Wie Nintendo kürzlich bekannt gab, könnt ihr euren Online-Account ab sofort mit einer Zwei-Faktor-Authentifikation besser vor fremden Zugriffen schützen. Für alle, die das Feature nutzen wollen, empfiehlt der japanische Hersteller die Google-Authenticator-App zu installieren.
Um die Zwei-Faktor-Authentifikation zu aktivieren, meldet euch einfach mit euren Zugangsdaten bei Nintendos Online-Portal, klickt auf euren Namen, wählt „Einstellungen“ und wechselt anschließend in den Bereich „Anmelde- und Sicherheitseinstellungen“. Dort lässt sich die Funktion unter dem Punkt „Zweistufen-Bestätigung“ (rechts auf „bearbeiten“ klicken) einschalten. Nach der Aktivierung müsst ihr bei jeder Anmeldung zusätzlich zu eurem Login und Passwort auch einen Code eingeben, der an eure Authenticator-App gesendet wird.
Dieses zwei Phasen Dingens ist so ziemlich der unkomfortabelste Mist der je eingeführt wurde. Toll dass jetzt auch noch Nintendo da mitmacht.
Dann aktivier ihn doch einfach nicht...
Ätzend sind ja grundsätzlich 3 Dinge die mir schon passiert sind:
1. Wenn die App auf einmal vergisst wer man ist , und damit auch keine Authentifizierung mehr möglich ist (ist mir sogar mal bei meiner Bank passiert (Photo-TAN)).
2. Wenn man das Gerät neu aufsetzt und vergisst, dass man die Authentifizierung deaktiviert und danach wieder neu einrichtet (ist mir beim Blizzard Authenticator passiert).
3. Bei SMS-System... wenn man die Handynummer wechselt.
Aber sicherer fühlt sich das ganze schon an.
Ein Alternative wäre es einen YubiKey zu nutzen. Die wesentliche Einschränkung ist ein zweites Stück Hardware. Dafür ist man vom Endgerät unabhängig. Es empfiehlt sich aber immer den Wiederherstellungsschlüssel einmal auszudrucken. Nur für den Fall der Fälle, aber das gilt beim zweiten Faktor immer.
"2. Wenn man das Gerät neu aufsetzt und vergisst, dass man die Authentifizierung deaktiviert und danach wieder neu einrichtet (ist mir beim Blizzard Authenticator passiert)."
Mir bei Steam. Zudem darf man dort dann 15 Tage nichts am Marktplatz verkaufen, das hat mich ordentlich Geld gekostet beim Summersale. :(
Mir ist das jetzt schon zwei Mal im Umkreis von Sales passiert -.- Muss besser auf meine Handys aufpassen xD
1. Vernünftige App benutzen.
2. Dafür gibt es gerade bei Blizzard den entsprechenden Code fürs Wiedereinrichten - den sollte man sich aufschreiben...
Ich verwende bei Android den Authenticator Plus. Ist super einfach und man kann ein verschlüsseltes Backup bei Google einrichten und er synchronisiert das auch - sprich Codes auf Handy UND Tablett sind kein Problem. Ich richte jeden Account, der eine Zweitautorisierung anbietet auch so ein.
Dieser Mist soll und wird deinen Account sehr viel besser schützen, als das bislang der Fall wahr. Einzelne Geräte können zudem von der Prüfung ausgenommen werden (z.B. dein Handy oder PC), nachdem du dich einmal erfolgreich angemeldet hast. Der geringe Mehraufwad sollte dir dies Wert sein.
Ich meine nicht dass der Schutz an sich Mist ist, sondern die Umsetzung. Jeder der wie ich schon mal Trouble mit dem Kram hatte wird mir beipflichten.
Den hatte ich auch. Aber man kann dem entgegen wirken (Wiederherstellungs-Code wenn verfügbar) und der Ärger mit einem kompromittierten Accounts ist größer als das in der Regel einfache Gespräch mit dem Kundenservice zwecks der Entsperrung der Zwei-Faktor-Authentifizierung.
Nach meiner Erfahrung kann ein Account nur durch eigene Dummheit gekapert werden.
