausgebaut und in ein altes Handy eingebaut - das alte Handy kann LTE und GSM. Die SMS kommen einfach nicht zeitnah an, weder auf dem alten noch auf dem neuen Handy.

Ich denke, dieser Thread sollte auch dazu dienen, die Zeiten der Anforderung und die Zeiten des Erhalts des Codes einfach hier einzutragen, damit man sich vom hoch qualifizierten (und herumratenden) "Support" von kleinanzeigen.de nicht sagen lassen muß, man sei der einzige mit dem Problem.

 

[Key³]

Das Problem hatte ich mal vor einiger Zeit bei PayPal mit dem SMS Code in Kombination mit den Pixel 6 direkt in den Release Wochen.

Witzigerweise ging es schneller wenn man direkt nach Code Anfordern, aufm Handy für 10Sec den Flugmodus angemacht hat und dann wieder aus. Die SMS kam dann sofort.

Hat sich aber dann nach einigen Wochen erledigt.

 

[XP-x64]

aufm Handy für 10Sec den Flugmodus

ich hab den code angefordert die karte aus dem neuen handy raus und ins alte Handy rein und mich mit dem alten ins Netz eingebucht. Die Codes kamen wie immer nach 30 Minuten.

Welchen Unterschied macht der Flugmodus zum Ein- und Ausschalten und wie erklärt man das Problem ?

Eines fällt mir ein: Das wLAN. Ist das Handy im wLAN eingebucht, könnten für die SMS zum Handy zwei Wege in Betracht kommen, die sich beißen:

Weg 1: Mobilfunknetz

Weg 2: Über Internet zum Router und dann über wLAN zum Handy

Will nun der Netz - Server über Weg 2 senden und hat das Handy ein Problem mit Weg 2, so dauert es, bis der Sende - Server beim Netzbetreiber zu Weg 1 umschwenkt. Die Dauer könnte den verzögerten Eingang der SMS erklären.

ich werde mal wLAN deaktivieren und berichten

nach einigen Wochen erledigt

du machst mir Hoffnung - ich will meinen account nutzen.

 

[s1ave77]

Bieten die auch 2FA via TOTP-Authenticator-App?

Hab z.B. bei Paypal umgestellt, da die SMS die Pest waren, seither viel geschmeidiger.

 

[Langsuan]

Gibt es die Möglichkeit "Code erneut anfordern"? Da wird dann meistens ein anderes (teureres) Gateway benutzt wegen eben solcher Verzögerungen.

Ansonsten wird eine Authenticator-App unterstützt? Das geht immer sofort.

 

[scooter010]

Also soweit ich weiß, gibt es zwar WLAN Telefonie, aber kein WLAN SMS.

 

[Rickmer]

Bieten die auch 2FA via TOTP-Authenticator-App?

Falls ja, habe ich nicht rausgefunden wie.

Die Sicherheitseinstellungen bei Kleinanzeigen.de sind extrem rudimentär.

 

[s1ave77]

extrem rudimentär.

Das gibt's leider immer noch. SMS ist eine der schlechteren Formen von 2FA, passive Verfahren sind da besser.

 

[Rickmer]

Insbesondere ist SMS gegenüber social hacking extrem anfällig...

 

[eYc]

Also soweit ich weiß, gibt es zwar WLAN Telefonie, aber kein WLAN SMS.

Moderne Apps wie "Messages" (Android) funktionieren längst auch über Internet, aber kann sein dass hier wegen der Authentifizierung wirklich noch Telefonie (SIM-Karte) notwendig ist.

Ich hatte das Problem früher auch oft, wenn ich Zuhause war, mit dem Fairphone 2, und für's Onlinebanking eine SMS-TAN brauchte. Die kam einfach nicht, selbst wenn ich an's Fenster ging, oder erst nach Reboot oder Flugzeugmodus. Paarmal war's zu spät, und ich musste eine neue TAN anfordern.
Heute geht's nur noch mit Authenticator App (und anderem Handy).

 

[Darkman.X]

Also soweit ich weiß, gibt es zwar WLAN Telefonie, aber kein WLAN SMS.

