Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

2 Faktor Authentifizierung - aber NICHT so!

TerraD · 2025-07-07T18:34:35+00:00

Si vous avez pour le bien du paradis sur une authentification à deux facteurs via SMS (ou par e-mail) en 2025! Les deux sont complètement obsolètes et ne sont guère plus sûrs parmi les experts qu'un long mot de passe aléatoire! Une telle sécurité factice n'est d'aucune utilité pour personne, mais la connexion est compliquée et élaborée! Parce que je prends toujours la facture dans la comptabilité, dois-je passer par ce processus manuel 12 fois par an? Gaht n'est pas! Je suis très pour 2fa - * mais à droite *: il y a eu TOTP et - un peu plus moderne - Passkey depuis des années. Cela aurait été un véritable progrès. Si le téléphone portable est désormais défectueux (ou aucun SMS errant ou oubliant), je ne peux plus accéder au compte. Même si le téléphone portable descend de façon inattendue, la protection 2FA est sans usage ou que le voleur a même accès au code pour vous légitimer! Et parce que le SMS sur mon téléphone portable (forcé) des messages Google, nous avons traité 1) un autre écart de sécurité possible et 2) pour les attaquants un vecteur d'attaque encore plus valable ... Juste parce que c'est plus compliqué, ça ne deviendra pas plus sûr! Vraiment pas une bonne idée ...

TerraD

Wer - ums Himmels Willen - kommt darauf im Jahr 2025 eine Zwei-Faktor-Authentifizierung per SMS (oder per E-Mail) einzuführen! Beides völlig veraltet und gilt unter Fachleuten als kaum sicherer als ein langes Zufallszeichen-Passwort! Solche Scheinsicherheit nützt Niemandem, macht aber das Login komplizierte und aufwendiger! Weil ich die Rechnung immer in der Buchhaltung ablege, muss ich jetzt 12-mal jährlich diesen Handprozess durchlaufen? Gaht’s no!

Ich bin sehr für 2FA - aber richtig: Es gibt seit Jahren TOTP und - noch etwas moderner - PassKey. Das wäre dann ein echter Fortschritt gewesen.

Sollte das Handy jetzt mal defekt (oder kein SMS-Roaming oder vergessen zu zahlen) sein, komme ich nicht mehr auf das Konto. Auch wenn das Handy ungelockt abhanden kommt, nützt der 2FA-Schutz gar nichts oder der Dieb hat sogar noch Zugang zum Code um sich zu legitimieren! Und weil die SMS auf meinem Handy (zwangsmässig) von Google Messages verarbeitet werden haben wir da 1) eine weitere mögliche Sicherheitslücke und 2) für Angreifer einen noch lohnenderen Angriffsvektor …

Nur weil es komplizierter ist, wird es nicht sicherer! Wirklich keine gute Idee…

Sunrise_Team

Hallo @TerraD
Vielen Dank für deine Nachricht.
Hast du bei uns eine Mobile Nummer die gerade aktiv ist?
Liebe Grüsse
Mattia

TerraD

Sunrise_Team Hallo @TerraD
Vielen Dank für deine Nachricht.
Hast du bei uns eine Mobile Nummer die gerade aktiv ist?
Liebe Grüsse
Mattia

Wofür war dann diese Frage? Und doch: dieser Hotspot hat auch SMS - aber überhaupt nicht komfortabel… Diese Diskussion kam nur auf, weil Mattia einer aktiven Mobile Nummer fragte…

Und eben: ich finde 2FA sehr sinnvoll, aber mit SMS ist es eben nur eine Scheinsicherheit. Und für einen einfachen Rechnungsdownload völliger Overkill.

Und das Hauptproblem ist, dass man bei einem Verlust des Handies nicht mehr auf das Konto kommt. Auch das ist einfach nicht sinnvoll.

TerraD

Hallo Mattia

Ich habe eine SIM-Karte von Sunrise, aber diese steckt in einem Kommunikations-Hotspot ohne Display. Das ist also kein Handy, sondern ein ‘dummes’ Gerät.

Kannst du mir deine Antwort bitte genauer erklären? Ich nehme nicht an, dass es das ist, was du mit ‘aktiv’ meinst?

Daniele_Sunrise

TerraD Du benötigst ein Handy mit Display um das SMS mit 2FA auslesen zu können. Dies geht weder mit einem Hotspot, noch mit anderen “nur Datengeräte”. Wir empfehlen die Nutzung eines Handys.

Ob und wann 2FA mit Fremdapps kommt, können wir dir zur Zeit nicht mitteilen.

Liebe Grüsse
Daniele

Logi21

@TerraD Mit einer Authentifizierungsapp würde auch noch gehen oder ?

TerraD

Also auf dieser SIM-Karte wohl nicht, wie gesagt, das Teil hat kein Display:

Aber auf meinem Handy habe ich natürlich eine App für TOTP.

eisenringtheo

TerraD SMS auf diesem Gerät liest man, indem man auf dem Computer oder Handy die Adresse “http://192.168.8.1/” im Browser eingibt

TerraD

Ja möglich ist das - auch wenn bei mir die IP Adresse eine andere ist…. Aber ich habe dieses Gerät nicht bei mir zu Hause und für 12 Zugriffe im Jahr immer dran denken - das kommt nicht gut!

Es geht in meinem Post aber darum, dass 2FA über Email und SMS prinzipiell praktisch sinnlos ist, weil es nur eine scheinbare Verbesserung der Sicherheit bringt. Wenn man Sicherheit will, dann bitte etwas das wirklich ein Verbesserung bringt. Dafür muss man dann halt mehr Aufwand treiben als nur eine SMS zu senden!

Ist es überhaupt notwendig den Abruf einer Rechnung mit 2FA zu schützen? Gut, sie kann schützenswerte Rufnummern enthalten. Aber wäre es wirklich eine Katastrophe, wenn diese mal publik würden - für 99.99% der Fälle nicht. Dafür wären Lösungen denkbar (abtrennen der Verbindungsnachweise von der Rechnung) - dann könnte man die Rechnung sogar per Mail versenden oder einfach mittels Link downloadbar machen…

Natürlich gibt es andere Bereiche in der Kundenverwaltung, die sensibel sind weil Sie Tür und Tor für Betrug öffnen. Aber genau da schützt 2FA per SMS nicht genügend.

eisenringtheo

Mit E-Bill kommt die Rechnung ins Postfach der Bank. Natürlich ist die 2FA Identifikation nicht sicher. Natürlich wäre es mir auch lieber, wenn ich den Google oder Microsoft Authenticator benutzen könnte, weil ich hier im Hause dank Minergie meist über WLan telefonieren muss. SMS über Wlan gehen nicht immer.
Doch da diese Apps über das Android oder Iphone Handy funktionieren, sind auch diese nicht ideal.