Regeln zur Sicherung von Verkäufen übers KN + Fragen zur 2FA

[OFFTOPIC]

YubiKey funktioniert

Ich hatte auch schon einen Beitrag angefangen, mit "nimm zwei verschiedene TOTP-Hardware, also z.B. Handy und PC." – aber wieder gelöscht, das führt dann doch zu weit.
[/OFFTOPIC]
@herr k : Falls Du 2FA jetzt bei mehreren Diensten einrichtest (die meisten bieten das inzwischen an, auch z.B. Amazon, eBay, PayPal und GMX), schau Dir bei jedem ganz genau an, wie Du im Fall der Fälle wieder an Deinen Account kommst. Weil: Handy futsch - Account futsch.
Im KN sind das die Backup-Codes, damit kannst Du Dich auch ohne Authenticator anmelden und so die 2FA auf ein neues Handy bringen.

Viele andere Dienste schicken eine E-Mail mit einem Einmal-Link, SMS, Telefonanruf, sonstwas. Wenn dann Deine geklaute SIM bimmelt, ist das suboptimal. Ich hatte das mal iwo verlinkt, in Brasilien ist das das Standard-Vorgehen, um iCloud Accounts zu übernehmen.

Und die E-Mail-Adresse sollte auch nicht allzu bekannt sein und auch nicht so leicht zu übernehmen. Sonst übernehmen die bösen Buben erst die E-Mail-Adresse und lassen sich dann darüber die Accounts aufbohren.

 

Schön, dass die Diskussion jetzt mal in Gang kommt, auch wenn der Grund ein tragischer ist.

 

Noch eine zwei Anmerkungen:
Der QR-Code oder der einzutippende Schlüssel sollte nicht weitergegeben werden oder als Foto in der Cloud gespeichert werden. Ich hatte das mal während Lockdown im Homeoffice mit einem Kunden durchexerziert, weil seine Mitarbeiterin sich nicht am Firmen-VPN anmelden konnte. Ich habe mir den (schon jahrealten) QR-Code der Mitarbeiterin erneut anzeigen lassen und mir damit einen Token erstellt, der Kunde hat ihr Passwort zurückgesetzt und wir (Kunde und ich) hatten immer dieselben OTP auf unseren Handys und konnten uns damit und dem Passwort anmelden.
Deshalb kann man (sofern die QR-Codes sicher verwahrt werden können) diese in so einem Fall auch als Backup verwenden.
Die Mitarbeiterin hatte ständig von unseren abweichenden OTPs - Ursache war die falsche Uhrzeit auf ihrem Handy.

Und das ist die zweite Anmerkung: Wenn die Anmeldung mit OTP um's Verrecken nicht funktioniert, schaut mal auf die Handy-Uhr. Die sollte nicht mehr als etwa 1 Minute von der korrekten Zeit abweichen. Die Zeitzone in der sich das Handy befindet, ist dabei nebensächlich.
Hintergrund ist, dass die aktuelle Uhrzeit in das OTP mit eingerechnet wird – wenn die Handy-Zeit falsch ist, wird auch das OTP falsch sein.

 

Einerseits ja gut, dass sich hier nun Leute mit professioneller Erfahrung auf diesem Gebiet zu Wort melden, aber schießt ihr hier (zumindest was das eigentliche Thema hier im Titel benannt angeht) nicht nun doch weit über das Thema hinaus? Es handelt sich doch hier in der Hauptnutzung nicht um ein Verkaufsforum, bei der allermeisten Zahl zumindest der privaten User wird sich dass in all den Jahren doch eher um ein paar wenige Artikel handeln (mit ganz wenigen Ausnahmen, die eher jährlich ihr Equipment durchtauschen).

 

Naja, wenn man einen Dienst damit absichert, sollte man sich auch Gedanken darüber machen, wie das mit den anderen Diensten vonstatten geht.
Es hilt einem nur wenig, wenn das KN abgesichert ist, der Rest der Accounts aber geklaut wurde, weil man die extra Meter nicht gehen wollte.

