Warum O2
Warenkorb
Service
Gelöst

Multifaktor / Zwei-Faktor Authentifizierung / MFA / 2FA


Benutzerebene 1

Sehr geehrtes o2 Team,

 

ich möchte meine bei Ihnen gespeicherten, persönliche Daten absichern und hierzu die seit langem gängige Technologie der Multifaktor Authentifizierung nutzen.

Leider konnte ich dies bisher bei Ihnen nicht finden.

 

Vielen Dank im Voraus.

Gruß Patrick

icon

Lösung von o2_Juliane 8 December 2019, 16:53

Zur Antwort springen

33 Antworten

Hallo!

 

Sind die Telekommunikationsanbieter verpflichtet diese Möglichkeit anzubieten?

Benutzerebene 7

Hallo @patricke91,

 

vielen Dank für deine Anfrage, allerdings bieten wir diese Art der Authetifizierung nicht an.
Wann es soweit sein wird oder überhaupt, kann ich dir leider nicht sagen, da mir dazu keine weiteren Infos vorliegen.

 

Wenn du noch Fragen hast, sag gerne Bescheid!

 

Viele Grüße
Juliane

Benutzerebene 1

Hallo Juliane,

 

vorab: vielen Dank für die Rückmeldung.

Aber ich muss nochmal provokant nachfragen: Liegt meinem Mobilfunkanbieter der Schutz meiner Daten also nicht so sehr am Herzen wie mir als Kunden selbst?

Sollte das wirklich ein Grund sein, den ich in meine zukünftige Anbieterwahl einbeziehen muss, wenn o2 dies nicht bieten kann?

Dies sollte ein essentieller, grundlegender Punkt auf der Liste der umzusetzenden Dinge sein, an denen o2 extrem zeitnah arbeiten muss.

Benutzerebene 7
Abzeichen

Welcher Netzanbieter hat denn eine zweifaktor Authentifizierung?Man könnte aber diesen Gedanken tatsächlich aufgreifen,weil Daten und Datenschutz ist heutzutage ja sehr wichtig.

Benutzerebene 7

Hallo @patricke91,

 

natürlich liegt uns der Datenschutz unserer Kunden, also auch von dir, sehr am Herzen. Nur weil wir diese Art der Authentifizierung nicht anbieten, heißt es ja nicht, dass wir das niemals tun werden. Aber zur Zeit liegen mir keine Informationen darüber vor, ob es irgendwann bei uns angeboten wird bzw. wann, tut mir Leid.

Ich danke dir für deinen Vorschlag und dein Feedback, das nehmen wir gerne mit. :blush:

 

Viele Grüße
Juliane

Benutzerebene 7
Abzeichen +7

 

Sollte das wirklich ein Grund sein, den ich in meine zukünftige Anbieterwahl einbeziehen muss, wenn o2 dies nicht bieten kann?

 

Das wäre ein seltsamer Grund, und würde auch deine Auswahl momentan sehr einschränken, weil kaum ein Anbieter 2FA bereitstellt.

2FA ist zwar sinnvoll - wenn richtig implementiert - aber damit sollen vor allem die Leute geschutzt werden, die schwache Passwörter benutzen und sorglos mit ihren Daten umgehen, oder wenn Passwörter als Plaintext abgespeichert sind, was man hoffentlich hier ausschließen kann. Gehörst du nicht zu diesem Personenkreis wäre die Frage inwiefern du mit 2FA deine Daten deutlich besser absichern kannst.

Benutzerebene 1

Danke für die Rückmeldungen.

 

Ob bereits andere TK-Anbieter MFA anbieten weiß ich nicht, das ist korrekt. Gut möglich, dass noch niemand so weit ist, was sehr schade wäre.

Meiner Meinung nach sollte MFA zum Standard gehören, auch wenn mir klar ist, dass simple Passwörter unsicherer sind als komplexere.

Dennoch ist ein Passwort im eigentlichen Sinne allein grundsätzlich als eher unsicher anzusehen, daher ist mir MFA persönlich wichtig. Schöner wäre noch passwordless im Sinne von zB. FIDO2, aber u2f/mfa wäre schon einmal ein guter Anfang.

Dennoch ist ein Passwort im eigentlichen Sinne allein grundsätzlich als eher unsicher anzusehen, 

Dann kennst du noch nicht die o2 Kunden, die hier alles reinschreiben.

Vollständiger Name, vollständige Anschrift, Geburtsdatum, persönliche Kundenkennzahl, Bankdaten, Mobilfunknummer und/oder Festnetznummer. Oder gleich der Screenshot vom Personalausweis.

