Wie sicher ist 2FA?

Wie sicher ist es 2FA zB mit dem Google Authenticator zu nutzen?

Habe gestern darüber nachgelesen und gesehen es wäre hackbar…

gut da gehts jetzt eher um Gmail aber so allgemein, für wie sicher haltet ihr 2FA?

Beantwortet deine Frage nicht, löst aber das Problem der unsicheren Schlüsselübermittlung: lnurl-auth.

(Hat noch keine breite Akzeptanz gefunden).

Setzen wir mal voraus, daß der Google Authenticator keine groben Fehler enthält, dann ist 2FA mit TOTP (Time-based OneTime Password) sicherer als ohne 2FA, da es einem Angreifer nicht genügt, dein normales Passwort zu knacken oder zu stehlen, sondern er müsste noch ein zweites starkes Geheimnis erraten, was für die Code-Generierung im Google Authenticator genutzt wird (vorgegeben durch die Anmelde-Website oder App, die dieses gemeinsame Geheimnis beim Einrichten von 2FA kund getan hat).

Dein zitierter Artikel beschreibt keine Schwäche von 2FA mit TOTP-Authentifikatoren, sondern alternative Wege zum Zurücksetzen der Authentifizierung von Apps oder Websites, die sich Hacker zunutze machen können, um eine aktive 2FA auszuschalten oder auszuhebeln, definitiv nicht, um diese etwa zu knacken.
Lässt eine App oder Website nicht zu, die 2FA zu deaktivieren, dann käme ein Dritter ohne 2FA nicht an der Anmeldung vorbei. Ebenso klar ist, daß es natürlich extrem unschön für einen legitimen Nutzer wäre, z.B. eine verlorene 2FA nicht wieder zurücksetzen zu können. Daher gibt es eigentlich fast immer einen mehr oder weniger sicheren Weg, die Anmeldung in irgendeiner Form zurück zu setzen. Beim Rücksetzungsprozess liegt der Schwachpunkt, wenn dieser nicht sicher gestaltet ist und von Bösewichten ausgenutzt werden kann.

Übrigens sollte man aus Sicherheitsgründen den Einrichtungscode für 2FA am besten nicht unverschlüsselt digital speichern (kein Digitalfoto oder Screenshot oder Datei anlegen), dieser enthält ein Seed-Geheimnis, auf dem die zeitabhängige Berechnung der TOTP-Nummerncodes beruht. Malware könnte so einen Einrichtungscode ggf. stehlen, womit der 2FA dann in fremde Hände fiele. Das möchte man doch tunlichst vermeiden, daher am besten nur physisch auf Papier oder so aufschreiben und sicher verwahren.
Hat man so einen Einrichtungscode gut gesichert, dann kann so ein 2FA z.B. bei Verlust oder Beschädigung des Smartphones leicht wiederhergestellt werden.

2 „Gefällt mir“

3FA > 2FA
:slight_smile:

image
Ja liebes Forumssystem, es ist ein ganzer Satz

danke für die ausführliche Antwort :slight_smile: