2FA Möglichkeiten

Ich benutze wo es geht den YubiKey mit Passkey oder TOTP.

Hauro schrieb:
nachdem PayPal mir das Konto gesperrt hat, da sich jemand angemeldet haben soll - wie ist bis heute ungeklärt.
Kann eigentlich nur durch stehlen des Authentifizierungstoken passiert sein. Damit ist dann kein Passwort und 2FA mehr für die Anmeldung notwendig. Dieser Token läuft bei den meisten Anbieter erst ab, wenn man sich einmal aus- und wieder einloggt.
 
Zuletzt bearbeitet:
Helge01 schrieb:
Kann eigentlich nur durch stehlen des Authentifizierungstoken passiert sein.

Korrekt

PayPal verneint dies zwar aber alle KIs, mit denen ich den Vorgang nachgestellt habe, beweisen, dass dies die einzige Option ist.

Das üble ist, dass es mit schließen des Browsers und löschen des Caches weg ist, da es live passiert.

PS:
Hier hat sich gezeigt wie wichtig 2FA ist.
 
Ich logg mich in Bankkonten, Zahlungsdienste o. Shoppingseiten, wo mein Bankkonto verknüpft ist, grundsätzlich im Privaten Modus ein. Das mach ich nicht nur aus Sicherheitsgründen so, auch der Datenschutz ist mir nicht unwichtig (Amazon freut sich, wenn man ständig eingeloggt bleibt und man lauter Seiten mit Amazon-Links besucht).
 
Passkeys wo möglich, Aegis auf Android für 2FA, physikalische Keys für bestimmte Sonderfälle (primär Firma).
 
qiller schrieb:
Ich logg mich in Bankkonten, Zahlungsdienste o. Shoppingseiten, wo mein Bankkonto verknüpft ist, grundsätzlich im Privaten Modus ein.
Ist grundsätzlich schon richtig nur wird dadurch der Authentifizierungstoken nicht ungültig, er wird nur im Browser beim schließen gelöscht. Beim Anbieter ist er weiterhin gültig bis du dich erneut anmeldest (Dienst erkennt das der Token nicht mehr im Browser vorhanden ist und zwingt dich zur Anmeldung). Wird der Authentifizierungstoken geklaut, kann man sich in dieser Zeit weiterhin damit anmelden. Nur ein ausloggen hilft dagegen.
 
Zuletzt bearbeitet:
Ich hab nicht gesagt, dass ich mich nicht abmelde :>. Es geht mir mehr um die Browser-/Sitzungstrennung. Man kann natürlich auch unterschiedliche Browser, Profile oder Container-Addons nutzen. Aber mir reicht das mit dem privaten Modus hin. Kann natürlich jeder anders händeln.
 
  • Gefällt mir
Reaktionen: Helge01
Helge01 schrieb:
Ist grundsätzlich schon richtig nur wird dadurch der Authentifizierungstoken nicht ungültig, er wird nur im Browser beim schließen gelöscht. Beim Anbieter ist er weiterhin gültig bis du dich erneut anmeldest

owasp ist doch auch nur so eine unverbindliche Empfehlungsliste was man machen könnte, oder? Zumindest hat man den Eindruck wenn man das gegen verschiedene Dienste einfach mal testet.
 
Ich nutze primär Keepass/Keepasium. Darin habe ich meine Logindaten, SSH Keys sowie meine TOTP.
Die entsprechende Datenbank wird mehrfach an unterschiedlichen Orten automatisch gesichert.

In der Firma haben wir auch Hardware TOTP Token im Einsatz (VPN im HO) - da ging es aber primär darum die Diskussion einer "Firmenapp" auf dem privaten Handy zu haben, zu entkräften, die es in der Vergangenheit schon gab.

Beschwert wird sich trotzdem, nun über die Hardware, was ja klar war. :D
 
TossExecutor schrieb:
wie funktioniert das mit den Keys? muss man die an eine Handy halten? oder drauf drücken? oder in ein Anschluss stecken?
Hab selber nen Yubikey 5 Nano. Der steckt immer im USB-Port an der Vorderseite vom Rechnergehäuse. Auf dem Yubikey hab ich nen Passkey fürs Forum abgelegt. Wenn du dich einloggen willst, wirste halt aufgefordert den Yubikey anzutippen. Wenn ich die Möglichkeit habe, Passkey zu nutzen, dann tu ich das auch und leg eins auf dem Yubikey ab. Aber ist schon wahr, viele Seiten unterstützen das noch nicht. Kannste z.B. machen für Amazon, Paypal, Google, Yahoo etc
Fürs Smartphone mach ich dasselbe mit nem Yubikey 5 NFC
Wegen 2FA... man wird auch aufgefordert, einen PIN einzutippen.
Aber hier im Forum bin ich eigentlich immer eingologgt. Hab halt nen Cookie dafür setzen lassen, der nicht gelöscht wird. Mach ich aber meistens nicht so. Bei anderen Seiten muss immer noch der PIN eingetippt werden.
 