Mit Verlaub, das ist zu schnell und einfach, vielleicht sogar unerfahren, gesprochen. Selbst eine Phishing-Attacke als eine der technisch einfachsten Varianten ist heute, wenn gut designt, nicht so leicht zu durchschauen, dass ich demjenigen sofort Dummheit unterstellen würde. Gerade in Hinblick auf die Datenbankeinbrüche bei Sony oder gar E-Mail-Providern ergeben sich gute Korridore für einen Angriff. Auch sind die Passwort-Vorschriften vieler Anbieter einfach nicht mehr aktuell. Natürlich kann man auch vieles umgehen, aber die Abhängigkeit von der Sicherheit aller Beteiligten wirst du nicht los.
Ersetze Dummheit durch Schludrigkeit. Man verwendet Zugangsdaten nicht zwei Mal.
Du solltest bitte auch den Rest des Kommenares auch beachten. Natürlich verwendet man das gleiche Passwort nicht doppelt. Aber diesen Punkt habe ich auch nicht angesprochen (bzw. im letzten Satz kurz indirekt aufgegriffen). Es gibt zig Arten einen Account zu attackieren, ohne dass der Betroffene durch Dummheit oder wie du es nennst Schludrigkeit in die Situation gekommen ist. Hier kanndie Zwei-Faktor-Anmeldung helfen bzw. sie tut es.
Ach ne halt, Schludrigkeit bezog sich sowohl auf Benutzer als auch auf Betreiber.
Vor ungefähr 6 Jahren wurde mein eBay Account gekapert. Durch Sicherheitslücken auf dem eBay Server. Der Angreifer brauchte meine Accountdaten gar nicht. Natürlich hat sich eBay stumm gestellt während ich den Ärger mit der Kripo hatte. Ging immerhin um eine niedrige fünfstellige Summe, die sich da jemand ergaunern wollte (und zum Teil auch geschafft hat).
Ein Account kann nicht nur durch eigene Dummheit gekapert werden. Allerdings um den Bogen zum Thema zurück zu finden, eine Zwei-Faktor-Autorisation hätte in dem Zusammenhang vielleicht auch nichts gebracht.
Unkonfortabel ja, aber macht die Sache halt viel sicherer. Jeder, dem schonmal Accounts gekapert wurden, wir dürfen Spass damit bestätigen können.
Eine Art „2-Factor by demand“ wäre besser. Also Login ganz normal, aber bei ungewöhnlicher Abweichung bekommt man eine Mail mit Code. Das verhindert Massenhacks sehr gut und wenn der Angreifer geographisch nicht in meiner Nähe ist, auch. Und in den 99% der Fälle eines normalen Logins bleibt es komfortabel. Ist nur mehr Aufwand für den Betreiber.
Komfort und Sicherheit müssen sich nicht zwangsläufig gegenseitig ausschließen. PIN am Smartphone ist doof, aber mit Fingerabdruckscanner wird es sicher und komfortabel.
In der Google App stapeln sich langsam die Spiele Hersteller. ;-)
Finde ich aber besser als den Stapel im App Launcher zu haben, weil jeder Hersteller eigene 2FA-Apps hat...
Hmmm...schlecht isses ja nicht. Auch bei meiner Google-Authentifizierung (Blog, YouTube usw) geht erst ein Code an mein Smartphone raus. Umständlich, aber sicher. Könnte mir gut vorstellen, dass via App auch bei anderen Portalen/Webseiten zu nutzen.
Wie ist es denn, wenn ich mein Handy verliere, es gestohlen wird oder irreparabel kaputt ist? Kann ich das Ganze wieder irgendwie rückgängig machen?
Es gibt üblicherweise Wiederherstellungscodes, die du dir idealerweise ausdruckst und zu Hause sicher aufbewahrst.
Ok, danke. Also den Code ausdrucken und dann kann ich das Ganze z.B. auf einem neuem Handy übertragen? Dann geht es ja recht easy. :)
Übertragen direkt nicht, du kannst dich mit dem Code wieder einloggen und dann die 2-Faktor-Authentifizierung ausschalten. Dann kannst du sie danach auf das neue Handy übertragen.
