Zum Inhalt der Seite gehen


Es ist frustrierend, dass immer mehr Unternehmen einen App-Zwang für die Zwei-Faktor-Authentifizierung einführen. Anstatt flexible Alternativen wie Authenticator-Apps anzubieten, wird der Nutzer gezwungen, eine spezifische App zu installieren – oft ohne Rücksicht auf Datenschutzbedenken oder den Wunsch, bestimmte Geräte nicht zu verwenden. Sicherheit sollte Optionen bieten, keine Zwänge schaffen. 🧙‍♂️

#sicherheit #appzwang #datenschutz #digialisierung #bullhit #2fa

Christian Brecheis hat dies geteilt.

Als Antwort auf Mike Kuketz 🛡

gibt es denn überhaupt Banken, die da was anderes als ihre "eigene" App zulassen?
Als Antwort auf CaptainMalu

@CaptainMalu Ja: Mehrere Banken im Genossenschaftsverbund (dem GLS-Bank und die Volksbanken-/Raiffeisenbanken angehören) kommen völlig ohne App aus. Authentifizierung läuft da über ein zusätzliches Kartenlesegerät in Verbindung mit der Bankkarte.
Als Antwort auf Christian Stadelmann

@genodeftest @CaptainMalu
Kann ich so bestätigen. Geht bei der GLS völlig ohne App. Karte und RainerSCT Lesegerät reichen aus.
Als Antwort auf Marko

@decorum @genodeftest @CaptainMalu für die Kreditkarte muss man aber die SecureGo-App der Volksbanken verwenden. Da geht das Lesegerät leider nicht.
Als Antwort auf Tina

@spinni81 @genodeftest @CaptainMalu
Ich habe die Kreditkarte von der GLS. Damit bekomme ich noch eine SMS TAN und muss noch ein Kennwort zur Bestätigung eingeben.

Also bisher komme ich noch komplett ohne App aus.

Als Antwort auf Mike Kuketz 🛡

Bei der NeoDigital als Versicherung kann ich Aegis für die 2FA verwenden.
Als Antwort auf Mike Kuketz 🛡

Als sie die 2FA bei CosmosDirekt eingeführt haben, war ich einerseit freudig überrascht, andererseits ist die Notwendigkeit der Nutzung ihrer App lästig und wie du schreibst, wohl nicht nur das. Ich habe aber nicht geschaut, wohin die sich überall verbindet. Allerdings kommt es für mich wegen der Art der Versicherung, die ich dort habe, nicht in Frage, zu kündigen.
Als Antwort auf Mike Kuketz 🛡

Das liegt wohl daran dass die Unternehmen aus "Sicherheitsgründen" selber die Kontrolle behalten wollen.

Jeder sollte aber frei selbst über seine Sicherheit entscheiden können bzw. die Freie Wahl haben.

Als Antwort auf Mike Kuketz 🛡

Fragt man nach dem Grund für ein solches Vorgehen, dann erhält man meist die Erklärung, dass das Einrichten eines Standards wie z.B. TOTP für die meisten Nutzer zu kompliziert wäre.
Schaue ich mir beispielsweise meine Mutter an, finde ich das Argument auch irgendwie stichhaltig. Aber sollte man dann dem Nutzer nicht die Wahl lassen, z.b. TOTP auch anbieterunabhängig mit eigener App nutzen zu können?
Als Antwort auf Mike Kuketz 🛡

Full Ack. Immerhin abseits der üblichen Hausbanken gibt es eine Menge Unternehmen aus alles Bereichen, die sich positiv hervortun, und die Wahl der Authenticator-App dem Kunden überlassen. Ich hätte das gerne für die restlichen auch noch.
Als Antwort auf Mike Kuketz 🛡

das Problem ist aber auch, dass die 2 faktor apps nicht kundenfreundlich sind. Leute verstehen nicht "app wechseln für 2 faktor". Da wird nur auf Kundenbeschwerde reagiert. Authenticator sind der falsche Ansatz für die breite Masse.
Als Antwort auf Mike Kuketz 🛡

Gilt leider auch für Arbeitgeber. Hier ist man sich weder bewusst, noch gewillt, dass alle TOTP Apps genutzt werden können oder alternative Methoden. Nein, es muss der MS Authenticator sein.
Damit die Geschäftsgeheimnisse und Kundendaten auch sicher bei Microsoft liegen....
Als Antwort auf Mike Kuketz 🛡

Gleiches Problem mit der #Barmer Krankenkasse. #appzwang um sich auf die Seite einzuloggen. Das Teil hat 2 Tracker und 23 Berechtigungen. Meine OTP-App (f-droid) hat keine Tracker und 5 Berechtigungen.

