Bringt 2FA überhaupt was?
Hallo freunde ich würde mich selbst ziemlich "paranoid" beschreiben, deswegen habe ich von authenticator, email bestätigung und handy bestätigung blablabla alles am start, für meine wichigen daten. Ich habe aber mal gehört dass diese ganzen sachen nichts bringen, wenn zbs ein virus auf meinem rechner oder an meinem handy ist der daten rausfischt.
aber genau für sowas gibts doch solche 2 und 3 teilweise sogar 4FAS oder nicht? Oder ist das alles nur großes gerede?
danke fürs aufklären:)
9 Antworten
2FA schützt vor allem vor den klassischen Angriffen aus der Ferne. Wenn dein Passwort unsicher ist oder es geleakt wird und du es irgendwo wiederverwendet hast, bist du durch den zweiten Faktor trotzdem geschützt.
Wenn der zweite Faktor nun aber das Gerät ist, auf dem du dich einloggst, können theoretisch beide Faktoren auf einmal kompromittiert werden. Es ist nicht zwangsweise der physische Besitz des zweiten Faktors erforderlich. Eine solche Schadsoftware muss aber auch erstmal geschrieben werden und den Weg auf dein Gerät finden. Betriebssysteme wie Android haben eine ziemlich solide Sicherheitsarchitektur. Ohne Weiteres kann eine beliebige App nicht auf Daten deiner Authenticator-App zugreifen, da gehört schon mehr dazu.
Nichtsdestotrotz hat ein wirklich getrennter zweiter Faktor ein höheres Sicherheitsniveau. U2F/FIDO ist empfehlenswert, weil dazu der physische Besitz des Security-Keys erforderlich ist. Leider ist es ziemlich wenig verbreitet. Es gibt aber auch Security-Keys, die TOTP unterstützen. Diese kannst du also anstelle einer Authenticator-App verwenden.
Habe neulich einen Artikel gelesen indem die CHance ausgerechnet wurde innerhalb von 30 Sekunden den richtigen 6 STelligen Code einzugeben.
Das Ergebniss war irgentwie 0,003% oder so.
Also von daher würde ich sagen. Ja auf jeden Fall
Gegen einen Virus schützt das natürlich nicht so gut wie bei einem falschen Login-Formular. Ohne 2FA wäre man dann schließlich schon drin.
Wenn 2FA aktiviert ist, kann ein unbefugter nicht einfach die Email oder das Passwort ändern.
Solange man also keine dubiosen Programme öffnet, schützt 2FA sehr gut.
Wenn man eingeloggt ist, kann ein Virus einen Token abgreifen mit dem sich der Täter in deinen Account einloggen kann. Da muss dann nichts mehr verifiziert werden.
Ahh von sowas habe ich noch nie gehört ist das sowas wie ein "freifahrtschein"? aber wie erlauben applikationen sowas? kann man diese tokens nich "deaktivieren"
Bei Discord hat man zum Beispiel Zugriff auf seinen Token, wenn man eingeloggt ist. Warum das möglich ist, können nur die Entwickler sicher sagen. Deaktivieren kann man diese Token nicht.
Wenn sich ein User registriert, bekommt sein Account einen einzigartigen Token. Ändert er sein Passwort, bekommt er einen neuen Token. Ein Discord Token kann zum Einloggen ohne Passwort über die Discord API verwendet werden.
Achso, danke für die Antwort. Aber einsehen kann man die als registrierter Nutzer normalerweise nicht, oder?
Ändern sich die Token nach einer bestimmten Zeit oder bleibt der jeweilige Token immer derselbe?
Seinen eigenen Token kann man in der Entwicklerkonsole finden. Ein Token ändert sich nur bei der Passwortänderung.
Das kann man dann aber nur vom PC aus einsehen, oder?
Nein, das Gerät ist egal. Man braucht nur einen Browser mit Entwicklerkonsole.
Generell geht das per Rechtsklick und dann "Element Untersuchen". Bei Discord muss man beim neu laden der Seite klicken.
Aber wie geht der Rechtsklick ohne physische Tastatur?
Das geht nur am PC. Bei anderen Geräten braucht man einen speziellen Browser.
Ich kenne keinen speziellen für Mobilgeräte, weil ich diese Funktion darüber nicht nutze.
2FA macht das Klauen von Daten durch einen Virus / Phishing / etc. wesentlich komplizierter, da ein Angreifer die erbeuteten Login-Daten in Echtzeit nutzen muss, weil diese nur wenige Minuten gültig sind.
Im Fall vom Handy muss er es eben auch erstmal schaffen, einen Virus auf dem Handy zu installieren, sich die entsprechenden Berechtigungen sichern und der Angreifer muss gleichzeitig auf dem PC/Laptop, mit dem man sich einloggt, das Passwort abfangen.
Login & 2FA auf dem gleichen Gerät ist keine gute Idee, da dann wieder alle Daten beisammen sind. Ggf. muss aber auch hier dann ein Angreifer erst einmal mehrere Faktoren überwachen.
Wenn man sicher gehen will und es die Anwendung unterstützt, benutzt man gleich einen YubiKey / U2F als 2. Faktor, dies sollte dank getrennter Hardware ziemlich unmöglich sein zu überwinden.
Es kommt halt auf die Art der 2FA an. SMS können durch Hacker relativ easy abgefangen werden. 2FA Per Authentifizierugsapp oder Yubikey sind aber ziemlich sicher.
Aber wie kommt ein virus an meine daten wenn ich zbs alles immer vom handy bestätigt werden muss und danach noch mit code verifiziert