 

Wie kann man solche Leute schützen?

ich krame mal den alten Post aus weil mich das auch interessiert, weil am Dienstag ( oder kurz davor) mein O2 Account wohl gehackt wurde und darüber ein Handy bestellt wurde ( Details erspare ich euch da alles noch in Bearbeitung ist )

Da es ja nun nicht nur mir sowas passiert ist, versteh ich nicht warum man die Sicherheit nicht “verschärft” 

Da kann man den Acc “hacken” , Daten ändern, Handys ordern, Lieferadresse ändern, ect.pp , und es wird nicht einmal nachgefragt ob man da denn wirklich möchte .

Eine SMS oder sonst was wo man bestätigen MUSS das man das auch selbst gewesen ist kann doch nicht so schwer sein.

 

Denn das O2 Acc´s kompromitiert werden is nicht erst seit 2021 ein Problem ;)

 

da sollte echt mal was passieren

 

 

Benutzerebene 7
Abzeichen +7

Das ist doch kein o2-spezifisches Problem. Acc[ount]s können an sich überall - heute wie vor Jahren - kompromitiert werden wenn der Angreifer in Besitz des Passworts ist. Ob das Passwort erraten oder geklaut wurde ist dabei unerheblich. Trotzdem stimme ich dir zu, dass es nicht so einfach möglich sein sollte, bestimmte Transaktionen ungeprüft auszuführen. Insbesondere sollte es nicht möglich sein, die Adresse zu ändern und anschließend ein teures Handy zu bestellen. Da es in den letzten Tagen mehrere solcher Fälle gab (bei dir auch eine Adresse in Berlin?) handelt es sich eventuell um einen Datenleck bei einem anderen Unternehmen. Oder nutzt du vorbildlich für o2 ein Passwort, das du sonst nirgendwo nutzt?

Hallo @Hamstibamsti,

 

kurze Frage dazu: hattest du dich schon an unser Backoffice in Nürnberg gewandt bzgl. dieses Anliegens?

Ist der Account erstmal in abgesichert?

 

Gruß,

Michi

Eine SMS oder sonst was wo man bestätigen MUSS das man das auch selbst gewesen ist kann doch nicht so schwer sein.

Ich sehe das genau andersrum - genau der SMS-Login ohne weitere Identitätsprüfung könnte das Einfallstor für raffinierte Zeitgenossen sein. Es gibt nichts schlimmeres als fehlerhaft implementierte Zugangsverfahren.  

Hallo @Hamstibamsti ,

 

ja, toll ist das natürlich nicht, wenn der Account gehakt wird. 

Aber ich sehe das ähnliche wie @Klaus_VoIP , auch über so eine SMS kann es dazu kommen, sich jemand anderes in deinen Account  hakt.

Diese Bestätigungs-SMS schützt leider auch nicht zu 100%.

 

 

Liebe Grüße Maria

Ich schließe mich an und wünsche auch eine (zügige) Implementierung einer totp 2fa. 

 

Warum totp2fa und nicht die teilweise genutzte SMS Authentifizierung?!

 

Bei einem eingegangenen SMS Trojaner bringt eine SMS Authentifizierung rein gar nichts. 

Und leider ist es mittlerweile so, das nach dem Phishing eine "Warnmeldung" angezeigt wird das man einen Virus habe und man den super Virusscanner laden solle - das ist allerdings dann das Pferd aus Troja das die SMS an die Fischerei weitergeleitet. 

 

Eine schöne und auch richtige Diskussion.

Wobei das Feld sicherlich auch in Zukunft ein Katz und Maus-Spiel von Sicherheitsmaßnahmen und denen die sich den illegalen Zugang verschaffen wollen bleiben wird. Und oft genug sind es dann ja nichtmal die digitalen “Schlösser” die geknackt werden, sondern man findet halt einfach Mittel und Wege die drumherum führen, danke für die Meinungen und Gedanken.

 

Schöne Grüße, Sven

Ich würde mich auch über ein 2FA Feature freuen… wir haben das Jahr 2022 und das sollte eigentlich bei allen Großen Standard sein….

Benutzerebene 2

Guten Tag zusammen,

ich bin auch gerade dabei, all meine Accounts, die ich so habe, zusätzlich mit einer 2-Faktor-Authentifizierung (TOTP) abzusichern, und habe bei O2 keine Möglichkeit gefunden und nun auf diesen Thread gestoßen bin.

Ich gebe zu, es ist immer etwas umständlich, aber das muss der Sicherheit es wert sein.

Ich persönlich nutze Authy, da ich meine TOTPs (Time based one time password) dann auf mehreren Geräten parallel angezeigt bekomme.

Und ja, ich verstehe es auch nicht, wenn große Unternehmen es nicht gebacken bekommen, diese Technik anzubieten. Auch der Magentafarbene Riese hat es bis heute nicht hinbekommen. :-(

Hallo @Tr0n und @trophyblau,

an welcher Stelle würdet ihr euch denn genau die Zwei-Faktor-Authentifizierung wünschen ?

