News Mobile Connect: Login im Internet mit Mobil­funk­nummer statt Passwort

[Yuuri]

auch bei Steam und Amazon absolut nervig.

Steam stimm ich dir zu. Mein Authenticator hat sich dort bereits drölf mal automatisch abgemeldet, nur weil ich die App geöffnet habe. Ist Valve bekannt und ihnen egal. Kann dann natürlich keine Logins vollziehen, weil mein Authenticator nicht mehr funktioniert. Ich belass es jetzt bei eMails als 2FA.
Der Steam Authenticator ist aber sowieso fürn Poppes. 2FA Generator und Shop in einer App vereinen? Ja ne ist klar... Hat man das Handy in der Hand, kann man ohne User + Passwort und ohne 2FA einfach mal so shoppen gehen oder Daten ändern...

Amazon kann ich allerdings nicht verstehen. Klar ist es nervig, wenn die Authenticator Apps keine Suche/Sortierung bieten und man dann Amazon aus ner Liste von 50 Einträgen raussuchen muss. Allerdings gibts da auch TOTP-Varianten von Microsoft oder Lastpass, die das per Push regeln. Transakt implementiert bspw. standardmäßig Push, bindet allerdings kaum jemand ein. Das ist dann wirklich 2FA in komfortabel.

Und wie soll es stattdessen laufen?

Username + Passwort ist ausreichend gut und unabhängig und man kann es sich auch einfach merken. Nutzt doch einfach nen Passwortmanager für den Komfort... Die gibts heutzutage kostenlos und in den Browsern existiert bereits ein Sync, kann man also von auf allen Geräten drauf zugreifen.

Besser wäre nur eine PKI-Variante (SSH Keys, HTTPS Client Zertifikate, YubiKey, ...). Aber dafür benötigt man teilweise Gerätschaften, die auch nicht überall funktionieren. Frag mich halt nur, warum man fast nie Client Zertifikate in freier Natur sieht. Das System funktioniert wunderbar und ist besonders sicher. Nicht umsonst deaktiviert man bei SSH Servern gern die Keyboard-Interactive Variante und lässt nur Keys zu.

 

[icetom]

Was ist da nervig? Die 2FA ist dort doch völlig problemfrei?

ich rede vom Sicherheitscode per sms. ist ja nicht per 2fa app.
Browser-Update, wieder Sicherheitscode anfordern nötig.
möchte Prime schauen an registriertem Gerät (keinen Kauf tätigen) an Zweitwohnsitz, IP triggert wieder den Sicherheitscode.
Ist verdammt oft passiert bisher.
ich brauche die Funktion einfach nicht, speziell nicht um zu verhindern, dass jemand im Account Videos schaut. Absoluter Mist ist auch, dass in der Geräteübersicht einfach nur generisch "mein name+Android Gerät 1,2,3..." angezeigt wird. Hab mittlewerweile dort 8 Geräte drin

 

[Piktogramm]

Die arbeiten da Wochen bis Jahre an einem solchen System und da steht echt keiner mal auf und sagt "BULLSHIT"

Unverschlüsselte SMS über unsicheren Mobilfunk auf Geräten die häufig genug mit Ransomware ab Werk / über den Appstore zugemüllt sind. Wobei die Smartphones selbst meist nur durch 4-stellige Pins oder Wischgesten gesichert sind. OAR

relevantes Känguru: https://www.facebook.com/klingmarcuwe/posts/1031955333533289

 

[c[A]rm[A]]

Und wieder nur Marketing/Lobbyismus als wirkliche Lösungen. Da hat wer wohl wieder vollmundig Idioten zugelabert und sind nun total überzeugt dass man es unbedingt braucht.

 

[Cool Master]

Warum probieren die ISPs immer wieder etwas zu entwicklen, was sich niemals durchsetzen wird?

Die sollen die Manpower und das Geld für dieses Vorhaben lieber in den Ausbau stecken...

