Dauerhafte Anmeldung bei einem Konto und 2FA/vertrauenswürdiges Gerät

[Jörg111]

Ich hätte da mal eine grundsätzliche Frage und erkläre es so, wie ich es verstanden habe und sagt mir bitte ob ich richtig liege.

Bringt 2FA auch was bei dauerhafter Anmeldung, also wenn ich bei einem Konto auf einem Gerät dauerhaft angemeldet bin wie es zb. bei Google ist.

Ich denke mal ja, weil diese dauerhafte Anmeldung ja nur für mein Gerät gilt.
Wenn sich ein Angreifer auf seinem Gerät an meinem Konto versucht anzumelden geht das ohne mein Passwort nicht und zusätzlich braucht er die 2FA.
Weil dann der Anbieter zb. Google merkt, dass die Anmeldung von einem fremden/neuen Gerät erfolgt und die 2FA anfordert. Also ist es egal ob ich auf MEINEM Gerät dauerhaft angemeldet bin. Weil er auf seinem Gerät nicht in meinem Konto dauerhaft angemeldet ist bzw. gar nicht angemeldet ist. Auch wenn MEIN Gerät als vertrauenswürdig markiert ist, ist es das vom Angreifer ja nicht.

So würde ich es verstehen.

Dauerhafte Anmeldung bedeutet ja, dass man sich nicht mehr anmelden muss auf seinem eigenen Gerät. Es wird ein Sitzungs Token nur auf meinem Gerät gespeichert aber das Token ist natürlich nicht auf dem Gerät eines Angreifers. Also ist nur mein Gerät dauerhaft angemeldet aber nicht das Gerät eines Angreifers denn der muss weiterhin mein Passwort wissen wenn er auf seinem Gerät sich in meinem Konto einloggen will. Also ist dauerhafte Anmeldung kein Sicherheitsrisiko. Das gilt auch wenn ich kein 2FA nutze.
Kurz gesagt: Dauerhafte Anmeldung gilt nur für das Gerät wo diese Funktion angeklickt wurde=gerätebezogen!


Ist das so korrekt?

 

[Drewkev]

Kurz gesagt: Dauerhafte Anmeldung gilt nur für das Gerät wo diese Funktion angeklickt wurde=gerätebezogen!

Ja, wieso sollte es anders sein? Wobei "dauerhaft" nicht überall wirklich dauerhaft ist, aber das ist ein anderer Punkt.

 

[Jörg111]

Wobei "dauerhaft" nicht überall wirklich dauerhaft ist, aber das ist ein anderer Punkt.

Wie meinst du das? Wahrscheinlich meinst du, dass dieser Sitzungstoken manchmal nur für bestimmte Zeit gilt oder?

 

[Drewkev]

Ja.

 

[cyberpirate]

Gibt viele Seiten wo man sich ab und an neu einloggen und verifizieren muss.

 

[Jörg111]

Danke aber dann hab ich das Prinzip richtig verstanden?

Ich frage weil ein Bekannter von mir mich verwirrt hat und er meinte folgendes:

Je nach Anbieter wird es wohl so sein, wenn du Dauerhaft angemeldet bist, kommt ja zuvor in der Regel die Abfrage, ob das Gerät vertrauenswürdig ist.
Da wird es dann halt nicht abgefragt.
Nach einiger Zeit wird man bei einigen Anbieter automatisch abgemeldet, um sich neu zu identifizieren.
Bei Apple ist das gefühlt alle 30 Tage.

Mir ist nämlich neu, dass bei dauerhafter Anmeldung zuvor die Abfrage nach vertrauenswürdigem Gerät kommt, denn das sind doch unterschiedliche Sachen oder? Denn vertrauenswürdiges Gerät bezieht sich doch nur auf 2FA.
Der zweite Teil ab "Nach einiger Zeit..." ist mir klar.

Ergänzung (8. Oktober 2025)

Gibt viele Seiten wo man sich ab und an neu einloggen und verifizieren muss.

Ist mir klar, dass dauerhaft nicht gleich dauerhaft ist aber trotzdem danke :-)

 

[Drewkev]

Mir ist nämlich neu, dass bei dauerhafter Anmeldung zuvor die Abfrage nach vertrauenswürdigem Gerät kommt, denn das sind doch unterschiedliche Sachen oder?

