Wann 2-Faktor Authentifizierung über gängige Apps? Und andere Sicherheitsrelevante Bedenken

Hallo @JamesChakotay 

vielleicht magst du dich mit deinen Ideen hier einbringen

Gruß

wer sollte dein über Fingerabdruck gesperrtes Handy „ungesperrt“ in die Hände bekommen🤔

Klär uns bitte auf, sind nicht alle technisch so bewandert wie du.

(wer aus Bequemlichkeitsgründen auf Abfrage von SIM PIN und oder Entsperrung seines Smartphone verzichtet, dem ist eh nicht mehr zu helfen)

Ich habe das mal nachvollzogen.

Uber das Widget kam ich nur beim ersten Mal in die App ohne Passwort, nach dem Abmelden dann nicht mehr.

Das sollte natürlich so nicht sein, kopfschüttel.

es gibt Menschen, die sind technisch nicht so bewandert. Meine liebe Frau tut sich da auch etwas schwer, aber sie kocht dafür phantastisch. Ich helfe ihr gerne, auch wenn ich manchmal ungeduldig werde. Ich kenne auch Männer, die sich schwer tun.

Wir sollten nicht gewiefte Nutzer, wie dich, als Maßstab setzen sondern auch Ottonormalverbraucher berücksichtigen bei unseren Sicherheitsbetrachtungen. Damit meine ich nicht den TE.

Ach, Mensch. Es gibt Menschen, die zum Beispiel vertrauenswürdige Orte eingerichtet haben, wo das Smartphone dann weder PIN noch Fingerabdruck abfragt. Ich persönlich nicht, solls aber geben. Du hast vielleicht bemerkt, dass mein Post nicht nur auf mich bezogen war, sondern recht allgemein gehalten meine Beobachtungen wiedergegeben hat. Ich wollte aber deine heile Welt nicht ins Wanken bringen.

Aber du kannst sicher erklären, warum o2 Kundenkonten schlechter gesichert sind als die von der DB.

bei der DB kommst du mit Glück mit dem Zug  von A nach B

bei O2 bekommt ein anderer vielleicht ein Handy,

da muss man überlegen was wichtiger ist.🤣

<ironie off>

Prinzipiell ist Jeder erstmal alleine für seine Daten verantwortlich. Es gibt aber eben selbst 2023 noch richtig Viele, die nicht wissen, dass es Pishing, Malware und Co gibt. Irgendwie regelrecht unglaublich, aber ist so. Diese folgen dann leider oftmals solchen Hoax zB bei Facebook, die man dann mit Pishing verbindet und zack sind die Daten woanders. Von den ganzen SMS oder Emails brauchen wir gar nicht sprechen. Diese Leute müssen geschützt werden. Zumal O² mit solchen Fällen auch ne Menge zeitliche und finanzielle Aufwendung hat, um solche Dinge wieder gerade zu rücken. Vielleicht sogar einen materiellen Schaden, da zb die Smartphones ja erstmal weg sind.

Von daher sollten solche Sicherheitsmaßnahmen einfach mindestens Standard sein, gerade bei solch einem grpßen Provider und Unternehmen. 

Was sollen gutgläubige Kunden denn machen? o2 selber nutzt SMS für vertragliche Dinge. Nicht jeder liest hier den ganzen Tag im Forum. ;-)

@noreply Es ist btw auch nicht undenkbar, dass einem das Gerät im ungesperrten Zustand abhanden gekommen wird. Denkbare Szenarien wo jemand ein entsperrtes Smartphone in die Langfinger bekommt zu konstruieren ist nun nicht so komplex. Eine 2FA von einem Unternehmen zu erwarten und zu fordern, welches mit sensiblen Daten rumhantiert, ist m.E. nicht zuviel verlangt.

@poales Zumindest in meinem Fall hantiert die DB mit sehr ähnlichen Datensätzen von mir herum, wegen eines Abos. Daher passte das Beispiel, weils das inkompetenteste von mir genutzte und für mich denkbare Unternehmen war. 😅

 Ok, die Funktion kannte ich nicht.

