News Mobile Connect: Login im Internet mit Mobil­funk­nummer statt Passwort

[Cool Master]

In der Stadt scheint es ohne Probleme zu klappen - seltsam 🤷‍♂️

 

[Chattermark()]

Cool, wenn mal wieder eine Datenbank gehackt wird brauch ich gleich eine neue Telefonnummer anstatt "nur" ein neues Passwort.

Und weil wir so schlau waren brauch ich auch gleich noch neue Fingerabdrücke und Iris und Herzschrittmacher.

Diese ganzen Passwortalternativen versagen, weil die Struktur drum rum vom billigsten Anbieter kommt und dann kann man nicht mehr eben das Kennwort ändern.

 

[revan.]

Wie in meinem Thema schon geschrieben, da es auf SMS basiert, halte ich das System für Käse.

Nicht nur Käse, sondern skandalös.
SMS ist kein sicheres Transportmedium, schon gar nicht für Sicherheitsschlüssel.

Authentifizierung per Telefonnummer ist meiner Meinung nach gerade noch so für Pizzadienste okay, aber selbst das kann man ja locker aushebeln.
Nicht jeder behält außerdem langfristig die gleiche Nummer und das war alles so nie vorgesehen.
Wenn man sein Handy verliert hat man dann auch immer mehr Stress als eh schon, ich finde das extrem bedenklich schon bei E-Mail Anbietern wo man teils gar nicht mehr anders wieder in sein Konto rein kommt.
Das ist lächerlich mit dem Support zu telefonieren wenn man seine Nummer gewechselt hat oder was auch immer.

Ich möchte da auch noch anmerken neben Hackern kann da auch im privaten Umfeld viel scheiße veranstaltet werden, selbst bei Dates gibt man ja doch recht fix seine Nummer raus und wenn man auch direkten Zugriff haben muss ist das lächerlich wenn schon mal die Nummer bekannt ist (ist halt keine sonderlich geheime Sache) und es gibt technische Möglichkeiten den Spaß abzufangen oder zu manipulieren.

Ich frag mich vor allem wieso man nicht einfach die bereits vorhandenen Authenticator benutzt, die haben zwar auch Nachteile, aber ist immer noch besser als alles per Telefonnummer.
Ich habe lediglich mein Outlook per Telefon verifiziert weil man sonst keinen Zugriff mehr hat, da ist MS sehr restriktiv, aber sonst vermeide ich wo ich es kann meine Nummer anzugeben! Wer die hat, ist doch schon fast im System! Der Staat sowieso!

Cool, wenn mal wieder eine Datenbank gehackt wird brauch ich gleich eine neue Telefonnummer anstatt "nur" ein neues Passwort.

Was die wenigstens wieder mitbekommen werden.
Da Android und Co. eh gehackt werden können und es gravierende Sicherheitslücken gibt die bei vielen alten Versionen nicht mehr gepatcht werden ist das eh so eine Sache mit "Sicherheit" per Handy. Im Zweifel erreicht man das Gegenteil. Den meisten Leuten ist das doch alles gar nicht bewusst.

 

[Palomino]

Ich habe genau EINE Mobilfunknummer, aber für viele, viele Internetseiten viele, viele unterschiedliche Passwörter. Was ist hier wohl sicherer? Vor allem da es so viele Menschen gibt, die meine Mobilfunknummer kennen.

 

[jackii]

Halt ich jetzt auch nicht viel von.
Vor allem wie soll denn das "auch auf Desktop-PCs, Notebooks und Tablets" gehen wenn man den Link in der SMS antippen muss.

 

[Fred_VIE]

Nur wenns ohne Roaming (also im Wifi) geht.

Weil wenn man dann ausserhalb des Landes unterwegs ist könnens gleich Roaminggebühren abzocken. Das hatte ich schon mal, brauch ich nicht mehr. Da konnte ich ausserhalb des Landes bei erzwungenem Mobilfunkwechsel (einer hat den Anderen gekauft als ich nicht da war) vom Ausland nicht auf meine Einstellungen zugreifen ausser mit Roaming. Die Wappler haben natürlich meine Einstellungen vom alten Provider nicht übernommen und mir alle Anrufe und SMS weitergeleitet um mir ja Kosten zu verursachen.

