Digitalzwang und analoge Ausgrenzung

[ralli]

Um mal den Wind aus den Segeln zu nehmen:
Das Land, wo es schon RFID-Chips unter der Haut zum Bezahlen gab, und man in vielen Geschäften
gar nicht mehr mit Bargeld bezahlen konnte, macht jetzt Folgendes:
https://www.perfect-money.de/schweden-b ... rzichtbar/

Danke für den Link. Fehler machen finde ich nicht verwerflich. Aber Einsicht ist die höchste Stufe der Erkenntnis und sie haben daraus gelernt und Ihre Fehler korrigiert. Das verdient Respekt.

Gruß ralli

[heisenberg]

Passt nicht so ganz, nur ein bisschen. Das Thema ist "Smartphonezwang":

github führt zum November jetzt verpflichtend 2FA ein. Also jetzt brauche ich immer mein Smartphone, wenn ich dort aktiv sein will. Habe mich noch nicht entschieden, ob ich das noch mitmachen will ... Meine privaten Repositories habe ich hab hauptsächlich auf codeberg. Aber so hin und wieder kommuniziere ich dort mit den dort gehosteten Projekten.

Ob 2FA auch ohne Smartphone geht? Vielleicht https://twofactor.date/ ?

[Huo]

Ob 2FA auch ohne Smartphone geht?

Bei mir klappt's (jedenfalls für die PayPal-Authentifizierung) mit oathtool:

Code: Alles auswählen

oathtool -b --totp "$(gpg --decrypt ~/.2fa)" | tr -d '\n' | xsel -ib

[ralli]

Ob 2FA auch ohne Smartphone geht?

Bei mir klappt's (jedenfalls für die PayPal-Authentifizierung) mit oathtool:

Code: Alles auswählen

oathtool -b --totp "$(gpg --decrypt ~/.2fa)" | tr -d '\n' | xsel -ib

Grundsätzlich dürfte 2FA doch sehr nützlich sein, da sie die Datensicherheit erhöht. Da sie auf Dauer wohl der neue Standard werden wird, werde ich wohl nicht umhin kommen, den lange aufgeschobenen Smartphonekauf zu vollziehen.

Gruß ralli

[Meillo]

Ob 2FA auch ohne Smartphone geht?

Bei mir klappt's (jedenfalls für die PayPal-Authentifizierung) mit oathtool:

Code: Alles auswählen

oathtool -b --totp "$(gpg --decrypt ~/.2fa)" | tr -d '\n' | xsel -ib

Grundsätzlich dürfte 2FA doch sehr nützlich sein, da sie die Datensicherheit erhöht. Da sie auf Dauer wohl der neue Standard werden wird, werde ich wohl nicht umhin kommen, den lange aufgeschobenen Smartphonekauf zu vollziehen.

Lustig, dass du zu dem Schluss kommst, dass du fuer 2FA ein Smartphone kaufen muesstest, waehrend du einen Post zitierst, der zeigt, wie 2FA *ohne* Smartphone moeglich ist.

Vielleicht bezog sich deine Antwort doch gar nicht auf den Post von Huo oder du hast dich vielleicht verlesen.

[heisenberg]

Ok. Geht auch ohne Smartphone. Ich habe mir jetzt das Authenticator-Plugin für Firefox und Chromium installiert. Problem mit minimalem Aufwand gelöst.

Das hier ist das Teil, was ich über den Chrome-Webstore bzw. die Firefox-Extensions installiert habe:
https://github.com/Authenticator-Extens ... henticator

[ralli]

ja, da hab ich verkehrt gelesen oder geklickt, kann ja mal vorkommen. Danke für den Hinweis.

Gruß ralli

[ralli]

Ok. Geht auch ohne Smartphone. Ich habe mir jetzt das Authenticator-Plugin für Firefox und Chromium installiert. Problem mit minimalem Aufwand gelöst.

Gut zu wissen, dann werd ich das mal ausprobieren und testen.

Gruß ralli

[heisenberg]

Ich habe auch nochmal die Flathub Anwendung vom gleichen Autor ausprobiert. Geht auch problemlos.

[thunder11]

Helft mir mal bitte auf die Sprünge:
Ich kann z.B. bei PayPal so was auswählen. Ist es egal, welche App ich verwende (scheint ja mehrere zu geben)?
Wie würde ich das z.B. bei PayPal einrichten (z.Z. mache ich das über mein Smartie mit SMS)?