Aber „vertrauenswürdige Orte“ und dann „gehackte Daten“ erschliessen sich mir auch nicht.

Egal, man muss nicht alles verstehen…dafür kann ich kochen.

@noreply Ich habe das tatsächlich auch. Aber nur an meiner Heimadresse. Ich möchte in meiner Wohnung nicht ständig Pin oder Fingerabdruck usw eingeben. Damit hatte ich auch nie Problem. Woanders als Zuhause würde ichs tatsächlich auch nicht einstellen. Ich denke, dass die meisten ihre Daten auch nicht auf diesem Weg abgeben, sondern eben durch Eigenverschulden, zB durch Pishing.

Einbruch erschließt sich dir also nicht? Oder dass einem das entsperrte Gerät aus der Hand gerissen werden könnte? Szenarien für sowas gibts eben etliche. Eine 2FA sollte das mindeste sein. Einmal beim Login und einmal bevor man Käufe/Bestellungen abschliesen kann. Und zwar nicht per SMS sondern über Authentifizierungs Apps. Zumindest die Option diese zu nutzen muss es geben. Gibts aber nicht.

@Libertas Auch denkbar. Aber selbst wenn “nur die Zugangsdaten" abhanden kommen, ist eine 2FA hilfreich, die den Zugang zum Account nochmal gesondert sichert, mittels App, die einen Code generiert, der nochmal hinter einer Sicherung mit Fingerabdruck liegt. Von einem Unternehmen wie o2 darf man zumindest die Option erwarten. Ist auch nicht zu 100% sicher, aber besser als alles was jetzt da ist.

Der SMS Kram ist nett, aber sicher ist eben anders.

@JamesChakotay 

Das mit dem Widget ist evtl. Betriebssystem Abhängig. Ich komme ohne FaceID oder Code in keinem Fall in die meino2 app.

(Apple).

@Denner Möglich. Aber dass es bei Android die Sicherheitslücke gibt, schafft bei mir nicht mehr vertrauen.

Wie gesagt, das Einloggen funktioniert im Widget bei mir (Android) nur einmalig. Nach dem Ausloggen nicht mehr. Es kann m E auch daran liegen, daß "Zugangsdaten speichern" aktiviert ist oder Reste im Cache. Wenn man schwebende Fenster betrachtet, fällt zuweilen auf, daß da auch vorherige Anzeigen auftauchen können.

Von Sicherheitslücke würde ich nicht ausgehen, bei einem einmaligen Vorfall. Oder kannst du es reproduzieren?

@JamesChakotay Ich benutze aus Gründen kein Android. 

Aber wenn es bei Apple nicht so ist, dann ist das der Nachweis, dass es von o2 korrekt programmiert wurde.

Im Zweifel auf das Widget verzichten. 

Ich finde das Widget sowieso überflüssig, da es bei mir nichts anzeigt, außer: "Bitte loggen Sie sich in der App ein" denn ich logge mich aus Sicherheitsgründen aus und die App Verknûpfung nimmt weitaus weniger Platz ein..

Mal wieder gut, dass ich Apple benutze. Bei mir zeigt das Widget den Verbrauch an, obwohl die App nicht gestartet ist.

Die App an sich ist per FaceID beim Start der App gesichert, ein Klick auf das Widget, startet ja die App.

schau mal in den Einstellungen, vielleicht hast du was übersehen?

@Denner

Danke für den gut gemeinten Tip. Das paßt schon alles.

Die O2 Widgets sind m E. in meinem Fall überflüssig. Sie nehmen mehr Platz ein, als die App. Ja, das Widget startet die App.  Dann kann ich die App auch direkt starten und mir wird direkt der  Verbrauch angezeigt.

Entscheidend ist ob "Zugangsdaten speichern" aktiviert ist. Das vermeide ich persönlich aus Sicherheitsgründen und nutze den Fingerprint.

