Wie sicher ist 2FA Sicherheit Outlook Email oder bei steam oder Discord allgemein 2FA Sicherheit. Wie sicher ist das überhaupt!?
4 Antworten
In der Regel kommt 2FA ja zum Passwort dazu, selbst wenn 2FA unsicher wäre, wäre es im schlechtesten Fall genau so sicher wie ohne.
An sich ist 2FA aber bei korrekter Implementierung deutlich sicherer als nur ein Passwort. Denn ein Passwort kann man deutlich einfacher abgreifen, z.B. indem Tastatur-Inputs abgegriffen werden. Bei 2FA ändern sich die Codes ständig oder sind nur einmal gültig, das heißt, man hat nicht viel davon, einen einzelnen Code abzugreifen, denn bis man den hat, ist er meistens schon wieder ungültig.
Auf deutsch: Tastatur-Eingaben.
Also alles, was du auf deiner Tastatur eingibst.
Es existieren sogenannte "Keylogger"-Viren, die alles, was du mit der Tastatur eingibst mitschreiben, in der Hoffnung, so deine Passwörter klauen zu können. 2-Faktor-Authentifizierung macht solchen Viren einen Strich durch die Rechnung, da hier das Passwort allein nicht mehr ausreicht.
Wie ist das, wenn man die Passwörter nicht eintippt, sondern mit Copy und Paste einfügt? Passiert das dann auch? Ist die Zwischenablage auch betroffen?
Am besten ist es natürlich, wenn sicherstellt, dass ein Virenschutz wie z.B. der Windows Defender aktiv ist, generell erlauben aktuelle Betriebsysteme nicht alles und jedem, Tastatureingaben mitzulesen. Dadurch sind Keylogger nicht mehr so weit verbreitet und effektiv, wie sie es früher waren. Prinzipiell könnte ein Virus auch die Zwischenablage auslesen, Copy + Paste ist also nicht automatisch sicherer. Vor allem sollte man sicherstellen, dass die Zwischenablage nach dem Einfügen wieder geleert wird, sonst kann man auch selbst ausversehen ein Passwort irgendwo reinkopieren, wo es nicht hinsoll, wie in einen Chat oder ähnliches. Die Frage ist aber auch, wo du das Passwort herkopierst. Wenn es z.B. in einer Textdatei oder sowas wie einer Excel-Datei liegt, braucht man sich um Keylogger nicht zu sorgen, denn eine Datei zu lesen ist viel einfacher, als Tastatur-Inputs abzufangen oder die Zwischenablage auszulesen. Da wären die Passwörter auf dem Silbertablett serviert. Ein Passwort-Manager, der die Passwörter sicher verschlüsselt speichert und selbst ein sicheres Passwort und ggf. zusätzliche Sicherheitsmaßnahmen hat, ist allerdings eine gute Option. Die bieten oft auch die Funktion, die Zwischenablage automatisch zu leeren, nachdem du das Passwort eingefügt hast.
Durch 2FA wird die Sicherheit nochmal erhöht, wie weit und gut hängt jedoch immer von der 2FA und dessen Implementierung ab. Was sich in dem Zusammenhang lohnen kann, sind Apps wie der Google Authenticator und ähnliches.
Das geht ja nicht für ihn. Weil er kein Zugriff auf mein Handy hat oder?
Wenn ein Angreifer deine Mobilfunknummer kennt, könnte dieser mit SIM-Swapping deine Nummer übernehmen und so auch Push-Nachrichten abfangen. Bei E-Mail-Adressen wären es z.B. das Ergaunern von Session-Cookies und anderen Infos.
Eine weitere Methode wäre Phishing mit einer falschen Login-Maske, in dem man dir einen Link mit irgendeinem Hinweistext zuschicken würde. Halt so aufgebaut um dich im Glauben zu lassen, dass z.B. Steam oder Discord dich benachrichtigt hat.
Das war nur ein sehr grober Umriss, wie Angreifer vorgehen - vorgehen könnten. Was die 2FA angeht, sollte man diese gegenüber einem einfachen Login vorziehen. Lieber ein paar Klicks mehr anstatt dass man es irgendwelchen Angreifer leichter macht.
2FA bringt i.d.R. einen erheblichen Gewinn an Sicherheit ggü. dem gleichen ohne 2FA.
Nachteil ist allerdings, daß die Anmeldung dadurch für den Nutzer deutlich äufwändiger ist bzw. länger dauert. Ist dann am Ende die Abwägung zwischen Userbility-Vorteilen und Sicherheit.
Sicherer als ohne, da man eben neben den Zugangsdaten auch noch den zweiten Faktor benötigt.
Ok. Wenn jemand mein Passwort hat oder Email Adresse hat. Dann muss er noch auf mein Handy 2fa Sicherheit akzeptieren? Das geht ja nicht für ihn. Weil er kein Zugriff auf mein Handy hat oder?
"Wenn jemand mein Passwort hat oder Email Adresse hat. Dann muss er noch auf mein Handy 2fa Sicherheit akzeptieren?"
Um in deinen Accout zu kommen: Ja.
"Das geht ja nicht für ihn. Weil er kein Zugriff auf mein Handy hat oder?"
I.d.R. kann er dies dann nicht machen. Dann könnte er dich evtl. via Social Engeneering dazu bringen das zu machen, das ist allerdings deutlich aufwändiger und weniger erfolgsversprechend.
Prinzipiell braucht er den zweiten Faktor, um Zugang zu haben. Ob das ein Bestätigen ist oder das Eingeben eines Codes, kommt auf den Dienst an.
Am Ende bist du das schwächste Glied in der Kette und die Sicherheit steht und fällt mit dir
Vieles denkbar. Er könnte dier z.B. eine freundliche Mail à la
Hallo hier Microsoft-Support,
es wurden unerlaubte Zugriffe auf Ihren Microsoft Account festgesellt. Um Ihr Passwort zu ändern und den Zugriff auf Ihren Account wiederzuerlangen müßen Sie den Code, den sie gerade per SMS erhalten haben auf dieser Webseite eingeben:
https://support.micorosoft.com/secureAccount?user=secureuser@outlook.de&hash=gzde7f6gfusuefs7ft677esfe7i6gfs768e6fG6c7876egvr7g6vc
Hochachtungsvoll
Microsoft Security
an dich schicken und offen, daß du da drauf reinfälltst.
Was sind Tastatur Inputs?