Zwei-Faktor-Authentifizierung

[Apopex]

Guten Abend,

Man sollte ja am besten die 2FA wo es möglich ist aktivieren.

Ich frage mich aber, was passiert wenn z.b. das Handy gestohlen wird und man dadurch keinen zugriff mehr auf die angegebene Rufnummer hat, auf die der Code per SMS geschickt wird.

Ohne den Code kann man sich ja meistens nicht mehr einloggen.
Bei manchen Accounts kann man als backup noch eine Persönlich Frage erstellen (wie hieß dein erstes Haustier etc..) aber bei anderen kommt man nur mit dem code den man per sms bekommt rein.

Oder man bekommt eine neue Handy nummer, die alte wird abgeschalten und man hat nicht überall die neue Handy nummer vergeben (ein account vergessen) die versuchen dann einen code auf die alte handy nummer zu senden die es nicht mehr gibt.

Sicherheit ist schon gut und wichtig, aber wenn man am ende selbst nicht mehr rein kommt wird es blöde...

Güße Apopex

 

[TorenAltair]

Normalerweise bekommst Du bei 2FA einen Wiederherstellungscode für genau diese Fälle.

 

[Zer0DEV]

Bei ordentlichem 2FA gibt es Backup-Codes die man idealerweise analog irgendwo sicher aufbewahrt.
Mitunter kann man die selbe 2FA-Einrichtung des jeweiligen Dienstes auch auf zwei unterschiedlichen Geräten in einem Authenticator hinterlegen.

 

[s1ave77]

Finde die Nummer immer ungünstig und nutze, wenn möglich, TOTP-App als 2FA. Da kann ich lokale Backups anlegen, diese auf anderen Gräten nutzen und auf meiner Watch.

Backup-Codes sind natürlich, wie erwähnt, unbedingt zu sichern. Dazu nutze ich Keepass.

 

[AI-Pirate]

Verwende zwei Geräte mit 2FA, sodass bei Verlust eines Gerätes das Zweite genutzt werden kann.
Ebenso empfehle ich 2FA nicht von einem einzigen Account abhängig zu machen, denn wenn mal dein (Google-)Account mit hinterlegter 2FA "gehackt" wird, bringen dir die Geräte auch nichts mehr.

 

[s1ave77]

Verwende zwei Geräte mit 2FA

Bei Telefonnummer schwerlich umsetzbar . Backup-Codes sind bei 2FA vorzuziehen.

 

[SpamBot]

Backup-Codes sind natürlich, wie erwähnt, unbedingt zu sichern.

Nie gemacht, letztens erst ein paar Accounts vergessen. Bei ordentlichen Firmen ist es kein Problem die Telefonnummer zu ändern. Man muss sich dann eben ausweisen, z.B. über eine geschwächten Personalausweis Kopie. Teilweise ging es sogar erschreckend einfach am Telefon, hier wurden nur wenige Sicherheitsfragen zur Person gefragt, sowas wie Geburtstag, Geburtsort.... Dinge die dort bekannt waren

Wird das Handy gestohlen bekommt man eine Ersatz Sim mit gleicher Rufnummer.

 

[tollertyp]

Je nachdem, wie das vom Account-Anbieter umgesetzt ist, hast du auch die Möglichkeit, verschiedene 2FAs gleichzeitig aktiv zu haben. Bei EA kann ich wählen, ob ich den Code via Mail bekomme oder ob ich den TOTP-Code eingebe.

Backup-Codes sind immer dann unerlässlich, wenn es eben keinen alternativen Weg gibt, wieder Zugriff auf einen Account zu erlangen. Es ist auf jeden Fall sinnvoll vorher zu klären, ob und wie der Zugriff auf einen Account bei Verlust vom Handy möglich ist.

Bitwarden selbst sagt z.B., dass bei Verlust der 2FA-Authentifizierung der Account verloren ist. Da hilft dann wohl auch kein Ausweis was.