Es gibt ja X- Webseiten, die 2FA verwenden (z.B. meine Bank mit PhotoTan)
Bei meiner Bank könnte ich auch das SMS-Verfahren nutzen (noch nie gebraucht)
Scheint ja so zu sein, dass man für jede Webseite, die so etwas nutzt, einen numerischen Schlüssel braucht, den man dann aufwändig verschlüsselt irgendwo speichern muss ?
Irgendwie sehe ich da keine Vorteil drin (bisher)

[heisenberg]

Mit oathtool kann ich mich auch bei github anmelden:

Code: Alles auswählen

oathtool --totp --base32 $KEY

Den Key habe ich mittels zbarimg aus zbar-tools aus dem Einrichtungs-QR-Code extrahiert, den mir github anzeigt:

Code: Alles auswählen

zbarimg Untitled.gif 
QR-Code:otpauth://totp/GitHub%3AMEIN_USER_NAME?secret=SECRET_KEY_HERE&issuer=GitHub
scanned 1 barcode symbols from 1 images in 0,01 seconds

[heisenberg]

Helft mir mal bitte auf die Sprünge:

Wenn ich das richtig sehe gibt es bei github zwei verschiedene Varianten:

1. Per TOTP (zeitbasiertes Passwort, dass sich alle X Sekunden ändert, dass sowohl Server als auch Client unabhängig voneinander berechnen können)
2. Per SMS (Mobiltelefon)

Das TOTP ist scheinbar sehr simpel. Es braucht nur den Schlüssel, von dem sich das ableitet und die genaue Uhrzeit. Wenn ich mir das überlege, dann ist das ja nichts anderes als ein - noch nicht mal besonders komplexes (16 Zeichen, alphabetisch, nur Großbuchstaben) - Zweitpasswort, das halt nochmal mit Hilfe der aktuellen Zeit durchgeschüttelt wird. Also eigentlich Null Sicherheitsgewinn, oder? Es hilft vielleicht gegen solche Passwörter wie 123456, hallo, oder ähnliches. Aber das könnte man ja auch via Passwortrichtlinie erzwingen.

Das hat den Spruch "2FA ist ja total sicher!" für mich ja schon gerade etwas entzaubert!

Es gibt ja X- Webseiten, die 2FA verwenden (z.B. meine Bank mit PhotoTan)

Das ist was ganz anderes. Hier werden digitale Daten von einem proprietären (bzw. mit nicht veröffentlichen Einstellungen gefütterterte Standard-Crypto = Security by obscurity?) Generator eingelesen, der das ganze mit seiner Crypto verarbeitet und dann irgend einen Code rauswirft. Das würde ich schon als wesentlich sicherer als das TOTP vermuten - aber im Endeffekt habe ich keine Ahnung.

[MSfree]

...dann ist das ja nichts anderes als ein - noch nicht mal besonders komplexes (16 Zeichen, alphabetisch, nur Großbuchstaben) - Zweitpasswort, das halt nochmal mit Hilfe der aktuellen Zeit durchgeschüttelt wird.

Dieses Zweitpasswort ist aber nicht mit einem Keylogger ausspähbar. Das einzige, was man mit einem Keylogger mitschneiden kann, ist das generierte TOTP und das gilt üblicherweise 30 Sekunden. Ein Angreifer, der Benutzernamen und Passwort seines Opfers ausgespäht hat, hat mit einem ausgespähten TOTP nur diese 30 Sekunden Zeit, um sich einzuloggen.

Das hat den Spruch "2FA ist ja total sicher!" für mich ja schon gerade etwas entzaubert!

Dieses "total sicher" habe ich noch nirgends gehört. Es fügt halt der einfachen Authentisierung per Benutzernamen und Passwort einen weiteren Faktor hinzu, der noch dazu nicht statisch ist sondern ständig wechselt.

Die größte Schwachstelle von TOTP ist die Stelle, an der dieses Zweitpasswort gespeichert ist. Das muß nämlich sowohl beim Client als auch beim Server im Klartext vorliegen, denn sonst kann das TOTP nicht berechnet werden.

Ich empfehle hierzu, sich mal libpam-google-authenticator zu installieren und dann mal mit z.B. dieser Anleitung den SSH Zugang abzusichern. Man kann dabei nur lernen, auch, wie und wo dieses Zweitpasswort gespeichert wird.

