Sicherheitsrisiko 2 Faktor Authentifizierung?
- Ist die 2 Faktor Authentifizierung kein Sicherheitsrisiko, da man damit z.B. nur Zugriff auf eine Telefonnummer oder ein entsprechendes Gerät haben muss um sich letztendlich erfolgreich einzuloggen, während man ohne dennoch unbedingt das Passwort kennen müsste?
- Sollte man eine Telefonnummer für die 2FA benutzen die auch anderen bekannt ist, worüber man eben auch normal telefonisch erreichbar ist (quasi seine „normale“ Telefonnummer) oder eher eine streng geheime neue Nummer zusätzlich die man sich nur für die 2FA anschafft?
Vielen Dann im Voraus für eure Antworten!
Wann hattest du denn das letzte Mal zugriff auf eine fremde Telefonnummer?
Als ich das Telefon ner Freundin in der Hand hatte o. als ich jemanden unterwegs beim Weg half. Öfters mal eins in der Hand das nicht mir gehört & SMS Empfang dauert nur sehr kurz.
5 Antworten
2FA bedeutet nicht unbedingt das man die Telefonnummer wählen muss.
Wie du schon richtig erkannt hast, kann eine einfache Bindung an die Telefonnummer sicherheitstechnisch keine gute Wahl sein.
Zumindest sollte man dann die Pushbenachrichtigung von SMS deaktivieren wenn das Handy gesperrt ist.
da man damit z.B. nur Zugriff auf eine Telefonnummer oder ein entsprechendes Gerät haben muss
Das ist Blödsinn.
- Braucht man immer auch ein Passwort (deswegen ja zwei Faktor Authentisierung)
- Muss (und sollte) 2FA nicht unbedingt über eine SMS laufen. Auch ein Hardwaretoken (z.B. in Form eines USB-Sticks), eine Authenticator-App oder biometrische Daten (z.B. die Retina) können genutzt werden.
2FA besteht immer aus zwei Dingen, bspw. Wissen (z.B. Passwort), Besitz (z.B. Hardwaretoken) oder Biometrie (z.B. Fingerabdruck).
quasi seine „normale“ Telefonnummer oder eher eine streng geheime neue Nummer
Wie bereits gesagt: 2FA über SMS ist nicht sicher, da du eine SMS nicht physisch besitzt. Das Mermal von Besitz oder Biometrie sollte immer zusätzlich zum Wissen erfüllt werden.
LG
Dann handelt es sich aber um keine gute 2FA. Der Empfang einer SMS garantiert nicht den Besitz eines bestimmten Smartphones, somit ist diese Methode unsicher.
Ist die 2 Faktor Authentifizierung kein Sicherheitsrisiko, da man damit z.B. nur Zugriff auf eine Telefonnummer oder ein entsprechendes Gerät haben muss um sich letztendlich erfolgreich einzuloggen, während man ohne dennoch unbedingt das Passwort kennen müsste?
Es heißt doch 2-Faktor, weil du eben das Passwort UND den zweiten Faktor haben musst. Klassischerweie bestehen die 2 Faktoren in:
- Wissen (zB. das Wissen um ein Passwort)
- Besitzen (zB. ein separates Gerät)
Nur, wenn beides validiert wurde, ist die Authentifizierung erfolgreich.
Sollte man eine Telefonnummer für die 2FA benutzen die auch anderen bekannt ist, worüber man eben auch normal telefonisch erreichbar ist (quasi seine „normale“ Telefonnummer) oder eher eine streng geheime neue Nummer zusätzlich die man sich nur für die 2FA anschafft?
Der zweite Faktor sollte EIGENTLICH nichts sein, das man einfach abfangen kann, wie eine SMS. Das Sicherste wäre ein Hardware-Token. Alternativ eine Authenticator App.
Wenn man auf Passwort vergessen geht wird es jedoch einfach zurückgestetzt mit Hilfe eines Gerätes oder einer Telefonnummer.
Aber das ist keine 2FA das ist dann einfach "Passwort zurücksetzen" :D
Wenn du z.B. so wie ich einen Yubikey als 2. Faktor hast, kannst du damit kein Passwort wiederherstellen. Den kann man nur zum anmelden/Anmeldung verifizieren benutzen (hängt vielleicht aber auch damit zusammen, dass man damit keine SMS empfangen kann :D)
Ok also bei gewöhnlichen Snartphones ist es also doch ein Risiko da schon die Telefonnummer dazu ausreicht ein Passwort zurückzusetzen?
Beide Faktoren müssen geheim und anderen unzugänglich sein.
Meist hat man ein Passwort und ein Token.
Selbstverständlich muss das Passwort etwas sein, das sonst keiner kennt, also auf keinen Fall eine Telefonnummer.
Das Token kann eine Art Chip oder ein Gerät (z.B. Smartphone mit App) sein. Beides muss aber für andere unzugänglich aufbewart werden.
Ansonsten ist es eben nicht so sicher, wie es sein soll.
Der Witz ist, dass ich bei diversen Banken jetzt deren App installieren muss wo ich auch meinen Banking-Zugang eingeben MUSS. Leider fühlt sich das für mich auch unsicher(er) an (als vorher), da jetzt alles was man braucht über das Smartphone geht.
Früher war der zweite Faktor tatsächlich nur eine SMS oder eine eigene TAN-App, die nicht meine Zugangsdaten brauchten.
Das ist kein Blödsinn es ist genau so wie beschrieben. Eine für die 2FA hinterlegte Nummer reicht um das Passwort zurückzusetzen. Danach kann man sich letztendlich auch einloggen.