2-Faktor-Authentifizierung empfohlen?

So sehr ich den Astrotreff liebe und so wichtig er mir ist, sollte mein Konto hier geknackt werden, dann werde ich dadurch keinen finanziellen Verlust haben. Daher keine 2FA.

Viele Grüße

Axel

Ich logge mich (als Moderator) mit 2-Faktor Authentifizierung ein. Den MS-Authenticator habe ich ohnehin auf dem Handy.

Hallo,

denke "solge es kein Geld kosten kann" sollte nur Paswort genügen - 2-Faktor-Authentifizierungen "nervt" micht immer, wird evlt. bald Pficht - der CRA (Cyber Resilience Act) gilt ja bald verbindlich....

viele Grüße, Martin

Zu bedenken dabei:

Man schützt nicht nur sich selbst, sondern vorallem Forenkollegen mit der 2fach Autorisierung vor Betrug.

Der Aufwand ist wirklich geringer als man denkt...

Gruß Horst

Ich wollte jetzt mit gutem Beispiel voran gehen, finde aber (auf dem Smartphone) keine Möglichkeit hier auf 2fach Autorisierung umzustellen....

Gruß Horst

Ich mache das nur mit einem starken Passwort.

Allerdings habe ich es gerade umgestellt, sodass ich auch den Einmalcode über meine Email bekomme. "Better safe than sorry".

Umgestellt wird das über Kontrollzentrum > Benutzerkonto verwalten > (links) Sicherheit

2FA ist nicht so nervig, wie die Online-Menschen das empfinden. In meinem Institut gehört die 2FA längst zum Alltag und ist daher bei den MA akzeptiert. Argumente über "Zeitverschwendung" beim Anmelden und Diskussionen über Kennwörter gehören der Vergangenheit an. Privat verwende ich sehr starke Kennwörter, die aufgeschrieben und nicht im Browser oder auf dem Computer gespeichert werden (sondern im Kopf).

Quote from RalfD

,.......Privat verwende ich sehr starke Kennwörter, die aufgeschrieben und nicht im Browser oder auf dem Computer gespeichert werden (sondern im Kopf).

So ist es und das sollte m.E. für Foren reichen.

Gruß

Günther

Hallo Leute,

Hm, vielleicht ist das im Marktplatz relevant?
Ein starkes PW sollte eigentlich genügen. Mindestens 10 Zeichen, Groß-/Kleinbuchstaben, Zahlen, 2 Sonderzeichen.
Wenn man so doof ist und z.B. Passwörter wie "Andy74" verwendet, ist einem eh nicht zu helfen.
Just my 2¢.

cs,

harald

--

Moin!

Also, ich habe meine Paßwörter alle im Kopf, seltener benutzte in einem kleinen Notizbuch aufgeschrieben.

Das halte ich seit dem Beginn meiner Onlinezeit vor 35 Jahren so. Vorher bei der Ausbildung bei einer Versicherung Anfang der Achtziger mußten wir einmal im Monat das PW am Terminal ändern. Zweifach-Authentifizierung per SMS kenne ich nur von Paypal (dort per Zufall generiert, mal ja, mal nein) und seit kurzem als Online-Kunde bei einer Versicherung.

Bankgeschäfte selbst mache ich grundsätzlich nicht online. Ich renne auch nicht ständig mit einem Smartphone durch die Gegend und liefere meinen Datenkraken Informationen.

Nein, doppelte Authentifizierung für dieses Forum halte ich doch für etwas übertrieben. Das berühmte "starke PW" reicht mir.

2 Faktor ist schon nicht schlecht.. Da könnte man auf den dummen gedanken kommen und nur noch ein Password verwenden.. Weil der 2. Faktor ist ja dann eh im Handy.

Übertriebenes Beispiel:

Dhjd2FAa@at_9!ujkdm

Du hast jetzt die 2 Faktor Authentifizierung aktiviert at astrotreff _9 und jetzt knack das mal

"Merken" muss man sich hier legdiglich die _9.

> Dhjd2FAa@at_9!ujkdm

Dieses PW "knacken" - so im Stil eines brute-force-Angriffs - braucht man gar nicht. Es reicht ja, wenn es irgendwo auf dem Weg vom Sender zum Empfänger abgefangen und als Ganzes dann benutzt wird. Das ist das, was matss hier schreibt: "nicht zuverlässig gegen Phishing oder Passwort-Reuse/Credential-Stuffing aus fremden Leaks." - Dann liegt aber die Angreifbarkeit nicht im PW, sondern an der Sicherheit des Speicherorts selbst. Darauf hat dann der PW-Verwender sowieso keinen Einfluß mehr.