 

[M@tze]

ich rede vom Sicherheitscode per sms. ist ja nicht per 2fa app.

Ach so, ich nutze Amazon 2FA nur per App und da gibt es keine Probleme. Ich musste meine Geräte auch nur einmal bei Amazon mit dem Code der App anmelden und seitdem geht das ohne erneute Abfrage.

 

[Cool Master]

Ich musste meine Geräte auch nur einmal bei Amazon mit dem Code der App anmelden und seitdem geht das ohne erneute Abfrage.

Man könnte nun haare spalten aber das ist dann keine echte 2FA sondern eher ein Bestätigungscode. 2FA ist für mich bei jedem Login = Abfrage nach einem Code. Egal ob der nun per Mail, App oder was auch immer kommt.

 

[Termy]

Ich finde ja schon 2FA über SMS extrem dämlich, in anbetracht dessen, wie einfach SMS angreifbar ist.
Zudem genießen die Tkom-Anbieter nicht unbedingt mein Vertrauen - und Logins an meine Handynummer zu binden, bei der ich quasi völlig dem Gutdünken der Anbieter ausgeliefert bin was sperren, porten etc angeht...ne, das klingt für mich nich unbedingt nach ner guten Idee

Stattdessen sollte sich 2FA via OTP und/oder U2F breiter durchsetzen...absolut nervig, wenn manche Anbieter 2FA nur durch SMS/email oder ihre eigene Bloatware-App anbieten...

 

[ripa]

Bei Banken ist es in ein paar Monaten europaweit verboten Tan per SMS zuzusenden, weil es unsicher ist.
Großartige Idee, wenn 2009 wäre...

 

[buliwyf]

Man könnte nun haare spalten aber das ist dann keine echte 2FA sondern eher ein Bestätigungscode. 2FA ist für mich bei jedem Login = Abfrage nach einem Code. Egal ob der nun per Mail, App oder was auch immer kommt.

Ja könnte man. Man muss den Haken für "Auf diesem Gerät nicht mehr fragen" ja nicht setzen.
So kann man aber das Mittel aus Sicherheit und Komfort finden. z.b. wird auf jedem neuen Gerät an dem man sich anmeldet automatisch der 2te Faktor abgefragt.
Auf Geräten die mir gehören kann ich jederzeit wählen ob ich jederzeit gefragt werden will oder nur z.b. alle 30 Tage. Das kann man je nach Kritikalität des Dienstes tun.
2FA soll ja hauptsächlich vor Zugriffen schützen wenn Benutzername und Passwort abhanden gekommen sind.

 

[M@tze]

Man könnte nun haare spalten aber das ist dann keine echte 2FA sondern eher ein Bestätigungscode.

Doch das ist echtes 2FA und ich muss den Code natürlich jedesmal eingeben, es sei denn ich "vertraue" dem Gerät, was ich allerdings nie in Anspruch nehme. Was ich aber meinte mit "muss den Code nie wieder eingeben" sind meine lokalen Echo's und Amazon Fire Sticks, bzw Prime App im Fernseher. Da will ich den Code natürlich NICHT jedesmal eingeben, man kann es ja auch übertreiben...

Ich hatte meine Aussage speziell auf diesen Satz bezogen:

möchte Prime schauen an registriertem Gerät (keinen Kauf tätigen) an Zweitwohnsitz, IP triggert wieder den Sicherheitscode.

aber leider hatte ich das nicht näher gekennzeichnet, dass ich die Amazon Geräte damit meinte.

 

[RayKrebs]

Ach Du meine Güte, per SMS und dann noch Smartphone Nummer, never...
Dieses schwachsinnige verdongeln an ein Smartphone.

