comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

FIDO2, WebAuthN, Security Key, Yubikey und co

Zum hilfreichen Beitrag
DAX
Experte
82 Beiträge

‎20.12.2021 23:06 - bearbeitet ‎21.12.2021 16:09

‎20.12.2021 23:06 - bearbeitet ‎21.12.2021 16:09

Liebe Comdirect,

 

wenn mir jemand mein Smartphone stiehlt und es schafft meinen Fingerabdruck abzufotografieren oder aber mittels Trojaner auf dem Smartphone o.Ä. - dann kann er mit nur einem Gerät problemlos auf meine Konten zugreifen und nach belieben Geld überweisen. Ähnliches Problem: Via Phishing am Computer, o.Ä.

 

Leider sind die von der Comdirect angebotenen 2FA Lösungen nicht ausreichend sicher. Insbesondere Hacking/Phishing bleibt ein unlösbares Problem. Sagen wir: Die Methoden sind ok, aber bei weitem nicht der Goldstandard.

 

Der Goldstandard nennt sich Yubikey (oder allgemein "Security Key", aber hier hat sich eine Firma ziemlich durchgesetzt). Ein Security Key ist ein Hardware-Schlüssel, den man per USB-A/C, Lightning oder NFC nutzen kann, um als zweiter Faktor beim Login zu dienen.

 

Vorteile?:

- Unmanipulierbar

- Einzige unphishbare Login-Methode

- komfortabel/schnell

- am sichersten

 

Ich finde es irgendwie bezeichnend, dass Gmail, alle bekannten Passwort-Manager,  Twitter, Reddit, Github, Windows, Microsoft, Twitch, Insta, Dropbox, +hunderte weitere Services ... und selbstverständlich praktisch jede(s) einzelne Börse bzw. Unternehmen im Krypto-Sektor, 2FA mittels Security Key über standardisierte Verfahren wie FIDO2 oder WEBAuthn unterstützen - aber bei Banken sucht man vergeblich. 

 

Selbst jene Dienste, die 2FA mittels Security Token nicht unmittelbar, sondern nur indirekt (über TOTP, z.B. Google Authenticator)  unterstützen - beispielsweise Paypal - kann man über einen entsprechenden Authenticator mittels Security Key nutzen und damit praktisch auf dasselbe Sicherheitsniveau hieven, denn das One Time Password wird tatsächlich physisch auf dem (nicht manipulierbaren) Security Key generiert und nicht in der App am Smartphone! ich weiß allerdings nicht, ob das für alle Security Keys gilt oder nur für besagte marktdominierende Firma.

 

Sucht man allerdings im Bankensektor, was moderne 2FA Methoden angeht, wird es einfach nur düster. Hier setzt man lieber auf Verfahren, die schon gestern veraltet waren. Ich muss irgendwie immer kopfschüttelnd an den Zahldienst Paydirekt denken, den die Deutschen Banken 20(?) Jahre nach der Gründung von Paypal zum laufen bekommen haben. Bezeichnend: Der Gründer/Erfinder von Paypal unterstützt mit seinem erfolgreichsten Unternehmen Tesla übrigens auch den Security Key zum 2FA-Login... 

 

Liebe Comdirect: Kommt da irgendwann mal Support für Security Keys und vergleichbare moderne und sehr sehr sichere 2FA Login-Methoden nach standardisierten Verfahren (FIDO2, WebAuthN)?

 

Viele Grüße,


Dax.

 

 

 

22 ANTWORTEN

Zum hilfreichen Beitrag
Morgenmond
Mentor ★★★
2.425 Beiträge
Als Antwort auf DAX

am ‎21.12.2021 18:28

am ‎21.12.2021 18:28

@DAX  schrieb:

... 

 

Aber man merkt, dass sich hier noch keiner der Ewiggestrigen mit dem Thema auseinandergesetzt hat und die Diskussion hier nur noch in gegenseitige Beweihräucherung der Bargeldversender ausufert.

 

... 

 

 

Sonst geht's gut?

Nur weil hier dein "heißer Scheiss" nicht so Anklang findet wie du es gerne hättest gibt es dir nicht das Recht so geschmacklos zu schreiben. 

 

Damit hat sich jede weitere Diskussion erübrigt...

Tschüss 

Zum hilfreichen Beitrag
Wüstensand
Experte
100 Beiträge
Als Antwort auf Morgenmond

am ‎21.12.2021 20:57

am ‎21.12.2021 20:57

Die Bezeichnung "Ewiggestrig" und "Bargeldversender" verstehe ich als Kompliment. Denn Bargeld ist in meinen Augen immer noch das sicherste Zahlungsmittel.

 

Und wenn irgendein Schlaumeier daherkommt und einen vermeintlich supersicheren Standard verkaufen will, dann werde ich misstrauisch. Davon abgesehen ist die grösste Sicherheitslücke nach wie vor der Benutzer. Und da helfen auch die besten Tools nichts.

Zum hilfreichen Beitrag
SMT_Erik
ehemaliger Mitarbeiter
5.305 Beiträge
Als Antwort auf Glücksdrache

am ‎22.12.2021 08:41

am ‎22.12.2021 08:41

Hallo zusammen,

 

da in dieser Debatte alle Positionen soweit genannt worden sind, die vorgetragene Anregung weitergeleitet wurde, es sich möglicherweise um Produktwerbung handeln könnte und zudem unsere Community-Regel "Geht bitte recht freundlich und respektvoll miteinander um" auf eine harte Probe gestellt worden ist, habe ich diesen Thread geschlossen.

 

Ich wünsche euch frohe und besinnliche Festtage!

 

Gruß

Erik

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag | Der Community-Adventskalender!