Wann 2-Faktor Authentifizierung über gängige Apps? Und andere Sicherheitsrelevante Bedenken

Das Login Passwort läßt sich nicht speichern in der Appversion. Das Feld ist leer. Das Passwort wird reinkopiert, wenn man den Fingerprint aktiviert. Ist nach wie vor so. Habe ich gerade nochmals geprüft. Paßwortfeld wird immer wieder geleert.

Kann man bei der Appversion eben nicht.

Edit: Konnte man bislang nicht. Wurde offensichtlich kürzlich korrigiert.

Die Apple App verhält sich anders.

Eine neue Version bietet Google Play nicht an.

Mir Fingerprint oder Face ID ist das Passwort immer gespeichert, hat mit dem Passwortfeld in der App nix zu tun, das ist auch bei Apple leer. 

Das Problem bei der Android App ist, daß das Paßwort auch bei deaktivierten Fingerprint nicht gespeichert wird. Dies wurde früher im Paßwortfeld verschlüsselt angezeigt " ................", wenn es gespeichert war.

Soll sich das doch jemand von O2 oder wer Zugang hat und will, mal selbst anschauen. Ich finde es schwierig zu kommunizieren, wenn man nicht die gleiche Sprache spricht oder der eine einen Apfel beschreibt und der andere eine Birne vor sich hat.

- Fingerprint deaktiviert

- Paßwort eingegeben und speichern aktiviert

- Nach Ausloggen muß Passwort erneut eingegeben werden. Das Feld "Einloggen" ist inaktiv.

Ich bin mir sehr sicher, daß früher das Paßwort verdeckt im Feld hinterlegt war.

Ich denke die Lösung liegt:

Zugangsdaten = Handynummer

Passwort ist Passwort

Selbst wenn das Passwort als Sternchen im Passwortfeld steht, niemand außer deinem Handy kann damit was anfangen, weil es sich weder kopieren noch entschlüsseln lässt.

Wer besorgt ist, soll einstellen Logout sofort oder nach 1 Minute.

Nabend zusammen :)

Bitte nicht wundern: Alle Beiträge Rund um die Sicherheit der “Mein o2” App und des Portals werden von uns auch in den entsprechenden Bereich verschoben. Die kritische Diskussion kann dort natürlich weitergehen.

Viele Grüße,
Flo

Wenn du zwischen den Zeilen sagen möchtest, dass ich dumm bin, dann hinterfrage doch erstmal, ob dein Vorwurf stimmt. Tut er - dummerweise für dich - nämlich nicht! Damit zeigst du wohl, dass du dich nicht ausreichend mit meinem Hinweis und mir beschäftigt hast.

Die App sollte sich nach 15 Minuten ausloggen. Tut sie auch, wenn ich das Icon nutze.

Wenn ich das Icon nutze, und die App per Task Bildschirm wegwische, fragt sie mich immer nach meinem Fingerabdruck um mich einloggen zu können.

Nutze ich das Widget um die App zu öffnen, passiert das nicht. Über das Antippen des Widgets öffnet sich die App sofort ohne vorherige Abfrage meiner Zugangsdaten in Form des Fingerabdruckes.

Und Logout und erneuten Login hab ich schon versucht, bringt keine Änderung mit sich.

Long Story short: Icon fragt Zugangsdaten immer ab, Widget fragt nie und leitet ohne Zugangsdaten abzufragen direkt in die App weiter.

Hallo @JamesChakotay 

Ich habe mich aus Neugier ein bischen weiter damit beschäftigt.

Bei mir ist es so, daß er das Kennwort nicht dauerhaft speichert. Das scheint mir ein Fehler in der App zu sein. Allerdings fühle ich mich mit dem Fingerabdruck auch sicherer.

Beim Fingerabdruck fügt er das Kennwort ins leere Feld ein und gibt die App frei. Die Widgets buchen sich nicht selbst ein, es sei denn, ich habe zuvor die App über das Taskfeld weggewischt.