 

[QShambler]

Ich stelle mir das echt nervig vor, ich bin jemand der meist alle 2 Jahre seine Nummer wechselt, voralledem wegen neukundenbonus etc.
Ich müsste gefühlt alle 2 Jahre alle daten ändern. Mich nervt ja teilweise schon das man bei einigen Diensten dieses 2FA mehr oder weniger aufgezwungen bekommt. Aktuelles Beispiel Uplay geht mir damit schon seit monaten aufn Keks.
Ich nutze einfach ein ziemlich fettes PW mit allerhand symbolen zahlen etc. Das reicht für mich persönlich

Ja das überall das Handy mit seiner Nummer als Sicherheitsmerkmal stellenweise verlangt wird nerft mich auch tierisch.

Ein Beispiel: Wenn ich in 2 oder 3 Jahren zB mit meinem Paypal Konto Probleme habe und auf die alte Nummer nicht mehr zugreifen kann wars das damit.

Und je mehr Dienste so gesichert werden um so höher ist die Wahrscheinlichkeit nicht rechtzeitig die neue Nummer hinterlegt zu haben.

Ich fang ja schon langsam an mich vor nem Werksreset zu fragen lohnt sich das.

 

[Snooty]

gibt doch andere Verfahren, mit dem man auf dem Handy einfach ein Popup erhält .. Braucht aber eine spezielle Sim-Karte mit einer Digitalen ID

Bei Google oder Microsoft bekommt man doch ein solches Pop-up (bei Android zumindest) mit dem Authenticator - das hängt doch nicht an der Sim-Karte.

 

[Augen1337]

Warum probieren die ISPs immer wieder etwas zu entwicklen, was sich niemals durchsetzen wird?

Die sollen die Manpower und das Geld für dieses Vorhaben lieber in den Ausbau stecken...

und dann gräbt die Krawatte ein Loch und verbuddelt Glasfaser?

 

[rolandm1]

Für mich wäre das nichts.

Mir erschließt sich noch nicht ganz die Definition "Dienste".
Ist aber egal, da ich auf dem Diensthandy eher nichts nutzen darf bzw. will.

Und mein Privathandy (Ja es ist ein NICHT Smartphone nur zum telefonieren) kann kein Internet. Damit auch hier Sinnfrei.

Wenn die Herren der Meinung sind, das ist das alleinig seligmachende absolut sichere System (was ich aber bezweifle ), um. sich überall anzumelden, könnte die Nutzung des Internets weniger werden.

 

[Cool Master]

@Augen1337

Nö natürlich nicht, aber die Krawatte kann den Bauarbeitern sagen wo sie das Loch zu buddeln haben.

 

[DieRenteEnte]

Meiner Meinung nach eine total dämliche Sache.
Ein Passwort kann man jederzeit ändern und es ist bei weitem sicherer.

So kann der Betreiber den Nutzer zuordnen und ...

Genau darum geht es hier!
Damit kann man den Nutzer besser verfolgen und exakt messen, wann, wie oft und wo er unterwegs ist.

Es ist nur eine Frage der Zeit, bis unsere Politiker mit Stasi-Wünschen durchkommen bzw. die Nutzer weiterhin nichts tun und alles akzeptieren, was ihre Freiheit weiter einschränkt.
Eines dieser Stasi-Wünsche, mal wieder ganz typisch von der CDU gefordert, ist die Pflicht sich im Internet ständig mit seinem Personalausweis zu bewegen. Keine Nicknamen mehr, sondern direkt Klarnamen. Immer und überall.
Auf die Schnelle kann man selbst prüfen, seit wann dieser Wunsch besteht:
https://www.rtl.de/cms/cdu-politiker-will-internet-nicknames-verbieten-532575.html

 

[^Dodo.bW]

Thema SIM swap/spoofing?? Wie soll das bitte sicher sein?

 

[Augen1337]

@Augen1337

Nö natürlich nicht, aber die Krawatte kann den Bauarbeitern sagen wo sie das Loch zu buddeln haben.

Und das Problem beim Ausbau ist, dass es mehr als genug Bauarbeiter gibt und nur die Krawatten fehlen