Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 37.492
In der Stadt scheint es ohne Probleme zu klappen - seltsam 🤷♂️
News Mobile Connect: Login im Internet mit Mobilfunknummer statt Passwort
- Ersteller Frank
- Erstellt am
- Zur News: Mobile Connect: Login im Internet mit Mobilfunknummer statt Passwort
C
Chattermark()
Gast
Cool, wenn mal wieder eine Datenbank gehackt wird brauch ich gleich eine neue Telefonnummer anstatt "nur" ein neues Passwort.
Und weil wir so schlau waren brauch ich auch gleich noch neue Fingerabdrücke und Iris und Herzschrittmacher.
Diese ganzen Passwortalternativen versagen, weil die Struktur drum rum vom billigsten Anbieter kommt und dann kann man nicht mehr eben das Kennwort ändern.
Und weil wir so schlau waren brauch ich auch gleich noch neue Fingerabdrücke und Iris und Herzschrittmacher.
Diese ganzen Passwortalternativen versagen, weil die Struktur drum rum vom billigsten Anbieter kommt und dann kann man nicht mehr eben das Kennwort ändern.
revan.
Banned
- Registriert
- Jan. 2019
- Beiträge
- 536
knoxxi schrieb:
Nicht nur Käse, sondern skandalös.
SMS ist kein sicheres Transportmedium, schon gar nicht für Sicherheitsschlüssel.
Authentifizierung per Telefonnummer ist meiner Meinung nach gerade noch so für Pizzadienste okay, aber selbst das kann man ja locker aushebeln.
Nicht jeder behält außerdem langfristig die gleiche Nummer und das war alles so nie vorgesehen.
Wenn man sein Handy verliert hat man dann auch immer mehr Stress als eh schon, ich finde das extrem bedenklich schon bei E-Mail Anbietern wo man teils gar nicht mehr anders wieder in sein Konto rein kommt.
Das ist lächerlich mit dem Support zu telefonieren wenn man seine Nummer gewechselt hat oder was auch immer.
Ich möchte da auch noch anmerken neben Hackern kann da auch im privaten Umfeld viel scheiße veranstaltet werden, selbst bei Dates gibt man ja doch recht fix seine Nummer raus und wenn man auch direkten Zugriff haben muss ist das lächerlich wenn schon mal die Nummer bekannt ist (ist halt keine sonderlich geheime Sache) und es gibt technische Möglichkeiten den Spaß abzufangen oder zu manipulieren.
Ich frag mich vor allem wieso man nicht einfach die bereits vorhandenen Authenticator benutzt, die haben zwar auch Nachteile, aber ist immer noch besser als alles per Telefonnummer.
Ich habe lediglich mein Outlook per Telefon verifiziert weil man sonst keinen Zugriff mehr hat, da ist MS sehr restriktiv, aber sonst vermeide ich wo ich es kann meine Nummer anzugeben! Wer die hat, ist doch schon fast im System! Der Staat sowieso!
Chattermark() schrieb:
Was die wenigstens wieder mitbekommen werden.
Da Android und Co. eh gehackt werden können und es gravierende Sicherheitslücken gibt die bei vielen alten Versionen nicht mehr gepatcht werden ist das eh so eine Sache mit "Sicherheit" per Handy. Im Zweifel erreicht man das Gegenteil. Den meisten Leuten ist das doch alles gar nicht bewusst.
Fred_VIE
Lt. Commander
- Registriert
- Sep. 2006
- Beiträge
- 1.358
Nur wenns ohne Roaming (also im Wifi) geht.
Weil wenn man dann ausserhalb des Landes unterwegs ist könnens gleich Roaminggebühren abzocken. Das hatte ich schon mal, brauch ich nicht mehr. Da konnte ich ausserhalb des Landes bei erzwungenem Mobilfunkwechsel (einer hat den Anderen gekauft als ich nicht da war) vom Ausland nicht auf meine Einstellungen zugreifen ausser mit Roaming. Die Wappler haben natürlich meine Einstellungen vom alten Provider nicht übernommen und mir alle Anrufe und SMS weitergeleitet um mir ja Kosten zu verursachen.
Hab die Einstellungen dann von meinen Bruder ändern lassen müssen, weil ich mich nicht abzocken lasse.