Du musst natürlich das Gerät (das muss nicht unbedingt gleichzeitig der zweite Faktor sein!) erstmal als vertrauenswürdig definieren damit du "dauerhaft" angemeldet und das ergibt auch Sinn.

Denn vertrauenswürdiges Gerät bezieht sich doch nur auf 2FA.

Nein, eben nicht. Ich kann meinen PC als vertrauenswürdiges Gerät definieren und damit dort dauerhaft angemeldet bleiben obwohl der PC gar nicht mein zweiter Faktor ist. Und nein, er wird damit auch nicht automatisch zum zweiten Faktor.

 

[Jörg111]

Du musst natürlich das Gerät (das muss nicht unbedingt gleichzeitig der zweite Faktor sein!) erstmal als vertrauenswürdig definieren damit du "dauerhaft" angemeldet und das ergibt auch Sinn.

Ich kenne die Funktion beim Login "dauerhaft angemeldet bleiben". Da kann man ein Häkchen setzen.
Dann ist das Gerät natürlich vertrauenswürdig, das hat aber doch mit 2FA nichts zu tun.
Das heisst doch nur, dass man auf diesem Gerät keine Zugangsdaten mehr eingeben muss weil man dauerhaft angemeldet bleibt.
Aber bei 2FA gibt es auch eine Option die fragt ob man das Gerät als vertrauenswürdig markieren will und dann heisst dass, dass hierfür keine 2FA mehr abgefragt wird.

Ich kann sonst eigentlich immer dauerhaft angemeldet bleiben aktivieren und da wird nicht noch zusätzlich abgefragt ob dieses Gerät vertrauenswürdig ist. Denn es ist ja schon vertrauenswürdig für die dauerhafte Anmeldung und deshalb wird ein Token auf dem Gerät gespeichert. Für die 2FA gibt es noch ein Kästchen "vertrauenswürdig markieren" oder "Gerät merken".

Ich hab das aber nie im Zusammenhang gesehen.

Ergänzung (8. Oktober 2025)

Nein, eben nicht.

Wie gesagt, vertrauenswürdiges Gerät heisst die Abfrage meist bei 2FA also es wird gefragt beim Login ob das Gerät als vertrauenswürdig markiert werden soll oder es kann auch "Gerät merken" heissen.

Aber bei dauerhaft angemeldet bleiben ist das Gerät auch vertrauenswürdig wenn man dauerhaft angemeldet bleiben angeklickt hat. Ist aber irgendwie noch anders als bei 2FA. Da gilt das auch nur für den zweiten Faktor.

 

[Drewkev]

Ich hab das aber nie im Zusammenhang gesehen.

Doch tust du, warum auch immer.

"Vertrauenswürdiges Gerät" bzw. "angemeldet bleiben" hat überhaupt nichts mit 2FA zu tun. "Angemeldet bleiben" geht sowohl mit 2FA als auch ohne, je nach dem ob 2FA für die Anmeldung erforderlich ist.

 

[Jörg111]

So hab ich es verstanden:

Vertrauenswürdiges Gerät hat mit 2FA zu tun denn man muss das Gerät als vertrauenswürdig markieren damit man keinen zweiten Faktor braucht.
Angemeldet bleiben ist einfach nur eine Komfortfunktion um die Passworteingabe auf dem jeweiligen Gerät zu überspringen und das hat nichts mit 2FA zu tun, das stimmt. Und das geht auch mit und ohne 2FA, das stimmt auch. Aber das Gerät ist dann ja auch vertrauenswürdig denn sonst hätte man nicht die Option gewählt das Passwort zu überspringen.



Ich glaube die Begriffe sind durcheinandergeraten denn "vertrauenswürdiges Gerät" (mit 2FA) und angemeldet bleiben (mit und ohne 2FA) markiert ja in beiden Fällen das Gerät als vertrauenswürdig. Einmal um die 2FA zu überspringen auf dem Gerät und einmal um das Passwort zu überspringen auf dem Gerät.
Ich meinte mit "angemeldet bleiben", dass das Gerät dann ja sozusagen auch als vertrauenswürdig markiert ist. Aber der Begriff vertrauenswürdig stammt ja eher von der 2FA denn um die zu überspringen muss man das Gerät als vertrauenswürdig markieren beim Login.