Beim online Zugang auf dem Portal fragen wir an einigen Stellen das Passwort erneut ab. Bei Bestellungen und Änderungen bestätigen wir diese per Mail.

Bei der eSIM Aktivierung haben wir sie.

Ich glaube gut wäre es generell, wenn man regelmäßig seine Passworte ändert. 

Gruß, Solveig

Warum das mit der MFA-Geschichte neuerdings wieder so wichtig wäre:

Die meisten Onlinebanken fangen grad wieder großspurig mit MFA per SMS an.
Zwar nicht mehr wie früher, um Bank-Transaktionen abzusichern (dafür haben die Banken den Kunden längst Bank-TAN-Apps mit Software-generierten TANs aufgedrängt).

Die Banken nutzen SMS nun aber wieder, für den Fall, dass man die Bank-TAN-App verschludert hat:
Wenn man seine Bank-TAN-App auf ein anderes Gerät umziehen will oder wenn man die Bank-MFA-App versehentlich gelöscht/verschludert hat, fordert man ein per SMS versandtes Einmalpasswort an die bei der Bank hinterlegte Mobilfunknummer an. Damit kann man die Bank-TAN-App auf einem neuen Gerät in Betrieb nehmen.
Überwiegend ist das so designed, dass das nicht optional ist, der Bankkunde hat meist keine Wahl, der muss eine Mobilfunknummer hinterlegen.

Obwohl die Banken früher behauptet haben, SMS als TAN für Bankdinge wäre generell zu unsicher (wegen SIM Swapping Fraud und so...), setzen sie nun also wieder ganz stark drauf. Die Bank-MFA-App dient nun eher nur noch als Behelfsvehikel, damit die Bank in Summe weniger SMS verschicken muss und damit SMS-Versandkosten spart.

Seit dieser Woche z.B. die ING für Bestandskunden (dafür entfällt der DibaKey). Die DKB auch schon etwas länger. Einige Sparkassen mit ihren Apps auch. Die Liste ist lang und wird weiter länger, weil einer vom anderen abkuckt (und weil das aus Kundensicht so praktisch wirkt). Faktisch hängt die allgemeine Bank-Sicherheit also nun erneut an der SMS.

Ab jetzt gilt also erneut wie bei SMS-TANs: Jeder Fremde, der irgendwie Zugang zu den per SMS übertragenen Bank-Einmalpassworten hat, kann die Bank-MFA-App auf ein anderes Gerät umziehen und damit Unsinn anstellen.

Wenn nun der Mobilfunk-Onlinekundenzugang zum SIM-Vertrag nur mit einem Passwort abgesichert ist, kann jeder, der das Passwort vom SIM-Karten-Selfservice-Kundenzugang abfischt, die hinterlegte Mobilfunk-Kunden-Adresse ändern, eine neue SIM anfordern und aktivieren und dann anfangen Bankkonten leerräumen. Wenn ein Angreifer das halbwegs geschickt timed, ist das Bankkonto leer geräumt, bevor der Kunde es merkt und gegensteuern kann.

Deswegen wäre es aus Mobilfunk-Kundensicht sehr interessant, dass der SIM-Karten-Kundenselfservice-Onlinezugang besser abgesichert wird und zwar so, dass man sich Minimum SMS-TAN und noch besser wahlweise eine Google Authenticator App reinkonfigurieren kann, für:
- jeden Login zum SIM-Kundenselfservicebereich, damit Phisher schon mal gar nicht mal an private Daten wie Kontonummer, Geburtsdatum und Adresse rankommen, wenn sie das O2-Passwort irgendwie abfischen konnten
- jede Änderung der hinterlegten SIM-Postadresse
- jede Änderung der hinterlegten SIM-Mail-Benachrichtigungs-Adresse
- jedes Anfordern eines SIM-Kartentausch, nicht nur bei eSIM-Wechsel (Bei SIM-Tasch wäre sogar ein erneutes zwangsweises Videoident ein interessantes Sicherheitsfeature)
- wenn man sein O2-Kundenselfservicezugangs-Passwort ändert


Falls man den Mobilfunk-MFA-Zugang verliert, braucht man einen MFA-Reset:
- Dazu Online-Anfordern von einem Reset-Code, versandt per Brief an die hinterlegte Postadresse
- Microsoft hat bei Outlook.com folgenden Kompromiss, wie man den Verlust der MFA-App kompensieren kann: Kunde fordert unauthentisiert durch Angabe der Kundennummer einen MFA-Reset online an, der Kunde wird dann an die hinterlegte Backup-Mail-Adresse über den angeforderten MFA-Reset benachrichtigt. Dann läuft ein 30 Tage Countdown an und nach 30 Tagen kann man das Konto auch ohne MFA zurückclaimen, durch ein Einmalpasswort, welches nach 30 Tagen an die hinterlegte Backup-Mail-Adresse gesandt wird. Vermutlich brauchts sowas aber bei O2 nicht, weil da wäre ja noch die Hotline. Läden gibts bei O2 ja auch noch.

