smashIt
master of disaster
|
dein argument hat leider ein großes problem:
durch die kombo handy-app + handynummer zur 2FA bist du in wirklichkeit wieder auf nur einem faktor herunten.
nochdazu einer, der extrem schlecht (wenn überhaupt) mit sicherheitsupdates versorgt wird.
|
.Gh#Z7
Addicted
|
SMS + App ist aber trotzdem besser als nichts oder komplexere Verfahren welche man den Leuten nicht einfach so aufzwingen kann (und viele verwenden es ja wahrscheinlich auch am PC, also doch wieder getrennter Kanal).
Ich bin auch ein Freund von getrennten 2FA Kanälen/Geräten, aber es sind ja hier doch andere Sicherheitsanforderungen als z.B. bei einer Banking-App (und auch da ists ja heutzutage bei Appverwendung am selben Device, bzw. sogar Transaktionsfreigabe (früher TAN) in die Banking App eingebaut).
Ähnliche Situation bei einem Kunden von uns - letztes Jahr ist ein Dump mit vierstelliger Accountanzahl mit Credentials auf irgendeinem hochgenommenem Malwareserver entdeckt worden. Forced Passwort Reset für die betroffenen Accounts hätte nichts gebracht, da Endgeräte nach wie vor kompromittiert waren. Also 2FA verpflichtend, aber mit möglichst geringen Hürden, eingeführt. Falls der Fall in die Medien käme, wäre zuerst wahrscheinlich trotzdem der Anbieter in einem schlechten Licht, auch wenns durch Fehler/Malware auf Anwenderseite entstand.
|
Anmeldung