Doch, funktioniert....zumindest bei O2. Ich bin ein Handy-Wenig-Nutzer und habe zu Hause immer den Flugmodus und WLAN + WLAN-Telefonie aktiviert, weil der Akkuverbrauch auf die Art geringer ist als mit aktivem Mobilfunknetz. Und ich kann SMS ohne Probleme empfangen.

 

[eYc]

Und ich kann SMS ohne Probleme empfangen.

Aber halt nur, weil es keine richtigen SMS mehr sind, sondern ähnlich wie WhatsApp-Nachrichten, bei denen man auch Fotos, Videos oder Sprachaufnahmen anhängen kann.

 

[siebengescheit]

Ich hatte das Problem eben auch.

Das Handy hatte das wLAN daheim gespeichert. Das wLAN war im Handy deaktiviert und das Handy war im o2 Netz eingebucht.

Der kleinanzeigen.de Bestätigungscode wurde mehrfach angefordert und kam erst nach genau einer Stunde an. Erneute Anforderungen kamen ebenfalls nach mehr als einer Stunde an. Der Code galt nur 5 Minuten und so konnte ich mich nicht anmelden.

Der Neustart des Handys brachte nichts. Als ich aber das Handy in das wLAN daheim einbuchte (im Handy wurde das gespeicherte wLAN wieder aktiviert) kamen alle angeforderten SMS sofort an.

Also liegt das Problem wohl in folgendem:

1) Kleinanzeigen,de schickt die SMS gleich an den o2 Server

2) der o2 Server speichert wohl den letzten Weg mit dem die SMS ankam und probiert den Weg wieder. Beispiel: Es ging zuletzt eine SMS über das Internet zum Router daheim und von dort zu meinem Handy.

3) Kommt die SMS auf dem letzten bekannten Weg (= wLAN) nicht durch, wird eine bestimmte Zeit lang durch den o2 Server wieder versucht, die Nachricht weiter auf dem letzten bekannten Weg (= wLAN), also z. B. genau 30 Minuten bzw. genau 60 Minuten.

Es waren arg oft genau 30 Minuten bzw. genau 60 Minuten, die die SMS von kleinanzeigen.de bis zum Handy brauchte mit der Folge, dass irgendwo eine Konfiguration ("es wird weiter versucht") ursächlich sein musste. Wären die Zeiten variabel, so wäre evtl. die Netzauslastung ursächlich.

4) Erst wenn die Zeit nach Punkt 3) rum ist, wechselt der o2 - Sende - Server den Weg: Es wird nicht mehr versucht, die SMS via Internet / Router / wLAN zuzustellen sondern über das Mobilfunknetz. Die SMS via Mobilfunknetz kommt nun genau 30 Minuten bzw. genau 60 Minuten nach dem Versand an - doch zu spät, denn der Code gilt ja nur 5 Minuten.


######

Deswegen: Tritt das Problem auf, so hilft es nicht, das Handy neu zu booten. Wichtig ist, das wLAN zu aktivieren bzw. zu deaktivieren und dann das Handy neu zu starten.

Der "Support" von kleinanzeigen.de wirkt ahnungslos, hochnässig und arrogant im Auftreten und ist m. E. zu nichts zu gebrauchen. Wer Lust hat, sich selbst zu quälen oder sich zu amüsieren, sollte sich dort hin wenden, ansonsten ist es vertane Zeit.

Ergänzung (27. Juli 2024)

Da wird dann meistens ein anderes (teureres) Gateway benutzt

Neu anfordern bringt nichts ... ich denke der SMS Versendeweg ist vom kleinanzeigen.de Server zum o2 Server ... da wird alles funktionieren und die SMS werden beim o2 Server auflaufen

Ergänzung (27. Juli 2024)

SMS gegenüber social hacking extrem anfällig

was soll das heissen ? Was ist "social hacking" und worin liegt der Vorteil, viele Apps auf dem Handy zu haben mit dem Risiko, dass niemand weiss, was diese Apps machen, welche Daten sie sammeln und wo sie diese Daten hin schicken ?

Ergänzung (27. Juli 2024)

passive Verfahren

was ist ein "passives Verfahren" und warum soll das besser sein ?