Nachtrag:
….so nen seltsamen Zufall hatte ich lange nicht mehr. Kaum halber Tag später nachdem ich das obige gepostet hatte, ruft mich eine unbekannte Person an (allerdings auf dem Telekom-Geschäftshändy), gibt sich als “Vertriebsparter” aus und fragt ob ich mit dem Vertrag zufrieden bin. Und dann, ob ich zur Bestätigung nicht kurz mein Online-Passwort durchsagen könnte….

Wer da als leichtsinniger Kunde unbedarft das Passwort durchsagt, kramt evtl. auch schnell nach der Google Authenticator App und gibt den MFA-Code auch noch mit durch. Da ist dann leider auch Push-basierte MFA oder SMS-TAN mit dem Zusatztext “Geben sie den Code niemals telefonisch durch!” zwar wahrscheinlich betrugsmindernder als ein rein Google Authenticator Code basiertes Verfahren, aber auch nicht perfekt.

Optimale Gegenmaßnahme wäre in dem Fall eine MFA-App, wo man mit einer App einen QR-Code vom Screen abscannen muss bzw wo eine Vertragsmanagementapp ein eingebautes MFA Verfahren per gespeichertem Zusatzschlüssel in der iOS Secure Enclave erhält.

Ich hab da noch was interessantes gefunden:

Wenn man beim O2-SIM-Karten-Online-Aktivieren keinen Account anlegt (man wird ja interaktiv gefragt, ob man einen anlegen möchte), dann kann man sich danach aber trotzdem auch ohne so einen angelegten Account ins persönliche Kundenprofil einloggen.
Statt wahlweise Passwort oder SMS-Code gilt dann ausschließlich der SMS-Code für den Login.

Es wird also demnach trotzdem ein Login-Account angelegt, aber halt ganz ohne Passwort, nur mit SMS-Code-Authentifizierung.
Also mit dem interessanten Seiteneffekt, dass man dann ausschließlich ein starkes Authentifizierungsverfahren (ohne Passwort) für den persönlichen Onlinezugang hat.

Sonstige Konsequenzen kann ich nicht einschätzen. Wenn man nur 1 SIM besitzt, sehe ich als Kunde spontan keine Nachteile.
Dieser Trick funktioniert halt erstmal nur für Neukunden, die bisher noch keinen Account angelegt haben.

Benutzerebene 7

Hi @Wevif ,
vielen Dank für dein Feedback. 
@Klaus_VoIP , @Vilureef oder @Tom_  habt ihr ähnliche Erfahrungen gemacht?

LG
Michael

Das der Online-Zugang völlig unsicher und untauglich ist im Zusammenhang Kinder- und Partner-SIM ist doch auch schon ein ewiges Thema. Jede SIM kann sich per SMS das Recht holen alle Daten und Einstellungen zu verändern, Verträge zu schließen etc.

Insofern - JA, es fehlt ein Masterpasswort oder eine Master-Authentisierung mit Rechtekonzept. Leider sind die heutigen 2FA lausiger als das was ich seit 20 Jahren kenne. Durch die Ausrichtung auf den Consumerbereich gibt es ziemlich halbgare Lösungen. Diese sind meist ein schlechter Kompromiß und schränken oft die Verfügbarkeit ein. Leider neige ich dazu diese eher zu meiden als zu nutzen. Mit einem zusätzlichen “Admin-Passwort” könnte man die Risiken vermutlich zu 90% besser eliminieren.

Benutzerebene 7

@Klaus_VoIP vielen Dank für dein Feedback und deine Vorschläge

grüße
Michael

Sollte hier ein Mitarbeiter mitlesen, bitte bitte implementiert ZFA bzw. leitet das an Stellen weiter die sich darum kümmern. Mit den Multicards kann man so einen Schaden anrichten wenn man einzig und allein das Passwort hat. Adresse ändern, sich eine SIM Karte irgendwohin schicken lassen dann den SMS Empfang auf die neue Karte umleiten uns los gehts. So was kann und darf einfach nicht ohne Absicherung möglich sein, das ist unverantwortlich. Und diese Diskussion über sichere Passwörter ist völliger Nonsense. Passwörter sind nie sicher, solange es hacking tools wie Keylogger & Co gibt. 

Deine Antwort