 

[stage]

Also zu deiner Ursprungsfrage. Eine dauerhafte Anmeldung ist natürlich ein gewisses Sicherheitsrisiko.
Es gibt genügend Fälle wo Steam Accounts trotz aktivierten Steam Guard gekapert worden sind und die User sich keinen Reim darauf machen konnten.

Der Angreifer braucht nur an den Session Cookie zu kommen und ist im Account. Der brauchte da weder ein Passwort noch die dazugehöre 2FA.
Das kann durch jeden beliebige Malware passieren, die gezielt solche Information weiter leitet.

Kann natürlich sein das Steam hier besonders lasch bei der Überprüfung des Session Cookies ist bzw. war. Man könnte ja ggf. zusätzlich prüfen aus welchen Land die Anmeldung passiert und wenn diese nicht der letzten Anmeldung entspricht, das die Session für ungültig erklärt wird. Aber das wurde in diesem kontreten Fällen anscheinend nicht gemacht und schützt da auch nur in solch speziellen Fällen.

Ich persönlich würde bei wichtigen Accounts (Email) und bei solchen wo es um Geld geht niemals aus Bequemlichkeit die Option wählen, das dem eigenen Gerät dann immer vertraut wird. Da ich halt nicht weiß wie genau der Anbieter des Dienstes die Session Cookies gegen Diebstahl absichert.

 

[Jörg111]

Aber die Option "dauerhaft angemeldet bleiben" wie es ja bei Google ist, da ist man ja immer online angemeldet sowohl auf dem PC in Google Chrome und im Google Konto als auch auf dem Smartphone in Chrome und auch im Google Konto... also diese Option gilt doch ausschliesslich für das jeweilige Gerät wo man anklickte "dauerhaft angemeldet bleiben".
Hätte nicht gedacht, dass das trotzdem ein Sicherheitsrisiko ist.

Und beim Smartphone ist man ja standardmässig immer angemeldet bei allen Apps. Ausser PayPal wo man sich immer einloggen muss was ja auch gut ist.
Also sollte man sich immer bei jeder App abmelden?


Aber normalerweise ist man dann nur auf dem eigenen Gerät dauerhaft angemeldet und ein evtl. Angreifer müsste auch meine Zugangsdaten haben um sich auf SEINEM Gerät anmelden zu können?

Gefährlich ist es doch nur wenn jemand mein Gerät stehlen würde denn dann wäre er ja ohne Zugangsdaten im Konto drinnen wegen der dauerhaften Anmeldung. Und auf fremden Geräten ist nix angemeldet.

So dachte ich jedenfalls immer.

Aber das mit der 2FA die soooo sicher sein soll nützte da auch nichts. Das verstehe ich nicht so ganz.

Wenn der 2FA Code auf das Smartphone gesendet wird wenn ich mich einloggen will auf meinem PC, dann braucht ein Angreifer doch mein Smartphone für den zweiten Faktor.
Aber mit dem Session Cookie (das ist der für die dauerhafte Anmeldung?), den er von meinem PC gestohlen haben könnte, damit hätte er dann auch von SEINEM Gerät Zugriff auf mein Konto ohne Zugangsdaten?

Man bekommt doch aber eine Mail wenn sich jemand von einem anderen/neuen Gerät anmeldet oder?
Und dann wird auch die 2FA angefordert.

Oder wird das mit dem Session Cookie umgangen?

Aber wie ist das ohne dauerhafte Anmeldung? Wenn dann der Session Cookie gestohlen wird, braucht ein Angreifer dann auch keine 2FA? Oder bezieht sich das nur auf die dauerhafte Anmeldung?

Und sind diese Session Cookies denn nicht verschlüsselt?

 

[SuperHeinz]

Vertrauenswürdiges Gerät hat mit 2FA zu tun denn man muss das Gerät als vertrauenswürdig markieren damit man keinen zweiten Faktor braucht.

Ich kenne das so: Man muss sich zuvor mit 2FA angemeldet haben und kann danach sein Gerät als vertrauenswürdig definieren (lassen). Unter Umständen muss man diese Prozedur in Intervallen wiederholen.

Ich habe allerdings auch schon erlebt, dass diese Option erst nach mehrmaligem Anmelden mit 2FA auf diesem Gerät angeboten wird.

Letztendlich ist das aber meine Entscheidung, ob ich mein Gerät als vertrauenswürdig einstufen lasse.