Hab die Einstellungen dann von meinen Bruder ändern lassen müssen, weil ich mich nicht abzocken lasse.

 

[DerDoJo]

Ich habe genau EINE Mobilfunknummer, aber für viele, viele Internetseiten viele, viele unterschiedliche Passwörter. Was ist hier wohl sicherer? Vor allem da es so viele Menschen gibt, die meine Mobilfunknummer kennen.

Die Nummer zu kennen hilft ja nichts, wenn man das Empfangs-Gerät (inkl. SIM) nicht hat.
Hier sehe ich aber ein größeres Problem beim Social Engineering durch Hacker, die sich dann einfach vom Mobilfunkanbieter eine Ersatz-SIM des Opfers an ihre Adresse schicken lassen, indem sie der Person im Callcenter vorspielen sie seinen die legitime Person, die ihre SIM verloren hätte.
So wurden ja gerade in den USA in der Vergangenheit diverse Leute und Internetpersönlichkeiten (Boogie, Linus Tech Tips) gehackt, die zB SMS-2FA auf ihren Accounts aktiviert hatten.

 

[Do Berek]

Die arbeiten da Wochen bis Jahre an einem solchen System und da steht echt keiner mal auf und sagt "BULLSHIT"

Doch, aber der ist dann aus der Chefetage auf die Straße geflogen!

 

[Coeckchen]

und dann gräbt die Krawatte ein Loch und verbuddelt Glasfaser?

Hoffentlich kommts so weit. Die Peitsche würd ich sogar selber Schwingen

 

[ekin06]

Wie soll das auf dem Land funktionieren, wo man zum telefonieren schon auf den nächsten Mount Everest fahren muss? Oder Leute die im Keller sitzen / wohnen und ohne Empfang... müssen dann zum Einloggen ne Runde joggen. Und wenn sie wiederkommen und voller Vorfreude den Code eingeben wollen "Tut uns Leid ihre Sitzung ist leider abgelaufen".

Schwachsinn.

 

[Turrican101]

Steam stimm ich dir zu. Mein Authenticator hat sich dort bereits drölf mal automatisch abgemeldet, nur weil ich die App geöffnet habe. Ist Valve bekannt und ihnen egal. Kann dann natürlich keine Logins vollziehen, weil mein Authenticator nicht mehr funktioniert. Ich belass es jetzt bei eMails als 2FA.

Hab mit der Steamapp noch nie Probleme gehabt. Funktioniert auch besser als mit Email, wo ich dagegen dauernd das Problem hatte, dass mir ne Bestätigungsmail geschickt wurde, ich aber keine bekommen habe. Oder erst 30min später.

 

[Yuuri]

@Turrican101 Such mal nach steam mobile authenticator keeps logging out. Vielleicht haben se das mittlerweile gefixt, aber nach dem zweiten Mal bin ich bei der eMail Authentifizierung geblieben. Der ihre komische App funktioniert nicht und ich bekomm ständig Probleme mit Trade Bans und ähnlichem Quatsch, weil mein Authenticator erst "frisch" verbunden wurde (glaube drei Wochen oder so ist da die Schwelle)... Danke für nichts.

Die Frage ist eher, warum Valve immer noch so hinterweltlerisch ist und uns keine regulären 2FA Codes generieren lässt, die mit herkömmlichen Apps funktionieren. Sind doch sonst so offen für alles, aber bei ihrer Platform verschließen sie sich permanent und für Änderungen brauch es entsprechend lange der Valve Time.

 

[Palomino]

Die Nummer zu kennen hilft ja nichts, wenn man das Empfangs-Gerät (inkl. SIM) nicht hat.
Hier sehe ich aber ein größeres Problem beim Social Engineering durch Hacker, die sich dann einfach vom Mobilfunkanbieter eine Ersatz-SIM des Opfers an ihre Adresse schicken lassen, indem sie der Person im Callcenter vorspielen sie seinen die legitime Person, die ihre SIM verloren hätte.
So wurden ja gerade in den USA in der Vergangenheit diverse Leute und Internetpersönlichkeiten (Boogie, Linus Tech Tips) gehackt, die zB SMS-2FA auf ihren Accounts aktiviert hatten.

