Es wird Zeit für die Multifaktor-Anmeldung

by Volker Weber

6d8115cf38b52a65bf29ef4da5fb2c5f

Wenn Ihr ein bisschen Zeit zwischen den Jahren habt, dann investiert mal in Eure Sicherheit. Anmeldungen mit Benutzername und Passwort sind unsicher. Ihr braucht (mindestens) einen zweiten Faktor. Ich benutze dazu den kostenlosen Microsoft Authenticator, weil man ihn über einen Backup auch auf ein zweites Gerät installieren kann. Bei mir sind das iPhone und iPad.

Mit einer einzigen App kann man alle Konten schützen, weil man sich auf einen Standard geeignet hat. Und so geht es:

Das sind nur die drei wichtigsten Konten. Ich habe sämtliche Konten, die private Informationen enthalten könnten, so gesichert. Selbst die Fritzbox. Das funktioniert übrigens möglichst schonend. Man muss keineswegs immer einen zweiten Faktor aktivieren sondern nur, wenn etwas ungewöhnliches passiert. Neuer PC, neuer Browser etc.

Das ist kein Pseudosicherheitstheater im Sinne von "so bomben Sie Windows auf XP-Niveau" sondern eine wirklich wertvolle Sache.

Comments

Ich verwende seit Jahren 1Password und zusätzlich Authy, wo bis jetzt über 20 2FA Accounts definiert sind.

Die Unterstützung von 2FA im 1Password (iOS und macOS) und im Authy (ebenfalls
iOS und macOS) sind benutzerfreundlich und einfach zu erstellen.

Aber der kostenlose MS Authenticator ist sicher auch eine gute Lösung.

Andy Brunner, 2020-12-28

Mein Favorit, Yubico Authenticator in Verbindung mit einem YubiKey.
Für mehr Sicherheit beim zweiten Faktor.

Bitte auf SMS zum übermitteln des zweiten Faktors verzichten. Das ist nicht sicher wird aber noch angeboten (z.B. Amazon, Twitter, ..)

Ingo Kueper, 2020-12-28

Amazon scheint die Mobilfunknummer als Fallback für 2FA zu nutzen. Weiß jemand wie man das abstellen kann?

Abdelkader Boui, 2020-12-28

Halte ich für unwichtig.

Volker Weber, 2020-12-28

Okay, danke. Dann lasse ich das mal so.

Abdelkader Boui, 2020-12-28

Die Einführung von MFA erhöht die Sicherheit um viele Größenordnungen. Ob man das mit Hardware-Token, Software-Token oder SMS macht, spielt kaum eine Rolle in diesem Zusammenhang.

Volker Weber, 2020-12-28

Ich hätte noch eine Ergänzung zu den wichtigsten Konten: die persönlich genutzten e-Mail-Accounts.

Sven Bühler, 2020-12-28

In jedem Fall. Vor allem das Restore-Konto. Darum fange ich mit Microsoft (Outlook.de) und Google (Gmail) an.

Volker Weber, 2020-12-28

Dann muss man aber auch IMAP / POP3 deaktivieren. Das hängt sonst wieder nur an einem Passwort.

Manfred Wiktorin, 2020-12-28

Schon mal von OAuth2 gehört?

Volker Weber, 2020-12-28

Bei Email ist es so, dass es durchaus Anbieter gibt, welche neben 2FA auch appspezifische Passwörter anbieten (hier sogar abhängen vom genutzten Dienst: IMAP, SMTP, Cal/CardDAV usw.).

Ein Beispiel einer in meinen Augen nahezu mustergültigen Umsetzung gibt es hier:
https://www.fastmail.com/help/clients/apppassword.html

Mehr als nur eine Empfehlung wert.

Lars Bret, 2020-12-28

Welcher Webhoster bietet 2FA für die eigene Email-Domain an? Strato hat das nicht....

Klaus Schneider, 2020-12-28

Ja, komplett hinter dem Mond. Deshalb rede ich niemals mit diesen Mailservern. Ich schicke das einfach redundant and outlook.com und gmail.com. Einer von beiden geht immer.

Volker Weber, 2020-12-28

2FA ist mittlerweile schon fast ein Hobby .. Ich hab mittlerweile 3 2FA Applikationen auf meinem Handy.. Aber mehr damit ich anderen helfen kann, die richtige App zu finden. Die APP von Microsoft finde ich sogar ganz gut!

