Backupcode verwendet, weil 2FA zu lange gedauert hat

Donald Duck

Lieutenant
Registriert
Jan. 2022
Beiträge
855
Email:

"Hallo Vista64,

du hast dich im ComputerBase Forum (https://www.computerbase.de/forum/) angemeldet und eine Anmeldung in zwei Schritten durch einen Backup-Code abgeschlossen. Ein Backup-Code sollte nur dann verwendet werden, wenn kein Zugriff auf eine andere Methode der Anmeldung möglich ist.

Sofern du diese Anmeldung nicht initiiert hast, solltest du dein Passwort so schnell wie möglich ändern."


Es hat 8 Minuten gedauert, bis ich mein Zugangscode für 2FA hatte. Um ca. 11:05 habe ich mich angemeldet, um 11:13 ist der Code eingetrudelt. Da habe ich einen Backupcode verwendet.

Jetzt ist die Frage, wer hat das verzögert? CB oder die Telekom? Email läuft über IMAP. Es ist schon öfter passiert, aber nicht so lange.
Ich frage auch deshalb nach, um irgendwelche möglichen Konsequenzen (Sperre wegen Missbrauch) zu vermeiden, wenn ich das öfter in Anspruch nehmen muss. Dann schalte ich 2FA lieber wieder aus...
 
Ich würde blind auf die Telekom tippen. Das genaue Versanddatum der Mail kann dir @Steffen mitteilen, würde mich aber wundern wenn das mehr als ein paar Sekunden gedauert hätte.

Generell empfehle ich persönllich 2FA mit einem TOTP Authenticator zu nutzen, anstatt sich eine Email schicken zu lassen.
 
  • Gefällt mir
Reaktionen: kim88
Ich tippe ja auch auf die Telekom.
Könnte ich machen, aber mein Smartphone ist fast immer aus und wird nur für bestimmte Zwecke verwendet.
Ist die Anmeldung per E-Mail sicherer als wenn ich kein 2FA verwende?

Weil du nicht drauf eingegangen bist, nehme ich an, man kann die Backupcodes beliebig verwenden und sich bei Bedarf neue generieren?
 
Jede 2FA Authentifizierung ist wesentlich sicherer als keine 2FA zu haben.
Mal abgesehen von klassischen No- Gos wie "Selbes Passwort für Email und CB (und noch schlimmer: Email selbst hat keine 2FA eingerichtet)".

Wir sperren nicht, weil du Backup Codes nutzt. Tief im System ist aber wie gesagt nur @Steffen, weshalb ich ihn hiermit beschwöre um dir eine verbindlichere Antwort auf diese Frage zu geben.

Simsalabim, Alakazam, Flieg los Kartoffelbrei...oder so :D
 
  • Gefällt mir
Reaktionen: Donald Duck und niteaholic
Schau dir mal den Quelltext der E-Mail an, die bei dir angekommen ist. Jeder Mail-Server, der die E-Mail weitergereicht hat, fügt einen "Received"-Header mit Uhrzeit hinzu. Anhand der Received-Header kannst du also herausfinden, welcher Mail-Server getrödelt hat. Du kannst mir den Quelltext auch gerne per PN schicken oder mir die E-Mail an sw@... (siehe Impressum) weiterleiten, dann schaue ich mal rein. (Hier im öffentlichen Forum würde ich den Quelltext lieber nicht posten, denn das würde zumindest deine E-Mail-Adresse leaken.)
 
Danke für die Kopie der Mail-Header!

Den Headern zu Folge haben wir die Mail um 11:13 Uhr an Amazon SES übergeben und Amazon SES hat die E-Mail dann leider erst um 11:22 Uhr an deinen Mail-Provider weitergereicht.

(Du schreibst etwas von Anmeldeversuch um 11:05 Uhr und Zustellung der E-Mail um 11:13 Uhr, hast du dich da vielleicht vertan? Laut Mail-Headern kann die E-Mail nicht vor 11:22 Uhr bei dir angekommen sein.)

Was der Grund dafür war, dass Amazon SES die E-Mail erst verzögert an T-Online weitergereicht hat, kann ich leider nicht sagen. Das Problem könnte sowohl bei Amazon SES als auch bei deinem Mail-Provider liegen. Ich glaube an die entsprechenden Logs kommen wir nicht ran.