Letztlich ist es so, daß, wer den Server übernehmen kann, hat Zugriff auf die Zweitpasswörter und somit auf die TOTPs aller Benutzer, die Passwörter kennt er aber nicht, denn die sind in /etc/shadow gehasht.

Die 2FA-Verfahren, die auf SMS basieren, sind ebenfalls alles andere als sicher. Gerade bei Bankgeschäften kann ich nur davon abraten, SMS-Pins zu nutzen. Meines Wissens sind die in der EU auch gar nicht mehr erlaubt. Bestandskunden "geniessen" noch eine gewisse Übergangsfrist, bevor auch sie auf sicherere Verfahren umstellen müssen.

[heisenberg]

@MSfree: Schaue ich mir gerne mal an.

Für mich ist der TOTP-Key im Moment ein Passwort, dass auf der Platte abgespeichert wird - und insofern unsicher. Da kann man jetzt noch alle möglichen Verrenkungen machen, aber die Unsicherheit bleibt. Mal schauen, ob sich meine Meinung nach der Lektüre Deines Dokumentes nochmal ändert.

Dieses "total sicher" habe ich noch nirgends gehört. Es fügt halt der einfachen Authentisierung per Benutzernamen und Passwort einen weiteren Faktor hinzu, der noch dazu nicht statisch ist sondern ständig wechselt.

Hat auch niemand gesagt. Im Falle von TOTP ist es für mich der Sicherheitsgewinn - nach aktueller Einschätzung - absolut unwesentlich. Und ich mag keine Dinge die ohne Nutzwert sind und Zusatzaufwand kosten.

[MSfree]

@MSfree: Schaue ich mir gerne mal an.

Für mich ist der TOTP-Key im Moment ein Passwort, dass auf der Platte abgespeichert wird - und insofern unsicher.

Die Schwäche hatte ich ja schon erwähnt. Der Hauptvorteil ist, daß das Ausspähen z.B. mittels Keylogger nicht praktikabel ist.

Mal schauen, ob sich meine Meinung nach der Lektüre Deines Dokumentes nochmal ändert.

Das war gar nicht mein Ziel. Ich wollte nur vorschlagen, das mal selbst durchzuspielen um das besser zu verstehen.

Hat auch niemand gesagt. Im Falle von TOTP ist es für mich der Sicherheitsgewinn - nach aktueller Einschätzung - absolut unwesentlich. Und ich mag keine Dinge die ohne Nutzwert sind und Zusatzaufwand kosten.

In diese Kategorie kannst du auch die zur Zeit gehypten Passkeys stecken. Denn, ob Passwort oder eine hexadezimale Zeichenekette in Form eines Passkeys, macht keinen Unterschied in der Sicherheit. Irgendwo muß der Passkey abgelegt sein. Für mich ist das ebenfalls nur Augenwischerei.

Letztlich machen Passkeys nichts anderes als ein SSH-Schlüssel ohne Passphrase, nämlich ein Login ohne Passwort. Wer den Passkey abgreifen kann, hat die Hoheit über das Konto.

[Huo]

Als kleine Ergänzung noch der Hinweis, dass auch der Passwortmanager keepassxc die Generierung von TOTP-Codes ermöglicht. Speichert man, wie in der Anleitung empfohlen, Passwort und TOTP-Schlüssel in verschiedenen Datenbanken, dürfte allerdings die unkomplizierte Handhabbarkeit deutlich eingeschränkt sein.

[Tula]

Die Definition von "kompliziert" und "handhabbar" ist selbstredend sehr individuell. Ich blicke als Einzelanwender ohne technisches Wissen, mit Job und vielen anderen Interessen auf das Thema Sicherheit beim Online-Banking, E-Commerze u.a. und versuche halt, den allgemein verbreiteten Empfehlungen folgend, sicher damit umzugehen. Ich finde es kompliziert, verstehe nur teilweise den technischen Hintergrund und habe gefühlt bereits zuviel Aufwand damit.

Wenn ich wiederum im Freundeskreis vergleiche, gehe ich dort als Nerd oder Semi-Experte durch, was ich bei der Lektüre hier im Forum doch lustig finde...

Also ohne Smartphone - das würde ich mir - aus vielen Gründen - einfach nicht mehr antun.

[MSfree]

...dürfte allerdings die unkomplizierte Handhabbarkeit deutlich eingeschränkt sein.

Bequemlichkeit korreliert linear mit der Unsicherheit. Je bequemer (ein Authentifizierungsverfahren ist) desto unsicherer ist es.

