{"id":3107,"date":"2021-10-15T07:21:24","date_gmt":"2021-10-15T06:21:24","guid":{"rendered":"https:\/\/www.puls200.de\/?p=3107"},"modified":"2021-10-15T07:21:26","modified_gmt":"2021-10-15T06:21:26","slug":"2-faktor-brainwash","status":"publish","type":"post","link":"https:\/\/www.puls200.de\/?p=3107","title":{"rendered":"2-Faktor Brainwash"},"content":{"rendered":"\n<p>Google und andere Dienstleister m\u00f6chten dieser Tage neue Regelungen umsetzen. Dem Benutzer soll die<a href=\"https:\/\/de.wikipedia.org\/wiki\/Zwei-Faktor-Authentisierung\"> 2-Faktor-Authentifizierung <\/a>vorgeschrieben werden. An sich eine gute Sache, die die Zugriffssicherheit erheblich erh\u00f6ht. Vor allem f\u00fcr Leute, die ihre Passworte an gut sichtbaren Stellen hin-b\u00e4ppern oder noch besser d\u00fcmmlich kurze Worte verwenden, die am besten ein einzelnes Wort ist, garniert vielleicht mit einem Gro\u00dfbuchstaben oder einer Zahl. Das geht m\u00f6glicherweise flink verloren oder wird gekonnt mitgelesen. Hier kommt die neue Technik ins Spiel: Auf einem anderen Weg wird eine zweite Pr\u00fcfung verlangt, die die erste qualifiziert. Uns begegnet das schon an vielen Stellen, z.B. in Banking-Apps, die eine Push-TAN oder einen Schl\u00fcssel von einem USB-Stick nach dem Einloggen verlangen. <\/p>\n\n\n\n<p>Aus technischer Sicht ist es unerheblich, _woher_ der zweite Faktor kommt. Es sollte im Idealfall auf einem zweiten \u00dcbertragungsweg erfolgen, z.B. \u00fcber eine SMS aufs Handy, einen zweiten E-Mail Account oder einen Service, der Einmal-Passw\u00f6rter generieren kann. Ist der Anbieter fair, bietet er seinen Nutzern verschiedene M\u00f6glichkeiten an, den zweiten Faktor zu liefern. Das sind nur leider nicht alle.<\/p>\n\n\n\n<p>In vielen F\u00e4llen ist es heutzutage n\u00e4mlich nur m\u00f6glich, den zweiten Faktor \u00fcber eine Handy-Nummer bereitzustellen. Man hinterlegt seine Telefonnummer, installiert eine bestimmte App auf dem Telefon und wenn ein Request erfolgt, geht diese App auf und man best\u00e4tigt den zweiten Faktor. Warum ist das ein Problem? Das kommt daher, dass man damit dem Anbieter (z.B. Google) damit unfreiwillig mehr Informationen liefert, als man das vielleicht m\u00f6chte:<\/p>\n\n\n\n<ul><li>Den Bezug zwischen Login\/E-Mail und der Handynummer<\/li><li>Hat der Nutzer weitere Apps und Dienstleistungen des Anbieters auf dem Handy installiert, ist ebenfalls sofort der Bezug hergestellt<\/li><li>Werden \u00fcber die Freigaben der 2-Faktor App m\u00f6glicherweise viele Informationen des Handys im Hintergrund geteilt: Konten, Kontakte, Positionskoordinaten.. you name it<\/li><\/ul>\n\n\n\n<p>Das Gemeine daran ist, dass mit der Argumentation \"zu ihrer eigenen Sicherheit\", dem Mangel an Alternativen und dem fehlenden Bewu\u00dftsein der Konsequenzen der Nutzer sich nicht einmal gen\u00f6tigt f\u00fchlt, sondern wahrscheinlich einfach beruhigt zustimmt. Na dann: Gute Nacht, schlaft gut.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Google und andere Dienstleister m\u00f6chten dieser Tage neue Regelungen umsetzen. Dem Benutzer soll die 2-Faktor-Authentifizierung vorgeschrieben werden. An sich eine gute Sache, die die Zugriffssicherheit erheblich erh\u00f6ht. Vor allem f\u00fcr Leute, die ihre Passworte an gut sichtbaren Stellen hin-b\u00e4ppern oder &hellip; <a href=\"https:\/\/www.puls200.de\/?p=3107\">Continue reading <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0},"categories":[7],"tags":[],"_links":{"self":[{"href":"https:\/\/www.puls200.de\/index.php?rest_route=\/wp\/v2\/posts\/3107"}],"collection":[{"href":"https:\/\/www.puls200.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.puls200.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.puls200.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.puls200.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3107"}],"version-history":[{"count":1,"href":"https:\/\/www.puls200.de\/index.php?rest_route=\/wp\/v2\/posts\/3107\/revisions"}],"predecessor-version":[{"id":3108,"href":"https:\/\/www.puls200.de\/index.php?rest_route=\/wp\/v2\/posts\/3107\/revisions\/3108"}],"wp:attachment":[{"href":"https:\/\/www.puls200.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.puls200.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.puls200.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}