 

[Jörg111]

Ja natürlich muss man vorher 2FA aktivieren im Konto. Dann wird beim Login nachgefragt ob dieses Gerät vertrauenswürdig ist und wenn man es aktiviert, wird nicht mehr nach dem zweiten Faktor gefragt beim nächsten Login.

 

[stage]

Was passiert wenn du dich bei einer Seite anmeldest und wählst die Option "dauerhaft Vertrauen"

Der Browser setzt 2 Cookies.
1. Session Cookie für den login
2. TrustMeBro Cookie, der das Gerät als Vertrauenswürdig ausgibt

technisch ist es ein leichtes Beide zu stehlen, wenn der Angreifer Zugriff auf den Rechner hat oder mittels Malware einfach die entsprechenden Dateien übermittelt.

Sprich wenn der Angreifer beide Cookies dann hat, dann ist das für den Dienst zunächst keine neue Anmeldung. Für den entsprechend Dienst sieht das so aus als würdest du von deinem Gerät zu Hause die Seite besuchen.
Du bekommst da auch keine Email mit XYZ hat sich neu Angemeldet, weil wie gesagt für die Gegenseite sieht das so aus als würdest du von Zuhause dich anmelden.

Der Dienst kann das Ganze natürlich zusätzlich absichern, das man eine Art Fingerprint mit in den Session Cookie oder TrustME Cookie mit einbaut, so das der Server dann die Session für ungültig erklärt weil der Fingerprint nicht übereinstimmt. Ich könnte mir gut vorstellen das solche Konzerne wie Google das auch tun. Aber es gibt sicherlich auch Unternehmen wo das nicht der Fall ist.

Wenn dich das Ganze im Detail interessiert dann kannst das ja selbst leicht testen, in dem man sich mal in einer Virtuellen Maschine oder einem Zweit PC das Cookie File des Browsers überspielt und dann schaut bei welchen Diensten man sich neu anmelden muss.

 

[Jörg111]

Ja ich hatte nur die Aussage eines Bekannten nicht verstanden denn der sagte:


"Je nach Anbieter wird es wohl so sein, wenn du Dauerhaft angemeldet bist, kommt ja zuvor in der Regel die Abfrage, ob das Gerät vertrauenswürdig ist.
Da wird es dann halt nicht abgefragt."

Vielleicht meint er nicht vertrauenswürdig im Sinne von 2FA sondern vertrauenswürdig im Sinne von dauerhaft angemeldet bleiben und dort das Häkchen setzen denn das ist ja auch vertrauenswürdig aber bezogen auf dauerhaft angemeldet bleiben und ich hatte ihn so verstanden, dass er die 2FA Abfrage meinte also ob das Gerät vertrauenswürdig ist. Aber er meinte wohl die Abfrage "dauerhaft angemeldet bleiben".

Ich kenne den Begriff vertrauenswürdiges Gerät nur im Zusammenhang mit 2FA

 

[Jörg111]

Und hat jemand dieselbe Vermutung, daß es an den vermischten Begriffen liegt?
Daß ich dachte, er meinte mit Abfrage, ob das Gerät vertrauenswürdig ist, tatsächlich die Abfrage ob das Gerät vertrauenswürdig ist was ja meist bei 2FA so ist. Aber tatsächlich meinte er wohl, dass die Abfrage "dauerhaft angemeldet bleiben" vorher kommt. Denn damit ist das Gerät ja auch vertrauenswürdig. Jedenfalls dachte ich, er meint 2FA, was ja mit dauerhaft angemeldet nichts zu tun hat.

 

[Jörg111]

Was passiert wenn du dich bei einer Seite anmeldest und wählst die Option "dauerhaft Vertrauen"

Der Browser setzt 2 Cookies.
1. Session Cookie für den login
2. TrustMeBro Cookie, der das Gerät als Vertrauenswürdig ausgibt

Da hab ich was anderes gehört:

Es ist kein Cookie, sondern das Gerät und der verwendete Browser werden per Hardware erkannt. Damit kann Jeder, der auch nur temporär Zugriff darauf hat, sich bei deinen Diensten einloggen.

Oder ist es vielleicht so, dass es je nach Anbieter unterschiedlich ist, also dass einige Anbieter es durch Cookies/Token steuern und andere durch Geräte/Browser-Erkennung?

Oder man nimmt gleich Passkeys die angeblich nicht geklaut werden können vom PC.