Wenn du dir auch noch den OTP-Schlüssel ausdruckst (oder in einem Passwordsafe deiner Wahl ablegst), dann kannst das einfach auf ein anderes Gerät übertragen.
Ich finde den Doppel Schutz ja ganz gut. Aber wenn ich mein Handy verliere hat doch jeder Zugriff auf die ganzen Authenticator!?
die person hat aber deine normalen login daten nicht, die du trotzdem brauchst. außerdem hast du backup codes und kannst den authenticator damit deaktivieren
Hast Du Dein Handy nicht geschützt, Code, Fingerabdruck? Kann jeder alles mit Deinem Handy anstellen, wenn er es findet? Keine Ortung, Fernlöschung? Dann würde ich Dir empfehlen, erst mal da anzusetzen, bevor Du Dir Gedanken um die Sicherheit der Switch machst...
Fingerabdruck hat mein S5 nicht, aber Ja es ist geschützt, aber der Standard Schutz ist keine schwere Hürde. Es geht ja nicht nur um die Swistch, Steam, Blizzard usw nutzten dies ja auch schon. Außerdem
Wenn jemand über dein schlecht geschütztes Handy zugriff auf deine Mails hat, ist eh alles egal...
-Authentifikation +Authentifizierung
Tja, und es soll da draußen ja gerüchteweise noch Leute geben, die kein Smartphone haben. Mich zum Beispiel. Sobald dann die Bestätigung via App der einzige Weg ist, um Nachteile zu vermeiden (=> Verkaufsverzögerung bei Steam, die so lange ist, dass man z.B. bei Sales kaum noch an Kartenverkäufen teilnehmen kann), wird's unangenehm. Da muss ne Alternative her.
"Tja, und es soll da draußen ja gerüchteweise noch Leute geben, die kein Smartphone haben. Mich zum Beispiel."
Da bist du nicht alleine ;)
Man kann sogar ein Smartphone haben, das Betriebssystem wird dann aber nicht unterstützt. App Lösungen sind immer auf Ökosysteme angewiesen und somit werden Menschen ausgeschlossen. Das Thema Zwei-Faktor-Authentisierung ist eine zusätzliche Sicherheitsmaßnahme, die normalen Maßnahmen sollten eigentlich schon reichen um auf der sicheren Seite zu sein, von daher finde ich es zwar schade, aber in Ordnung wie die Lösung nun aussieht. Nintendo verdient meiner Meinung nach ganz viel Kritik, welche Systemfunktionen der Switch auf Smartphones ausgelagert wurden, Stichwort Kindersicherung und Splatoon-Onlinefunktionen.
Evtl. läuft die App auf jedem Android-Gerät, also vermutlich sogar in einer virtuellen Android-Maschine auf dem PC und die Telefonnummer ist eher nebensächlich (Initializierungs-Code per SMS?).
Bei mir läuft die Steam-App z.B. auf einem Tablet ohne Telefonfunktion.
Die App läuft unabhängig von jeder Datenverbindung oder SMS. Das Gerät erstellt bekommt einen Schlüssel (meistens einen QR-Code) und errechnet mit diesem Schlüssel in einem festen Zeitraum neue Keys, die nur innerhalb dieses Zeitraums gültig sind.
Auf einem Tablett läuft das ganze daher ohne Probleme, aber ob das auch für einen Emulator gilt, kann ich nicht sagen.
Gibt auch Android für PC, z.B. Bluestacks unter Windows. Auf Tablets funktionieren die Authentificators natürlich auch.
Wenn alle Stricke reißen, bekommt man für 50€ ein neues Smartphone. Gebraucht auch noch darunter. Wenn man nicht gerade jeden Cent zwei mal umdrehen muss, ist das wohl die bequemste Lösung.
Die Android-VM ist mit Kanonen auf Spatzen geschossen und unnötig. Es gibt Browserplugins und Programm für Windows und mit Sicherheit auch für OSX und andere Linuxe.
Man braucht kein Smartphone dafür. Bspw. gibt es für Keepass OTP-Plugins, damit Keepass dieses Verfahren unterstützt und dir die Codes ausspuckt. Es gibt sogar Browserplugins.
Als eigenständiges Programm für Windows hab ich spontan das gefunden: https://winauth.com/download/