Öffne ich die App und schließe sie über das Menü/abmelden habe ich den Effekt nicht.

Mir scheint das Problem zu sein, daß du die App wegwischst und sie dadurch nicht abgemeldet wird, sondern erst nach der eingestellten Zeit.

Ich konnte das an meinem Xiaomi und Huawei gleichermaßen so nachvollziehen.

Vielleicht kannst du das dahingehend nochmals prüfen 

Sollte es anders sein, müssen wir es wohl vorläufig akzeptieren.

Gruß

So melde ich mich bewußt ab:

@Der Knuddeler Wenn ich mich manuell abmelde, bin ich auch wenn ich die App per Widget öffne abgemeldet. Das stimmt.

Das Problem ist:

Nutze ich das Icon im Appmenü, oder dem Startbildschirm, kommt die Abfrage immer. Ich melde mich an, wische die App weg, öffne erneut über das Icon, wieder Abfrage.

Nutze ich das Widget kommt nie eine Abfrage. Egal ob ich die App über das Widget nach 20 Minuten, 20 Stunden, oder 2 Tagen neu öffne (in der Zwischenzeit ungenutzt). Heißt auch dieser Sperrtimer (bei mir auf 15 Minuten eingestellt) greift da nicht.

Wenn dem nicht so wäre, würde ich es nicht als Problem sehen. Vorallem nicht, weil es vor ca. einem halben bis dreiviertel Jahr noch nicht so war wie es jetzt ist, dass das Widget einen Freifahrtschein in die App ist. Das Widget hat mal bei jedem Öffnen der App über selbiges die Zugangsdaten abgefragt.

Falls es relevant ist, es ist ein Samsung Galaxy S22+, OS Android 14 (Problem bestand aber auch in Android 13 schon).

Offensichtlich funktioniert das auf manchen Geräten unterschiedlich.

Ich habe in der O2 App "sofort abmelden" versuchsweise eingestellt. Wenn ich in der App online angemeldet bin, verlangt er beim Widget jetzt sogar auch den Fingerprint, obwohl ich in der App noch angemeldet bin. Wenn ich beim Wiget auf "abbrechen gehe" verlangt er beim Einloggen statt Fingerprint das Passwort.

Als alter Knuddeler würde ich in deinem Fall unter App verwalten Cache und Daten löschen, die App deinstallieren und neu installieren. Dann auf sofort beenden einstellen. Viel verspreche ich mir nicht davon. Es wäre lediglich ein Versuch.

Ich weiß ansonsten keinen Rat.

Hast du noch ein altes Smartphone, dann könntest du die App dort nochmals testen und wüßtest vielleicht mehr.

Mich wundert, daß sich sonst niemand hierzu meldet. Möglicherweise ist es kein gängiges Problem oder alle anderen beißen in den Apfel.

Ich wüßte auch nicht, wie man die Widgets deinstallieren könnte, es sei denn man deinstalliert die App und aus Sicherheitsgründen eine Startverknüpfung zu MeinO2, was sehr umständlich wäre.

Edit:

Alternativ bliebe manuell abmelden. Damit wäre doch das Sicherheitsproblem gelöst, oder?

Ich habe es auf meinem S20FE auch nochmal gegengetestet. Das gleiche Problem.

In beiden Fällen App Version 7.33.1, einmal Android 13, einmal Android 14, beide mit o2 SIM und bei o2 gekauft.

Natürlich könnte ich als Nutzer hingehen und Workarounds schaffen. Ich selbst habe aber nicht die Notwendigkeit dazu, da mein Smartphone immer und überall nur mit Fingerabdruck, oder PIN entsperrt werden kann und sich nach 35 Sekunden Inaktivität von alleine den sperrt.