 

[AI-Pirate]

@mae1cum77
Wenn man keine 5 € für eine Multi-SIM zahlt, kann man die SIM-Karte sperren und eine Neue bestellen. (< 1 Woche)
Oder noch einfacher, eine eSIM deaktivieren und sofort auf einem anderen Gerät aktivieren. (< 30 Minuten)

Man sollte wissen, dass 2FA über SMS die mit Abstand unsicherste Variante ist, weil SMS zu einfach "abgefangen" werden können. Eine App ist sicherer und eine Hardwarelösung am sichersten. (z.B. FIDO)

 

[tollertyp]

Ich persönlich mag das "Polling" bei 2FA nicht (E-Mail, SMS), weshalb ich immer die Apps bevorzuge. Mich nervt die Warterei immer...

 

[s1ave77]

weshalb ich immer die Apps bevorzuge.

Mag die Bindung an Nummern auch überhaupt nicht. Die App kann ich notfalls auf mehreren Geräten synchron halten und habe durch das Backup schnell den alten Stand wiederhergestellt, wo auch immer .

 

[CoMo]

2-Faktor macht man am besten via TOTP und nicht via SMS.

Backups sind unnötig. Wiederherstellungscodes sind auch unnötig. Das einzige, was sichern muss, ist das Secret. Am besten direkt im Passwort-Manager.

Ich generiere meine Codes direkt im KeePass mit KeeTrayTOTP. So muss ich auch keine Secrets separat abspeichern.

 

[gymfan]

Ich frage mich aber, was passiert wenn z.b. das Handy gestohlen wird und man dadurch keinen zugriff mehr auf die angegebene Rufnummer hat, auf die der Code per SMS geschickt wird.

Du musst Dir für JEDEN Anbieter, von dem Du die 2FA App auf dem Smartphone installierst, ganz genau aufschreiben, was dann zu tun ist.

Dafür muss auch nicht Dein Smartphone geklaut werden, es reicht schon, wenn es defekt ist. Das Backup der 2FA-Apps führt nicht dazu, dass diese auf einem bauähnlichen Gerät mit der identischen Telefonnummer auch wieder ohne neue Registrierung funktionieren.

Und nicht alle Anbieter geben einem die Möglichkeit, zwei 2FA Apps auf zwei Geräten (z.B. Smartphone und Tablet) parallel zu aktivieren.

Man sollte wissen, dass 2FA über SMS die mit Abstand unsicherste Variante ist, weil SMS zu einfach "abgefangen" werden können.

Weil die EU den Anbietern diese Schwachsinn durchgehen lässt, muss jeder User jetzt darunter leiden. Das war schon bei den Tan-Listen so, wo die normalen User vor den dementen Listenabtippern geschützt werden mussten.

 

[Poati]

Man sollte wissen, dass 2FA über SMS die mit Abstand unsicherste Variante ist, weil SMS zu einfach "abgefangen" werden können.

Das ist soweit korrekt, aber ebenso sollte auch nicht vergessen werden, dass es immer noch wesentlich besser ist als gar kein zweiter Faktor.

Ansonsten ist ja alles gesagt, man kümmert sich um Ausweichoptionen. Die allermeisten Dienste bieten das auch an, weil es natürlich immer mal vorkommen kann, dass der zweite Faktor verloren geht und dann gibt es eine Supportanfrage, die wiederum Geld in der Bearbeitung kostet und dann läuft es darauf hinaus, dass man seine Identität irgendwie auf anderem Wege nachweisen muss. Dafür muss es natürlich eine Verbindung zwischen Namen und dem Account geben, sonst wird es schwierig. Wenn es das alles nicht gibt, dann wäre es aus meiner Sicht ein Dienst, den man vielleicht direkt besser meidet oder aber nichts allzu wichtiges, was man dann lieber nur mit einem Kennwort sichert. Das kann man dann ja zumindest entsprechend lang wählen und im Passwort Manager ablegen oder auch analog auf einem Stück Papier.