Ja, das ist mit persönlichem Aufwand verbunden, einem Aufwand, den z.B. in meiner Familie jeder macht.
Das wird ordentlich eingerichtet, erklärt, und wieder und wieder erklärt bis auch der letzte das verstanden hat.
Und so kam es, dass diese Familie nie mehr von dem Umstand belästigt wurde, dass Identitäten da zu finden waren, wo sie nicht hätten zu finden sein sollen. *klopf auf Holz*

 

Das wisst ihr sicher besser, ob es sich wie hier das Zusammenwirken zweier „Dinge“ nun fatalerweise massiv häuft und was dagegen wirksam sein kann. Etwa einen Tolken/ YubiKey/….verpflichtend in einem Forum von weitgehend nicht kommerziell motivierten Usern einführen zu wollen, vielleicht ja zu müssen, würde dann wohl doch eher das Ende eines solchen herbeiführen (zumindest in der bisher gelebten, solch offenen Form).
Aber vielleicht gilt ja hier schlussendlich dann auch dieser Satz, „was nichts kost, ist am Ende auch nichts wert“.
Das Problem müssten doch eine Reihe ganz ähnlicher Foren auch haben und gibt es da dann auch solche Veränderungen und Vorsichtsmaßnahmen?

Wobei das dann doch „nur“ in der Eigenverantwortung der User läge, oder? Wie etwa dein (?) Negativ- Beispiel mir einem Passwort für Alles.

 

ok, das haben wir in unserer Familie auch geschafft, und zwar ohne großartige künstliche Barrieren.
Dazu gehört auch ein Passwortsystem, das erinnerbar ist, aber für außenstehende nicht unbedingt nachvollziehbar, falls irgend ein Dienst außerhalb unserer Verantwortungsreichweite wieder mal einen "Datenreichtum" erleidet.
Ich glaube, sowas ist der Vorteil, wenn man sich auf sich verlässt statt auf irgendwelche Assistenzsysteme. Man klickt dann auch nicht so schnell auf irgendwelche Links in irgendwelchen Mails.

Ich hätte ganz gern mal ein Szenario, in dem jemand meinen KN-Account übernimmt. Wie sollte sowas passieren? (Hinweis: für vereinzelte Postfächer habe ich eine 2fa)

 

Hmm. Beide Gehackten waren seit über einem Jahr inaktiv, da gibt es viel Zeit, selbst mit mäßiger Hardware, das Passwort zu erraten. Ich musste mal einen Mitarbeiter fragen, ob sein Admin-Kennwort Ausfluss seiner politischen Überzeugung sei..

 

Klar, wurde hier ja auch schon mehrfach darauf hingewiesen, der wiederholte Hinweis zunächst mal auf genau die zwei unterschiedlichen Dinge, ebenso wie auch auf deren Verkettung bei den genannten Missbrauchsfällen und der daher zur dieser Diskussion hier eben nicht mehr ganz passenden Überschrift, nun ja ergänzt. Dennoch stellt sich neben den immerhin möglichen, technischen Lösungen (glücklichweise durch Profi- Expertise einiger Foristen) gleichzeitig, also parallel dann auch die Frage des Grads der Gefährdung, die Häufung solcher Fälle, wieviel kriminelle Energie da dahinter stand, auch der Eigenverantwortung… um wie bei jedem Missstand dann auch die Verhältnismäßigkeit von Maßnahmen bewerten zu können.

 

We call it a Klassiker

 

Als iPhone-Nutzer denkst an sowas eher zuletzt…

 

Ja, wir haben auch beim ersten Mal lange gesucht. Mittlerweile weiß es jeder im Serviceteam..

 

So. Ich hab mir mal einen Account erstellt.

Ich würde vorschlagen, bevor über Multi Faktor Authentifizierung nachgedacht wird, strengere Password Regeln einzuführen.

Daran sind die Leute mittlerweile gewöhnt und es würde die Sicherheit zumindest schon einmal verbessern.
Für eine MFA sind die meisten einfach zu bequem (mich eingeschlossen). Die meisten hier möchten sich doch nur über ihr Hobby austauschen, da ist die Akzeptanz für erhöhte Sicherheitsmaßnahmen wohl eher gering.
Aber ich finde es gut das Thema zu diskutieren.

Ich möchte übrigens den Moderatoren hier ein großes Lob aussprechen! Das ist ein sehr gepflegtes Forum und ich kann mir gut vorstellen das da viel Zeit in Form von Arbeit investiert wird. Danke!