Zuletzt bearbeitet:
+1 für Ente
 
Vielen Dank für die ganzen Vorschläge; habe überlegt mit ein Raspberry Pi 4 aufzusetzen und mit Bitwarden mein Passwort-Datenbank zu hosten für alle meine Geräte. Das hat jetzt weniger mit 2FA zu tun, aber ich habe eh schon länger darüber nachgedacht mit Selfhosting anzufangen. Könnt ihr das empfehlen?
 
Ja das läuft gut. Sowohl für MFA auch als Passwörter. Backup nicht vergessen :-)
 
  • Gefällt mir
Reaktionen: Smily
TossExecutor schrieb:
Das hat jetzt weniger mit 2FA zu tun, aber ich habe eh schon länger darüber nachgedacht mit Selfhosting anzufangen. Könnt ihr das empfehlen?

Die Zwei-Faktor-Authentifizierung und ein starkes Passwort ist gerade hier wichtig!

Der Raspberry Pi als Passwort-Server

Sie sollten für den Login unbedingt einen zweiten Faktor verlangen. Andernfalls könnte es Angreifern potenziell gelingen, sich mit Brute-Force-Angriffen Zugriff auf Ihre Passwortdatenbank zu verschaffen. Die nötigen Handgriffe nehmen Sie in den Einstellungen im Untermenü „Zwei-Faktor-Authentifizierung“ vor. Bitwarden_RS bietet Zwei-Faktor-Authentifizierung mittels 2FA-Apps wie Authy, Duo oder Microsoft Authenticator, via E-Mail und mit FIDO-kompatiblen Hardware-Sicherheitsschlüsseln an.

PS:
Das Sicherheitsmodell als Ganzes muss stimmen.
 
@Hauro Erläutere doch deinen Beitrag bitte etwas mehr. Zumindest mir fehlt der da der Kontext / Zusammenhang. Angreifer, Brute Force?
 
JumpingCat schrieb:
Angreifer, Brute Force?

Wenn die Datenbank aus dem Internet erreichbar ist, ist ein Brute-Force-Angriff möglich.

Bei einem Brute-Force-Angriff werden Millionen mögliche Kombinationen in Sekundenschnelle durch getestet. Dabei wird automatisiert und systematisch jede erdenkliche Zeichenkombination ausprobiert, um Passwörter, PINs oder Verschlüsselungen zu knacken.

Schutzmaßnahmen gegen Brute-Force-Angriffe - Antwort der KI
  • Sichere Passwörter: Je länger und komplexer ein Passwort ist, desto größer ist der Rechenaufwand für die Angreifer.
  • Zwei-Faktor-Authentifizierung (2FA): Selbst wenn ein Angreifer das Passwort durch rohe Gewalt erraten sollte, hat er ohne den zweiten Faktor (wie einen Code auf dem Smartphone) keinen Zugriff.
  • Kontosperren: Nach einer bestimmten Anzahl von Fehlversuchen (z. B. drei oder fünf) wird die Anmeldung für eine gewisse Zeit blockiert oder das Konto temporär gesperrt.
PS:
Daher ist die Zwei-Faktor-Authentifizierung wichtig. Selbst wenn das Passwort bekannt ist, ist ohne den zweiten Faktor kein Zugriff möglich.
 
Zuletzt bearbeitet: (Ergänzung)
Hauro schrieb:
Wenn die Datenbank aus dem Internet erreichbar ist,

Wieso sollte die das sein? Es geht um Self Hosting.

Hauro schrieb:
Bei einem Brute-Force-Angriff werden Millionen mögliche Kombinationen in Sekundenschnelle durch getestet

Das hält weder ein Raspberry Pi noch die Internetleitung im Home Hosting aus.

PS: Man stellt schon seit einigen Jahren keine Dienste im Internet bereit. Wofür hat jeder 08/15-Router, Fritzbox, etc Wireguard per default VPN dabei?
 
JumpingCat schrieb:
Es geht um Self Hosting.
JumpingCat schrieb:
Man stellt schon seit einigen Jahren keine Dienste im Internet bereit.

Dann passt es.

JumpingCat schrieb:
Das hält weder ein Raspberry Pi noch die Internetleitung im Home Hosting aus.

Wenn das Passwort nicht öfter geändert wird, kann der Angriff auch über Tage und Wochen gehen.

TossExecutor schrieb:
Könnt ihr das empfehlen?

Ja, aber nur lokal oder abgesichert.
 
Hauro schrieb:
Ja, aber nur lokal oder abgesichert.
nur lokal ist der pi nutzlos für mich. dann kann ich es auch wieder zurückschicken bzw. wegschmeißen. der sinn hinter pw hosting ist ja mit allen geräten die passwörter synchronisiert zu haben (natürlich mit 2fa). denke mal es wird sich schon eine lösung finden lassen dass es sicher genug ist
 
Zuletzt bearbeitet:
Zurück
Oben