Zwei-Faktor-Authentifizierung (2FA) für Strato HiDrive

[SirDaedalus]

Hallo zusammen,

in der Presse ist ja häufig zu lesen, dass es deutsche Internetunternehmen nicht so richtig mit dem Wettbewerb aus dem Silicon Valley aufnehmen kann. Dem kann ich an einem konkreten Beispiel nur zustimmen:

Das mittlerweile eigentlich selbstverständliche (und hochgradig sicherheitsrelevante Thema "2-factor authentication" wird bei Strato (in meinem Fall beim Strato HiDrive) einfach ausgesessen.

"Deinen Wunsch nach einer 2-Faktor-Authentifizierung kann ich gut nachvollziehen. Ich leite Deine Rückmeldung gerne als Verbesserungsvorschlag intern weiter. Wir wissen, dass sich viele Kunden die Zwei-Faktor-Authentifizierung wünschen – können hierzu allerdings aktuell kein konkretes Timing nennen. Wenn es so weit ist, erfährst Du es natürlich auf unseren Kanälen."​

(nachzulesen hier)

Dafür dass man ggf. seine ganzen privaten Daten zu Strato schiebt, ist "ohne 2FA" schon ein recht heftiges Risiko.

Oder gibt's da irgend eine plausible Begründung zu, warum das immer noch nicht geht?

Viele Grüße

 

[BlubbsDE]

Das geht nicht so einfach überall. Das HiDrive ist nicht einfach nur ein Login zu einem Service. Das funktioniert zB auch mit WebDAV, was auch sehr vielen Kunden wichtig ist. Und da bekommt man eine 2Fa schwer bis gar nicht rein. Das sollte Dir Strato besser erklären können. Zumindest die Technikabteilung. Die Antwort von Starto, die Du hier zeigst, die kommt vermutlich von jemanden ganz ohne technischen Background. Sieht zumindest so aus. 1st Level Support.

 

[SirDaedalus]

Klingt plausibel.

Google bekommt das aber zum Teil auch hin (e.g. 2FA in 3rd Party Anwendungen, e.g. eMail via IMAP, wo man einen Code generiert oder (früher noch) den 2FA Code zusätzlich zum Kennwort als Kennwort eingeben musste).

 

[BlubbsDE]

Das hat nichts mit IMAP zu tun. Damit schaltest Du das Gerät für alle Google Services ein. Auch wenn der Service an sich keine 2Fa unterstützt. Und diese Freischaltung ist dann auch nur für dieses Gerät.

WebDAV ist da aber eine andere Welt. Das ist ein (altes) standardisiertes Protokoll, wo eine 2FA nicht vorgesehen ist. Und das freischalten auf Geräteebene auch nicht funktioniert.

 

[SirDaedalus]

Verständlich.

Aber was ist dann die Lösung, (unter der Voraussetzung wenn man die eigenen Daten in Deutschland belassen möchte)? "Alle persönlichen Daten lediglich hinter einem Passwort ohne jegliche 2FA bei Strato hinterlegen" ist ja nicht unbedingt prickelnd...

 

[BlubbsDE]

Ein sicheres Passwort nutzen. Und dieses auch nur für diesen Service / Zugang. Das ist nur ein einfacher Schutz. Aber ein wirksamer. Wir gehen mal davon aus, Strato hinterlegt die PWs seiner Kunden nicht im Klartext.

Gekaperte Zugänge werden durch miserable Passwörter oder über den Diebstahl der Passwörter möglich.

 

[JackForceOne]

Ich bin zwar auch ein Freund von sicheren (=zufälligen, besonders langen, also 43 Stellen für 256-Bit Sicherheit, da Schlüsselraum von 2^256 bei a-z,A-z,0-9) Passwörtern, aber ohne 2FA wäre mir das zu unsicher. Selbst wenn überall verschiene Passwörter verwendet werden, kann ein schwacher Hash bei Datenklau zum totalen Accountverlust führen. Und wie die Vergangenheit gezeigt hat ist das schon bei fast jedem Anbieter passiert.

Ich habe mir auch HiDrive mal genauer angeschaut, aber alle meine privaten in die Cloud? Nur wenn ich die Daten selber noch bei mir habe (-> bspw. NextCloud). Sonst nicht.

Denn selbst wenn HiDrive mit "deutschen Datenschutzbestimmungen" wirbt, werden die Daten im Rechnenzentrum mit Sicherheit kontinentalweit gespiegelt sein.

 

[BlubbsDE]

Und wie die Vergangenheit gezeigt hat ist das schon bei fast jedem Anbieter passiert.

Diese Aussage ist mehr als gewagt.

 

[JackForceOne]

Nur weil es keine Pressemitteilung gibt, heißt das doch nicht dass es nicht passiert ist, oder?
Vorsicht ist halt besser als Nachsicht. Wenn die Daten futsch sind bringt es dir nichts wenn der Anbieter dann sagt ja aber vorher ist uns sowas noch nie passiert...