Ich denke da aber an die Nutzer, die eben weniger versiert sind, die sich bei sowas einfach nichts denken und darin kein großes Risiko sehen. Die ihr Telefon nicht mit Fingerabdruck sichern, keine PIN verwenden, sondern einfach alles offen haben. Man muss m.E. eben auch an die Leute denken, die das schwächste Glied in der Kette sind, ohne das in irgendeiner Form böse zu meinen.

Ich kann verstehen, wenn man sich nicht auskennt, sich gewisse Sachen nicht zutraut etc. Sei es aufgrund des Alters, oder genereller Scheu vor Technik.

Genau deswegen finde ich ja, dass wir auch, nein vorallem, auf diese Menschen Acht geben sollten und sie nicht, wie manch ein Apple Nutzer der hier schrieb, ignorieren sollten. An der Stelle muss o2 einfach nachbessern. Das sollte doch möglich sein, vorallem weil die App über das Widget gestartet im ersten Jahresviertel noch anders reagiert hat.

@JamesChakotay

Bin deiner Meinung und habe die gleiche App Version.

Gruß

Hallo @JamesChakotay du schriebst:

"vorallem weil die App über das Widget gestartet im ersten Jahresviertel noch anders reagiert hat."

Also, mich hat das noch ein bisschen beschäftigt bzw Interessiert.

Dein Problem war, wenn ich es richtig verstanden habe, daß durch starten des Widgets, du über die O2App eingeloggt wirst, obwohl du die App zuvor durch "wischen" auf dem Task beenden wolltest. Dies hattest du als Sicherheitsproblem gesehen.

Auch wenn das zuvor anders war, wir wollen ja nicht unbedingt an altem festhalten, da die Entwicklungen ja weitergehen.

Es scheint m E. so zu sein, daß wir uns umstellen müssen. Das Wischen beendet die App offensichtlich nicht mehr oder nicht in jeder Firmware-Version bzw Gerät sondern minimiert das Programm nur. Bei mir erscheint nunmehr ein Kreuz, das offensichtlich zum Beenden dient. Beendet man die App darüber, wählt sich auch das Widget nicht automatisch ein.

Der eine oder andere Nutzer begrüßt evtl auch das Verfahren.

Wer sicher gehen möchte, sollte sich m.E. ordnungsgemäß abmelden.

Liebe Grüße

@Der Knuddeler

Nein, das Problem ist:

Tippe ich auf das Icon im App Menü (das was bei Windows quasi das Startmenü ist, als Vergleich das wir alle wissen was ich meine) findet die Abfrage immer statt. Auch wenn ich die App durch wischen im Taskbildschirm die App schließe. Bei Samsung ist das auch wirklich schließen.

Tippe ich auf das Widget (mitten rein, nicht auf das Aktualisierungsdings), öffnet sich die App und es findet nie die Abfrage des Passworts statt. Außer ich melde mich manuell ab. Was ich aber nicht wirklich mache und viele Andere vermutlich auch nicht.

Darin liegt mein Problem. Anfang des Jahres war aber auch das aufs Widget tippen noch mit Passwortabfrage gesichert.

Sorry, wenns um etwas geht, was Sicherheit angeht, halte ich lieber an Altem fest, wenn das Alte sicherer war. Ich bin durchaus für Fortschritt, aber nicht auf Kosten der Sicherheit.

Und wir hatten ja schon festgehalten, dass der Fokus dabei ehr auf den weniger versierten Nutzern liegt. :)

Da tippen Passwort ja:

Da tippen Passwort nein:

@JamesChakotay 

Ich akzeptiere deine Bedenken, auch wenn ich sie nicht ganz teile.

Mein Rat an weniger versierte Nutzer: "abmelden und fertig". Sicher ist sicher. Aber die werden hier wohl kaum im Forum stöbern. Ich denke, wir haben es ja auch gelernt und die Technik ist so vielfältig, da lernt man jeden Tag dazu.

Was mir mehr zu denken gibt, ist die von dir angesprochene fehlende 2-Faktor Authentifizierung

Danke für den Gedankenaustausch.