Erhöht 2FA wirklich die Sicherheit, oder ist es nur eher nervig?

[CyborgBeta]

Hallo, ich habe mir jetzt verschiedene Threads auf SE durchgelesen, zum Beispiel https://security.stackexchange.com/questions/173807/does-imap-pop3-asp-undermine-two-factor-auth oder https://security.stackexchange.com/...onal-access-token-more-secure-than-passphrase , aber bin ehrlich gesagt noch nicht wirklich schlauer, welche Vor- oder Nachteile die zusätzliche Authentifizierung bringt - außer, dass immer mehr Services diese den Benutzern vorschreiben.

Mal angenommen, ich habe ein sicheres/starkes Passwort gewählt, und bin mir sicher, dass mein Computer oder Smartphone nicht kompromittiert ist, und der Benutzer und das Passwort wird beim Login immer verschlüsselt übertragen, sodass MITM nicht möglich ist, weshalb wäre es dann sinnvoll, zusätzlich noch zum Beispiel OTP oder Biometrik/Fingerprint einzusetzen?

Bestimmt mache ich irgendwo einen Denkfehler - aber wo?

 

[cyberpirate]

weshalb wäre es dann sinnvoll, zusätzlich noch zum Beispiel OTP oder Biometrik/Fingerprint einzusetzen?

vielleicht weil Passwörter nicht nur abgefangen werden können? Diese können auch geknackt werden? 2FA oder Passkey ist eben die sichere Variante. Da gibt es kaum was dagegen zu sagen.

 

[Sinatra81]

Ich fühl mich mit 2Faktor viel wohler. Unabhängig davon, wie gut mein PW ist.

Hat schon mal jemand mit meinem ebay&Paypal Account versucht einzukaufen. Zum Glück schlug wohl ein Algorithmus an, als PW und Liefer-Adresse getauscht wurden. Mit 2FA wäre es nicht soweit gekommen.

 

[slrzo]

Der Sinn dahinter ist ja, dass selbst wenn dein sicheres/starkes Passwort mal abhanden kommt ein Angreifer noch den zusätzlichen zweiten Faktor benötigt.
Daher sinnvoll.

@Valix
https://www.computerbase.de/forum/t...lm-bots-und-ki-im-computerbase-forum.2139839/
Dein Post sieht komplett wie KI generiert aus.

 

[Web-Schecki]

Hast du dir auch die Antworten in den verlinkten Threads durchgelesen? Dort wird deine Frage nämlich beantwortet?!

Nonetheless, 2FA still helps you when the IMAP/POP3/SMTP password is strong and unique for that account and the connection is secured by TLS: you can still not be phished and can use your smartphone and the password can not be brute forced and can not leak (because it is strong and only used there).

 

[CyborgBeta]

"and the password can not be brute forced" - das wird doch schon durch hash+salt Verfahren ausgeschlossen.

 

[Looniversity]

Jeder, der dein Passwort kennt, kann sich damit anmelden.
Mit 2FA kann sich nur anmelden, wer auch an den zweiten Faktor kommt (Bank-App mit SMS/2FA-App auf dem gleichen Gerät ist daher witzlos bis gefährlich!).
Damit jemand deinen Passkey nutzen kann, braucht er dein Gerät dafür.

Schutz bei Geräteverlust – Falls dein Computer oder Smartphone kompromittiert wird oder gestohlen wird, könnte ein Angreifer sich mit gespeicherten Zugangsdaten einloggen. Eine zweite Authentifizierungsmethode wie OTP oder Biometrie verhindert das.

Das ist, soweit ich es verstehe, der einen Nachteil von Passkeys. Ohne guten zusätzlichen zweiten Faktor (Geräteverschlüsselung/Geräte-PIN) sind sie bei Verlust des Gerätes ähnlich anfällig wie 2FA, wobei so Dinge wie SIM-Swap-Attacks für Passkeys aber immerhin kein Risiko mehr sind. Oder habe ich da einen Denkfehler?

Nachtrag:

das wird doch schon durch hash+salt Verfahren ausgeschlossen.

Nur solange die Datenbank der Salts von einem Dienst nicht bei einem Hack zusammen mit den Hashes entwendet wird. Irgendwie muss der Dienst schließlich feststellen können, ob das von dir eingegebene Passwort richtig oder falsch ist. Da setzen Passkeys an, denn um das dazugehörige Password zu bekommen, braucht man dank AES auch noch deinen privaten key, den nur du kennst und den man derzeit nicht in diesem Universum brute-forcen kann.

 

[Firefly2023]

Seit einem Datenklau, nur noch 2FA.

