2FA mit SMS/E-Mail?
An die ITler unter euch (wirklich nur ITler):
Was habt ihr für eine 2FA? 2FA per SMS soll nicht besonders effektiv sein, da die Anbieter technisch eure Nachrichten mitlesen können. Wenn die dann gehackt werden, können Hacker die 2FA somit umgehen. Auch 2FA per E-Mail soll nicht besonders effektiv sein, denn wenn man Zugriff auf eurer E-Mail-Konto hat, dann ist die 2FA original nutzlos, da man ja ohne 2FA auf den E-Mail-Account kommen könnte, denn wenn die 2FA-Codes auf die Mail geschickt werden, dann kann ja für die Anmeldung auf den E-Mail-Account kein Code an die Mail verschickt werden, da man ja gerade nicht in dem Account drin ist und somit keinen Zugriff auf den Code hätte.
Die 2FA-Apps wie die von Google etc. sind da ja schon besser, aber auch nicht extrem sicher, da es da Sicherheitsbedenken gibt und der Code auch gar nicht mehr Open-Source ist.
Was benutzt ihr? Habt ihr zusätzlich auch 2FA per SMS (was ich für schlecht halte)?
2 Antworten
2fa über email und sms ist immer noch besser als gar kein 2fa. Aber es ersetzt natürlich kein vernünftiges Passwort.
und das mailkonto sollte natürlich nicht mit mailtokens sondern mit einer besseren Methode abgesichert sein.
2FA sollte immer etwas sein, was man weiß und etwas, was man hat. Also ein Passwort und ein Gerät/Gegenstsnd. Also Smartphone oder hardwaretoken. die Aktion ( Login) und der 2. Faktor sollte natürlich möglichst nicht auf dem selben Gerät stattfinden.
also. Im handybrowser etwas mit Paypal bezahlen und für den Login schickt Paypal eine Push Nachricht an die Paypal App auf dem selben handy zur Freigabe, ist natürlich nur so semi sinnvoll.
für die Arbeit verwende ich einen yubikey und für online Banking Chip Tan.
Es hängt aber auch immer davon ab, was der jeweilige Dienst anbietet. Ich bevorzuge totp, nehme im Zweifel aber auch sms oder Mail.
2FA über TOTP. Aber nicht über die App von Google sondern meinem Bitwarden Passwort Manager. Bitwarden hat mittlerweile auch eine eigene App nur für 2FA über TOTP. Falls du es richtig sicher haben willst schau dir mal Yubi-Keys an
Edit: Bitwarden ist auch Open Source
Ja das ist ein Risiko das ich akzeptiere. Theoretisch nicht ganz 2FA aber mein Bitwarden ist self-hosted und das Passwort ist ausreichend lang
Man kann im Bitwarden-Login ebenfalls 2FA einstellen. Und der Angreifer muss ja erstmal dein Master-Passwort rausfinden, was schon nahezu unmöglich ist. Außer du hast jetzt versehentlich nen Virus oder Keylogger mitgezogen.
Ja der Login hat bei mir auch 2FA. Also nur Passwort nützt einem Angreifer dort auch nichts
Ich benutze auch die von Bitwarden, eben weil sie Open-Source ist. Da hat man einfach mehr vertrauen. Yubi-Keys sind cool, aber auch nervig, immer die Sticks mitzuhaben bzw. davon abhängig zu sein.
Aber stellt Bitwarden bei dir dann nicht einen Single Point of Failure? Wenn jemand an dein Bitwarden kommt, kann der Angreifer sich überall anmelden. Der zweite Faktor fliegt dann ja raus.