Benutzt ihr 2-Faktor-Authentzifizierung?
Ich meine nicht das interne Zeug von Apple oder Google, bei dem man über ein Gerät bestätigt, wo der Account schon drauf ist. Ich meine 2FA mit einer separaten App mittels TOTP. Ich habe mal im Freundeskreis rumgefragt und nur einer der Befragten (Mit 5 Befragten ist die Anzahl auch nicht zu groß, aber naja) verwendet es, auch bei den Leuten, die technisch versiert sind ist es größtenteils unbekannt. Ist das so nieschig oder reicht den meisten einfach die Verifikation über die Interne Methode bzw. SMS?
Ich wollte mal wissen, was feddit dazu denkt.
Ja, aber nur in geringem Maß. Ich sollte das in mehr meiner Accounts aktivieren. Ich hätter gerne WebAuthn.
Dies. Webauthn (Nitrokey für zu haus am Rechner, solokey2 für unterwegs am Telefon über nfc) gehört verpflichtend… totp als backup meinetwegen…
Am schlimmsten sind aber die Dienste die im Hintergrund TOTP machen, das ganze aber nur über die eigene App geht. Weil wieso sollte man seine 2fa Tokens auch vom Handy backupen wollen. So ein Smartphone geht ja nie kaputt oder verloren.
Ich hoffe auch dass webauthn sich möglichst weit verbreitet. Leider funktioniert webauthn bei mir nicht aufm Handy weshalb ich trotzdem überall TOTP hinterlegt habe
Hättest du ein eli5 für WebAuthn für mich?
WebAuthn, Abkürzung für “Web Authentication” ist ein relativ neuer Standard für das Internet, der von Browser-Entwicklern und Technologieunternehmen geschaffen wurde um den Schutz von Online-Konten zu verbessern. Statt nur auf Passwörter zu setzen, erlaubt es Websites, Benutzer mittels sicherer Methoden zu überprüfen. Zum Beispiel dem Fingerabdruck und auf dem Gerät eingebauten Sicherheits-Chips, oder Chipkarten oder separaten kleinen Geräten die man wie einen Schlüssel in die USB-Buchse stecken kann oder kontaktlos an den Computer oder das Telefon hält.
Man kann damit unterschiedliche Sicherheitskonzepte umsetzen. Je nach Anforderungen kann der Besitz des Schlüssels ausreichen, oder zusätzlich zu einem Passwort verlangt werden. Es kann auch Schlüssel plus eine kurze PIN oder Fingerabdruck verlangt werden.
Der Trick dabei ist (wie bei anderen Methoden) ist der Hardware-Schlüssel. Passwörter können einfacher gestohlen oder geknackt werden und dann für Cyber-Angriffe genutzt werden. Selbst bei einigen anderen gängigen 2-Faktor-Methoden können beide Faktoren abgezapft werden. Beispielsweise indem sich Zugriff auf das verknüpfte E-Mail-Konto verschafft wird, SMS abgeleitet werden oder einfach beide Geheimnisse aus der Eingabemaske gestohlen werden. WebAuthn verdindert dies indem der Online-Dienst mittels kryptografischer Methoden direkt mit dem jeweiligen Benutzergerät spricht und nur genau den Browser auf diesem Gerät freischaltet.
Die Idee von WebAuthn ist hierbei, eine standardisierte technische Schnittstelle zu schaffen, die dann von möglichst vielen Online-Diensten unterstützt wird.