Es macht dich aber noch abhängiger von deinem Handy und ist eine Abkehr davon, dass es sicherer ist unterschiedliche Passwörter zu haben, wenn möglich zusätzlich auch noch Benutzernamen. Und vor allem dafür zu sorgen, dass niemand außer man selbst diese Daten kennt.
Die Schwachstelle sehe ich darin, dass es immer noch sehr einfach ist ein Handy zu hacken und die SMS einfach abzufangen. Damit hat der Angreifer ungehindert Zugang zu allen Aktivitäten, er muss sich nicht einmal mehr die Mühe machen, Zugangsdaten auszuspähen.

 

[Unnu]

Bei Banken ist es in ein paar Monaten europaweit verboten Tan per SMS zuzusenden,

Nein, das ist es nicht. TAN-Listen sind verboten. Ersteres erzählen sie Dir nur, um Dir irgendwelche Apps aufschwätzen zu können.

Ergänzung (22. August 2019)

und dann gräbt die Krawatte ein Loch und verbuddelt Glasfaser?

Das wäre zumindest eine weit bessere Verwendung dieser HR als vorher.

 

[Sun_set_1]

Wie in meinem Thema schon geschrieben, da es auf SMS basiert, halte ich das System für Käse.

Warum auch Keypass benutzen?

Mit der Begründung, brauch ich weder das Eine - noch das Andere benutzen. Der Intercept durch abfangen der SMS, oder halt per Keylogger bei Keypass, ist doch letztlich gleich unsicher/ einfach. Bei Keypass hole ich mir die Teile aus der Zwischenablage, bei den SMS durch einfaches abfangen/mithören der SMS, IMSI Catcher, whatever.

Aber beide Szenarien setzen voraus, das mich jemand gezielt und aufwendig attackiert.
Für 99% der Bevölkerung sind trotzdem beide Methoden, 2FA(SMS) oder auch KeyPass, als sicher einzustufen.

@DeusoftheWired

Zwei Gründe,

1. Bequemlichkeit. Da mein Handy meist in Sichtreichweite liegt, brauch ich den Code nur ablesen. Und im Browser vorher zwei mal mehr auf “Weiter“ tippen. Bei Keypass immer erst starten, MasterPW eingeben, copy/paste etc.

2. Halte ich 2FA per SMS immer noch für sicherer als Keypass. Der Aufwand ne Funkzelle bzw. Empfänger zu emulieren und auch immer direkt in örtlicher Nähe zum Original-Handy zu sein, halte ich für (deutlich) größer.
(Viele vergessen, dass ich für eine erfolgreiche MITM bei 2FA per SMS eigentlich sicherstellen muss, dass ich das richtige Handy vorher auch aus dem echten Netz kicke. Es liegt ja eine Race-Condition für die Eingabe des Code vor)

 

[DeusoftheWired]

@Sun_set_1

1. „Given a choice between dancing pigs and security, users will pick dancing pigs every time.“ – Klick

2. Eine Anleitung zum Bau eines IMSI-Catchers für 20 $ findet sich heute sogar bei vice. So kann das jedes Script-Kiddie durchziehen und es ist nicht mehr auf die Leute mit dem Wissen zur Technik und Mobilfunktechnologie aus der Branche beschränkt. Von einer massenhaft aus der Ferne ausnutzbaren Schwachstelle in Keypass unterscheidet sich das u. a. dadurch, daß dich jemand zielgerichtet vor Ort verfolgen und auf dein Anfordern eines Codes via SMS warten muß. Ich halte beide für gleich unwahrscheinlich/schwierig.

 

[markox]

Ich würde gern meinen digitalen Personalausweis an das Lesegerät halten, vielleicht noch eine kurze PIN eintippen, falls er mal gestohlen wird, und gut ist. Leider wird so was wohl nie mehr kommen. Schade eigentlich. Ich hatte mich vor einigen Jahren auf der Cebit beim zuständigen Bundesamt mal über die Zukunft des digitalen Personalausweises erkundigt, und da hieß es noch, dass die Unterstützung leider nicht erfolgreich war wie erhofft, man aber im Hintergrund weiter daran arbeitet, es noch etwas dauern kann, man aber optimistisch sei, dass es in wenigen Jahren einen Durchbruch gibt. Viele Jahre ist es her, und man hörte nie wieder etwas davon.