Feature Request: 2FA über OTP und Fido2 unterstützen

Hey ho,

derzeit logt man sich in seinen MG-Account ja mit einem Passwort ein. Da gibt es inzwischen ja bessere Alternativen. Gut wäre es, wenn man hier eine 2FA machen könnte und dafür zum einem OTP und zum anderen FIDO2-Sticks unterstützt werden würden.

Glaubst du, ich habe neben SMS-Tan, Smart-TAN, BestSign und Photo-TAN noch Lust auf weitere Geräte?

3 „Gefällt mir“

Mal abgesehen davon, dass ca. 80% der Abonnenten das hier gar nicht erst lesen werden, ist es mal wieder ein völlig übertriebener und unsinniger Vorschlag.
Ein Konto bei MG ist kein Bankkonto und davon abgesehen bin ich mir sehr sicher, dass Holger weiß, wie er die Seite zu schützen hat. Da habe ich absolut keine Bedenken bezüglich meiner Daten.
Es ist ja gut und auch ehrenhaft von dir gemeint, aber man sollte es nicht übertreiben.

7 „Gefällt mir“

Ja! Fido2 Sticks sind wirklich gut. Probier es aus.

Da wäre der Sicherheitsstandard noch höher. 2FA gehört zum kleinen Einmaleins der digitalen Selbstverteidigung und ist eigentlich absoluter Mindeststandard.

Bei Youtube oder z.B. Online-Banking habe ich das auch. Aber bei MG ist das absoluter Quatsch.
Ich persönlich habe für alle Seiten ein unterschiedliches, 16-Stelliges Passwort mit allen möglichen Zeichen. Diese habe ich ausschließlich in ausgedruckter Form bei mir vorliegen, da sich kein Mensch diese komplexen Passwörter merken kann. Ich weiß also selbst noch nicht einmal, wie diese Passwörter lauten.

3 „Gefällt mir“

Da bist du doch prädestiniert für einen Fido2-Stick, zumindest wo es unterstützt wird.

1 „Gefällt mir“

Also noch mal kurz ausführlicher und besonders zu Beginn: Niemand der auch nur ansatzweise Ahnung von IT-Sicherheit hat würde in irgendeinem Kontext wo es um User-Accounts geht eine 2FA als Quatsch, unnötig oder unsinnig bezeichnen. Neben regelmäßigen Systemupdates sind Passwort-Manager und 2FA die von Experten genannten Punkte um im Online-Leben sicher zu sein:

Passwörter sind als Authentifizierungsmechanismus absolut anachronistisch. Denn das Problem ist, dass man sich mit einem Geheimnis authentifiziert, was man gleichzeitig in die Welt rausposaunt. Die meisten Benutzer verwenden eben keine individuellen Passwörter mit hoher Entropie pro Seite, sondern verwenden entweder überall das gleiche Passwort oder Permutationen von einem Passwort. Passwortmanager sind da lediglich eine Brückentechnologie, bis Passwörter aussterben.

Das ist schlechter als jeder Passwortmanager, weil das Passwort über die Tastatur eingegeben wird, was ein gewaltige Angriffsfläche ist (rate mal, was Trojaner auf einem kompromitierten Endpoint oft machen: Richtig, Tastatureingaben mitlesen). Ein OTP würde dafür sorgen, dass ein Angreifer mit genau diesem Passwort aber nach 30 Sekunden nichts mehr anfangen kann.

Bei FIDO2 ist aufgrund der kryptographischen Verfahren die Sache noch einmal bedeutend sicherer (und auch noch bedeutend komfortabler).

Du meinst also, dass Holger oder Spymac den ganzen lieben langen Tag nichts anderes machen und nachschauen ob es für die Software die so verwendet wird und den ganzen Stack irgendwelche neuen CVEs gibt? Es wurden schon Firmen gehackt, die extra Leute haben, die sich mit IT-Sicherheit befassen. Der glaube: „Mein System kann nicht gehackt werden“ ist gefährliche Illusion. Und das geht auch nicht gegen Holger oder Spymac und ich will den beiden auch keine Kompetenz absprechen. Die Komplexität moderner Software ist allerdings so hoch, dass man schlicht keine Kontrolle drüber hat ob da Sicherheitslücken drin sind. Und die Zeit von beiden im Bezug auf IT-Sicherheit ist wohl auch begrenzt.