 

[s1ave77]

Du musst Dir für JEDEN Anbieter, von dem Du die 2FA App auf dem Smartphone installierst, ganz genau aufschreiben, was dann zu tun ist.

2FA-App ist für mich TOTP, da lassen sich Backup-Codes erzeugen, die im Falle des Ausfalls/Verlustes des Geräts alternativ genutzt werden können. Die sind dann für ein logIn gut und verfallen, daher werden meist ein Dutzend generiert.

Die TOTP-Codes sind nicht Geräte-spezifisch, ich kann ein Backup von Authenticator Pro auf meinem Tablet nutzen, obwohl es vom Telefon kommt.

 

[frames p. joule]

Oder man bekommt eine neue Handy nummer, die alte wird abgeschalten

https://www.spiegel.de/kultur/zwiebelfisch/zwiebelfisch-die-sauna-ist-angeschalten-a-339978.html

No Offense. Aber danke für die Aufklärung hier im Thread!

 

[CoMo]

2FA-App ist für mich TOTP, da lassen sich Backup-Codes erzeugen, die im Falle des Ausfalls/Verlustes des Geräts alternativ genutzt werden können.

Wozu sollen diese Backup Codes gut sein? Man kann doch einfach die 2FA auf einem anderen Gerät wieder aktivieren.

 

[Apopex]

Ich finde das ganz schön komplizert das da jeder seine eigene suppe kocht.
bei manchen geht es nur per e-mail, bei anderen per sms, bei anderen wiederum benötigt man eine spezielle app.
Für mich sind die begriffe wie TOTP momentan noch fredmwörter, muss mich da erst einmal rein arbeiten um das alles zu verstehen, dachte bisher immer 2FA kommt ne mail oder ne sms mit nem code und fertig, also zusätzlich zum passwort.

 

[s1ave77]

Man kann doch einfach die 2FA auf einem anderen Gerät wieder aktivieren.

Nicht immer von sich auf andere schließen . Gibt Fälle, da wird das schwierig, dann können diese Codes schnell helfen, da sie ohne ein Gerät den Zugang ermöglichen.

Würde ich nie drauf verzichten, aber wer bin ich. Ich sperre mich ungern aus - mit 2FA geht das aber sehr schnell.

Ergänzung (4. Februar 2024)

dachte bisher immer 2FA kommt ne mail oder ne sms mit nem code und fertig, also zusätzlich zum passwort.

Ist nicht wirklich sicher. Läßt sich beides abfangen - und der zeitliche Verzug kann nerven. Hatte mal Probleme mit SMS-Empfang, da kamen die dann erst nach einiger Zeit an.

TOTP ist ein zeitbasiertes Einmal-Token. Die App und der Service werden verbunden (einfach in der App einen QR-Code scannen), danach generiert die App ein 6-stelliges (Ziffern) Passwort, welches 30 Sekunden gültig ist und in dieser Zeit vom Service angenommen wird. Nach 30 Sekunden verfällt es und ein neues wird generiert.

Ohne die App ist da kein Reinkommen. Zusätzlich ist das Ganze weder an ein spezifisches Gerät, eine Telefonnummer oder Mailadresse gebunden. Die verschlüsselten Backups der TOTP-App lassen sich auf anderen Geräten wiederherstellen und weiter gehtr's.

 

[tollertyp]

Man kann doch einfach die 2FA auf einem anderen Gerät wieder aktivieren.

Irgendetwas muss bzw. sollte man dafür aber halt gesichert haben.

Ja, mag sein, dass Backup Codes in gewissen Konstellationen unnötig sind. Aber ich kenne genug Leute (da muss ich nur in den Spiegel schauen), die haben sich am Anfang keine Gedanken gemacht, wie sie dafür sorgen, das TOTP auch auf ein anderes Gerät zu bekommen für den Fall, dass ihr Smartphone z.B. kaputt geht.