Was am meisten Spaß gemacht hat:

https://blog.nashcom.de/nashcomblog.nsf/dx/paranoid-ssh-configuration-3fa.htm

Wir haben das z.B. auf einem DNUG Server installiert mit: Username + Time based token.
Ich selbst bin bei Passwort und Zertifikat gleichzeitig mit ed25519 key gelandet für meine Linux Server.

Cloudflare und Hetzner bieten es für die Admin Oberfläche an.
Mein SafeLinx VPN verwendet es. Domino V12 Early Access Code drop haben es --> https://help.hcltechsw.com/domino/earlyaccess/conf_totp_overview.html

Und es ist ganz easy zu installieren (dafür wurde der ID Vault erweitert im Backend).

Nur mal um ein paar zu nennen ..


Daniel Nashed, 2020-12-29

Der Teil der Konten die trotz MFA kompromittiert werden liegt bei 0.1%. Der Wert bezieht sich auf alle aktiven Microsoft Accounts.

Daher ist die Aussage, dass die Methode der Token-Übermittlung eigentlich unerheblich ist richtig.

Wer Paranoid ist oder einem erhöhtes Risiko von gezielten Angriffen ausgesetzt ist findet hier eine ganz gute Zusammenfassung von Alex Weinert, seines Zeichens Director of Identity Security bei Microsoft:

https://techcommunity.microsoft.com/t5/azure-active-directory-identity/all-your-creds-are-belong-to-us/ba-p/855124


Ingo Kueper, 2020-12-29

Authy ist meine erste Wahl, desktop und mobil und synchronisierbar.
Es gibt bei mir nur noch ein MS Produkt im aktiven Einsatz und es ist Visual Studio Code, weil es kostenlos und wirklich gut ist. Wenn ich auf MS, Google oder Facebook verzichten kann, fühle ich mich am wohlsten. Und man kann sehr gut drauf verzichten.

Sami Bahri, 2020-12-29

Für Menschen mit Android-Telefon empfehle ich Aegis, Open Source und aus den Niederlanden https://getaegis.app/. Authy ist fraglos schick, gehört aber seit geraumer Zeit zu Twilio und ist mir deswegen tendenziell suspekt. Aber jede OTP-App für 2FA ist besser als keine 2FA, so viel steht fest.

Thomas Cloer, 2020-12-30

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

Andy Mell on Hush :: Was für eine Erleichterung at 23:15
Kai Stukenbrock on So klingst du gut in Clubhouse at 23:03
Oliver Regelmann on Hush :: Was für eine Erleichterung at 22:30
Volker Weber on So klingst du gut in Clubhouse at 21:14
Friedrich Holstein on So klingst du gut in Clubhouse at 18:15
Ralf Pichler on Hush :: Was für eine Erleichterung at 15:25
Tobias Hauser on So klingst du gut in Clubhouse at 15:13
Volker Weber on So klingst du gut in Clubhouse at 13:28
Kai Stukenbrock on So klingst du gut in Clubhouse at 13:18
Raphael Rehberg on Hush :: Was für eine Erleichterung at 13:09
Volker Weber on Hush :: Was für eine Erleichterung at 12:49
Frank Quednau on Hush :: Was für eine Erleichterung at 12:32
Uwe Papenfuss on Hush :: Was für eine Erleichterung at 12:21
Marko Schulz on Hush :: Was für eine Erleichterung at 11:53
René Fischer on Hush :: Was für eine Erleichterung at 11:42
Volker Weber on Hush :: Was für eine Erleichterung at 11:30
Marc Henkel on Hush :: Was für eine Erleichterung at 11:27
Daniel Meyer on Hush :: Was für eine Erleichterung at 11:24
Benedikt Niemann on Hush :: Was für eine Erleichterung at 11:14
Volker Weber on Hush :: Was für eine Erleichterung at 11:03
René Fischer on Hush :: Was für eine Erleichterung at 11:01
Frank Müller on Hush :: Was für eine Erleichterung at 10:59
Thorsten Puzich on Hush :: Was für eine Erleichterung at 10:57
Frank Stoermer on Hush :: Was für eine Erleichterung at 10:52
Axel Borschbach on Hush :: Was für eine Erleichterung at 10:52

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 17:23

visitors.gif

Paypal vowe