Und ich spreche mich ja gar nicht dafür aus, dass 2FA und FiDO2 hier verpflichtend sind. Ich spreche mich lediglich dafür aus, dass Leute die Ahnung von IT-Sicherheit haben und ihr Konto entsprechend absichern wollen, dies hier auch können.

Die Daten die bei MG liegen sind im übrigen gar nicht mal so unsensibel. E-Mail Adressen, Adressen, Klarnamen, ggf. Zahlungs- und Abrechungsinformationen.

1 „Gefällt mir“

Ehrlich gesagt, habe ich mich damit bisher auch nur sehr wenig beschäftigt und halte es für den Durchschnittsnutzer (noch) für etwas zu umständlich. Grundsätzlich ist es aber gut und wichtig, dass solche Technologien verfügbar und inzwischen ziemlich erschwinglich sind. Finde es selbst immer wieder erstaunlich, wie krass naiv die meisten Leute mit Online-Banking/Shopping, Paypal usw. umgehen. Für eine Plattform wie MG-TV würde es aber nur Sinn als optionale Login-Variante machen.

1 „Gefällt mir“

Gibt es als hidden feature für TOTP.

3 „Gefällt mir“

Cool! Danke für den Link!

Ja, aber diese Naivität wird durch eine hardwaregebundene 2-Faktor-Authentifizierung nicht eliminiert.
Denn hier besteht die Naivität darin nicht von der Situation auszugehen, dass diese Hardware mal das Zeitliche segnen wird (ja, auch diese FIDO-Sticks!) und man keinen alternativen Zugang zu seinen Konten hat.
Oder anders: Entweder man hat eine Hintertür, die die 2FA aushebelt oder man richtet eine 2. 2FA-Möglichkeit ein. Und an diesem Punkt bin ich erstaunt, wie viele Dienste diese Möglichkeit NICHT bieten.

1 „Gefällt mir“

Gibt es diverse Strategien:

  • Bei OTP gibt es Backup-Codes, wo die Seiten auch sagen die soll man ausdrucken und sicher aufbewahren (z. B. im Tresor)
  • Man kann der QR-Code ausdrucken und in den Tresor packen.
  • Man kann den QR-Code auf mehreren Geräten scannen
  • Auch die Hersteller von FIDO2 Sticks sagen, man sollte eigentlich einen zweiten haben und im Tresor liegen haben.
  • Wenn ich bei einem Account Passwort, OTP und Fido2 habe, brauche ich ja immer 2 Faktoren. Wenn OTP Device oder Fido2 Stick kaputt sind, kann ich noch das andere Gerät nehmen.
  • Die Hintertür wenn alle Stricke reißen, nennt sich dann Kundensupport.

@Spymac bekommt von mir auf jedenfall die coolen pixel-sunglasses verliehen für die Situation: User fragt nach Feature und Admin sagt: Dude, hab ich bereits nebenher programmiert.

1 „Gefällt mir“

Und Du glaubst, dass die große Masse der Anwender so was machen wird? Keine Chance.

1 „Gefällt mir“

Idealerweise haette man Hardware-Tokens, die man selber manuell seeden kann. Um ehrlich zu sein weiss ich gar nicht ob es solche Geraete gibt bzw. ob das ueberhaupt vorgesehen ist per Spezifikation. Waere jedenfalls sehr hilfreich. Dann wuerde man sich den Seed ausdrucken und im Falle von Geraeteverlust einfach einen neuen Stick nehmen und ihn mit dem Seed initialisieren und koennte dann problemlos und schnell auf einen neuen Stick migrieren. Dann waere man auch nicht auf Backup-Codes oder die Moeglichkeit einen zweites Device anzugeben angewiesen, was viele Anbieter nicht machen. Vor allen Dingen Backup-Codes beim Anbieter sind sowieso bescheuert weil sie hardware-unterstuetzte Authentifizierung ad-absurdum fuehren.

2 „Gefällt mir“

Here you go: DiceKeys | Crowd Supply

Idee dahinter:

  • Du hast Würfel, mit denen du dir selbst den Schlüssel erzeugst
  • Das kannst du als Seed für den Solokey verwenden
  • Die Würfel stellst du in der Box in den Tresor
  • Geht der Solokey kaputt, kaufst du dir einen neuen und initialisierst ihn mit deinem gewürfelten Seed.
1 „Gefällt mir“