Ob du nun ein PW mit vier Buchstaben oder so einen Konstrukt wie oben mit den ganzen Sonderzeichen benutzt, ist dann auch egal. Wenn aber auch die zweite Authentifizierung über den gleichen Übermittlungsweg läuft, bringt diese Methode am Ende auch nichts. Deshalb immer diese 2. Aut. über Telefon.

Aber bei allem muß ein Angreifer in so einem Fall einen ziemlichen Aufwand betreiben. Ob sich das nun groß lohnt, ein Astro-Forum derart anzugreifen, bezweifle ich eher.

Ich finde die Idee gar nicht so verkehrt.. wenn man wie gesagt, dafür nur ein Passwort für alles benutzt und via Handy dann eine 4-6 stellige Zahlenkombi im nachgang eingibt?.

Persönlich habe ich meine Passwörter alle im Browser Account gespeichert... ob das nun sicher ist?.. aber alle Passwörter kann man sich nunmal nicht merken.. grade wenn man die zb. von Firefox generieren lässt... aber dann liegen die wie bereits erwähnt im Account Speicher..

Hinzu kommt aber noch.. was ist wenn man das Handy verloren hat oder eine neue Nummer? dann muss der 2. Faktor ja noch durch einen 3. abgesichert sein?.

Ja, ich meinte aber wenn man über die Handynummer eine SMS bekommt mit einem Code.

Richtig, da gibt es verschiedene Wege, (Email, SMS, Push durch Sicherheits App)... aber ich würde es zb. bevorzugen wenn es via Handynummer gesendet wird, den ein Email Account kann ja auch als 1. gehackt worden sein.. dann ist alles vorbei egal wo du 2 Faktor hinterlegt hast.. ein Handy muss man erstmal geklaut & entsperrt bekommen und wenn überhaupt die Nummer haben..

eine Email Adresse kann man ja immer von überall befeuern mit Passwortabfragen.. Handy musst du erstmal vor Ort klauen...

vlt. auch ganz interessant.

Also, ich bin da nicht so ein Freund von. Sitze am Computer, will mich anmelden....hm, erst mal das Handy holen. Wo hab ich das hin gelegt. Auch ja, ein Stockwerk tiefer irgendwo.

Quote from winnie

Es reicht ja, wenn es irgendwo auf dem Weg vom Sender zum Empfänger abgefangen und als Ganzes dann benutzt wird. Das ist das, was matss hier schreibt: "nicht zuverlässig gegen Phishing oder Passwort-Reuse/Credential-Stuffing aus fremden Leaks." - Dann liegt aber die Angreifbarkeit nicht im PW, sondern an der Sicherheit des Speicherorts selbst. Darauf hat dann der PW-Verwender sowieso keinen Einfluß mehr.

Eben. So, diese Art Sicherheit ist also eine Angelegenheit des Forenbetreibers, nicht des Forenmitglieds. Und wie soll bei einer verschlüsselten Verbindung das PW ermittelt werden? Das ist ja nicht gerade Pipifax und so ein Knowhow hat nicht jeder. Und wie du richtig sagst, das ist ja nicht Fort Knox hier, sondern ein Astronomieforum.

Quote from TecMar

Richtig, da gibt es verschiedene Wege, (Email, SMS, Push durch Sicherheits App)... aber ich würde es zb. bevorzugen wenn es via Handynummer gesendet wird, den ein Email Account kann ja auch als 1. gehackt worden sein.. dann ist alles vorbei egal wo du 2 Faktor hinterlegt hast.. ein Handy muss man erstmal geklaut & entsperrt bekommen und wenn überhaupt die Nummer haben..

eine Email Adresse kann man ja immer von überall befeuern mit Passwortabfragen.. Handy musst du erstmal vor Ort klauen...

Sehr oft ist der "übliche" Weg um Accounts zu knacken, die E-Mail zu knacken. Man durchsucht die Mails nach Forenkonten Konten und Ähnlichem, läßt per Mail das PW dieser Konten zurücksetzen, löscht zügig die dazu erhaltenen E-Mails und der rechtmäßige Besitzer des Email-accounts merkt nichts.

Da nutzen die besten Foren-Passwörter nichts...

Und wenn man merkt sein Foren- oder sonstiger Account wurde gehackt, sollte man sofort seine E-Mail-PW's abändern...

Gruß Horst