Weil wenn man dann ausserhalb des Landes unterwegs ist könnens gleich Roaminggebühren abzocken. Das hatte ich schon mal, brauch ich nicht mehr. Da konnte ich ausserhalb des Landes bei erzwungenem Mobilfunkwechsel (einer hat den Anderen gekauft als ich nicht da war) vom Ausland nicht auf meine Einstellungen zugreifen ausser mit Roaming. Die Wappler haben natürlich meine Einstellungen vom alten Provider nicht übernommen und mir alle Anrufe und SMS weitergeleitet um mir ja Kosten zu verursachen.
Hab die Einstellungen dann von meinen Bruder ändern lassen müssen, weil ich mich nicht abzocken lasse.
Palomino schrieb:
Die Nummer zu kennen hilft ja nichts, wenn man das Empfangs-Gerät (inkl. SIM) nicht hat.
Hier sehe ich aber ein größeres Problem beim Social Engineering durch Hacker, die sich dann einfach vom Mobilfunkanbieter eine Ersatz-SIM des Opfers an ihre Adresse schicken lassen, indem sie der Person im Callcenter vorspielen sie seinen die legitime Person, die ihre SIM verloren hätte.
So wurden ja gerade in den USA in der Vergangenheit diverse Leute und Internetpersönlichkeiten (Boogie, Linus Tech Tips) gehackt, die zB SMS-2FA auf ihren Accounts aktiviert hatten.
ekin06
Captain
- Registriert
- Nov. 2007
- Beiträge
- 3.465
Wie soll das auf dem Land funktionieren, wo man zum telefonieren schon auf den nächsten Mount Everest fahren muss? Oder Leute die im Keller sitzen / wohnen und ohne Empfang... müssen dann zum Einloggen ne Runde joggen. Und wenn sie wiederkommen und voller Vorfreude den Code eingeben wollen "Tut uns Leid ihre Sitzung ist leider abgelaufen". 
Schwachsinn.
Schwachsinn.
Turrican101
Vice Admiral
- Registriert
- Aug. 2007
- Beiträge
- 6.270
Yuuri schrieb:
Hab mit der Steamapp noch nie Probleme gehabt. Funktioniert auch besser als mit Email, wo ich dagegen dauernd das Problem hatte, dass mir ne Bestätigungsmail geschickt wurde, ich aber keine bekommen habe. Oder erst 30min später.
Yuuri
Fleet Admiral
- Registriert
- Okt. 2010
- Beiträge
- 13.923
@Turrican101 Such mal nach steam mobile authenticator keeps logging out. Vielleicht haben se das mittlerweile gefixt, aber nach dem zweiten Mal bin ich bei der eMail Authentifizierung geblieben. Der ihre komische App funktioniert nicht und ich bekomm ständig Probleme mit Trade Bans und ähnlichem Quatsch, weil mein Authenticator erst "frisch" verbunden wurde (glaube drei Wochen oder so ist da die Schwelle)... Danke für nichts.
Die Frage ist eher, warum Valve immer noch so hinterweltlerisch ist und uns keine regulären 2FA Codes generieren lässt, die mit herkömmlichen Apps funktionieren. Sind doch sonst so offen für alles, aber bei ihrer Platform verschließen sie sich permanent und für Änderungen brauch es entsprechend lange der Valve Time.
Die Frage ist eher, warum Valve immer noch so hinterweltlerisch ist und uns keine regulären 2FA Codes generieren lässt, die mit herkömmlichen Apps funktionieren. Sind doch sonst so offen für alles, aber bei ihrer Platform verschließen sie sich permanent und für Änderungen brauch es entsprechend lange der Valve Time.
Palomino
Captain
- Registriert
- März 2005
- Beiträge
- 3.360
DerDoJo schrieb:
Es macht dich aber noch abhängiger von deinem Handy und ist eine Abkehr davon, dass es sicherer ist unterschiedliche Passwörter zu haben, wenn möglich zusätzlich auch noch Benutzernamen. Und vor allem dafür zu sorgen, dass niemand außer man selbst diese Daten kennt.
Die Schwachstelle sehe ich darin, dass es immer noch sehr einfach ist ein Handy zu hacken und die SMS einfach abzufangen. Damit hat der Angreifer ungehindert Zugang zu allen Aktivitäten, er muss sich nicht einmal mehr die Mühe machen, Zugangsdaten auszuspähen.