Nur so am Rande.

Das kann natürlich jeder handhaben, wie er will.

Von daher habe ich auch keine Sicherheitsbedenken.

Manche stehen aus guten Gründen auf Apple, ich für meinen Teil lasse mich nicht veräppeln. 😉

Du redest wirres Zeug.

Ohne gespeicherte Zugangsdaten nutzt dir auch der Fingerprint nix

@Denner Sorry für die Offtopic Frage, aber wie bist du mit Face ID und der o2 App zufrieden? Klappt da bei dir alles, oder klemmt das hin und wieder? Ab und an hab ich User, da will das mit der Face ID nicht so richtig und da frage ich mich immer, ob es an uns, den Cupertinos oder den Usern selber liegt 😄 

VG Matze 

Ich denke es liegt an den Usern. 

Bei dem Touch ID habe ich regelmäßig alle paar Wochen, jeden Finger zusätzlich angelernt, da sich die Fingerabdrücke im Laufe der Zeit leicht verändern. (Zuviel Waschen, blöd mit der Feile umgegangen usw...) da hatte ich auch nie Probleme.

Bei Face Id braucht es das nicht mehr, weil bei jedem Entsperrvorgang die hinterlegten Daten aktualisiert werden. Wer sich also einen Vollbart wachsen lässt, daran stört sich Face Id nicht.

Ich habe allerdings zusätzlich noch 

Face ID mit Maske hinzugefügt

und 

Face ID mit Brille hinzugefügt.

Damit hat das Gerät genug Infos, damit ich auch mit FFP2 Maske mein Gerät an der Kasse entsperren kann.

Zudem denke ich, je moderner das Gerät, desto besser geht es. Manche vergessen auch, das man dazu das Gerät in die Nähe des Gesichts halten muss. Wer also sein iphone auf dem Schreibtisch liegen hat, 2 Meter neben sich und gerade noch so mit dem ausgestreckten Arm drankommt, der sollte sich nicht wundern, wenn Face ID fehlschlägt. 

Bei der meino2 app ist es so, wenn der Face ID Vorgang nicht erfolgreich war, will die app das Passwort. Das ist zwar auch gespeichert, aber dazu muss man dann klicken und scrollen und tippen.

Ich schieße die App dann einfach aus dem Tasker und starte sie neu, dann fragt sie wieder nach Face ID, das geht schneller. 

Ich schrieb:

"Entscheidend ist ob "Zugangsdaten speichern" aktiviert ist. Das vermeide ich persönlich aus Sicherheitsgründen und nutze den Fingerprint."

Das ist in der Tat verwirrend.

Mit Zugangsdaten meinte ich eigentlich, das Loginpasswort 

Vielleicht habe ich mich etwas ungeschickt ausgedrückt.

Es ging ursprünglich darum, daß @JamesChakotay das Problem hatte, daß sich das Widget ungewollt einloggte. Ich habe bei der App "Zugangsdaten speichern" aktiviert und logge mich über den Fingerprint ein. Wenn ich das Widget starte und mich anmelde gibt es bei mir kein automatisches Login über das Widget mehr, wenn ich mich zuvor ordnungsgemäß abmelde.  @Sächsin hat kürzlich erkannt, daß die App Versionen sich aber auch unterschiedlich verhalten.

Übrigens Höflichkeit ist m E. auch Bestandteil der Netiquette. Das solltest du als langjähriges Mitglied wissen.

Das macht es nicht besser.

Wenn Du das Login Password nicht gespeichert hast, nutzt kein Fingerprint oder FaceID irgendetwas.

Bei der App kann man einstellen, ab wann man automatisch  ausgeloggt wird. Sofort, nach 1 Minute, 5,15 oder 30 Minuten.

Somit hat James keine Sicherheitsrisiko entdeckt, sondern gezeigt, das er sich nicht mit der app beschäftigt hat.