2FA ergibt meines Erachtens ohnehin nur dann Sinn, wenn der TOTP-Generator auf völlig anderer Hardware läuft, z.B. auf einem Smartphone, und der Pin über das Auge-Hirn-Finger-Interface übertragen wird. Wer aus Bequemlichkeit den TOTP-Generator auf der selben Hardware laufen läßt wie den Browser oder den SSH-Client, der hat mit 2FA gar nichts gewonnen.

[Huo]

Ich blicke als Einzelanwender ohne technisches Wissen, mit Job und vielen anderen Interessen auf das Thema Sicherheit beim Online-Banking, E-Commerze u.a. und versuche halt, den allgemein verbreiteten Empfehlungen folgend, sicher damit umzugehen. Ich finde es kompliziert, verstehe nur teilweise den technischen Hintergrund und habe gefühlt bereits zuviel Aufwand damit.

Wenn ich wiederum im Freundeskreis vergleiche, gehe ich dort als Nerd oder Semi-Experte durch, was ich bei der Lektüre hier im Forum doch lustig finde...

Was Du hier so schön auf den Punkt bringst, trifft im Wesentlichen auch auf mich zu. Anders als du bin ich allerdings Rentner und kann mich vielleicht deshalb – noch – der Anschaffung eines Smartphones verweigern. Für fast alle digitalen Innovationen gilt: Die Menschen haben sie nicht bestellt, integrieren sie aber bereitwillig in ihren Alltag – bis es nicht mehr ohne geht. So funktioniert halt der Kapitalismus.

Bequemlichkeit korreliert linear mit der Unsicherheit. Je bequemer (ein Authentifizierungsverfahren ist) desto unsicherer ist es.

Klar, deshalb muss jeder für sich selbst den goldenen Mittelweg zwischen Sicherheit und Bequemlichkeit finden. Oder würdest du ein Authentifizierungsverfahren nutzen, das sich über eine Stunde hinzieht und für das du zwischenzeitlich in zwei andere Zimmer wechseln müsstest?

[MSfree]

Oder würdest du ein Authentifizierungsverfahren nutzen, das sich über eine Stunde hinzieht und für das du zwischenzeitlich in zwei andere Zimmer wechseln müsstest?

Das ist sicherlich arg überspitzt ausgedrückt.

Aber wenn das Smartphone mit dem Google Autheticator nunmal im Nebenzimmer liegt, würde ich es halt holen. Ich käme aber nie auf die Idee, nur aus Bequemlichkeit, die zusätzliche Sicherheit zu opfern.

[thunder11]

Ich sehe, die Welt geht irgendwie an mir vorbei
Jetzt ist da schon auf dem Smartie so ein Identikator, wo ich noch nicht mal Google Zeugs darauf habe,
und mein Smartie den Begriff "Bank" - außer den SMS von PayPal - gar nicht kennt.
Noch kommt man ja noch mit althergebrachten Methoden relativ weit (z.B. Vorkasse / Barzahlung)
Wenn ich verhungere, werde wohl irgendwo Nachhilfe nehmen müssen.

[HumiNi]

Google Zeugs darauf habe,

...und hier beginnt mMn der Denkfehler bzgl. Datensicherheit. Klar verdient Google 'ne Menge Geld durch personalisierte Werbung. Aber eben nur durch interne Nutzung dieser Daten. Und bietet im Gegenzug doch etlichen Mehrwert.

Aber nach außen sind unsere persönlichen Daten so sicher wie möglich. Das ist deren Geschäftsmodell. Ein Hack auf die Userdatenbank würde sofort ein Abwandern vieler User und damit den Verlust riesiger Werbeeinnahmen bedeuten.

[GregorS]

... Google ... bietet im Gegenzug doch etlichen Mehrwert.

Welcher ist das?

[ralli]

Respektlosigkeit ist das Ergebnis fehlender Wertschätzung. Aus welchen Quellen speist sich Dankbarkeit? Bestimmt nicht aus fehlender Wertschätzung.

Einige müssen lernen, Ehrfurcht vor der Wahrheit zu haben, gleichgültig, ob sie mit unseren Wünschen oder vorgefaßten Meinungen übereinstimmt oder nicht.

Gruß ralli

[thunder11]

Einige müssen lernen, Ehrfurcht vor der Wahrheit zu haben, gleichgültig, ob sie mit unseren Wünschen oder vorgefaßten Meinungen übereinstimmt oder nicht.

Und was willst du uns in diesem Zusammenhang damit sagen