 

[s1ave77]

"passives Verfahren"

Aktiv bedeutet, wenn username und passwort eingeben werden, triggert das einen Push und dein Telefon reagiert. Entweder kommt eine SMS oder bei OAuth2 (Google) taucht ein Screen auf und fragt; bist du das oder nicht.

Gerade letzteres ermöglicht Ermüdungsangriffe, ist bei daher bei mir durch TOTP überschrieben. Viele verteilte kleine Angriffe auf Basis der ganzen Leaks und .... einer vertippt sich genervt. Gotcha! Verteidigung mußte einen Fehler machen - VERLOREN! Ob der das dann meldet, peinlich und so ...

Passiv tauscht einaml Schlüssel asu und weiß dann welche Token passen. Da kommt NIX™ zwischen.

Daher: OTP!!!

 

[Rickmer]

was soll das heissen ? Was ist "social hacking"

Social hacking ist z.B. wenn jemand bei O2 anruft, sagt er wäre siebengescheit und den Support bittet, ihm doch eine zweite SMS-Karte an seine Sommerhütte mit Adresse X zu schicken...

Glückwunsch, der kann jetzt alle deine SMS mitlesen und du bekommst davon nichts mit außer falls du deine Rechnungen aufmerksam liest - angenommen das taucht auf der Rechnung überhaupt auf.

(Und nicht, das ist kein theoretisches Scenario.)

worin liegt der Vorteil, viele Apps auf dem Handy zu haben mit dem Risiko, dass niemand weiss, was diese Apps machen, welche Daten sie sammeln und wo sie diese Daten hin schicken ?

... was hat das bitte mit dem was ich geschrieben habe zu tun?

 

[siebengescheit]

bei O2 anruft, sagt er wäre siebengescheit und den Support bittet, ihm doch eine zweite SMS-Karte

ach so - danke

und wie schützt man sich davor ?

Weg 1: Man ruft an und braucht dann das Kundenkennwort ...

Weg 2: Man hackt den account beim Betreiber auf indem man das login passwort rausfindet

 

[s1ave77]

und wie schützt man sich davor ?

Wenn es geht TOTP mittels OTP-App auf dem Telefon. Alles, was was auf sich hält, bietet das auch an, selbst MS und Google.

Wenn nicht, überlegen ob es eine Alternative mit OTP gibt.

 

[Rickmer]

und wie schützt man sich davor ?

Beim Netzbetreiber - oder auch Banken z.B. hinterlegen lassen, dass Account-Änderungen nur in Person gemacht werden dürfen...

Weg 1: Man ruft an und braucht dann das Kundenkennwort ...

Das Kundenkennwort ist einer der Wege, mit denen Unternehmen mittlerweile versuchen, Social Hacking zu entgegnen. Keine Ahnung, wie gut das in Praxis funktioniert.

Wenn es geht TOTP mittels OTP-App auf dem Telefon. Alles, was was auf sich hält, bietet das auch an, selbst MS und Google.

Gut, das hilft vor den Konsequenzen des social hacking, aber nicht gegen dieses an sich.

Aber richtig, TOTP ist besser als SMS.

 

[s1ave77]

Apropos OTP: Ich nutze Authenticator Pro, ist FOSS, auf Github und im Play Store.

Bei der Verbindung mit Programmen/Websites mit Login wird ein QR Code angezeigt, dann erscheint das in der App, danach im Login-Prozess mit den 6 Ziffern authentifizieren.

Dann werden Fallback-Codes angezeigt und du wirst aufgefordert die zu speichern, sind so 10-12 und erlauben einmaligen Zugang ohne App jeweils einmal. Reicht dann, alles zu ändern.

AuthPro legt AES verschlüsselte Backups ab, die kommen in meine Nextcloud. Auf dem Tablet hole ich mir das und lade es in der App, REUNDANZ.

FAZIT: Doggie™ kriegst hin, dann ist das IDIOTENSICHER™ .

Ergänzung (27. Juli 2024)

TOTP ist besser als SMS.

Da kommst du ohne meine App nicht zwischen! Will ich sehen.

Ist wie bei Wireguard, nur durch Lücken.

Selbst wenn du alte Tokens hast, die Chance, dass die im Moment deines Versuchs kommen, ist astronomisch. Die rotieren bei mir alle 30 sek.

Fehleingaben stehen im Log mit IP.