Wie sichert man seine Onlinezugänge (2FA) sicher ab ohne sich ggf aus zu sperren?
Hi,
Ich frage mich wie man seine Onlinezugänge sicher ab (2FA) ohne sich irgendwann damit aus zu sperren.
Es gibt ja mehrere Möglichkeiten:
- 2ter Faktor SMS:
- Aber was ist wenn mein Handy Klapput ist? Dann komme ich solange nicht an meine Online-Konten (bis ich ein neues habe)
- Ich den Anbieter und damit die Nummer wechsle (weil die mitnahme nicht geht)? Dann muss ich zuvor bei allen Online Konten das umstellen, und weiß ggf gar nicht wo die überall hinterlegt ist
- 2ter Faktor YubiKey:
- Was wenn ich ihn verliere oder der Kaputt geht? (gar nicht mehr)
- 2ter Faktor Authenticator App:
- Aber was ist wenn mein Handy Klapput ist? Dann komme ich solange nicht an meine Online-Konten (bis ich ein neues habe)
- 2ter Faktor Token-Code Generator:
- Was wenn ich ihn verliere oder der Kaputt geht? (gar nicht mehr)
Ich muss also immer einen Fall-Back machen oder wie? Der dann im fall des Falles greift ...
Also einen Zweiten Yubi Key verstehe ich wenn ich die YubiKey Variante wähle, dass ich einen weiteren habe, und dieser an einem sicheren Ort (Safe) verwahrt ist.
Aber wie soll dies bei SMS oder Authenticator App funktionieren?
OK: SMS sollte gehen nachdem ich das Handy reperiert habe, aber wenn die SIM hin ist muss ich meinen Telco kontaktieren ... per mail, in das ich aber nicht rein komme weil mir 2nd Faktor SMS fehlt. (Nummer mitnahme sollte meist klappen). Wie funktioniert hier der Fall-Back?
Authenticator App: Wenn das Smartphone kaputt ist, damit auch der zugriff ... die neue Authenticator app kann ich dann ja nicht mehr einrichten ... Wie funktioniert hier der Fall-Back?
Außerdem 1: Wo ist bei Online Banking mit einer Smartphone App und als zweitem Faktor SMS/PushTAN/AuthenticatorApp der echte zweite Faktor, wenn es am selben gerät ist?
Außerdem 2: frage ich mich bei 2FA wie bei Mail dann der zugriff über anwendungen aus sieht? Per App vom Smartphone oder auch per Desktop Anwendung?
Wie kann man das alles sicher machen ohne sich aus zu sperren und keinen mega aufwand zu betreiben?
Lg,
Paul
2 Antworten
Authenticator App: Wenn das Smartphone kaputt ist, damit auch der zugriff ... die neue Authenticator app kann ich dann ja nicht mehr einrichten ... Wie funktioniert hier der Fall-Back?
Sofern du die 2FA mit einem Authenticator einrichtest, solltest du eigentlich bei den meisten Diensten auch Backup-Codes bekommen. Diese natürlich aufschreiben und extern sichern, damit du im Falle eines Verlustes/Defektes auch noch an den Account kommst.
Alternativ gibt es auch Authentikatoren mit Backup-Funktion. Ich werfe hierfür mal Authy in den Raum, da kannst du das ganze auch online sichern und über mehrere Geräte beziehen.
Außerdem 1: Wo ist bei Online Banking mit einer Smartphone App und als zweitem Faktor SMS/PushTAN/AuthenticatorApp der echte zweite Faktor, wenn es am selben gerät ist?
Nirgends (außer eben, dass es eine andere App ist), weswegen du das auch nicht am gleichen Gerät machen solltest.
Außerdem 2: frage ich mich bei 2FA wie bei Mail dann der zugriff über anwendungen aus sieht? Per App vom Smartphone oder auch per Desktop Anwendung?
Je nach Anwendung wirst du dann auch danach gefragt oder auf die Login-Seite des Anbieters weitergeleitet.
Hmmm online wo ich vermutlich dann auch nicht mehr ran komme :D
Na ja, für Authy ist deine Telefonnummer nötig (die sich jedoch auch ändern lässt).