reports.exodus-privacy.eu.org/…

Dieser Beitrag wurde bearbeitet. (2 Monate her)
Als Antwort auf Mike Kuketz 🛡

Beim online Banking bin ich mir da nicht so sicher. Beim Rest stimme ich Dir zu. Eine Authenticator App und fertig!
Als Antwort auf Mike Kuketz 🛡

es ist auch eher fragwürdig, inwieweit eine App auf dem gleichen Smartphone wie die Banking App überhaupt ein zweiter Faktor ist. Bei Scalable Capital ist beides sogar in einer einzige App 🙈
Als Antwort auf Mike Kuketz 🛡

absolut korrekt, besonders wenn die Apps nur bei Google oder Apple, heruntergeladen werden kõnnen, und auf deren spezifischen Betriebsystemen laufen. Und was ist mit Menschen ohne Smartphone, Kindern, Jugendlichen, alte Leuten und solchen deren Telefon nicht die neueste Software Version vorweisen kann? Die AOK macht auch gerade sowas! Seitdem kann ich mich nicht mehr im AOK Portal einloggen.
Als Antwort auf Mike Kuketz 🛡

Ja. Total äzend. Bei Comdirekt habe ich das noch verstanden. Die verwenden für ihr Sicherheitskonzept sowas ähnliches wie bunte Aztech codes. Die meisten verwenden secure go mit ihrem Namen drauf. Zudem verwenden die meisten zusätzlich noch irgendeine spezifische App. zudem ist das total umständlich in der Benutzung. Passwörter kann man vergessen. Darum schreibt man Sie sich auf. Dann sind Sie nicht sicher. Zudem möchte man Sie einigermaßen elegant eingeben. Deshalb sind Sie kurz.
Unbekannter Ursprungsbeitrag

Als Antwort auf Mike Kuketz 🛡

das ist auch ein Sicherheitsproblem, da gegebenenfalls bestimmte Apps unsicher sein können.
Das kann ein potenzielles Einfallstor sein.
Als Antwort auf Mike Kuketz 🛡

das ist auch ein Sicherheitsproblem, da gegebenenfalls bestimmte Apps unsicher sein können.
Das kann ein potenzielles Einfallstor sein.
Als Antwort auf Mike Kuketz 🛡

„Sicherheit sollte Optionen bieten, keine Zwänge schaffen.“

Das sehen CDU, CSU und (große?) Teile der SPD aber ein kleines bisschen anders … ☝️

Als Antwort auf Mike Kuketz 🛡

Das ist echt die Hölle. Vor allem häufig für demaßen belangloses Zeug.
Dass Banktransaktionen und dergleichen sensibler Kram, doppel gemoppelt abgesichert werden, versteh ich.
Aber mittlerweile ist man für jeden Unsinn doppelt so lang mit völlig überzogenem Authentifizierungszirkus beschäftigt, als für das dahinter liegende eigentliche Anliegen.
Dieser Beitrag wurde bearbeitet. (2 Monate her)
Als Antwort auf Mike Kuketz 🛡

Bin ganz bei dir, bekomme jedes mal Puls wenn ich nicht meine Standartkonforme Software der Wahl nutzen kann wo so 90% des TOTP Krams drin liegt den ich international bekomme und dann die Dorfbank mit eigener App daher kommt. Weil irgendein IT-BWL-Manfred ihnen eingeredet hat das sei sicherer wegen teuerer.
Als Antwort auf Mike Kuketz 🛡

eine zum Teil berechtigte Sorge ist, dass TOTP leider nicht phishing-resistant ist. Fido/passkeys wären es, aber wer hat schon ein FIDO token.
Als Antwort auf Mike Kuketz 🛡

Hallo, wenn mein Arbeitgeber eine bestimmte App vorschreibt, dann soll er mir ein Smartphone geben.
Als Antwort auf Mike Kuketz 🛡

Es ist dermassen frustrierend zu erlebeben, das all das, was wir Datenschutzenthusiasten ungefähr seit dem Volkszählungsurteil fordern - also die Kontrolle über Daten und Identifikation beim Endnutzer anzusetzen und nicht beim Dienstanbieter, in den letzen 10-15 Jahren aus Bequemlichkeitsgründen in die Tonne getreten wurde und Regulierung schon mal gar nicht geht.

Jetzt über Appzwang zu diskutieren ist Scherben aufkehren.

Dieser Beitrag wurde bearbeitet. (2 Monate her)
Als Antwort auf Mike Kuketz 🛡

Ebenso gut ist, wenn die 2FA-App mitteilt, dass der Schutz veraltet ist.
Als Antwort auf Mike Kuketz 🛡

Gibt es empfehlenswerte (idealerweise quelloffene) Authenticator-Apps, die als #psd2 Authentifizierungsfaktor zulaessig sind?

#appzwang

Dieser Beitrag wurde bearbeitet. (2 Monate her)
Als Antwort auf Mike Kuketz 🛡

Ich arbeite seit kurzem bei einem großen, deutschen Elektronikhandel und kann auf meine Personaldaten, Stundenerfassung, etc. nicht zugreifen, weil ich dazu den Microsoft Authenticator nutzen müsste. Jetzt hab ich sogar keinen Lohn bekommen wegen einem "Zeitwirtschaftsfehler" der sicherlich darauf zurück zu führen ist, dass ich selbst meine Stunden nicht pflegen kann. Gz