Nein, das ist es nicht. TAN-Listen sind verboten. Ersteres erzählen sie Dir nur, um Dir irgendwelche Apps aufschwätzen zu können.ripa schrieb:
Ergänzung ()
Das wäre zumindest eine weit bessere Verwendung dieser HR als vorher.Augen1337 schrieb:
Sun_set_1
Captain
- Registriert
- Sep. 2008
- Beiträge
- 3.974
knoxxi schrieb:
DeusoftheWired schrieb:
Mit der Begründung, brauch ich weder das Eine - noch das Andere benutzen. Der Intercept durch abfangen der SMS, oder halt per Keylogger bei Keypass, ist doch letztlich gleich unsicher/ einfach. Bei Keypass hole ich mir die Teile aus der Zwischenablage, bei den SMS durch einfaches abfangen/mithören der SMS, IMSI Catcher, whatever.
Aber beide Szenarien setzen voraus, das mich jemand gezielt und aufwendig attackiert.
Für 99% der Bevölkerung sind trotzdem beide Methoden, 2FA(SMS) oder auch KeyPass, als sicher einzustufen.
@DeusoftheWired
Zwei Gründe,
1. Bequemlichkeit. Da mein Handy meist in Sichtreichweite liegt, brauch ich den Code nur ablesen. Und im Browser vorher zwei mal mehr auf “Weiter“ tippen. Bei Keypass immer erst starten, MasterPW eingeben, copy/paste etc.
2. Halte ich 2FA per SMS immer noch für sicherer als Keypass. Der Aufwand ne Funkzelle bzw. Empfänger zu emulieren und auch immer direkt in örtlicher Nähe zum Original-Handy zu sein, halte ich für (deutlich) größer.
(Viele vergessen, dass ich für eine erfolgreiche MITM bei 2FA per SMS eigentlich sicherstellen muss, dass ich das richtige Handy vorher auch aus dem echten Netz kicke. Es liegt ja eine Race-Condition für die Eingabe des Code vor)
Zuletzt bearbeitet:
DeusoftheWired
Fleet Admiral
- Registriert
- Juni 2009
- Beiträge
- 13.798
@Sun_set_1
1. „Given a choice between dancing pigs and security, users will pick dancing pigs every time.“ – Klick
2. Eine Anleitung zum Bau eines IMSI-Catchers für 20 $ findet sich heute sogar bei vice. So kann das jedes Script-Kiddie durchziehen und es ist nicht mehr auf die Leute mit dem Wissen zur Technik und Mobilfunktechnologie aus der Branche beschränkt. Von einer massenhaft aus der Ferne ausnutzbaren Schwachstelle in Keypass unterscheidet sich das u. a. dadurch, daß dich jemand zielgerichtet vor Ort verfolgen und auf dein Anfordern eines Codes via SMS warten muß. Ich halte beide für gleich unwahrscheinlich/schwierig.
1. „Given a choice between dancing pigs and security, users will pick dancing pigs every time.“ – Klick
2. Eine Anleitung zum Bau eines IMSI-Catchers für 20 $ findet sich heute sogar bei vice. So kann das jedes Script-Kiddie durchziehen und es ist nicht mehr auf die Leute mit dem Wissen zur Technik und Mobilfunktechnologie aus der Branche beschränkt. Von einer massenhaft aus der Ferne ausnutzbaren Schwachstelle in Keypass unterscheidet sich das u. a. dadurch, daß dich jemand zielgerichtet vor Ort verfolgen und auf dein Anfordern eines Codes via SMS warten muß. Ich halte beide für gleich unwahrscheinlich/schwierig.
Ich würde gern meinen digitalen Personalausweis an das Lesegerät halten, vielleicht noch eine kurze PIN eintippen, falls er mal gestohlen wird, und gut ist. Leider wird so was wohl nie mehr kommen. Schade eigentlich. Ich hatte mich vor einigen Jahren auf der Cebit beim zuständigen Bundesamt mal über die Zukunft des digitalen Personalausweises erkundigt, und da hieß es noch, dass die Unterstützung leider nicht erfolgreich war wie erhofft, man aber im Hintergrund weiter daran arbeitet, es noch etwas dauern kann, man aber optimistisch sei, dass es in wenigen Jahren einen Durchbruch gibt. Viele Jahre ist es her, und man hörte nie wieder etwas davon.