Wenn es weitere Verzögerung gibt, dann melde dich bitte nochmal.
 
  • Gefällt mir
Reaktionen: Donald Duck
Danke, dass du dich der Sache annimmst.
Ich habe in die Ereignisanzeige gesehen, wann ich den Computer hochgefahren habe und nahm an, dass ich mich kurz danach, wie immer, eingeloggt hatte. Vielleicht lässt mein Gedächtnis auch langsam nach. :D
Aber 5 Minuten waren bestimmt vergangen.

Heute ist wieder eine Verzögerung. Hatte eben ein paar Minuten gewartet und der Log-In-Code ist bis jetzt nicht angekommen. Anfangs hatte das astrein funktioniert. Aber ich bin wohl doch der einzige, der dieses 2FA-Verfahren auf Oldscool-Basis verwendet und es dann nicht richtig funktioniert.

Aber ich möchte halt nicht das Smartphone nehmen* und für jeden Dienst eine App installieren muss, nur wenn es sein MUSS. Besser wäre es für mich, wenn ich mich überall mit so was wie dem ReinerSCT-Authenticator ausweisen kann. Ich schätze, da bin ich nicht der einzige, der lieber ein solches Gerät verwenden würde...

*Das Smartphone habe ich eigentlich nur durch Zufall habe und ansonsten eigentlich gar keins. Und es klingt heute schon fast seltsam, aber ich möchte mich nicht von diesem Teil abhängig machen, besonders, wenn es dann mal keine Updates mehr bekommt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Donald Duck
Na. Das wusste ich nicht, bz.- habe es falsch verstanden. Dann bestelle ich mir ja mal einen. Vielleicht lag ich damit ja falsch, dass jeder Shop und Dienst seine eigene Suppe kocht... ;)

BTW: Mit einem solchen Zusatzweg kann dann ja eigentlich das PW kürzer ausfallen? Diesen Weg mit einem Extragerät kann man nicht überwinden, den Weg mit der E-Mail eventuell schon. Oder liege ich da wieder falsch?

Edit: Bestellt. Thema ist hiermit im Prinzip erledigt.
 
Zuletzt bearbeitet:
Man kann sich solche "Hardware-Tokens" als in Hardware gegossene App vorstellen. Machen letztendlich genau dasselbe, sind vermutlich weniger flexibel und hat man nicht immer dabei, aber sind dafür offline und können somit soweit ich weiß praktisch nicht attackiert werden. Nutze ich selbst nicht, aber ich gehe davon aus, dass das verlinkte Hardware-Token auch hier auf ComputerBase funktioniert, denn die Forumsoftware implementiert den TOTP-Standard und den beherrscht das Gerät ja laut Hersteller.

Vista64 schrieb:
Mit einem solchen Zusatzweg kann dann ja eigentlich das PW kürzer ausfallen? Diesen Weg mit einem Extragerät kann man nicht überwinden, den Weg mit der E-Mail eventuell schon. Oder liege ich da wieder falsch?
Ich glaube der einzige realistische Angriff wäre, dass dir jemand das Gerät klaut oder zumindest vorübergehend Zugriff darauf hat (aka Partygast ^^). Das Passwort wird bei aktiver 2FA etwas weniger wichtig, dem würde ich glaube ich zustimmen, aber idealerweise nutzt man ja ohnehin einen Passwortmanager und dann ist es egal, ob das Passwort 8 oder 16 Zeichen hat.
 
  • Gefällt mir
Reaktionen: Donald Duck
Ich nutze auch keinen PW-Manager, sondern tippe es aus einer Liste ein. Es wäre dann nur etwas weniger Tipparbeit nötig.
Genau dass die Geräte keinen Angriffspunkt bieten, macht sie attraktiv und sie senden keine Daten irgendwo hin. Dass hier was geklaut wird, ist so gut wie ausgeschlossen. Ins Arbeitszimmer kommt einer rein.
Aber jeder soll das verwenden, womit er zurecht kommt.
Mal gucken, ob das Gerät, das hoffentlich wie angekündigt in 3 Tagen hier eintrudelt, das hält was ich mir verspreche...

Diesem "Fall" brauchst du jedenfalls nicht weiter verfolgen. :)
 
  • Gefällt mir
Reaktionen: Steffen
Zurück
Oben