Die Token sind dann, sofern du es denn willst, verschlüsselt in der Cloud gesichert - mit einem von dir festgelegten Backup-Passwort.
Wieviele das wohl machen :)
Genug. Zumindest jeder, der etwas Ahnung davon hat und nicht nur ein einziges Gerät - das Smartphone - besitzt. Es ergibt, wie du schon festgestellt hast, keinen Sinn, das beides auf dem gleichen Gerät zu nutzen.
Was ja ziemlich unpraktisch wäre bei meiner Mail-App am Smartphone oder etwa wenn ich Outlook am Desktop nutze ...
Nein, warum denn? Du richtest das ja ein und die Verbindung wird gespeichert.
Nein, warum denn? Du richtest das ja ein und die Verbindung wird gespeichert.
Und der zweite Faktor?
Du hast schon vieles richtig erkannt, 2FA ist noch sehr fehleranfällig.
Telekommunikationsanbieter lassen sich auch über andere Wege erreichen, zum Beispiel dem lokalen Shop. Der Nummernwechsel wird in der Regel so vollzogen, dass die alte SIM in einem gebrauchsfähigen Handy gelassen wird und sukzessive ausgetauscht wird, bei jedem Konto, das man gerade benutzen will.
Für TOTP-Apps gibt es meist Backup-Codes, die an einem sicheren Ort verwahrt werden. Somit ist es eigentlich eine 3FA, wobei nur 2 verwendet werden, da der Master-Key, der Backup-Code, nie verwendet werden sollte.
Bei Handy-Banking und PushTAN fehlt der zweite Faktor, gerne wird hier ein Fingerabdrucksensor verwendet, sofern vorhanden. Andernfalls wird der Besitz des Handys als Faktor angesehen, da beim ersten Login gewisse Daten abgelegt werden.
Die Absicherung eines E-Mail-Accounts ist noch verbesserungsbedürftig. Es gibt verschiedene Ansätze. Der beste ist dort ein einzigartiges und sehr sicheres Passwort zu verwenden, das sonst nirgendwo benutzt wird.
Die gewünschte Sicherheit und weitere Features sind wesentliche Faktoren in der Auswahl der Methode. Ein YubiKey mit FIDO2 schützt auch vor anderen Angriffen, TOTP bietet ein Backup-Möglichkeit. Beides kann natürlich auch kombiniert werden.
Für TOTP-Apps gibt es meist Backup-Codes, die an einem sicheren Ort verwahrt werden. Somit ist es eigentlich eine 3FA, wobei nur 2 verwendet werden, da der Master-Key, der Backup-Code, nie verwendet werden sollte.
OK, das ist das wichtiche punktchen - d.h. überal wo ich z.B. die Authenticator App (TOTP) (von MS oder Google) nutze muss ich jeweils einen backup code erstellen und im safe hinterlegen.
Die gewünschte Sicherheit und weitere Features sind wesentliche Faktoren in der Auswahl der Methode. Ein YubiKey mit FIDO2 schützt auch vor anderen Angriffen, TOTP bietet ein Backup-Möglichkeit. Beides kann natürlich auch kombiniert werden.
Welche anderen Angriffe meinst du? Und wie würde die Kombination aussehen? (oder meinst du einfach als alternative wenn die App nicht zu Hand ist dann den YubiKey zu nutzen? Was aber auch der Anbieter unterstützen muss.)
Ja, jeder Anbieter braucht einen eigenen Generator(-Seed), sonst kann ein Anbieter auf die anderen zugreifen (oder derjenige, der einen Anbieter angreift).
Andere Angriffe sind zum Beispiel Phishing, da kannst du dich ja mal in FIDO2 einlesen.
Die Kombination wäre dann TOTP-auf-YubiKey.
Hmmm online wo ich vermutlich dann auch nicht mehr ran komme :D
Wieviele das wohl machen :)
Was ja ziemlich unpraktisch wäre bei meiner Mail-App am Smartphone oder etwa wenn ich Outlook am Desktop nutze ...