 

[BmwM3Michi]

außer, dass immer mehr Services diese den Benutzern vorschreiben.

vor allem schreibt der Gesetzgeber das auch in manchen Bereichen schon vor!

 

[Maviapril2]

das wird doch schon durch hash+salt Verfahren ausgeschlossen.

Macht aber nicht jeder Anbieter

 

[Oli_P]

Klar ist das sicherer. Wenn jemand irgendwie dein Passwort rauskriegt, kann die Person sich trotzdem nicht einloggen damit. Diese braucht dann z.B. noch dein Handy oder deinen Hardware-Schlüssel zeitgleich. Es ist eine zusätzliche Sicherheit, die man nutzen sollte. Und zusätzliche Sicherheit kann immer etwas nervig sein

 

[Arboster]

2FA ist nicht nervig.
Nervig ist es, wenn man einen gekaperten Account wieder zurück bekommen will.
Und, es kann auch teuer sein, wenn der Angreifer schon Schaden angerichtet hat (je nach dem um was für einen Account es geht).

 

[Scirca]

MFA ist an den richtigen Stellen schon eine Verbesserung, es macht halt die Anmeldung nervig.
Meine Faustformel alles was mit Banking verbunden ist mit MFA. Alles wo keine Kontodaten dahinter liegen nervt es bloß.

 

[Mxhp361]

Es ist umständlich, aber trägt die Sicherheit auf ein neues level..

 

[blackshuck]

und bin mir sicher, dass mein Computer oder Smartphone nicht kompromittiert ist,

Du kannst dir nicht zu 100% sicher sein. Evtl ist das dein Denkfehler

 

[Piktogramm]

Mal angenommen, ich habe ein sicheres/starkes Passwort gewählt, und bin mir sicher, dass mein Computer oder Smartphone nicht kompromittiert ist, und der Benutzer und das Passwort wird beim Login immer verschlüsselt übertragen, sodass MITM nicht möglich ist, weshalb wäre es dann sinnvoll, zusätzlich noch zum Beispiel OTP oder Biometrik/Fingerprint einzusetzen?

Sichereitsstrategien sollten nie auf dem Prinzip Hoffnung basieren.

• Hoffnung darauf, das alle Nutzer·innen sichere und für jeden Dienst einmalige Passwörter verwenden
• Hoffnung, dass alle Geräte von Nutzenden nie kompromittiert sind
• Hoffnung darauf, dass der Betreiber gescheite Ratelimits, gescheites Hashing + Salt, keine sonstigen Lücken hat

Gescheite Sicherheitskonzepte fangen mindestens die üblichen, bekannten Fehler ab, die bei allen Beteiligten auftreten. An der Stelle reißt ein gescheites 2FA das Schutzniveau deutlich nach oben.

"and the password can not be brute forced" - das wird doch schon durch hash+salt Verfahren ausgeschlossen.

Brute-Force geht immer, solang keine weiteren Maßnahmen Ratelimits setzt und diese nicht umgehbar sind. Da ist aber schonwieder viel Hoffnung dabei..

 

[User007]

Sichereitsstrategien sollten nie auf dem Prinzip Hoffnung basieren.

 

[Eddy021771]

Irgendwie beides, es erhöht die Sicherheit ungemein und den Nervfaktor um ein Vielfaches

 

[Khorneflakes]

2FA bringt natürlich nur dann was, wenn es auch richtig implementiert ist. Das ist nicht zwingend der Fall. Und es schützt auch nur von einigen Situationen, aber nicht vor allen. Denn wenn durch Fehler, die nicht auf Accountebene passieren, Daten abhanden kommen, dann bringt es natürlich auch nichts. Zusätzlich wird 2FA gerne als Grund genommen, die Schuld vom Betreiber zum Nutzer zu verlagern, was natürlich eine Frechheit ist. Wenn ich kein 2FA aktiviert habe, die aber was bei den Accounts oder Credentials verkacken, dann ist "du hättest halt 2FA nutzen sollen" natürlich keine valide Ausrede.

Ich nutze nur bei extrem wenigen Accounts 2FA. Die Nachteile überwiegen bei den meisten Accounts die Vorteile.

 

[madmax2010]

das wird doch schon durch hash+salt Verfahren ausgeschlossen

Nein. Hashes und salt ist nicht gegen brute force.
Das ist da um Passwörter nicht im klartext zu speichern und wenn dann doch mal was weg kommt gegen rainbow tables etwas immuner zu sein

Auch hier

s, wenn es auch richtig implementiert ist. Das ist nicht zwingend der Fall. Und es schützt auch nur von einigen Situationen, aber nicht vor allen.